> Волжанин, вот объясните мне, почему все надо через задницу делать? > Ведь нет ничего проще, чем добавить российский государственный Certificate Authority в любой существующий браузер по желанию пользователя.
> Это НАМНОГО проще, чем устанавливать специальный российский бразузер, который не будет поддерживаться кучей WEB серверов. > > Походу это очередной "интернет-чебурашка". quoted1
Да, можно добавлять корневой сертификат в зоопарк браузеров целого полчища служащих в гос. конторах и бюджетных организациях, писать многостраничные инструкции для настройки связки браузер + КриптоПро (причём браузеры разных вендоров и разных версий имеют свои особенности). Сейчас у нас в госсекторе и бюджетных организациях имеет место именно такой подход. Главный его недостаток -- высокие накладные расходы айтишников на настройку всего этого зоопарка.
Сделать свой велосипед (то бишь браузер), в рамках которого будут решены все эти проблемы -- это значительное уменьшение накладных расходов на поддержку программного обеспечения, упрощение всех процедур по настройке и эксплуатации софта на компьютерах конечных пользователей. Лично мне такой подход нравится больше.
>> Волжанин, вот объясните мне, почему все надо через задницу делать? >> Ведь нет ничего проще, чем добавить российский государственный Certificate Authority в любой существующий браузер по желанию пользователя.
>> Это НАМНОГО проще, чем устанавливать специальный российский бразузер, который не будет поддерживаться кучей WEB серверов.
>> >> Походу это очередной "интернет-чебурашка". quoted2
>Да, можно добавлять корневой сертификат в зоопарк браузеров целого полчища служащих в гос. конторах и бюджетных организациях, писать многостраничные инструкции для настройки связки браузер + КриптоПро (причём браузеры разных вендоров и разных версий имеют свои особенности). Сейчас у нас в госсекторе и бюджетных организациях имеет место именно такой подход. Главный его недостаток -- высокие накладные расходы айтишников на настройку всего этого зоопарка. > Сделать свой велосипед (то бишь браузер), в рамках которого будут решены все эти проблемы -- это значительное уменьшение накладных расходов на поддержку программного обеспечения, упрощение всех процедур по настройке и эксплуатации софта на компьютерах конечных пользователей. Лично мне такой подход нравится больше. quoted1
Повторюсь. Для айтишников добавить сертификат в тот же Хром ГОРАЗДО проще, чем устанавливать свой криворуконаписанный бразузер, который к тому же не будет поддерживаться 80% сайтов.
Наблюдатель (Реалист) писал(а) в ответ на сообщение:
> Повторюсь. > Для айтишников добавить сертификат в тот же Хром ГОРАЗДО проще, чем устанавливать свой криворуконаписанный бразузер, который к тому же не будет поддерживаться 80% сайтов. quoted1
Ну, я же сказал, что там кроме добавления корневого сертификата надо ещё настраивать связку браузер + КриптоПро. Плюс нужно сделать кучу настроек в самом браузере.
> > Наблюдатель (Реалист) писал(а) в ответ на сообщение:
>> Повторюсь. >> Для айтишников добавить сертификат в тот же Хром ГОРАЗДО проще, чем устанавливать свой криворуконаписанный бразузер, который к тому же не будет поддерживаться 80% сайтов. quoted2
>Ну, я же сказал, что там кроме добавления корневого сертификата надо ещё настраивать связку браузер + КриптоПро. Плюс нужно сделать кучу настроек в самом браузере. > > Чтобы было понятнее, сколько манипуляций нужно сделать айтишнику, кидаю ссылку на инструкцию:
Хм... посмотрел на первую страницу. По непонятной причине современные протоколы TLS 1.1 и TLS 1.2 предлагается отключить, а SSL 3.0 и TLS 1.0, в которых обнаружены дыры, предлагают оставить.
Меня терзают смутные сомнения, что авторы этой инструкции заинтересованы вовсе не в защите пользователей, а скорее наоборот ))
> Интересно, эта Мир лучше будет защищена? quoted1
Карта "Мир" с точки зрения безопасности ничем не отличается от международных карт Виза, Мастеркард, Юнионкард, JCB.
Для взаимодействия с оборудованием для операций по банковским картам с чипом в картах "Мир" используется протокол EMV. Для проведения платежей через интернет используется протокол 3D-Secure. Понятное дело, все эти протоколы интегрированы с российским п/о карты.
Сама карта "Мир" может быть с российским или иностранным чипом, но на чипе обязательно записана российская операционной система с возможностью мультизагрузки нескольких платёжных систем (в кобейджинговых картах), с возможностью записи нескольких платёжных приложений (например, приложение для оплаты транспорта, приложение для идентификации / электронный пропуск и т.д.).
Наблюдатель (Реалист) писал(а) в ответ на сообщение:
> По непонятной причине современные протоколы TLS 1.1 и TLS 1.2 предлагается отключить, а SSL 3.0 и TLS 1.0, в которых обнаружены дыры, предлагают оставить. quoted1
Это типичная ситуация для гос.сайтов. Их разрабы не успевают обновлять п/о под требования безопасности современных браузеров. Дело доходит до смешного -- некоторые сайты, например сайт госзакупок, прибиты гвоздями к IE старых неподдержвиаемых версий, а при обновлении браузера до новой версии может всё отвалиться. Другие браузеры не поддерживаются.
Ещё была проблема, что некоторые сайты электронных торговых площадок использовали устаревший интерфейс плагинов NPAPI, который выкинули из Chrome и заменили интерфейсом PPAPI. Был период, когда устаревшие плагины NPAPI приходилось запускать через жопу, либо запрещать обновление хрома до новых версий.
А проблемы совместимости, когда для гос.закупок используется только осёл (IE), а для торговых площадок он глючит (т.к. старая версия), поэтому приходится использовать Chrome / Firefox с набором плагинов, -- это типичная ситуация.
Наблюдатель (Реалист) писал(а) в ответ на сообщение:
> Меня терзают смутные сомнения, что авторы этой инструкции заинтересованы вовсе не в защите пользователей, а скорее наоборот )) quoted1
Нет. Дело здесь в специфике обновления софта. Чтобы обновить, например, такой сложный портал как zakupki.gov.ru, нужен госзаказ с большими бюджетом, чтобы переделать софт и организовать миграцию на новую версию. Это крупный заказ и большие бабосы -- дело не скорое. Нужно тех.задание, технико-экономическое обоснование, проект, проектная смета, госзаказ, определение подрядчиков и исполнителей, включение в план ФХД и т.д. Только потом начнут писать код, после чего последует этап тестирования и внедрения.
Пока они доползут до внедрения TLS 1.2, его могут объявить устаревшим и небезопасным, а на его место придёт новая версия.
Наблюдатель (Реалист) писал(а) в ответ на сообщение:
> Повторюсь. > Для айтишников добавить сертификат в тот же Хром ГОРАЗДО проще, чем устанавливать свой криворуконаписанный бразузер, который к тому же не будет поддерживаться 80% сайтов. quoted1
масло маслянное. вы только что написали что для айтишников добавить в хром сертификат легко (кстати врете и сразу видно не добовляли и вообще связку крипто про и браузер не видели) и тутже хром обозвали криворукописанным. ибо хроминиум это свободный открытый хром. вы либо вообще ни чего не понимаете в айти либо нагло всем врете.
Наблюдатель (Реалист) писал(а) в ответ на сообщение:
> По непонятной причине современные протоколы TLS 1.1 и TLS 1.2 предлагается отключить, а SSL 3.0 и TLS 1.0, в которых обнаружены дыры, предлагают оставить. quoted1
Обрати внимание, что все настройки осла выставляются таким образом, что безопасность браузера становится ниже плинтуса. Если ещё учесть, что используется устаревшая необновляемая версия IE, то этим браузером вообще нельзя никуда ходить в современном интернете кроме указанных доверенных сайтов.
> > Наблюдатель (Реалист) писал(а) в ответ на сообщение:
>> Меня терзают смутные сомнения, что авторы этой инструкции заинтересованы вовсе не в защите пользователей, а скорее наоборот )) quoted2
>
> Нет. Дело здесь в специфике обновления софта. Чтобы обновить, например, такой сложный портал как zakupki.gov.ru, нужен госзаказ с большими бюджетом, чтобы переделать софт и организовать миграцию на новую версию. Это крупный заказ и большие бабосы -- дело не скорое. Нужно тех.задание, технико-экономическое обоснование, проект, проектная смета, госзаказ, определение подрядчиков и исполнителей, включение в план ФХД и т.д. Только потом начнут писать код, после чего последует этап тестирования и внедрения. > > Пока они доползут до внедрения TLS 1.2, его могут объявить устаревшим и небезопасным, а на его место придёт новая версия. quoted1
Довольно странная ситуация. Есть куча свободного кода, который имплементирует TLS, и перейти на TLS 1.2 не должно занять больше чем несколько недель.
TLS 1.2 появился в 2008 году. И если за 8 лет никто не удосужился этого сделать, то у меня нет слов.
Благое дело. Все бюджетополучатели, включая госмонополии и госкомпании, должны максимально отказаться от расходов на импорт. Только отечественное. Ну а нас телевизором приучать покупать отечественное.
> > Ланцелот (lants) писал(а) в ответ на сообщение:
>> >> А где центр выпуска отечественных цифровых сертификатов? quoted2
> > Государство планирует свой удостоверяющий центр, выдающий SSL-сертификаты. Технически сделать его не сложно. Однако, проблема здесь кроется в том, что корневые сертификаты этого центра должны быть включены во все популярные браузеры. В этом и состоит трудность, т.к. производители основных браузеров (Chrome, Firefox, Opera и др.) находятся за рубежом, преимущественно на западе. Они признают только свои центры сертификации, а к чужим (например, к будущему российскому) относятся с недоверием, т.к. заранее подозревают наше государство, что оно будет использовать сертификаты для прослушки веб-трафика пользователей. Заставить иностранных производителей включить корневые сертификаты российского УЦ в свои бесплатные продукты не представляется возможным. >
> Поэтому ситуация в госсекторе будет развиваться в направлении создания российского браузера. Такой браузер уже создаётся (гос. браузер Спутник), который является перекомпилированной версией chromium с патчами Ростелекома. В этот браузер и включат сертификаты российского УЦ и обяжут использовать его гос. организации. Заодно этот браузер "научат" работать с гос. официальными сайтами госзакупок и др., для чего туда включат расширение или патчи, позволяющие работать с КриптоПро. > > В банкоматы и POS-терминалы тоже не проблема перепрограммировать на работу с российским УЦ. Это дело техники. quoted1
тов.Волжанин! а чем плох в этом ключе браузер Яндекс? у меня линукс на ПК. и браузер Яндекс(для линукс ос)- довольно хорошая связка и защита.
> тов.Волжанин! а чем плох в этом ключе браузер Яндекс? у меня линукс на ПК. и браузер Яндекс(для линукс ос)- довольно хорошая связка и защита. quoted1
С браузером Яндекс пока не всё ясно.
С одной стороны: По словам главы рабочей подгруппы "Интернет + суверенитет" при администрации президента Ильи Массуха Яндекс вроде бы ведёт работы по внедрению в свой браузер российских алгоритмов шифрования.
С другой стороны: По словам представителя "Яндекса" информация о создании беты "Яндекс.Браузера" с российскими алгоритмами шифрования недостоверна, компания "не занималась и не занимается" ею.
> > А где центр выпуска отечественных цифровых сертификатов? quoted1
Как уже сообщал "Ъ" (подробно см. номер от 15 февраля), администрация президента обсуждает создание российского удостоверяющего центра (УЦ) для выдачи SSL-сертификатов, используемых для шифрования данных и идентификации сайта при установлении защищенного https-соединения. "Выдавать SSl-сертификаты с российскими алгоритмами шифрования будет удостоверяющий центр НИИ "Восход" или кто-то из других УЦ, аккредитованных Минкомсвязью. В российских браузерах эти УЦ будут добавлены в список "доверенных"",— говорит господин Массух. Он сообщил, что первым делом SSL-сертификаты с российскими алгоритмами шифрования от местного УЦ будут использовать сайты органов власти, портал госуслуг и, возможно, некоторые банки. "Для этих целей планируется внести изменения в 8 ФЗ ("Об обеспечении доступа к информации о деятельности госорганов..."). В итоге, если пользователь будет открывать, например, портал госуслуг в браузере Chrome, у него будет появляться сообщение о том, что для пользования данным сайтом ему лучше установить определенную версию "Спутника" или "Яндекс.Браузера"",— отмечает он.
Наиболее популярными мировыми УЦ являются Comodo, Symantec, GoDaddy, Geotrust, GlobalSign и др. В России продажей сертификатов этих УЦ занимается множество частных компаний — например, Ru-Center, Reg.Ru, Agava и др. Число используемых SSL-сертификатов только в доменной зоне .ru по итогам 2015 года составило 124,5 тыс., сообщала Reg.Ru.
"У нас в стране есть ряд криптопровайдеров, соответствующих ГОСТу, поэтому реализация браузера с российскими алгоритмами шифрования вполне возможна, как и использование на одном домене набора SSL-сертификатов, среди которых был бы сертификат от российского УЦ. С точки зрения национальной безопасности это имеет смысл, хотя со стороны и немного отдает паранойей",— говорит основатель и гендиректор Qrator Labs Александр Лямин. При этом, напоминает он, в теории появление в стране своего УЦ для выдачи SSL-сертификатов может привести к злоупотреблениям и MITM-атакам (или атакам посредника) со стороны структур, имеющих отношение к этому УЦ. В ходе MITM злоумышленник перехватывает и подменяет сообщения, которыми обмениваются корреспонденты, причем ни один из последних не догадывается о его присутствии в канале. "Подобные случаи были в Китае, после чего Google намеревалась удалить местный УЦ из "доверенных" в Chrome",— добавляет он.
"С точки зрения обеспечения цифрового суверенитета наличие собственного удостоверяющего центра, выдающего SSL-сертификаты, и браузеров, поддерживающих российское шифрование, безусловно, положительный факт. Однако надо понимать, что если данный национальный центр будет скомпрометирован и атакующие получат доступ к корневым сертификатам, то при наличии доступа к SSL-трафику между пользователем браузера и сайтом можно организовать MITM-атаку, расшифровав SSL-трафик",— согласен гендиректор Digital Security Илья Медведовский. Впрочем, подобная атака может быть с таким же успехом осуществлена и на любой западный удостоверяющий центр, что уже недавно случалось, в частности, с Comodo, добавляет он.
И как обычно все молчат как бобики, что ценник на обслуживание и комиссии по картам мир будет дороже своих западных старших братьев ... ибо высокие накладные расходы на производство, включающие импортную составляющую...... гг , "мир" вам.... принудительно