Как стать автором
Поиск
Написать публикацию
Обновить
Поиск
ПубликацииХабыКомпанииПользователиКомментарии

Слабости HTTPS. Часть 2

Время на прочтение7 мин
Количество просмотров27K
Информационная безопасность*
Любая система имеет свои слабые и сильные стороны. Первая часть о слабостях HTTPS вызвала неоднозначную реакцию, что «это не слабости, так было задумано». В первой части говорилось:

  1. О невозможности обеспечить полную конфиденциальность и privacy пользователям (все ещё можно отслеживать и банить ресурсы, которые человек посещает)
  2. О том, что сертификаты передаются по открытому каналу и содержат чаще больше информации, чем текущий ресурс (например, сертификат bing.com содержит информацию о 72 дополнительных ресурсах, включая дев, тест, бета среды)

Продолжу называть это «слабостями» дизайна. В этой статье поговорим о ещё одной слабой стороне — централизованности.

HTTPS базируется на SSL и TLS протоколах (для простоты будем называть просто SSL – хотя SSL и TLS работают на разных уровнях OSI стека). Поэтому говоря о слабости, мы будем иметь ввиду централизованность SSL протокола.

Теория


Начать стоит с теории протоколов шифрования. Проблема современной криптографии состоит не в самом шифровании, а в том, что делать с ключами: как их хранить, передавать, создавать и уничтожать безопасно.

Основой SSL является ассиметричное шифрование, которое определяется наличием двух ключей – если одним зашифровать, то расшифровать можно только вторым, и наоборот.

Основной функцией ассиметричного шифрования является аутентификация, отнюдь не шифрование – это достаточно ресурсоемкая и дорогая операция для данного алгоритма. Быстрое и эффективное шифрование – это прерогатива симметричных алгоритмов, которые используют один и тот же ключ как для шифровки, так и для дешифровки.
Читать дальше →
Всего голосов 39: ↑35 и ↓4+31
Комментарии22

Что происходит, когда вы вводите адрес сайта и нажимаете Enter?

Уровень сложностиСредний
Время на прочтение8 мин
Количество просмотров25K
Блог компании АО «ГНИВЦ»Программирование*IT-инфраструктура*Сетевые технологии*Стандарты связи*
✏️ Технотекст 7

Вновь привет, меня зовут Дмитрий, я Middle-React-разработчик. Сегодня хочу поговорить о фундаментальных процессах, которые происходят при загрузке сайтов.

На собеседованиях я иногда задаю один, казалось бы, простой вопрос: «Что происходит после того, как вы вводите URL сайта в адресную строку браузера и нажимаете Enter?» Этот вопрос подходит как для Junior, так и для Middle-разработчиков, а иногда и для Senior, потому что, несмотря на его фундаментальность, в нем многие ошибаются или не могут дать точного ответа.

Считаю, что каждому веб-разработчику, а также просто интересующемуся человеку полезно понимать, как обрабатываются URL-запросы. Эти знания являются базовыми и важными для общего развития, независимо от уровня и опыта. Они помогают не только понять, сколько времени и ресурсов требуется для загрузки страницы, но и как это влияет на взаимодействие пользователя с сайтом, его производительность и оптимизацию.

В этой статье я постараюсь кратко, но понятно, разобрать этот процесс: от ввода URL до полной загрузки и отображения страницы в браузере. Рассмотрим именно загрузку статических страниц, хотя для фреймворков процесс будет немного сложнее.

Читать далее
Всего голосов 25: ↑23 и ↓2+24
Комментарии20

Пишем плагин для получения wildcard-сертификатов Let’s Encrypt

Время на прочтение5 мин
Количество просмотров6.2K
Блог компании ISPsystemИнформационная безопасность*Криптография*Программирование*Разработка под Linux*
И снова здравствуй, дорогой читатель. Вторая глава о похождениях Let’s Encrypt в панели ISPmanager объявляется открытой. В предыдущей статье мы обсудили плагин для ACME v01. В этой поговорим о его эволюции с точки зрения логики работы с пользователем и, разумеется, о протоколе ACME v02 с поддержкой wildcard-сертификатов.


Читать дальше →
Всего голосов 18: ↑18 и ↓0+18
Комментарии0

Debian + Postfix + Dovecot + Multidomain + SSL + IPv6 + OpenVPN + Multi-interfaces + SpamAssassin-learn + Bind

Время на прочтение28 мин
Количество просмотров30K
DevOps*Мессенджеры*Настройка Linux*
Данная статья о том как настроить современный почтовый сервер.
Postfix + Dovecot. SPF + DKIM + rDNS. С IPv6.
С шифрованием TLS. С поддержкой нескольких доменов — часть с настоящим SSL сертификатом.
С антиспам-защитой и высоким антиспам-рейтингом у других почтовых серверов.
С поддержкой нескольких физических интерфейсов.
С OpenVPN, подключение к которому через IPv4, и которое даёт IPv6.

Если вы не хотите изучать эти все технологии, но хотите настроить такой сервер — тогда эта статья для вас.

В статье отсутствуют попытки пояснить каждую деталь. Пояснение идёт к тому, что настроено не стандартно или важно с точки зрения потребителя.
Читать дальше →
Всего голосов 34: ↑30 и ↓4+26
Комментарии31

Управляемый SSL сертификат для TCP лоадбалансера в Kubernetes

Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров1.6K
DevOps*Google Cloud Platform*
Кейс

В Altenar мы часто используем RabbitMQ как точку входа для наших продуктов. В данном случае речь пойдет о системе, которая рассчитывает спортивные данные и предоставляет их как внутренним системам организации, так и внешним пользователям за её пределами. При проектировании системы для компонента RabbitMQ были определены следующие требования...

Читать далее
Всего голосов 1: ↑1 и ↓0+2
Комментарии0

HTTP/3: от корней до кончиков

Время на прочтение16 мин
Количество просмотров48K
Сетевые технологии*История ITIT-стандарты*
Перевод
Протокол прикладного уровня HTTP лежит в основе интернета. Он начал свою жизнь в 1991 году как HTTP/0.9, а к 1999 году превратился в HTTP/1.1, который был стандартизирован Инженерным советом Интернета (IETF).

HTTP/1.1 долго всех удовлетворял, но растущие потребности Сети потребовали апгрейда — и в 2015 году приняли HTTP/2. На этом история не закончилась: совсем недавно IETF анонсировал новую версию HTTP/3. Для некоторых это стало неожиданностью и вызвало некоторое замешательство. Если вы не отслеживаете работу IETF, может показаться, что HTTP/3 появился из ниоткуда. Тем не менее, мы можем отследить его происхождение по истории экспериментов и эволюции веб-протоколов, в частности, транспортного протокола QUIC.

Если вы не знакомы с QUIC, мои коллеги по Cloudflare довольно подробно осветили разные аспекты: например, см. статьи о реальных недостатках современного HTTP и подробности о протоколе транспортного уровня. Мы собрали эти и другие материалы на сайте cloudflare-quic.com. А если интересно, обязательно ознакомьтесь с quiche: это наша собственная реализация QUIC, написанная на Rust с открытым исходным кодом.
Читать дальше →
Всего голосов 45: ↑42 и ↓3+39
Комментарии12

Хостинг Node.js https сервера с авто-обновляемым SSL в облаке и как я настроил цикл разработки (+ git, react)

Время на прочтение16 мин
Количество просмотров32K
Node.JS*
Из песочницы

Предисловие


Начну с того, что однажды мне захотелось создать приложение. Желание такое возникло из-за того, что я люблю читать, а нормальных книжных агрегаторов на просторах русского интернета просто нет. Собственно из боли поиска чего бы почитать и попыток вспомнить как называлась та книжка, которую я недавно читал и на какой же главе я остановился, родилось желание сделать веб-приложение, в котором всё это было бы возможно и удобно. Стоит отметить, что никакого опыта разработки, программирования и т.п. у меня не было, моя работа вообще с этим не связана. Тем не менее желание перебороло лень и переросло в конкретные действия, своеобразное хобби.

Не буду рассказывать как я изучал javascript, node.js, react, html, css и т.п., перейдём к тому, к чему я пришел на данный момент, чем хотел бы с вами поделится и, конечно, послушать конструктивную критику специалистов.

Как и многие я тренировался на собственном ПК на localhost:3000, создавал front/back-end'ы, верстал, работал с api и т.д., но меня всегда тревожила мысль а том, как же всё это потом перенести на хостинг? Будет ли оно работать? Нужно ли будет переписывать из-за этого код? И самое главное, нельзя ли всё настроить так, чтобы я мог работать над приложением с любого ПК и легко переносить всё на хостинг на production? Об этом я и расскажу.
Читать дальше →
Всего голосов 24: ↑21 и ↓3+18
Комментарии7

Анализ последних массовых атак с захватом DNS

Время на прочтение11 мин
Количество просмотров7.9K
Информационная безопасность*Сетевые технологии*
Перевод


Правительство США и ряд ведущих компаний в области информационной безопасности недавно предупредили о серии очень сложных и распространённых атак DNS hijacking, которые позволили хакерам предположительно из Ирана получить огромное количество паролей электронной почты и других конфиденциальных данных у нескольких правительств и частных компаний. Но до сих пор подробности произошедшего и список жертв хранились в тайне.

В этой статье постараемся оценить масштаб атак и проследить эту чрезвычайно успешную кампанию кибершпионажа от начала и до каскадной серии сбоев у ключевых поставщиков инфраструктуры интернета.
Читать дальше →
Всего голосов 17: ↑16 и ↓1+15
Комментарии1

Россия заняла 9 место в мировом SSL-рейтинге, опережая Китай, Данию и Швейцарию

Время на прочтение3 мин
Количество просмотров4.4K
Блог компании GlobalSignИнформационная безопасность*
Рынок информационной безопасности (ИБ) за последние несколько лет увеличивался стремительными шагами. Компании стали больше инвестировать в кибербезопасность, заключать больше контрактов. Глобальный рынок товаров и услуг в сфере цифровой безопасности растёт, в частности, SSL-отрасль. На мировом рынке количество сайтов, перешедших на безопасное соединение HTTPS, за последний год возросло в среднем в 2 раза. Подобная динамика касается как развитых, так и многих развивающихся стран.
Читать дальше →
Всего голосов 7: ↑6 и ↓1+5
Комментарии3

Идёт массовый отзыв TLS-сертификатов от множества УЦ, по ошибке сгенерированных на 63-битном ГСЧ вместо 64-битного

Время на прочтение3 мин
Количество просмотров15K
Блог компании GlobalSignБраузерыИнформационная безопасность*Криптография*
Три дня назад в списке рассылки mozilla.dev.security.policy опубликовано сообщение о массовом нарушении в генерации TLS-сертификатов. Как показало расследование, пострадало несколько удостоверяющих центров, в том числе GoDaddy, Apple и Google. Общее количество неправильных сертификатов превышает 1 миллион, а может быть намного больше. GoDaddy первоначально назвала цифру в 1,8 млн сертификатов, а потом уменьшила оценку на два порядка, до 12 000. Представитель Apple назвал цифру 558 000 сертификатов.

Суть в том, что все пострадавцие УЦ использовали open source PKI-решение EJBCA с неправильными настройками, в результате чего для последовательных номеров сертификатов использовались случайные числа из 63-битного пространства, что нарушает требования CA/B Forum по минимальной энтропии (64 бита).

Разница между 263 и 264 превышает 9 квинтиллионов, то есть 9×1018, это очень существенное число (хотя разница всего в два раза). Все сертификаты должны быть отозваны. У SSL.com и GoDaddy процедура займёт 30 дней, у других могут быть примерно такие же сроки, хотя по стандарту RFC5280 они обязаны отозвать некорректные сертификаты в пятидневный срок. Но они очевидно не успевают уложиться в норматив.
Читать дальше →
Всего голосов 26: ↑24 и ↓2+22
Комментарии14

IETF одобрили ACME — это стандарт для работы с SSL-сертификатами

Время на прочтение3 мин
Количество просмотров8.1K
Блог компании 1cloud.ruУправление разработкой*Серверное администрирование*Информационная безопасность*IT-стандарты*
IETF одобрили стандарт Automatic Certificate Management Environment (ACME), который поможет автоматизировать получение SSL-сертификатов. Расскажем, как это работает.

Читать дальше →
Всего голосов 19: ↑19 и ↓0+19
Комментарии3

Автоматизируем выпуск валидных SSL-сертификатов в локальном Kubernetes

Уровень сложностиСредний
Время на прочтение6 мин
Количество просмотров4.1K
DevOps*Kubernetes*
Туториал

В данном туториале максимально просто расскажу и покажу на практике как настроить автоматический выпуск сертификатов в локальном kubernetes так, что бы ваша локальная машина доверяла им. Я постарался написать его так, чтобы даже новичкам можно было настроить свой куб просто следуя данной инструкции.

Читать далее
Всего голосов 9: ↑8 и ↓1+7
Комментарии0

Frontend DevDay. Запись докладов

Время на прочтение2 мин
Количество просмотров4.6K
Блог компании 2ГИСПрограммирование*КонференцииJavaScript*IT-компании


7 декабря мы провели Frontend DevDay — смешали техническую презентацию нового 2ГИС с полноценным митапом. Разговаривали про карты на WebGL, трансформацию команды и запросы браузера. По словам участников, получилось празднично и увлекательно.

Сегодня делимся записями всех трёх докладов. Спикеры на связи, если у вас возникнут вопросы — смело задавайте в комментариях к посту.
Посмотреть
Всего голосов 31: ↑31 и ↓0+31
Комментарии4

Экспорт ключей TLS: зачем, почему и как реализовать с Go

Уровень сложностиСредний
Время на прочтение5 мин
Количество просмотров1.8K
Программирование*Информационная безопасность*Серверное администрирование*DevOps*
FAQ

Недостаточно просто записать дамп TLS-трафика: чтобы влезть внутрь анализатором - нужны секретные ключи. Если предусмотреть экспорт ключей при разработке сервиса, то это поможет при отладке. А инженеры DevOps, которые сервис сопровождают, будут рады. В crypto/tls из типовых библиотек Go интерфейс для экспорта сессионных ключей встроен в базовый "конфигуратор". Кроме простого примера кода в статье рассказано, почему экспорт ключей работает, что именно выводится в экспортные файлы и как использовать результат в tshark/Wireshark.

Читать далее
Всего голосов 8: ↑7 и ↓1+8
Комментарии0

SSL и SSL-сертификаты для новичков

Уровень сложностиПростой
Время на прочтение8 мин
Количество просмотров25K
Веб-разработка*Информационная безопасность*Платежные системы*Браузеры
Туториал
Перевод

Представляю вашему вниманию перевод статьи SSL and SSL Certificates Explained For Beginners. Я долго разбирался с SSL, сертификатами, центрами сертификации - это единственная статья, после которой у меня что-то отложилось в голове :) Поэтому возникла идея перевести ее и донести до широких масс.

Читать далее
Всего голосов 23: ↑22 и ↓1+23
Комментарии11

Netscape Navigator празднует 30 лет. История и технологии, которые важны и сегодня

Уровень сложностиПростой
Время на прочтение24 мин
Количество просмотров3.5K
Блог компании Timeweb CloudИстория ITБраузерыIT-компанииIT-инфраструктура*
Ретроспектива
На Хабре много публикаций про браузер Netscape, но нет ни одной полностью раскрывающей всю историю и технические особенности проекта. Пришел хороший повод вернуться к теме: недавно Netscape исполнилось 30 лет. Он стал техническим прорывом и подарил нам множество важнейших технологий, которые вы используете каждый день!

image

Конец 1994 года оказался удачным моментом для старта: компьютеры проникали в каждый дом, происходило ежегодное удвоение интернета, все крупные компании открыли свои сайты, а для самых активных людей планеты чтение электронной почты стало ежедневной рутиной. Всем нужен качественный и недорогой браузер. Да, браузеры когда-то были платными. Netscape стал самым продвинутым для 1994 года и как следствие, самым популярным браузером в мире. Однако очень скоро началась первая браузерная война, которая уничтожила компанию, привела к краху и забытию. Тем не менее, мы помним вклад Netscape Navigator, а самое забавное, что часть технологий и даже программного кода используется до сих пор. Мы вспомним ключевых участников, технологии, события, патенты и малоизвестные моменты. Это история главного в истории браузера. И, конечно, история о том, как интернет изменил наш мир.
Читать дальше →
Всего голосов 25: ↑25 и ↓0+33
Комментарии22

HTTPS не всегда такой безопасный, как кажется. Уязвимости найдены у 5,5% сайтов HTTPS

Время на прочтение6 мин
Количество просмотров12K
Блог компании GlobalSignСерверное администрирование*Веб-разработка*Криптография*Информационная безопасность*

Один из топовых сайтов Alexa (центральный кружок), защищённый HTTPS, с поддоменами (серым) и зависимостями (белым), среди которых есть уязвимые (штриховая заливка)

В наше время значок защищённого соединения HTTPS стал стандартным и даже необходимым атрибутом любого серьёзного сайта. Если сертификат отсутствует, почти все последние браузеры показывают предупреждение, что соединение с сайтом «не защищено» и не рекомендуют передавать на него конфиденциальную информацию.

Но оказывается, что наличие «замочка» в адресной строке не всегда гарантирует защиту. Проверка 10 000 ведущих сайтов из рейтинга Alexa показала: многие из них подвержены критическим уязвимостям протоколов SSL/TLS, обычно через поддомены или зависимости. По словам авторов исследования, сложность современных веб-приложений многократно увеличивает поверхность атаки.
Читать дальше →
Всего голосов 18: ↑18 и ↓0+18
Комментарии9

Как настроить HTTPS — поможет SSL Configuration Generator

Время на прочтение4 мин
Количество просмотров9.5K
Блог компании 1cloud.ruВеб-разработка*Разработка мобильных приложений*Разработка под e-commerce*Серверное администрирование*
Рассказываем об инструменте для конфигурации SSL, который разработали в Mozilla.

Под катом — о его возможностях и других утилитах для настройки сайтов.

Читать дальше →
Всего голосов 22: ↑21 и ↓1+20
Комментарии1

Авторизация в Apple Pay для самых маленьких

Время на прочтение3 мин
Количество просмотров9.8K
PHP*Интернет-маркетинг*
Из песочницы

Авторизация в Apple Pay для самых маленьких


Внимание будет уделено конкретному моменту — это получения криптограммы со стороны Apple после того как покупатель прошёл TouchID или FaceID. Языком на бэкенде будет PHP.


Меня зовут Александр, я младший PHP-программист компании Moguta, и мне пришлось столкнуться на своем пути с интеграцией Apple Pay в нашу Moguta.CMS. Сегодня я расскажу как авторизовать себя через Apple Pay для проведения оплаты без вникания в матчасть защищенных соединений и сертификатов, так как мне в начале своего пути не хватало такого материала.

Читать дальше →
Всего голосов 15: ↑14 и ↓1+13
Комментарии2
12 ...
1516
17
18

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2025, Habr