Re: Проиграна ли борьба за вычислительную свободу?

To: debian-russian@lists.debian.org
Subject: Re: Проиграна ли борьба за вычислительную свободу?
From: Eugene Berdnikov <bd4@protva.ru>
Date: Tue, 6 Aug 2019 15:26:48 +0300
Message-id: <[🔎] 20190806122647.GC3580@protva.ru>
In-reply-to: <[🔎] 27987d0b-54cc-ffcc-846d-d777cb7e4547@yandex.ru>
References: <20190725085801.GU3109@sie.protva.ru> <20190725130018.090d7d61@fafnir.local.vm> <20190725114355.GV3109@sie.protva.ru> <87ef26lsuu.fsf_-_@gmail.com> <20190731095206.72c00321@fafnir.local.vm> <[🔎] 40a48e00-f531-9e7f-a805-d2293fe7699c@yandex.ru> <[🔎] 20190803201124.GH3130@sie.protva.ru> <[🔎] 2ef9312e-993a-d5f4-c816-333124ee6f93@yandex.ru> <[🔎] 20190804194225.GJ3130@sie.protva.ru> <[🔎] 27987d0b-54cc-ffcc-846d-d777cb7e4547@yandex.ru>

On Tue, Aug 06, 2019 at 10:17:37AM +0300, artiom wrote:
> >  Вы не поняли. Если бы в JS была возможность получить атрибуты сертификата,
> >  то владелец сайта мог бы запрограммировать дополнительные проверки на то,
> >  что браузер получил именно тот сертификат, который принадлежит его сайту.
> >>   Теоретически любую такую проверку можно обойти, но практически
> государству
> >  легче будет поломать ключи всех корневых сертификатов брутфорсом, нежели
> >  бороться с тысячами "вражеских" сайтов, постоянно меняющих код. :)
> >
> 
> Да всё я понял.
> Не будет государство ничего ломать.
> Когда есть рычаг давления, позволяющий внедрить чужой сертификат,
> можно обязать браузер возвращать JS коду владельца поля его
> сертификата, даже если он подписан "вражеским" и есть госмитм.
> Вариантов, как сделать подобное, - множество.
> Эта проблема не решается технически.

 О, как интересно. Расскажите подробнее. Вот браузер ПолярнаяЛиса,
 который юзер себе поставил с плеймаркета, вот сертификат от ГБ,
 который ему пришлось поставить, чтобы выйти в интернет (без него
 чекисты не выпускают), вот код на JS, который читает поля сертификата
 и проверяет, скажем, фингерпринт. Как ГБ может заставить чужой браузер
 ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у
 интересного юзеру сайта, а не тот, который в подсунутом чекистами
 сертификате?

> >>>Я пока не вижу иного выхода для
> >>>   владельца сайта, кроме как выдавать пользователям клиентские
> >>>   сертификаты и требовать их для доступа к ценным данным.
> >>
> >>Так уже есть токены.
> >
> >  Токен это хранилище ключа, а клиента в модели x509 удостоверяет сертификат.
> >  Независимо от того, как клиент хранит свой ключ, в файле или в тукене.
> >
> 
> Когда вам отдают токен, вы можете быть уверены, что там ключ именно
> того, кто его передаёт (считаем, что механизмы передачи надёжны).

 Свой ключ ещё надёжнее, потому как не передаётся удостоверяющему центру.
 А токен, переданный третьей стороной, может быть этой же стороной слит
 в ГБ по требованию госорганов. Им это намного легче сделать, чем добыть
 ключ, который никогда не покидал хозяина.
-- 
 Eugene Berdnikov

Reply to:

Follow-Ups:
- Re: Проиграна ли борьба за вычислительную свободу?
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: Проиграна ли борьба за вычислительную свободу?
  - From: Dmitry Alexandrov <321942@gmail.com>
- Re: Проиграна ли борьба за вычислительную свободу?
  - From: artiom <artiom14@yandex.ru>

References:
- Re: Проиграна ли борьба за вычислительную свободу?
  - From: artiom <artiom14@yandex.ru>
- Re: Проиграна ли борьба за вычислительную свободу?
  - From: Eugene Berdnikov <bd4@protva.ru>
- Re: Проиграна ли борьба за вычислительную свободу?
  - From: artiom <artiom14@yandex.ru>
- Re: Проиграна ли борьба за вычислительную свободу?
  - From: Eugene Berdnikov <bd4@protva.ru>
- Re: Проиграна ли борьба за вычислительную свободу?
  - From: artiom <artiom14@yandex.ru>

Prev by Date: Re: Проиграна ли борьба за вычислительную свободу?
Next by Date: Re: Проиграна ли борьба за вычислительную свободу?
Previous by thread: Re: Проиграна ли борьба за вычислительную свободу?
Next by thread: Re: Проиграна ли борьба за вычислительную свободу?
Index(es):
- Date
- Thread