Но создать правильный CA - наверное, стоит больших денег
Я думаю, ооочень больших. Я думаю опять же, что там правила довольно строгие - ведь уровень доверия ко всем CA - одинаков. Это кстати, основа бампинга :)
Вот - вроде форум для контор, которые есть действующие CA
умный майор из конторы смекнет, и убедительно попросит сделать какой-нибудь сертификат для gmail.com, например
Разумеется. ГосСA выпустит так пару сертификатов и с треском вылетит из всех браузеров :) Там тоже не дураки и прекрасно это понимают :) Политика, кругом политика... Ты можешь игнорировать ее, но она не будет игнорировать тебя :)
Мне кажется мы скоро придем к тому, что браузеры научатся отличать сертификаты по CA и тогда мы придем к "локализованным версиям" браузеров, где будут-таки российские CA, но сертификаты, выданные ими на gmail.com например, валидными считаться не будут. Да, HPKP есть, но от него проблем больше чем пользы.
Robur, Туда их помещают производители оси/браузера - то есть M$ для ишака, мозилла для FF, гугло для хрома. Помещают они тех, кого считают нужными. CA там достаточно - у меня например в win7 в хранилище корневых у юзера 47 сертификатов - американские, европейские, один турецкий вроде есть. Certum пресловутый из Польши. То есть как всегда - все равны, но некоторые равнее. И как только кого-нибудь реально отчекрыжат - ждем-с российский импортозамещенный браузер с российскими CA в составе.
kocherman, "Штрилиц шел по коридору абвера и никак не мог понять, почему все встречные приветствуют его по-русски. "Наверное что-то выдает во мне русского, да? Вот только что? То ли фуражка с красной звездой, то ли волочащийся сзади парашют..."
Вот примерно то же самое и с тором. Быстро. Анонимно. Никто ничего не знает. Но сам факт использования тора - это уже "фуражка с красной звездой". Почему я всегда начинаю с вопроса о модели нарушителя? Потому что жена-друг-сосед не имеет доступа к статистике трафика вообще, работодатель - только на работе. И использовать тор для скрытия IP при такой модели нарушителя возможно (не на работе - если это работодатель) А государство - имеет к любой. И если стоит задача создать сайт, обсерающий государство - использовать для этого тор это примерно то же самое, что в здании абвера нацепить балаклаву с серпом и молотом :)
Robur, Браузеры и оси признают любой сертификат, выпущенный CA, находящимся в хранилище доверенных корневых сертификатов. Туда можно поставить любой (там, где это можно - в андроиде например, тебя замучают варнингами "Ааааа, нас мониторят!" - если рута нет).
Проблема в том, что по умолчанию в этом хранилище (у винды оно в системе где-то, у FF - в дистрибутиве) нет ни одного CA, которое было бы чисто российским - они все забугорные. Только с помощью пилы, топора и какой-то матери.
CA в РФ много. Но любой сертификат, выпущенный этим CA не будет валиден, пока ты вручную его корневой сертификата не поставишь в хранилище.
Почему я и говорю, что несмотря на то, что статья - фуфло по факту, проблему она освещает самую что ни на есть настоящую.
Вот так делать ни в коем случае не надо Потому что это Вы волшебным образом превращаете линух в винду :) Права 0777 - это "заходи кто хочешь, делай что хочешь". У ТС более правильная команда - юзеру и группе добавить права на чтение и запись (но в ней не хватает право на переход в папку - х).
Если бы Вы написали - 1777 - я бы еше понял, такие права обычно стоят на /tmp
Robur, Скорее, не хотят ставить сертификат, выпущенный вражеским CA. Только ради закладки в сертификат fsb.ru что thawte, что globalsign родную маму продадут и плевать на репутацию - все равно хомячки никуда не денутся...
sfhvn1, Хм, этот вопрос надо бы задать американским законодателям. Вот например по теме ограничения поставок винды и яббла силовикам РФ мне так и не удалось нарыть сам документ - только упоминание о нем на сайте американской юридической компании, дающей разьяснения по нему. А "огласите весь список, пжалста" было бы очень интересно...
Угу, потом провайдер замечает резкий рост трафика на одном порту и просто порт блочит "до выяснения". Друг будет очень благодарен, а работодатель так может и премию... выписать :)
Евгений, Если восстановление было с одной копии - в домене у них одинаковый SID :) На одной надо, отцепив сетевуху, зайти локальным админом и удалить из домена, потом подцепить сетевуху и заново в домен добавить, чтобы при добавлении сгенерился новый SID. Ну и имена должны быть понятное дело разными.
Алексей Харченко, Тема действительно интересная, но я на хабре не публикуюсь принципиально - там контуженно-либерастическая аудитория, на полном серьезе верящая в такую дичь, как "секретные чеченские гей-тюрьмы".
Правда, о чем писать - пока не представляю? О том, как у нас плохо с сертификатами на госсайтах? Увы, на некоторых госсайтах плохо не только с этим :D Или о том, какие потенциальные последствия может нести отсутствие сертификата на kremlin.ru?
Евгений, а, значит настройки машины слетели. Ну главное диск цел. А что там локальный админ заблокирован и никто из админов в нее ни разу не заходил? Тогда берется hiren, там есть тулза по сбросу паролей винды, админ активируется и ставится что он без пароля.
Есть старинная поговорка, она не совсем приличная :)
Не можешь срать - не мучай #опу
Проще всего это исправить, снеся Kali, поставив винду и майнкрафт.
Kali - специализированная вещь, это не сколько дистриб в общем понимании, сколько сборник инструментов для админов, безопасников, сетевых инженеров и прочих, кто работает в данном направлении.
Kali категорически противопоказан нубам...
...но почему-то неизменно вызывает бурное желание его поставить именно у нубов, видимо в надежде, что все вокруг само сломается - от страха :D
Я думаю, ооочень больших. Я думаю опять же, что там правила довольно строгие - ведь уровень доверия ко всем CA - одинаков. Это кстати, основа бампинга :)
Вот - вроде форум для контор, которые есть действующие CA
Разумеется. ГосСA выпустит так пару сертификатов и с треском вылетит из всех браузеров :) Там тоже не дураки и прекрасно это понимают :) Политика, кругом политика... Ты можешь игнорировать ее, но она не будет игнорировать тебя :)
Мне кажется мы скоро придем к тому, что браузеры научатся отличать сертификаты по CA и тогда мы придем к "локализованным версиям" браузеров, где будут-таки российские CA, но сертификаты, выданные ими на gmail.com например, валидными считаться не будут. Да, HPKP есть, но от него проблем больше чем пользы.