вторник, 19 августа 2008 г.

"SSL or not SSL? Is that a question?"

Сегодня уже никого не надо убеждать в том, что Интернет - не лужок и пребывание в нем - это совсем не милое и безопасное катание на карусели в Луна-парке с детишками дошкольного возраста.

20 лет нашу публику убеждали при занятиях сексом с неизвестными пользоваться презервативами. Через 20 лет убедили. С трудом и не всех - судя по очередям к венерологам.

Еще 20 лет потребуется на понимание того факта, что Интернет - это гадюшник и бассейн с пираньями, а не детский манеж с мягкими игрушками.

Стандарт SSLv3 свыше двух лет является повсеместно распространенным. Это - факт.

Причина? SSLv2 ломается на счет "1-2-3" в силу наличия в нем органического порока. Практически в момент обнаружения сего факта, от него повсеместно отказались.

НО не все.

Многие - весьма беспечные, на мой взгляд - разработчики ПО - считают совместимость важнее не только производительности (это было бы еще полбеды!), но даже важнее безопасности.

Я снова не могу удержаться от сексуальных аналогий - всем известно, что секс с проститутками небезопасен - но если клиент желает не предохраняться - это его право и его выбор. И его ответственность.

Нормальные сайты ставят SSLv3 включенным по умолчанию (совместно с TLS 1.0) и отключают прием соединений с SSLv2.

Это просто инстинкт самосохранения. Как пользоваться презервативами.

А что пользователи? А у большей части нынешних браузеров SSLv3 отключен по умолчанию. Так сказать, трахайтесь без защиты. Ну, почти без защиты. Эксперты знают, что SSLv2 превратился в чистую иллюзию безопасности.

Что в сухом остатке? Пользователю остается обратиться к сисадмину. Который тоже не знает, что означает это:

При соединении с www.yvoinov.com произошла ошибка. Не удалось установить защищённое соединение, так как была отключена поддержка протокола SSL. (Код ошибки: ssl_error_ssl_disabled)

А что же это означает буквально? А означает это, что отключена поддержка SSLv3 в браузере клиента, а попытку соединения с "защитой" SSLv2 сервер отклоняет.

Оставим в покое сисадмина, который явно зажился на работе.

Что делать бедолаге-пользователю? Где еси тот презерватив, который ему предлагается натянуть?

В настроечках собственного браузера. Видите? SSL 3.0 . На великом и могучем. Крыжик ставим - и поздравляем себя. Презерватив надет успешно.

Не знаете, как найти? Позовите то, что считается у вас Системным Администратором. Не знает? Пусть пишет заявление. Заигрался в КонтрСтрайк на работе.

А пока подписывает обходной - пусть заглянет сюда.

Авось, на новом рабочем месте будет больше времени уделять непосредственным обязанностям.

А теперь, господа сисадмины, информация к вам.

Интеллигентные люди защищаются по максимуму. Интернет - не лужок. Если вы промастурбировали в КС (КонтрСтрайк для незнающих) вместо защиты своего сайта по максимально известной вам степени - это ваши проблемы.

Не обессудьте, что его хакают.

Сожалею, что не могу к вам присоединиться. В вашу теплую компанию рукосуев.

Как говорится, "ун гроссен фамилиен нихт клювен клац-клац".

Мне жаль своего времени и я буду защищаться. Даже если это означает некоторые неудобства для конечных пользователей. Потому что именно они придут меня клевать в мои 90 в случае утекания их персональных данных налево в результате слабоватенькой защитки моего сайта.

Фиолетово, что у меня на сайте не шестизначные транзакции банковские в зелени.

Персональные данные - желанная цель.

Я буду их защищать, даже если потребуется заставить пользователя надеть три презерватива перед тем, как начать трахаться.

Примите к сведению, господа сисадмины. И внушите эти ценные мысли своим пользователям. Все вышесказанное - не вопрос. Это утверждение.

Напоследок - есть браузер с включенным SSLv3 по умолчанию:


Это - Firefox.