среда, 12 октября 2016 г.

"Мой SHA длиннее твоего, Одинокая Звезда!"

или "Мальчик, который кричал "Волк!""

Я понимаю, когда обычные простые смертные не желают вникать в проблемы безопасности (даже поверхностно), выбирают пароли вида 12345, и заявляют, что они простые и честные маленькие людишки, которым нечего скрывать, даже своих грязных трусов.

Но вот чего я совершенно никогда не пойму, так это специалистов и профессионалов IT, которые почему-то считают, что Let's Encrypt и всеобщий HTTPS хоть как-нибудь спасут и сохранит. От АНБ, КГБ и любых других трехбуквенных заведений мира.
  1. При слабых паролях вас вообще никто и никак не спасет. Если у сарая нет задней стены, прочность его ворот не имеет значения.
  2. В случае чего-либо хоть сколько-нибудь критичного - поздно боржоми пить и шифровать весь front-end. Конюшню не запирают когда лошадь уже поимели. Это хоть кто-то понимает? К вам со служебного входа заходит КГБшник, с ноги открывает дверь, требует отдать - и вы послушно раздвигаете ноги и отдаетесь. Сечете? К чему этот цирк шапито с клиентским якобы-шифрованием? Вы кого, собственно, пытаетесь обмануть, недоумки?
А теперь - внимание, вопрос века.

Что и от кого пытаются спрятать новостные сайты СНГ? Государственные секретики? Вам что шифровать? Или вы пытаетесь убедить пользователей, что у вас безопасненько а вы не раздвинете ноги по первому требованию?

Вот это - что?



Ах, это вы в поисковой выдаче Гугла пытаетесь подняться....

А теперь смотрите сюда:

BBC

CNN

New-York Times

Как говорится, почувствуйте разницу! Вы - не WikiLeaks, не социальные сети с логином на каждой странице, не сайт Брюса Шнайера! Вы вообще никто и звать вас никак (вам до BBC/CNN/NY Times как до Пекина раком) и ни единого секретика не содержите в принципе, никакой ценности для разведок и спецслужб не представляете - они к вам ногами в состоянии прийти, с ноги открыть дверь и вы как миленькие перед ними ляжете и, как я уже сказал выше, раздвинете ноги. Так какого черта вы обвешались замочками? Кого вы морочите? Дилетантов?

Вы предельно затрудняете кэширование со своей иллюзией защищенности неизвестно от чего и вынуждаете администраторов вас к такой-то матери банить. Вы напрасно игнорируете их письма. Вам по-хорошему пытались объяснить. Теперь не обижайтесь - БАН.

Как профессионал я вообще не понимаю этого всеобщего идиотизма шифровать вообще все и вся. Есть вещи, которые шифровать надо. Логин-страницы. Страницы персональных данных. И есть вещи, шифровать которые незачем, черт вас возьми! Новостные сайты с публичной херней - из этого числа!

Я приведу пример - вы, выходя на улицу, всегда одеваете бронежилет, каску, сапоги, берете с собой пистолет и резиновую дубинку? А когда в гости идете? На свидание? И на улице кругом одни бойницы, бронедвери, колючая проволока, сторожевые вышки?

А теперь вопрос. От того, что это не так - мир стал хуже? Менее безопасным?

Коль скоро это так - какой смысл в сплошном шифровании? Особенно с учетом того, что весьма просто либо встать посредине этого шифрования, либо прямо в задницу вам всадить анальный зонд с датчиками, от которых даже цвет дерьма не спрятать?

Иллюзия безопасности много хуже полного ее отсутствия. А вы именно это и создаете. Иллюзию.

Для самых тупоголовых я объясню совсем на пальцах.

Когда я ввожу логин и пароль, и вижу на странице зеленый замочек, я отдаю себе отчет в том, что на данный момент мои чувствительные данные - логин с паролем - слегка защищены от хакера Васи. Вопрос к вам - какие чувствительные данные я ввожу, когда читаю ваш Гальюн Таймс?

От целенаправленного взлома зеленый замочек не защищает ни меня, ни вас. Ни Эдварда Сноудена, если уж на то пошло.

Вспомните HeartBleed, неучи. Когда из-за рождественского ПМС разработчика всемирно известной криптобиблиотеки полмира с зеленым замочком просто имели три дня в задницы. А крупные компании с зелеными замочками не мычали и не телились, пока уже совсем невмоготу не стало терпеть.

Этот пепел должен стучать в ваши задницы, раз уж в головы он достучаться не смог.

Знаете, что вы сделали, недоумки? Вы нашли Самую Большую Пробку. И увеличили площадь поражения до размеров таких, что в нее даже самый слепой и однорукий хакер Вася не промахнется.