Сегодня обнаружил, что на наш форум можно заходить по защищённому протоколу (HTTPS) 
У меня стоЯт два расширения, которые это автоматически обнаружили (думаю достаточно будет установить расширение №2)
HTTPS Everywhere - Домашняя страница https://www.eff.org/https-everywhere
Предназначен для того, чтобы облегчить шифрование соединений на тех сайтах, которые хотя бы частично поддерживают протокол SSL. К примеру, на сайте Google поиск по-умолчанию не шифруется, однако новый плагин позволяет перейти на работу с HTTPS автоматически. Это дополнение разработано в рамках сотрудничества между проектом Tor и Фондом Электронных Рубежей. При необходимости добавления в HTTPS Everywhere поддержки нового сайта для пользователей разработан несложный XML-формат формирования правил перенаправления.
Как создавать свои правила - http://url5.ru/exz, но я вручную их не создаю и поэтому поставил ещё вот такое расширение:
HTTPS Finder - Автоматически обнаруживает и обеспечивает соединения HTTPS, когда таковые имеются. Также обеспечивается создание (в 1 клик) и редактирование правил для расширения HTTPS Everywhere.
AMO - https://addons.mozilla.org/ru/firefox/a … src=search
Домашняя страница - https://code.google.com/p/https-finder/downloads/list
тональ
Ну да HTTPS Finder нашло https и создало правило, а HTTPS Everywhere его выполняет. Но не радуйтесь, вставочки типа вышей картиночки с других сервисов не https. Так что проследить где вы были особого труда не составляет.
Для наглядности можете добавить стиль https://forum.mozilla-russia.org/viewto … 54#p540454
Так что проследить где вы были особого труда не составляет.
Тут уже https бесполезен в принципе. Защита информации от сниферов и от фишинговых сайтов-подделок. Для чего создан с тем справляется хорошо. Хотите скрыть сам факт посещения, знаете же что делать, не?
И по моему здесь https ни о чем, учитывая специфику ресурса.
Я так понимаю, что главная цель https-соединения, помимо более надёжной идентификации сайта — защита пользовательских данных от перехвата при авторизации и работе с сайтом в течение сессии, а это вполне разумно.
24-01-2012 13:45:48
Только надо иметь в виду, что из-за изменения URL созданные для форума скрипты (такие как, например, Персональная корзина) и стили могут перестать работать.
Я так понимаю, что главная цель https-соединения, помимо более надёжной идентификации сайта — защита пользовательских данных от перехвата при авторизации и работе с сайтом в течение сессии, а это вполне разумно.
Конечно лучше чем совсем без шифровки. Но лично я и так время от времени меняю все свои акаунты. И мне безразличен их угон или бан.
Защита информации от сниферов...
Как раз от снифферов и не защищает. Если конечно с умом фильтровать.
Только надо иметь в виду, что из-за изменения URL созданные для форума скрипты (такие как, например, Персональная корзина)
Что лечится в течении 1-2 минут )))
УМВР )))))))
Как раз от снифферов и не защищает. Если конечно с умом фильтровать.
Омниссия ведь не полениться защитить, c пруфами, столь сенсационное заявление?
http://www.opennet.ru/opennews/art.shtml?num=24132 этот способ приводить в пример не надо. Вы прокся или шлюз, трафик проходит через вас. Просто одним только сниффером, вытащите логин+пароль авторизации или текст передаваемого/принимаемого сообщения по https (~ ssl 3.0). Умные фильтры в студию.
SendInfo
Не понимаю причем тут сенсация, все это очень давно и всем известно.
Гипотетическая система, способная наблюдать за трафиком в любой точке интернета, при этом обладая возможностью одновременно контролировать множество необходимых ей точек (все узлы анонимной сети). Только такая система даёт полную гарантию раскрытия анонимности пользователя анонимной сети путём только пассивного наблюдения. Поэтому её ещё называют глобальным пассивным наблюдателем (Global Passive Adversary — GPA).
Единственной реальной сетью, устойчивой к GPA является сеть ремейлеров (систем анонимного обмена почтой), однако она не лишена недостатков в плане противодействия другим атакам. Стойкость к GPA достигается путём накопления и перемешивания почтовых сообщений в пулах ремейлеров, расшифровки следующего адреса промежуточного сервера или конечного получателя и отправки писем со значительными задержками. Письма в такой сети могут достигнуть получателя спустя несколько часов или дней, также они могут с некоторой вероятностью никогда не дойти до получателя.
Другим способом противодействия GPA мог бы быть тотальный покрывающий трафик, но он всё ещё подвержен корреляциям вследствие естественных задержек. Кроме того, глобальный наблюдатель может стать активным и намеренно задерживать или даже блокировать трафик, чтобы посмотреть, как это изменение пройдёт по другим узлам сети из-за неидеальности систем покрывающего трафика. Основная причина отсутствия таких решений в том, что использование покрывающего трафика слишком накладно. Следует также учитывать, что чем больше узлов в такой сети, тем меньше будет пропускная способность, выделяемая пользователю из-за необходимости создать покрывающие каналы между всеми промежуточными узлами по принципу "каждый с каждым".
Существуют другие протоколы, которые пытались решить эту задачу, но они также оказались нереализованными, потому что задача оказалась теоретически сложной.
При построении существующих анонимных систем глобального наблюдателя выводят за рамки модели угрозы, считая его появление маловероятным, а построение сетей, защищающих от него, сделает их малопрактичными в использовании.
К сожалению, развитие исследований в области анализа трафика в последнее время (см. здесь и здесь ) показывает, что возможно проводить статистические атаки, имитирующие глобального наблюдателя путём наблюдения за разными параметрами шифрованного трафика, которые будут иметь характерные паттерны для разных узлов или посещаемых ресурсов. Это потенциально снижает анонимность пользователя (по крайней мере долговременную) и ставит всё больше сложных задач перед создателями анонимных сетей.
http://www.pgpru.com/faq/anonimnostjobschievoprosy
Полазьте по сайту там очень много полезного. Реально существующие системы есть во всех более-менее развитых странах. Например COPM в России http://www.infinity-group.ru/sdacha_yzla/sorm.php. Не обязательно смотреть сообщение, чтобы понять, что оставили его вы. Ведь больше некому.
27-01-2012 22:04:00
Но в этом конкретном случае можно посмотреть, например, вставленную не по https картинку(полученную пользователем), а потом просто посмотреть в какой она теме.
>например, вставленную не по https картинку(полученную пользователем), а потом просто посмотреть в какой она теме.
Что однако не свидетельствует что пользователь писал в этой теме. Или вообще имеет аккаунт на ресурсе. Просто гостевой просмотр, например. Факт фактом, со своей задачей https справляется. Мои логины от почт/ебеев/банковских кабинетов третьи лица по пути следования трафа не получат. И немного побочной анонимности.
SendInfo
В идеале да. Но наше правосудие такое справедливое.
С другой стороны, если вас застали с окровавленным ножом над покромсанной соседкой, с которой вы постоянно ругались. Особо разбираться не будут. Не слишком отвлеченная аналогия?
Слишком да. Имхо уместнее: меня застали на людной улице в составе толпы пялящейся на покромсанное тело соседки.
SendInfo
В случае только с картинкой да. Но, если зацепят (хотя в этом случае уже ничего не поможет), то могут и специально выцеливать, оставляя такие вставки и набрать достаточно статистики для точного решения.
А в случае с глоб. набом. статистика наберется очень быстро.
Нет ли специального скрипта для Greasemonkey для включения всех переходов этого форума ПОЛНОСТЬЮ в HTTPS режим или когда в настройках приватность появится пункт типа "Всегда использовать HTTPS-режим для входа и использования" (like switter ^_^)?
Stepovanyi
1 и 2 сообщение сверху.
Где же адон Розенфельд?.. Ух сейчас он про TOR всех лечит начнет 