PavelM wrote:Кстати, промежуточный сертификат тоже надо подсадить, подписать мало.
О том и речь - если сессия с самого начала контролируется провайдером - то в чем пробллема. Сертификаты того же google нередко подписаны разными конторами. Часто ли вы обращаете на это внимание?
PavelM wrote:Если у Вас на компьютере кто-то подсаживает свой корневой сертификат
Корневой сертификат - это скорее проблемы больших корпораций. Вот в этом секторе я не удивлюсь, если мы в скором времени увидим множество исков. И поделом.
Корпорации понять можно.
Никому не понравятся туннели с неизвестным содержимым, исходящие направо и налево из сети.
Ограничивать трафик - пожалуйста. Просматривать трафик без соответствующих полномочий - это уже незаконно, IMHO.
PavelM wrote:Кстати, промежуточный сертификат тоже надо подсадить, подписать мало.
О том и речь - если сессия с самого начала контролируется провайдером - то в чем пробллема. Сертификаты того же google нередко подписаны разными конторами. Часто ли вы обращаете на это внимание?
Удачи!
Пожалуй я был неправ.
Удалил пару промежуточных сертификатов. Эксплорер не моргнув продолжает, на подписанные ими сертификаты, говорить что все ОК.
uncle_Pasha wrote:Ограничивать трафик - пожалуйста. Просматривать трафик без соответствующих полномочий - это уже незаконно, IMHO.
Почему незаконно?
При условии, что работник проинформирован за подписью, ничего особенного не вижу.
Во многих организациях личная жизнь ограничивается контрактом - полиция, армия и пр.
uncle_Pasha wrote:Ограничивать трафик - пожалуйста. Просматривать трафик без соответствующих полномочий - это уже незаконно, IMHO.
Почему незаконно?
При условии, что работник проинформирован за подписью, ничего особенного не вижу.
Во многих организациях личная жизнь ограничивается контрактом - полиция, армия и пр.
Проблема в том, что контракт не должен противоречить федеральному законодательству и (на территории штата) закондательству шата. Т.е. информировать вы имеете право о чем угодно, но далеко не факт, что это не может быть обращено против вас. IMHO, просто еще не было громкого инцидента.
uncle_Pasha wrote:Ограничивать трафик - пожалуйста. Просматривать трафик без соответствующих полномочий - это уже незаконно, IMHO.
Почему незаконно?
При условии, что работник проинформирован за подписью, ничего особенного не вижу.
Во многих организациях личная жизнь ограничивается контрактом - полиция, армия и пр.
Проблема в том, что контракт не должен противоречить федеральному законодательству и (на территории штата) закондательству шата. Т.е. информировать вы имеете право о чем угодно, но далеко не факт, что это не может быть обращено против вас. IMHO, просто еще не было громкого инцидента.
Удачи!
Из судебной практики - подобные иски бьются на раз.
Most employees who have sued their employers for monitoring have done so under state invasion of privacy actions. In general, the employee must show that he or she had a reasonable expectation of privacy in the communication at issue. Because invasion of privacy is a state-law claim, the standards vary among jurisdictions.
In one case, Smyth v. Pillsbury Co., an employee was terminated for sending inappropriate and unprofessional messages over the company's e-mail system. The company had repeatedly assured its employees that e-mail was confidential, that it would not be intercepted and that it would not be used as a basis for discipline or discharge. From his home computer, Michael Smyth retrieved e-mail sent from his supervisor over Pillsbury's e-mail system. Smyth allegedly responded with several comments concerning the sales management staff, including a threat to "kill the backstabbing bastards" and a reference to an upcoming holiday party as "the Jim Jones Kool-aid affair." Pillsbury intercepted the e-mail and terminated Smyth, who then sued the company for wrongful discharge and invasion of privacy.
The court dismissed the case in 1996, finding that Smyth did not have a reasonable expectation of privacy in the contents of his e-mail messages, despite Pillsbury's assurances, because the messages had been voluntarily communicated over the company's computer system to a second person. The court went on to find that even if some reasonable expectation of privacy existed, that expectation was outweighed by Pillsbury's legitimate interest in preventing inappropriate or unprofessional communications over its e-mail system.
Some employees have attempted to argue that their expectation of privacy was reasonable because their e-mail was protected by a personal password. However, of the courts that have addressed this issue, this argument has been unsuccessful. For example, in Bourke v. Nissan Motor Corp., while training new employees on the e-mail system, a message sent by Bonita Bourke was randomly selected and reviewed by the company. The message turned out to be a personal e-mail of a sexual nature. Once Bourke's e-mail was discovered, the company decided to review the e-mails of the rest of Bourke's workgroup. As a result of this investigation, several other personal e-mails were discovered. Nissan gave the employees who had sent the personal messages written warnings for violating the company's e-mail policy.
The disciplined employees sued Nissan for invasion of privacy. The employees argued that although they signed a form acknowledging the company's policy that company-owned hardware and software was restricted for company business use only, their expectation of privacy was reasonable because the company gave the plaintiffs passwords to access the computer system and told them to guard their passwords. However, a California court in 1993 held that this was not an objectively reasonable expectation of privacy because the plaintiffs knew that e-mail messages "were read from time to time by individuals other than the intended recipient."
Similarly, in McLaren v. Microsoft Corp., the Texas Court of Appeals in 1999 dismissed an employee's claim that his employer's review and dissemination of e-mail stored in his personal folder on his computer constituted an invasion of privacy. The employee argued that he had a reasonable expectation of privacy because the e-mail was kept in a personal computer folder protected by a password. The court found this argument unconvincing because the e-mail was transmitted over his employer's network.
However, according to a news account of one case, a court held that an employer's use of a supervisor's password to review an employee's e-mail may have violated a Massachusetts state statute against interference with privacy. In that case, Burk Technology allowed employees to use the company's e-mail system to send personal messages, but prohibited "excessive chatting." To use the e-mail system, each employee used a password. The employer never informed employees that their messages would or could be monitored by supervisors or the company president. The president of the company reviewed the e-mails of two employees who had referred to him by various nicknames and discussed his extra marital affair. The two employees were fired by the company president, who claimed the terminations were for their excessive e-mail use and not because of the messages' content. The court denied the company's attempt to dismiss the suit and allowed the matter to be set for trial on the merits. The court focused on the fact that the employees were never informed that their e-mail could be monitored.
PavelM wrote:Если у Вас на компьютере кто-то подсаживает свой корневой сертификат
Корневой сертификат - это скорее проблемы больших корпораций. Вот в этом секторе я не удивлюсь, если мы в скором времени увидим множество исков. И поделом.
Удачи!
был случай когда тихой сапой в браузеры попал сертификат какой то гонконгской почты. или вот емнип недавно был инцидент когда украли серт где то в дании. вероятност завладения корневым сертификатом совсем не нулевая.
PavelM wrote:Из судебной практики - подобные иски бьются на раз.
Судя по последнему, выделенному вами же абзацу, далеко не на раз. В особенности, когда публика распознает что им пихаются fake certificates без их согласия. В этом плане нынешняя "airport model" куда более безопасна.
Удачи!
rzen wrote:был случай когда тихой сапой в браузеры попал сертификат какой то гонконгской почты. или вот емнип недавно был инцидент когда украли серт где то в дании. вероятност завладения корневым сертификатом совсем не нулевая.
Я не о сложности подмены root certificate. Все возможно.
Но когда появляется способность контролировать траффик, то появляется масса куда более простых возможностей, IMHO.
Удачи!
rzen wrote:был случай когда тихой сапой в браузеры попал сертификат какой то гонконгской почты. или вот емнип недавно был инцидент когда украли серт где то в дании. вероятност завладения корневым сертификатом совсем не нулевая.
Я не о сложности подмены root certificate. Все возможно.
Но когда появляется способность контролировать траффик, то появляется масса куда более простых возможностей, IMHO.
Удачи!
собссно 90% юзеров просто кликают на "ок" когда их бразуер изо всех сил уговаривает не ходить на поддельный сайт, так что и напрягаться то особо незачем.
rzen wrote:был случай когда тихой сапой в браузеры попал сертификат какой то гонконгской почты. или вот емнип недавно был инцидент когда украли серт где то в дании. вероятност завладения корневым сертификатом совсем не нулевая.
Недавно поломали какой-то слабый майкрософтовский сертификат и вот что из этого вышло.
Flash-04 wrote:расслабтесь, SSL хакается не так уж просто.
Хакается очень даже бодро, достаточно проникнуть свой CA в браузер. Делается это не так сложно как кажется, прецеденты были.
ага, вы не забыли постановку задачи? прихожу со своим личным лептопом на такую public WiFi, malware - нет. Как у меня ваш CA сертификат окажется установлен? Правильно - никак.
Not everyone believes what I believe but my beliefs do not require them to.
Flash-04 wrote:расслабтесь, SSL хакается не так уж просто.
Хакается очень даже бодро, достаточно проникнуть свой CA в браузер. Делается это не так сложно как кажется, прецеденты были.
ага, вы не забыли постановку задачи? прихожу со своим личным лептопом на такую public WiFi, malware - нет. Как у меня ваш CA сертификат окажется установлен? Правильно - никак.
Почему никак?
ФБР подписывает промежуточный сертификат у Верисайна.
Затем подсовывает Вам фальшивый сертификат гугла (или где Вы почту держите), подписанный своим промежуточным.
Промежуточный сертификат в компьютер подсаживать не надо, главное уговорить Верисайн его подписать.
А уговаривать они умеют.
Flash-04 wrote:расслабтесь, SSL хакается не так уж просто.
Хакается очень даже бодро, достаточно проникнуть свой CA в браузер. Делается это не так сложно как кажется, прецеденты были.
ага, вы не забыли постановку задачи? прихожу со своим личным лептопом на такую public WiFi, malware - нет. Как у меня ваш CA сертификат окажется установлен? Правильно - никак.
у вас уже стоят сертификаты CA которым ваш браузер доверяет. вполне достаточно завладеть одним из них. прецеденты были.
But in a blog post today, the company disclosed that attackers broke into its network and managed to steal the digital keys that Bit9 uses to distinguish good from bad applications. The attackers then sent signed malware to at least three of Bit9's customers, although Bit9 isn't saying which customers were affected or to what extent. The kicker? The firm said it failed to detect the intrusion in part because the servers used to store its keys were not running Bit9's own software."
Newport wrote:Заставят платить за "бесплатный" Интернет налог в $1,000 в год, если заработок будет больше $50,000.
Придётся ждать глубокой ночи, чтобы получить более-менее нормальную скорость. Ибо всё будет забито скачиваемой другими порнухой, суперболами и прочей фигнёй.
Ну по мне личше 1000 за инет,
чем ее же велферной мамашки или оружейному барону.
Другое дело что не факт что ето будет вместо.
Сама идея "подарка" Вам за украденые у Вас же деньги мерзкая. Я уж не говорю о об ордах паразитов севших Вам на хвост. Сам факт free развратен.
Сколько у государства не воруй, своего не вернешь.
главное что это было временно, обнаружили и пофиксили. Я же имел ввиду долговременное решение, т.е. пришел на такую точку - опа, а SSL сессия спокойно дешифруется "дядей". Кстати с Bit9 там был code-signing certificate, отношения к Web сессии не имеет. То что описал PavelM реализуется проще использую "телефонное право", но такое тоже быстро вскроется, в этом у меня сомнения нет.
Not everyone believes what I believe but my beliefs do not require them to.
о как, значит то что я пользую free landline (Voip) - развратно?
кстати предоставляется частной конторой, отношения к Government of Canada не имеет.
Ну, не сам факт free развратен. В принципе ничего free не бывает. Вопрос, согласен ли платящий выкладывать деньгу за ваш free, или его заставляют это делать. Если согласен, значит где-то как-то он свои деньги получает - через advertisement например.
А вот когда у вас насильно забирают деньги на оплату чего-нибудь кому-нибудь - это аморально.
главное что это было временно, обнаружили и пофиксили. Я же имел ввиду долговременное решение, т.е. пришел на такую точку - опа, а SSL сессия спокойно дешифруется "дядей". Кстати с Bit9 там был code-signing certificate, отношения к Web сессии не имеет. То что описал PavelM реализуется проще использую "телефонное право", но такое тоже быстро вскроется, в этом у меня сомнения нет.
хороший вопрос зависит от того кем прослушивается. если "authorities", то думаю если ещё нет, то скоро точно без проблем будут. если вы интересуетесь криминалитетом, то скорее нет, чем да. явных "дыр" в протоколе Skype AFAIK нет, хотя по слухам спецслужбы Германии пользовались каким-то тулом для дешифования разговоров через Skype.
Not everyone believes what I believe but my beliefs do not require them to.
