Alexander Kuklev (akuklev) wrote,
Alexander Kuklev
akuklev

Category:
Эх ребятушки, отчего-ж в мире вечно бардак-то такой? Вот уже и OpenSSL скоро год как стабильной версии 1.0, и TLS 1.2 и SRP/TLS-рукопожатие поддерживается. TLS это шифрование канала, в прошлом известное как SSL, а в композиции с http как https. А SRP/TLS это когда рукопожатие с выбором сессионных ключей происходит одновременно с аутентификацией пользователя, где он должен передать имя и пароль. Композиция этих двух процессов приводит к очень большой надёжности, с какой стороны не посмотри.

Отчего же каждый грёбаный сайт использует свой механизм входа по логину-паролю, в 99% случаев абсолютно небезопасный и в 100% случаев менее продуманный чем SRP/TLS? И главное пароль этот, в текстовое поле вбиваемый, любой джавоскриптиной может быть украден нафих. И ни один браузер не поддерживает нативно SRP/TLS-. И http не поддерживает аутентификации такого типа, хотя это как раз и есть единственно правильный способ аутентификации.

B SRP/TLS-рукопожатие, и обычное TLS-рукопожатие ускоряются, если серверный сертификат уже известен пользователю, что чаще всего так, потому что сертефикаты кешируются. А если владельцы сервера хорошие люди, то они помещают сертефикат в CERT-запись своего DNS и сертификат попадает в руки браузера ещё при разрешении имени сервера. Соответствующая оптимизация описана в двух IETF\TLS-черновиках, но в TLS 1.2 отчего-то не вошла. И инициатива гугла по повышению безопасности под названием NPN (Next Protocol Name) тоже пока никак, а ведь это фундаментально важно в случае использования серверного пуша (не важно, в plain http или WebSockets'ах, уже признанных IETFом и повсюду работающих). Уже 8 лет разговоры о DNSSec. Где? Уже в январе на части континентов заканчиваются свободные IPшники; в мае они закончатся на всех континентах. Где IPv6?

Почему так слабо распространён OpenID? Я совершенно не желаю регистрироваться на сайтах без крайней на то надобности, а уж особенно каждый раз выдумывать новый пароль. Вместо этого повсеместно распространяется адово небезопасный Facebook-логин.
Subscribe

  • О программировании, из комментов у vit_r

    orleans: У ФП есть обьективные преимущества в плане исполнения на многопроцессорных системах и организации юнит тестов. Все то что можно…

  • Effect typing in short

    There are many different classes of functions out there. There are pure functions and there are functions with diverse side effects. Some can perform…

  • Towards Scala 3

    I'd like to share some ideas on features that might be included into next major Scala releases. Some of them might come in question already for Scala…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 14 comments

  • О программировании, из комментов у vit_r

    orleans: У ФП есть обьективные преимущества в плане исполнения на многопроцессорных системах и организации юнит тестов. Все то что можно…

  • Effect typing in short

    There are many different classes of functions out there. There are pure functions and there are functions with diverse side effects. Some can perform…

  • Towards Scala 3

    I'd like to share some ideas on features that might be included into next major Scala releases. Some of them might come in question already for Scala…