![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
(no subject)
Dec. 9th, 2010 04:48 amЭх ребятушки, отчего-ж в мире вечно бардак-то такой? Вот уже и OpenSSL скоро год как стабильной версии 1.0, и TLS 1.2 и SRP/TLS-рукопожатие поддерживается. TLS это шифрование канала, в прошлом известное как SSL, а в композиции с http как https. А SRP/TLS это когда рукопожатие с выбором сессионных ключей происходит одновременно с аутентификацией пользователя, где он должен передать имя и пароль. Композиция этих двух процессов приводит к очень большой надёжности, с какой стороны не посмотри.
Отчего же каждый грёбаный сайт использует свой механизм входа по логину-паролю, в 99% случаев абсолютно небезопасный и в 100% случаев менее продуманный чем SRP/TLS? И главное пароль этот, в текстовое поле вбиваемый, любой джавоскриптиной может быть украден нафих. И ни один браузер не поддерживает нативно SRP/TLS-. И http не поддерживает аутентификации такого типа, хотя это как раз и есть единственно правильный способ аутентификации.
B SRP/TLS-рукопожатие, и обычное TLS-рукопожатие ускоряются, если серверный сертификат уже известен пользователю, что чаще всего так, потому что сертефикаты кешируются. А если владельцы сервера хорошие люди, то они помещают сертефикат в CERT-запись своего DNS и сертификат попадает в руки браузера ещё при разрешении имени сервера. Соответствующая оптимизация описана в двух IETF\TLS-черновиках, но в TLS 1.2 отчего-то не вошла. И инициатива гугла по повышению безопасности под названием NPN (Next Protocol Name) тоже пока никак, а ведь это фундаментально важно в случае использования серверного пуша (не важно, в plain http или WebSockets'ах, уже признанных IETFом и повсюду работающих). Уже 8 лет разговоры о DNSSec. Где? Уже в январе на части континентов заканчиваются свободные IPшники; в мае они закончатся на всех континентах. Где IPv6?
Почему так слабо распространён OpenID? Я совершенно не желаю регистрироваться на сайтах без крайней на то надобности, а уж особенно каждый раз выдумывать новый пароль. Вместо этого повсеместно распространяется адово небезопасный Facebook-логин.
Отчего же каждый грёбаный сайт использует свой механизм входа по логину-паролю, в 99% случаев абсолютно небезопасный и в 100% случаев менее продуманный чем SRP/TLS? И главное пароль этот, в текстовое поле вбиваемый, любой джавоскриптиной может быть украден нафих. И ни один браузер не поддерживает нативно SRP/TLS-. И http не поддерживает аутентификации такого типа, хотя это как раз и есть единственно правильный способ аутентификации.
B SRP/TLS-рукопожатие, и обычное TLS-рукопожатие ускоряются, если серверный сертификат уже известен пользователю, что чаще всего так, потому что сертефикаты кешируются. А если владельцы сервера хорошие люди, то они помещают сертефикат в CERT-запись своего DNS и сертификат попадает в руки браузера ещё при разрешении имени сервера. Соответствующая оптимизация описана в двух IETF\TLS-черновиках, но в TLS 1.2 отчего-то не вошла. И инициатива гугла по повышению безопасности под названием NPN (Next Protocol Name) тоже пока никак, а ведь это фундаментально важно в случае использования серверного пуша (не важно, в plain http или WebSockets'ах, уже признанных IETFом и повсюду работающих). Уже 8 лет разговоры о DNSSec. Где? Уже в январе на части континентов заканчиваются свободные IPшники; в мае они закончатся на всех континентах. Где IPv6?
Почему так слабо распространён OpenID? Я совершенно не желаю регистрироваться на сайтах без крайней на то надобности, а уж особенно каждый раз выдумывать новый пароль. Вместо этого повсеместно распространяется адово небезопасный Facebook-логин.
