MD>Да, идеальным было бы иметь возможность оператору распаковать весь HTTPS и пересобрать исходя из его бизнес-нужд, но нынешний его вариант ползволяет такое либо через mitm-сертификат, либо через эксплуатацию уязвимости (что ненадёжно и хлопотно). Ждём HTTPGS? (G stands for G-approved security)
А вот это вряд ли. TLS1.3 обсуждали невероятно долго, прежде чем принять окончательную версию. В том числе по причине, что корпоративщики хотели иметь возможность расшифровывать весь трафик — споры шли несколько лет. В результате TLS1.3 сделали проще и гибче, чем предыдущие версии. Оставили там 3 AEAD шифра (cha-cha-poly, AES-GCM-SHA, AES-CCM-SHA, всего 5 вариантов с разными SHA) из которых реально все реализуют только 2 (cha-cha-poly и AES-GCM), а самое главное, оставили только forward-secrecy варианты шифров, т.е. ключ вырабатывается только на один текущий сеанс и, даже, записав трафик и потом выкрав приватный ключ сервера, записанный трафик не расшифруешь, потому что не сможешь узнать сессионный ключ. В результате корпоративщики остались ни с чем, и сам протокол стал проще для анализа его надежности и реализации (раньше были претензии, что SSL сложный, поэтому там могут быть скрытые уязвимости, ну и разные "ПУДЕЛЬ" и другие атаки подтвердили эти предположения, поэтому всякие повторные хендшейки там запрещены — устанавливай новую сессию, если надо сменить параметры текущей). Так что TLS1.3 стал более безопасен с точки зрения разных mitm и других паразитов-анализаторов.
Примерно в том же направлении идет HTTP/3.0. Там зашифровали вообще все, так что даже признака конца сессии (аналог TCP FIN) промежуточный маршрутизатор не увидит. Так что, похоже, что то что ты называешь HTTPGS — это HTTP/3.0, где где зашифровано все, кроме UDP портов (правда src порт может быть каждый раз новым, как и src IP), размеров пакетов и интервалов между ними (и никакого mitm там быть не может).
Гугл свой трафик видит. И трафик других сайтов видит частично через свою рекламу и аналитику. А вот операторам он данные отдавать не хочет, это его конкурентное преимущество. Поэтому он заинтересован в том, чтобы максимально зашифровать всё от браузера до своего сервера. Причем настолько заинтересован, что даже "законный" MITM до серверов гугла хром не разрешает. Т.е. гугл контролирует обе стороны обмена, а операторов хочет заставить быть "тупыми трубами", молча льющими трафик. А операторам хочется быть чем-то больше, предоставлять какие-то дополнительные сервисы или иным способом монетизироваться, например продавать данные о том, что смотрят пользователи. Отсюда и идёт эта борьба. Причем для пользователей позиция гугла выгодней.
Здравствуйте, vsb, Вы писали:
vsb>Т.е. гугл контролирует обе стороны обмена, а операторов хочет заставить быть "тупыми трубами", молча льющими трафик. А операторам хочется быть чем-то больше, предоставлять какие-то дополнительные сервисы или иным способом монетизироваться, например продавать данные о том, что смотрят пользователи.
Более того, глядя тематические презентахи с внутренних ивентов операторов, видишь их понимание мира: "если пользователь позвонил через вацап, а не по GSM, то для нас это УБЫТОК". Т.е. прямо как позиция проводных телефонистов во времена 90-х годов, когда пытались ловить АОНы и модемы, дабы брать за их наличие повышенный тариф. Чем это окончилось для проводных телефонистов, почему-то никто не вспоминает. А зря.
vsb>Отсюда и идёт эта борьба. Причем для пользователей позиция гугла выгодней.
Вот тут не уверен. Позиция гугла — мы делаем бабки, потому что можем, ибо у нас решение полного цикла. Что позволяет навязывать стандарты де-факто внутри своей инфраструктуры, не сильно парясь по поводу институтов стандартизации и проводя её задним числом под флагом "экспериментальности протоколов" (вот как будет готово, так и придём в ITU/ISO/W3C/кто-там-ещё, а пока НЕ ГОТОВО).
Здравствуйте, Mr.Delphist, Вы писали:
MD>Здравствуйте, vsb, Вы писали:
vsb>>Т.е. гугл контролирует обе стороны обмена, а операторов хочет заставить быть "тупыми трубами", молча льющими трафик. А операторам хочется быть чем-то больше, предоставлять какие-то дополнительные сервисы или иным способом монетизироваться, например продавать данные о том, что смотрят пользователи.
MD>Более того, глядя тематические презентахи с внутренних ивентов операторов, видишь их понимание мира: "если пользователь позвонил через вацап, а не по GSM, то для нас это УБЫТОК".
Ну часть истины в этом есть. Я всегда стараюсь сначала дозвониться через вотсап, а по телефону звоню, только если челоек не берёт трубку в приложении. Очевидно, что они недополучают определённый доход с меня. Другой вопрос, что это как бы такая вот новая реальность и им лучше бы в неё вписываться, а не пытаться противостоять, всё равно не выйдет.
MD>Т.е. прямо как позиция проводных телефонистов во времена 90-х годов, когда пытались ловить АОНы и модемы, дабы брать за их наличие повышенный тариф. Чем это окончилось для проводных телефонистов, почему-то никто не вспоминает. А зря.
И чем закончилось? У меня в 2020 году дома проводной телефон, я плачу оператору за услугу "АОН", без неё определитель номера не работает.
vsb>>Отсюда и идёт эта борьба. Причем для пользователей позиция гугла выгодней.
MD>Вот тут не уверен. Позиция гугла — мы делаем бабки, потому что можем, ибо у нас решение полного цикла. Что позволяет навязывать стандарты де-факто внутри своей инфраструктуры, не сильно парясь по поводу институтов стандартизации и проводя её задним числом под флагом "экспериментальности протоколов" (вот как будет готово, так и придём в ITU/ISO/W3C/кто-там-ещё, а пока НЕ ГОТОВО).
Для пользователя это хорошо тем, что во-первых гугл не замыкает всё на себя (до сих пор есть и другие браузеры и другие сайты), во-вторых кто там парится или нет, я не знаю, в этих нюансах не разбирался, но по факту гугл разрабатывает и следует стандартам, причём тот же QUIC и HTTP/3 хоть и сделаны на основе экспериментов с SPDY, но по факту это другие протоколы и гугл свои проприетарные протоколы выбрасывает после стандартизации. Причём у этих стандартов есть множественные реализации как на стороне сервера, так и на стороне клиента, т.е. всё вполне себе интероперабельно.
В общем гугл, на мой взгляд, играет на моей стороне, при этом, безусловно, блюдя свои интересы, но не слишком уж наглея. Причём при желании они могут хоть завтра изобрести пропиетарный GTTP, реализовать его в хроме закрытым блобом и пустить, например, 1080p+ в ютубе через него, а остальным браузерам только низкое качество. Рыночная позиция вполне позволяет. Но не делают, всё же стараются играть адекватно и открыто.
Здравствуйте, vsb, Вы писали:
MD>>Т.е. прямо как позиция проводных телефонистов во времена 90-х годов, когда пытались ловить АОНы и модемы, дабы брать за их наличие повышенный тариф. Чем это окончилось для проводных телефонистов, почему-то никто не вспоминает. А зря.
vsb>И чем закончилось? У меня в 2020 году дома проводной телефон, я плачу оператору за услугу "АОН", без неё определитель номера не работает.
проводных телефонов даже у бабулек не осталось, отдельные оставшиеся индивидуумы это лебединая песня этих операторов
Здравствуйте, uuuser, Вы писали:
MD>>>Т.е. прямо как позиция проводных телефонистов во времена 90-х годов, когда пытались ловить АОНы и модемы, дабы брать за их наличие повышенный тариф. Чем это окончилось для проводных телефонистов, почему-то никто не вспоминает. А зря.
vsb>>И чем закончилось? У меня в 2020 году дома проводной телефон, я плачу оператору за услугу "АОН", без неё определитель номера не работает.
U>проводных телефонов даже у бабулек не осталось, отдельные оставшиеся индивидуумы это лебединая песня этих операторов
Пишите про свой город. В моём городе проводные телефоны практически у всех есть.
Здравствуйте, Shmj, Вы писали:
S>На чем зарабатывают Let’s Encrypt? Или они просто такие добряки, деньги им не нужны и просто всем дают бесплатно то есть даром?
Они войтхеты, и сражаются за то, чтобы никто не снифал чужой трафик через паблик вайфай.
Я думаю, это связано с какой-то детской душевной травмой.
Здравствуйте, uuuser, Вы писали:
U>проводных телефонов даже у бабулек не осталось, отдельные оставшиеся индивидуумы это лебединая песня этих операторов
У меня, например, дома сотовый телефон просто нигде не ловит, кроме как на балконе. В спальном районе Москвы.
Здравствуйте, vsb, Вы писали:
U>>проводных телефонов даже у бабулек не осталось, отдельные оставшиеся индивидуумы это лебединая песня этих операторов
vsb>Пишите про свой город. В моём городе проводные телефоны практически у всех есть.
Здравствуйте, Cyberax, Вы писали:
C>Ну вот откуда такой бред придумывают?...
Ну бэд экспериенс всё же есть в виде антивирусов которые могут блокировать софт через наш добрый гуглохром и подписки приложений для винды за $$$ которое сейчас обязательно иначе ты не в сторе или скачиваешься как подозрительный exe. Ещё и РФ богата разными кейзами с кидаловом поэтому у меня немного негативное восприятие таких процессов.
