Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Обычные (OV) сертификаты, как известно, выдаются физлицам без проблем, проверка часто ограничивается пересылкой сканов документов, иногда на почту присылают письмо с кодом. Если в Мухосранске есть почта, у Васи не будет никаких проблем.
Насколько я знаю, с РФ сейчас работает только GlobalSign и он физикам сертификаты не выдает. Только ИП и юрикам.
Re[21]: Сокращение срока действия сертификатов подписания кода
SK>>Сертификат должен валидироваться (третьей стороной) при каждом предъявлении.
ЕМ>Во-первых, почему при каждом?
Потому что иначе это профанация. Цирк шапито.
ЕМ>Если сертификат валидируется при каждом предъявлении, его эффективность максимальна. Если не валидируется вообще, его эффективность нулевая. Если валидируется периодически, его эффективность отлична от нуля и меньше максимальной.
Какую периодичность Вы считаете допустимой и почему называете её "разумной"?
ЕМ>Во-вторых, система контроля при помощи сертификатов очевидно имеет две стороны — выпускающую и проверяющую. Каким образом отсутствие проверок, или их недостаточная частота, на проверяющей стороне, при наличии возможности изменить ситуацию в любой момент,
могут образовать "фундаментальный недостаток" всей системы?
На основании невозможности "изменить ситуацию".
SK>>Невозможно закэшировать результат валидации.
ЕМ>Что значит "невозможно"?
Ответ сервера имеет актуальность 0 (TTL ноль, zero) секунд.
ЕМ>Вы твердо уверены в том, что правильно понимаете значение термина "фундаментальный"?
Конечно. Ибо, обязанность проверять сертификат — Основная Идея внедрения сертификатов, с самого первого драфта черновика стандарта. Если её убрать — всё остальное просто теряет смысл.
Кэширование — сучковатый костыль, который был условно приемлем в век модемной сеансовой связи. Но в эпоху интернета, со 100% онлайна 100% устройств, это все превратилось в обузу, чемодан без ручки.
Все проблемы от жадности и глупости
Re[16]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, icezone, Вы писали:
I>Насколько я знаю, с РФ сейчас работает только GlobalSign и он физикам сертификаты не выдает. Только ИП и юрикам.
И какие есть резоны тому, кто декларирует "выстраивание бизнеса" и "зарабатывание денег" упорно держаться за статус физика?
Система ж, по сути, именно так и задумана: если ты мелкий любитель, клепающий на досуге фривару, которую используют только те, кто тебя более-менее знает и доверяет, то тебя не должно волновать, что там ОС выдает при попытке запуска. Если же ты "бизнесмен", распространяющий софт среди людей, которые о тебе ничего не знают, то вполне логично создать какие-то источники доверия за пределами "N пользователей запустили и не пожаловались". Может, у каждого запустившего комп взорвался сразу после того, как система отправила статистику, и жаловаться стало некому.
Re[22]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, Stanislaw K, Вы писали:
ЕМ>>Во-первых, почему при каждом?
SK>Потому что иначе это профанация.
Ну, я примерно этого и ожидал. "Плохо потому, что плохо", "верим потому, что верим". И картинка для эмоционального подкрепления. Что ж Вы после такого убожества обижаетесь на "оскорбления"? "Вы – кретин. Это даже не оскорбление, а диагноз" (C). Хотите, чтоб Вас воспринимали всерьез — двигайтесь от эмоций к содержанию.
SK>Какую периодичность Вы считаете допустимой и почему называете её "разумной"?
"Разумными" и "допустимыми" все эти меры должен считать не я, а те структуры, что анализируют степени рисков. Надеюсь, Вы понимаете то, что в нашем мире все завязано на вероятность? Не может быть никакой "абсолютной безопасности", она всегда измеряется ненулевой степенью риска, и задача не в том, чтоб свести эту степень к нулю (что невозможно как раз физически), а в том, чтоб ее разумно минимизировать.
На практике критерии "разумности" обычно выводятся из рисков, которые существуют вовне (всякого рода аварии и катастрофы) и рисков, которые типичный индивид создает себе сам за счет собственной ограниченной образованности, невнимательности, небрежности и прочего. Нет смысла целенаправленно оберегать индивида от того, что может случиться с гораздо меньшей вероятностью, и навредить ему меньше, чем его собственные типичные косяки.
Если Вам интересно именно мое мнение, то сертификат безусловно должен проверяться при первой попытке исполнения кода, а затем — где-нибудь раз в сутки, или в неделю. До тех пор, пока список отозванных сертификатов не слишком велик, кэшировать можно сам список, а не результаты проверки.
SK>На основании невозможности "изменить ситуацию".
У Вас пока не получилось мало-мальски внятно обосновать эту "невозможность". Получилось только разными способами высказать "мне не нравится".
SK>Ответ сервера имеет актуальность 0 (TTL ноль, zero) секунд.
Из чего это следует, кроме Ваших личных, субъективных оценок? Или Вы вообще все это рассматриваете исключительно в плане работы лично на Вас, а работа на других пользователей Вас не интересует?
ЕМ>>Вы твердо уверены в том, что правильно понимаете значение термина "фундаментальный"?
SK>Конечно. Ибо, обязанность проверять сертификат — Основная Идея внедрения сертификатов, с самого первого драфта черновика стандарта. Если её убрать — всё остальное просто теряет смысл.
Еще раз повторю вопрос: исчезает ли всякий смысл в продаже билетов, если по каким-то причинам их проверка фактически прекратилась на неопределенный срок? То есть, должности контролеров не упразднены, штрафы за отсутствие билета в законе остаются, просто по факту проверки какое-то время не производятся.
Re[23]: Сокращение срока действия сертификатов подписания кода
SK>>Какую периодичность Вы считаете допустимой и почему называете её "разумной"?
ЕМ>"Разумными" и "допустимыми" все эти меры должен считать не я, а те структуры, что анализируют степени рисков. Надеюсь, Вы понимаете то, что в нашем мире все завязано на вероятность? Не может быть никакой "абсолютной безопасности", она всегда измеряется ненулевой степенью риска, и задача не в том, чтоб свести эту степень к нулю (что невозможно как раз физически), а в том, чтоб ее разумно минимизировать.
У нас есть масса примеров утекания сертификатов и подтвержденных случаев использования их в преступных целях.
Мы тут про шаровару, то есть подпись программ. Знаете через сколько, после того как стало известно о утечеке, microsoft вносит в отозванные, и через сколько оно попало на компьютеры пользователям? от 2 недель до 2 месяцев.
Продолжайте полностью полагаться на "те структуры".
Все проблемы от жадности и глупости
Re[24]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, Stanislaw K, Вы писали:
SK>У нас есть масса примеров утекания сертификатов и подтвержденных случаев использования их в преступных целях.
Какие именно сертификаты, неправомерное использование которых подтверждено, не включены в CRL, и продолжают использоваться для подписывания кода?
SK>Знаете через сколько, после того как стало известно о утечеке, microsoft вносит в отозванные, и через сколько оно попало на компьютеры пользователям? от 2 недель до 2 месяцев.
Да хоть до двух лет. Если это есть, и хоть как-то работает, информация в конце концов дойдет до пользователя сама. Если этого нет, она может дойти только через целенаправленные действия самого пользователя.
SK>Продолжайте полностью полагаться на "те структуры".
Во-первых, откуда взялось "полностью"? Во-вторых, что Вы имеете предложить в качестве альтернативы?
Re[17]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Если же ты "бизнесмен",
то с каждым годом ты всё больше и больше занимаешься не бизнесом, как таковым.
Я понимаю тех, кого это расстраивает. В 2004 мне никакая подпись была не нужна. Потом надо было открывать ИП, осваивать валютный контроль, открывать счета в зарубежных банках, и этот поезд не собирается останавливаться.
И ты на это повлиять не можешь никак. Кто-то другой принимает решения. "Теперь ты будешь доказывать, что ты не верблюд, не каждые три года, а каждый год", "теперь ты будешь платить ещё один процент с превышения 300000", "теперь ты будешь разбираться с НДС", и конца этому нет.
Не нравится — не ешь. Ну ок. Продолжаем работать
Re[18]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>с каждым годом ты всё больше и больше занимаешься не бизнесом, как таковым.
К сожалению, это происходит везде и всегда. Неизбежное следствие развития цивилизации.
U_E>В 2004 мне никакая подпись была не нужна. Потом надо было открывать ИП, осваивать валютный контроль, открывать счета в зарубежных банках, и этот поезд не собирается останавливаться.
Ну Вы можете предложить альтернативу? Я вот не могу.
U_E>"Теперь ты будешь доказывать, что ты не верблюд, не каждые три года, а каждый год", "теперь ты будешь платить ещё один процент с превышения 300000", "теперь ты будешь разбираться с НДС", и конца этому нет.
Надеюсь, Вы понимаете, что смысл первого пункта качественно отличается от двух последующих?
Re[18]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>И ты на это повлиять не можешь никак. Кто-то другой принимает решения. "Теперь ты будешь доказывать, что ты не верблюд, не каждые три года, а каждый год", "теперь ты будешь платить ещё один процент с превышения 300000", "теперь ты будешь разбираться с НДС", и конца этому нет.
Поэтому периодически и происходят мировые войны. Люди настолько теряют связь с берегами, что становится нужен хард-ресет, и он происходит естественным образом когда вакуум аутентичности заполняется очередными на скорую руку придуманными иллюзиями. В какой-то момент этот совокупный объем иллюзий достигает поплавка, и происходит всеобщий слив в ноль.
Re[19]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, Unhandled_Exception, Вы писали:
ЕМ>>Надеюсь, Вы понимаете, что смысл первого пункта качественно отличается от двух последующих?
U_E>В том смысле, что я явился в очередной раз не субъектом, а объектом
Нет, не в том. Первое — это про доверие между гражданскими лицами (как правило, горизонтальные, одноранговые отношения), а второе и третье — про отношения граждан с государством и фискальные процедуры.
Re[17]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, icezone, Вы писали:
I>>Насколько я знаю, с РФ сейчас работает только GlobalSign и он физикам сертификаты не выдает. Только ИП и юрикам.
ЕМ>И какие есть резоны тому, кто декларирует "выстраивание бизнеса" и "зарабатывание денег" упорно держаться за статус физика?
стоп, кто тут утверждал что для физика нет проблем получать сертификат?
Re[18]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, icezone, Вы писали:
I>кто тут утверждал что для физика нет проблем получать сертификат?
Я говорил про обычные (OV) сертификаты, которые выдает множество разных компаний. На российские внутренние документы, с оплатой в рублях, действительно остался только GlobalSign, но при наличии загранпаспорта и возможности оплаты за границей, насколько я помню, вопрос решаемый.
Re[25]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, Евгений Музыченко, Вы писали:
SK>>У нас есть масса примеров утекания сертификатов и подтвержденных случаев использования их в преступных целях.
ЕМ>Какие именно сертификаты, неправомерное использование которых подтверждено, не включены в CRL, и продолжают использоваться для подписывания кода?
Глубокомысленные люди, которые требуют "пруфы", напоминают мне героя новеллы "Срезал" Шукшина.
SK>>Продолжайте полностью полагаться на "те структуры".
ЕМ>Во-первых, откуда взялось "полностью"? Во-вторых, что Вы имеете предложить в качестве альтернативы?
В качестве альтернативы я предлагаю "не пудрить мозги", НЕ использовать сертификаты. Потому что явное отсутствие "безопасности" лучше иллюзии её "наличия" создающей ложное ощущение защищенности.
Все проблемы от жадности и глупости
Re[26]: Сокращение срока действия сертификатов подписания кода
Здравствуйте, Stanislaw K, Вы писали:
SK>Глубокомысленные люди, которые требуют "пруфы", напоминают мне героя новеллы "Срезал" Шукшина.
Да, в ситуации "примеров масса", на просьбу привести хотя бы несколько, лучший выход — посетовать на "глубокомысленность".
SK>В качестве альтернативы я предлагаю "не пудрить мозги", НЕ использовать сертификаты. Потому что явное отсутствие "безопасности" лучше иллюзии её "наличия" создающей ложное ощущение защищенности.
Вы осознаете, что смелое и радикальное предложение "не использовать сертификаты" под эгидой "не пудрить мозги" автоматически влечет за собой и предложение "не использовать" паспорта, водительские удостоверения, дипломы об образовании, нотариальные доверенности, гигиенические сертификаты, лицензии на осуществление врачебной деятельности, удостоверения сотрудников спецслужб, а также SIM-карты, банковские карты и все прочие средства удостоверения чего-либо?
Я сильно подозреваю, что Вы особо не пытались моделировать современный мир, в котором полностью отсутствуют сертификаты подписания кода. Судя по всему, Вы наивно полагаете, что, убрав подписание кода из мира 2020-х, мы получим аналог мира конца 1990-х — начала 2000-х, со всеми ништяками тогдашних свобод, но без тех современных сложностей, что вызваны распространением подписей кода.
Это весьма похоже на ностальгические воспоминания о беззаботном детстве, со столь же наивными мечтами снова оказаться в том же состоянии, но не потеряв все полезные приобретения, сделанные во взрослой жизни.
