Как я и предполагал, адский шапито, который устроил Google с переходом на HTTPS продолжает развиваться с немыслимой скоростью. И очень занятно, что у гуглеводов на подсосе теперь работает Mozilla. Видимо деньжат совсем перестало хватать.
Разобравшись с конкурентами Let’s Encrypt, та же теплая туса решила теперь залупнуться на софтовые антивирусники и железячные решения сетевой безопасности: по мнению “Google, Mozilla, Cloudflare и нескольких американских университетов” антивирусные продукты являют собой угрозу приватности трафика HTTPS, поскольку имеют те или иные уязвимости прослушки HTTPS сессии.
Поэтому эти прекрасные люди призывают антивири не слушать HTTPS, дабы не компрометивать защищенную сессию.
Более подробно можно ознакомиться с русским переводом статьи с ZDNET, которая появилась 8 февраля 2017 года.
А буквально через полторы недели, 17 февраля, миру открылась радостная новость, что прогеры Cloudflare чота накосячили в коде используемого для проксирования NGINX и тот начал рандомно сливать дампы HTTPS сессий в паблик, откуда их, свистя калинку, слизывали краулеры поисковых систем.
Причем специалисты безопасности Google обнаружили в этих дампах все многообразие инфы передающейся через защищенное соединение HTTPS: ключи API, криптографические ключи, куки, пароли, содержимое POST-запросов с личными данными, приватные сообщения и многое другое открытым ключом, т.е в текстовом формате.
После информирования Cloudflare прогеры CDN оперативно пофиксили дырку в течении 7 часов, но в появившемся позже пресс-релизе сообщалось, что протечка эксплуатировалась аж с конца сентября 2016 года, т.е почти полгода кэш прокси утекал в паблики.
То есть это очень хорошо говорит о квалификации, в сфере безопасности, одного из участников наезда на антивирусы.
А о, как минимум, лукавстве двух других говорит тот факт, о котором я уже упоминал ранее, что их выкормыш Let’s Encrypt был выдран за хвост, когда его сертификаты вдруг начали использоваться интернет-злодеями для распространения мальвар, а руководство Let’s Encrypt встало в позу и отказалось эти сертификаты отзывать.
То есть некоторые конторы, одна из которых полгода сливала дампы HTTPS сессий в паблик; и две других, чей спонсорский проект способствовал распространению вирусов по HTTPS, призывают пользователей и антивирусы исключить сканирование HTTPS сессий, чтобы повысить уровень их безопасности.
Это примерно как соседский вор, предложит вам, уходя на работу, оставить дома деньги на видном месте, а не ныкать по углам. Интересно, что эти гаврики придумают следующим: добровольный предисталл АНБшных троянов или сразу установить камеру над рабочим местом?