27 август 2020
Либертариум Либертариум

_Парольную защиту мы уже поставили_ К сожалению, в HTTP парольная защита реализована крайне слабо. Спецификация предусматривает два способа использования пароля, причем реализован в серверах и броузерах, как правило, первый, самый слабый способ, заключающийся в простой передачи пароля через сеть в открытом виде. И на либертариуме используется именно он.
И вообще, учитывая специфику нашей нелегкой работы ;) мы готовы демонстрировать защищенный распределенный многопользовательский паблишинг на собственном примере.
Это, безусловно, очень хорошее желание, но imho вопрос не только в желании но и в технической реализации, а также готовности пользователей сайта работать с предлагаемыми решениями. Использование криптографических средств не должно быть самоцелью, а должно поддерживать некоторую услугу с очевидным потребительским свойством. Если такую услугу нам удастся придумать, то она и "потащит" за собой криптографические механизмы.
Автор: Maxim E. Smirnoff
25.12.1999

Комментарии (4)

  • Сертификаты Либертариума

    Левенчук Анатолий, 25.12.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 25.12.1999)
    Если очень хочется выпить -- то вовсе необязательно использовать для этой цели водку 40 градусов. Иногда сойдет и пиво, иногда -- портвейн (надеюсь, мы увидим эту метафору Анатолия Лебедева развернутой в ближайшие дни в его комментариях Московскому Либертариуму ;)
    Безусловно, защита не должна быть самоцелью -- и даже передача паролей по защищенному каналу должна быть чем-то оправдана. Обычно самая крутая защита очень неудобна в использовании. Думаю, даже сегодняшняя парольная защита (безо всякой криптографии) уже приносит определенную пользу. А использование криптографических протоколов в Московском Либертариуме, конечно, нужно обсуждать -- даже если целью их использования является простая демонстрация широкой публике их возможностей.
  • Сертификаты Либертариума

    Maxim E. Smirnoff, 26.12.1999
    в ответ на: комментарий (Левенчук Анатолий, 25.12.1999)
    Безусловно, я с Вами согласен, Анатолий. Но, на мой взгляд, простая демонстрация широкой публике возможностей крипто, будет не столь интересна, как предоставление какого-нибудь более или менее востребованного сервиса, использующего крипто. Я предлагаю организовать силами посетителей libertarium-а некоторый вброс идей на тему: зачем можно было бы использовать такие технологии в реальной жизни. 90% таких идей, вероятно, окажутся совершенно утопичными, но надеюсь, несколько мощных идей из этого получится. Я готов начать такой вброс.
    Идея " 1. Думаю в РуНет сейчас окажется востребованной такая услуга как сертификация кнопок. Поясню суть идеи. На нескольких сайтах есть кнопочка "Powered by Communiware", кликнув на которой, вы действительно окажетесь на сайте http://www.communiware.ru, но обнаружите вовсе не список всех сайтов, которые созданы при помощи Communiware. Если же на кнопке написано "Designed by "" или же это вообще кнопка каталога ресурсов, то создание полного списка сайтов задача и вовсе не тривиальная. Таким образом, я легко смогу обвешать свою домашнюю страничку фиктивными кнопками, приписать ее дизайн известному автору или же вообще написать, что я и есть победитель конкурса "Липовый УРЛ 99". Такая ситуация довольно неплохо решается если организаторы продвинутых конкурсов, агентства дизайна, мощные Web ринги, начнут выдавать соответствующие цифровые сертификаты тем, кто действительно победил в конкурсе, сделал дизайн у конкретного автора и т.д.
    С идеей выдачи сертификатов победителям конкурса, перекликается идея " 2, заключающаяся в сертификации содержимого сайта. В первую очередь это относится к новостным сайтам, которые постоянно что-то такое печатают со ссылкой на то или иное информационное агентство. Якобы вот здесь такое-то агентство сообщило, что случилось то-то и то-то. Соврать, безусловно, ничего не стоит. Если уж агентство сливает свою информацию, то оно могло бы и выдать сертификаты тем сайтам, которые ее потом публикуют, а заодно и посмотреть, чего там такого опубликовано. По-моему, нависшая на РуНет идея относительно признания последнего СМИ так же очень красиво решается через сертификацию сайтов при помощи цифровых сертификатов X.509. Только вряд ли наши любимые госструктуры до нее думаются. А если даже додумаются, то полагаю, вступят в многолетние переговоры с ФАПСИ о реализации алгоритма ГОСТ 34.10 во всех серверах и броузерах на территории РФ. Так что есть хорошая возможность перехватить инициативу в этом процессе и начать самосертификацию сайтов, имеющих СМИшную лицензию. Создать каталог "хороших" сайтов, которые добровольно взяли на себя обязательство действовать в соответствии с лицензией СМИ, попривлекать туда соответствующие сайты, а затем продать этот каталог тем же госрегуляторам.
  • Сертификаты Либертариума

    Левенчук Анатолий, 26.12.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 26.12.1999)
    Идеи сервисов, действительно, неплохие. Я против только двух моментов: 1) незачем даже упоминать лицензирование в качестве СМИ -- это лицензирование никак не связано с обсуждаемыми проблемами. 2) продавать госрегуляторам ничего не нужно, это они будут пытаться продавать нам свое (очень часто гнилое) регулирование, которое будут выдавать за "общественные интересы".
    А сама идея подобных криптосервисов очень и очень неплоха -- вопрос только в том, как организовать их реализацию.
  • Сертификаты Либертариума

    Maxim E. Smirnoff, 16.01.2000
    в ответ на: комментарий (Левенчук Анатолий, 26.12.1999)
    Кстати, по адресу http://www.nv.ru/club/ открыли Клуб приличных сайтов. Если так дело пойдет и дальше, то скоро появится и отечественный аналог TrustE. Пора отечественным криптологам открывать национальные certificate authority, пока Verisign и Thawte не "сделали это для нас"(вон у Thawte давно уже русский язык прорезался)
[email protected] Московский Либертариум, 1994-2020