вторник, 8 сентября 2015 г.

Небезопасное соединение вконтакте. Отказ Google от использования метода шифрования SHA-1.

Вконтакте перечеркнут https:// красный
Несколько дней назад заметил очень не приятную вещь по поводу защищенного соединения социальной сети в контакте, а именно в адресной строке защищенное соединение https:// стало перечеркнуто и  подсвечивается красным цветом.
Браузер и его расширения сообщали мне о том что сайт в контакте использует по меньшей мере один сертификат подписанный устаревшим методом шифрования подписи SHA-1, что не безопасно (по мнению того же Google Chrome) и данные могут быть перехвачены.
Естественно каждому пользователю не очень-то и хочется чтобы его личная информация попала к третьим лицам, именно поэтому (в целях сохранения конфиденциальности информации) я занялся разгадкой данной задачи.

Гуглить было не охота и я тупо написал в службу поддержки вк и задал вопрос в сервисе вопросов и ответов Большой Вопрос.

Команда поддержки в контакте, как всегда с любовью, начала гнать пургу по поводу расширений браузера, часового пояса и прочей ереси, объясняя мне пути (где посмотреть) как блондинке...

В принципе вот переписка с Агентом поддержки вк #370:

- Егор Андреев
Перечеркнут https:// в контактеУ меня в браузере Google Chrome перечеркнуто защищенное соединение (https://), пишет что по меньшей мере один из сертификатов шифрует соединение в устаревшем методе шифрования SHA-1 и данные могут быть перехвачены. Как решить проблему?



- Агент поддержки #370
Приветствую, Егор.

Только в одном браузере у Вас так?
Проверьте, пожалуйста, время, дата и часовой пояс на компьютере правильно указаны?
С любовью,

Команда поддержки ВКонтакте


- Егор Андреев
Только в Google Chrome. В остальных браузерах порядок. Время, дата и часовой пояс верны.


- Агент поддержки #370
Какие расширения есть у Вас в браузере? Можно посмотреть в его меню (кнопка справа вверху с тремя полосками, справа от звездочки) — Дополнительные инструменты — Расширения


-Егор Андреев
Из включеных AdBlock Pro и Яндекс поиск, из выключенных Avast Online Security, Google документы офлайн и WOT: Web of Trust, Website reputation ratings






Мне кажется диалог с саппортом в контакте может продолжаться бесконечно и я пошел на БВ посмотреть есть ли ответ на мой вопрос по поводу шифрования вк SHA-1.
И действительно, ответ на мой Вопрос был полным и понятным.

Не зашифрованное соединениеОказалось что в Google Chrome 39 все сайты с SSL сертификатами подписанными с шифрованием SHA-1 и с истекающим сроком действия 1 января 2017 года или позже будут отмечены в браузере желтым треугольником (доверенные, но с незначительными ошибками), а уже в Google Chrome 41 все веб сайты у которых срок действия сертификатов SHA-1 заканчивается 1 января 2017 года и позже будут отмечены красным крестиком на иконке замочка адресной строки и перечеркнутым красным https://, что говорит о небезопасности данного ресурса (опять же по мнению Google).

Таким образом Google отказывается от алгоритма хэширования SHA-1, разработанного еще в 1995 году, что сеет панику среди разработчиков сайтов с защищенным соединением, а для социальных сетей переход с SHA-1 на SHA-256 повлечет потерю части посетителей использующих старые браузеры (не поддерживающие SHA-256)...

В общем Google опять колдует и ведет игру в одни ворота.
Это замечено уже давно и вот только замеченные мной примеры:
-Запрет установки многих расширений для браузера;
-Отказ от технологии Unity (Unity Web Player);
-Отказ от метода шифрования подписи SHA-1...

То ли еще будет...

Решение проблемы:

Но саму ситуацию с социальной сетью в контакте я исправил следующим образом:
1.Завершил все сеансы кроме текущего в настройках (описано тут);
2.Вышел из аккаунта в контакте (ссылка "Выход" справа вверху страницы);
3.Удалил в строке браузера https:// (защищенное соединение);
4.Авторизовался в контакте без шифрования по протоколу http:///
Вуаля! (смотрите скриншот справа)

Возможно поможет не на всех сайтах, но для вконтакте помогло.
Так же SHA-1 используют Yandex, Одноклассники, mail.ru и еще много российских ресурсов...

Данный метод полностью отключает шифрование и после его применения входящий и исходящий трафик перестанет шифроваться. Он может быть перехвачен и использован третьей стороной!
Статья написана для тех, кого "уж сильно напрягает красный крестик" в адресной строке)))

UPD: 15.10.2016
Метод актуален при отключении в настройках функции "Использовать защищенное соединение (HTTPS)".

Как отключить защищенное соединение "В контакте".

Авторизуемся ВК и нажимаем справа вверху на миниатюру своей аватарки, где выбираем пункт "Настройки".
На странице настроек в правом меню выбираем раздел "Безопасность".
На странице "Безопасность" снимаем галочку с пункта "Использовать защищенное соединение (HTTPS)", если она там присутствует и нажимаем "Сохранить".
отключение защищенного соединения в контакте

Полезная статья? Поделись с друзьями- им будет интересно)))

Дата последнего изменения:

3 комментария:

  1. Помогите с ВК пожалуйста как сделать небезопасный вход чтобы заработала музыка?

    ОтветитьУдалить
    Ответы
    1. Описано же в конце статьи - отключить в настройках защищенное соединение - "Использовать защищенное соединение (HTTPS)".
      Но для начала нужно узнать суть проблемы. Например с какого устройства, приложения, браузера не работает воспроизведение музыкальных файлов "Вконтакте"

      Удалить

Не забудьте оставить комментарий- нам важно Ваше мнение!

▲ВВЕРХ▲