Category: общество

(no subject)

В продолжение предыдущего - ещё немного о киномессиджах:

Чем интересны бывают американские даже самые третьесортные фильмы - они достаточно красноречиво показывают, кто в обществе сегодня считается чёртом с рогами, на которого никакие нормы не распространяются.

Пример первый - вполне трэшевый ужастик "The Perfection", где руководство престижной музыкальной школы оказывается педофилами в полном составе. Финал таков: главному педофилу две выпускницы школы, его бывшие жертвы, откочерыживают все конечности, перевязывают, чтобы кровью не истёк, и сажают слушать, как они исполняют нечто красивое в две виолончели. Подаётся это не то чтобы как хэппи энд, но как суровая-но-справедливая кара.

Но это, положим, и впрямь совсем уж отстой по всем статьям. А вот пример из категории поприличней - фантастический триллер "In the Shadow of the Moon", поставленный, о чём они с гордостью сообщают, Нетфликсом. Завязочка такая: некая загадочная девушка убивает непонятно как связанных между собою людей экзотическим способом. А развязочка такова: оказывается, через много десятков лет в США белые расисты устроят теракты и развяжут гражданскую войну на миллионы жертв. Для того, чтобы это предотвратить, эта девушка - пришелица из будущего, естественно - и производит эти убийства. Но убивает она (в отличие от "Мёртвой зоны", скажем) - вовсе не будущего Гитлера, не будущих устроителей этих терактов, не будущих военных лидеров этих расистов или что-то в этом роде. Всё интереснее: убивает она издателя подпольной газетки для "true patriots"-вайтпауэрщиков и его подписчиков (вовсе не членов какой-то организации - люди эти рассеяны по стране и между собой не знакомы, самых разных занятий, от пианиста до водительницы автобуса, но все белые), живущих лет за 40 до событий. Потому что, как нам объясняют, некоторые идеи настолько ужасны и заразны, что их надо выпиливать сразу, вместе с носителями, пока они не распространились. Объясняется это зрителю совершенно открытым текстом, под оптимистичную музыку и съёмки красивого рассвета, символизирующего, значит, светлое будущее, которое состоялось благодаря тому, что этих носителей вредоносных идей повыпилили.

Попутно эта девушка, правда, повыпилила ещё какое-то количество народу, оказавшееся не в том месте не в то время - но это уже щепки, что летят. Так что от зрителя всё равно ожидается хлопнуть себя по лбу и увидеть в ней не убийцу, но спасительницу.

"Театр закрывается, нас всех тошнит" (с). Ну, меня, во всяком случае.
  • Current Music
    Porcupine Tree - Blackest Eyes (https://www.youtube.com/watch?v=Yh9osYZNilU)
  • Tags

Сериальное

По мере просмотра разных западных сериалов накопились несколько случаев, когда у меня отваливалась челюсть и очень хотелось посмотреть в глаза сценаристам, чисто чтобы понять, что должно быть в голове у человека, способного вот такое вот преподнести совершенно с невинным видом, как будто так и надо. Общее для всех этих случаев то, что во всех них персонажи совершают какую-то совершенно фантастическую гадость, но причём так, что ни ими самими, ни окружающими, ни прочими - никем это не рефлексируется вообще, и действие спокойно продолжается себе дальше, как будто ничего особого не произошло - или же преподносится как вполне удачная концовка. Всё выглядит так, словно создатели этих сюжетов вообще не подозревают, что публику тут может нечто огорошить.

Сейчас будет понятно:

1. "Homeland", конец третьего сезона. Главная героиня, цеэрушница Кэрри, со своим возлюбленным, человеком сложной судьбы Николасом Броди, находятся на задании в Иране. Задание они выполнили и предаются мечтам о спокойной жизни вместе - но тут этого Броди хватают иранцы и вешают. Сдало им его непосредственно кэррино цеэрушное начальство, причём сдало даже без особой необходимости - так, чтобы другому своему агенту некую фору дать. От Кэрри это даже и не скрывают.

После чего эту Кэрри вызывают на ковёр и глядя в глаза спрашивают: а скажи-ка, Кэрри, эта история на твою дальнейшую работу с нами повлияет? И Кэрри, грустно потупившись, отвечает: нет, сэр, конечно не повлияет. И идёт дальше служить родному ЦРУ.

Я, признаться, до такой степени не мог поверить в этакий сюжетный оборот, что отсмотрел весь последущий сезон в надежде, что это начальство в какой-то момент обнаружит, что благодаря Кэрри у него, начальства, горло перерезано от уха до уха - но вот хрен мне на рыло, служит она им с исключительной преданностью.


2. "Silicon Valley", тоже третий сезон, кажется. Комедийный сериал про тяжкую жизнь стартапов, забавный и ненапряжный. И вот один персонаж, забавный увалень-программер, типичный comic relief, заводит любовную связь с девушкой-хакером. Она ему ровно ничего плохого не делает, даже не думает ему угрожать или как-то злоумышлять против него - но в какой-то момент он начинает стрематься, что ведь она же может! если захочет! - и без дальнейших размышлений сдаёт её властям. Её садят на огромный срок в тюрьму, и действие течёт себе дальше, от одной смешной сценки к другой. Его друзья об этом знают, но ни у кого по этому поводу даже и лёгкого упрёка - что ж ты так, братец? - не срывается, на их отношения это не влияет никак и мы, зрители, так и должны любить этого увальня со всеми его забавными недостатками.

"Этот двадцатилетний мальчуган с детства отличался странными фантазиями, мечтатель и чудак. Его полюбила одна девушка, а он взял и продал ее в публичный дом." (c)


3. "Safe", детективный сериальчик авторства модного писателя Харлана Кобена. У главного героя пропала дочь, а бойфренда дочери нашли убитым. Подруга главного героя помогает ему дочь разыскать и в результате спасает её жизнь от ещё одного персонажа, пытавшегося эту дочь пристрелить. Всё хорошо, но тут главный герой осознаёт, что бойфренда убила как раз эта самая подруга (тот узнал некий секрет из её прошлого и угрожал разрушить её жизнь).
Лично ему этот дочкин бойфренд ничем особенно не дорог, но он её тут же и сдаёт, причём с совершенно замечательным обоснованием - мне, дескать, иначе невозможно, не смогу жить с такой тяжестью на сердце, зная, что умолчал.


Первые два американские, последний - британский, но автор из Штатов. Признаться, ни в советском, ни в нацистском кино мне такой омерзительной лоялистской морали не попадалось.


Особняком стоит испанский "La Casa de Papel". Тут мораль не лоялистская, а наоборот, но в целом это ничуть не менее поразительное произведение искусства. На протяжении трёх сезонов кряду сценаристы из кожи вон лезут, чтобы заставить зрителей переживать-волноваться за граждан, берущих ничего плохого не сделавших ни им, ни кому другому людей в заложники для того, чтобы а.) сорвать колоссальные деньжищи чисто для личного обогащения, б.) войти в историю, в.) получить адреналиновый кайф. Ну и одного из своих вытащить - но это уже сильно задним числом, в третьем сезоне.

Создатели очень стараются сделать их как можно более живым и объёмными, с достоинствами и недостатками, слабостями и страстями - на фоне достаточно плоских прочих персонажей - чтобы мы их полюбили, и это невооружённым глазом видно. И чем больше они старались, тем больше мне хотелось, чтобы всех этих симпатичных, хоть и непростых, людей, со всеми их мечтами и надеждами, любвями и разочарованиями, со всей их верностью и стойкостью, травмами и предысториями, взаимными счётами и взаимовыручкой, обидами и их преодолением, находчивостью и отвагой - перестреляли бы нахрен.

Но моя реакция, похоже, нетипична. Народу они очень полюбились.
  • Current Music
    La Casa de Papel - Bella Ciao (https://youtu.be/spCdFMnQ1Fk)
  • Tags

Ashraf Marwan

Посмотрел пару фильмов (художку и документалку), а также почитал вику про Ашрафа Марвана, информатора Мосада в правительстве Садата. История поразительная, конечно. Художка вполне опциональна, но документальный фильм горячо рекомендую.

Но вот что меня удивило. Центральный вопрос документалки состоит в том, был ли Марван двойным агентом, введшим Израиль в заблуждение с согласия египетского руководства, или же агентом обычным. Но приведённые в ней обоснования для версии двойного агента очень слабы - они сводятся к тому, что Марван предупреждал, что первый удар будет нанесён на закате (в районе 18:00), а он произошёл в 14:00. Всё остальное - это голословные заявления разных заинтересованных лиц.

Но простите, какая армия будет всерьёз полагаться на то, что если агент, пускай супер-ценный, сказал "на закате", значит на закате, и ни часом раньше? То, что было предупреждение насчёт дня атаки - это уже огромная ценность, точный час уже далеко не так важен. И так всякому понятно, что готовиться к отражению надо незамедлительно, притом учитывая, что руководство противника может планы изменить в любой момент, нанеся удар раньше, позже или вовсе не нанеся.

Главная проблема-то была вовсе не с точным часом, а с тем, что начальник военной разведки, Эли Зеира, вообще не поверил предупреждениям, и информацию дальше не пропустил.

Далее, заявления:
- самого Эли Зеиры, сделанного им Аарону Брегману, что Марван был двойным агентом. Много ли оно весит, учитывая сделанную Зеирой промашечку и то, что комиссия Аграната объявила его виновником того, что Израиль оказался неготовым к нападению? Вполне естественно, что Зеира заинтересован оправдаться, объявив проигнорированную им инфу фальшивкой и агента - дезинформатором. А уж учитывая, что Зеира личность Марвана раскрыл, назвав его агентом практически открытым текстом - можно ли полагаться на его слова?
- некого египетского "intelligence expert", что дескать, всё так, мы израильтян напарили - но опять же, много ли это весит? Ежу понятно, что для египетского самолюбия куда приятней считать, что это хитрые они напарили Мосад, чем наоборот. А уж в том, что для египтян самолюбие весит несравненно больше, чем какая-то пошлая правда, сомневаться не приходится - учитывая, что они и на ту войну пошли из-за ран, нанесённых их самолюбию предыдущей войной, и что её результаты они провозгласили великой победой, да так и считают по сей день.
- самого Марвана Брегману - но опять же, а что ему ещё заявлять? "Я и вправду таскал бриллианты из королевской сокровищницы Мосаду, убейте меня"?
- марвановой жены Моны - аналогично.

В общем, хотя художка получилась увлекательная, никаких оснований воспринимать всерьёз рассказ о двойном агенте я не вижу. История Брегмана в этом отношении, да и не только в этом - поучительный пример, как может ослепить исследователя погоня за сенсацией.

Что касается того, кто Марвана убил - думаю, это совершенно необязательно египтяне. Мало ли найдётся желающих в арабском / исламском мире расправиться с работавшим на Израиль предателем такого уровня? Могут быть хоть палестинцы, хоть Хизбалла, хоть Аль-Каида, хоть любая иная разведка или организация.

Жена Марвана, естественно, уверяет, что её мужа убил Мосад - ну а что ей ещё говорить-то? Признать себя женой предателя?

А вообще история поразительная. Чего стоит хотя бы то, что бывшие главы Мосада и АМАНа пошли бодаться в суд, обвиняя друг друга в клевете, и в результате израильский суд выпустил в открытый доступ (!!) бумагу, где было сказано, что Марван - агент Мосада. (После чего Марван с балкона и упал). Такое в шпионский сериал вставить - аудитория решит, что сценаристы укурились. Это с лихвой перекрывает историю Полларда про папу-резидента и владение африкаанс.

(no subject)

В связи с блокировкой Телеграма народ много спорит о том, можно ли расшифровывать там сообщения и передавать ключи, или вообще нельзя.

Я об этом писал раньше, но так, чисто to hammer it home, повторю: такой и только такой мессенджер можно считать безопасным, который не предоставляет шифрования. Точнее, который позволяет построить систему шифрования на своей основе, самому не вмешиваясь в её работу. Который будет просто передавать сообщения, оставляя вопросы создания ключей, хранения ключей, обмена ключами, доверия к ключам и шифрования самих сообщений вне своей компетенции.

Именно так работает обыкновенная электронная почта. Я могу использовать для шифрования PGP, S/MIME или хоть WinRAR; хранить ключи на хард-диске или на смарт-карте; использовать сертификаты, которым доверяет весь мир, или наштамповать их для себя и для друга Васи на коленке; обменяться ими по скайпу, через FTP или с почтовыми голубями - это всё вне ведения серверов электронной почты. Протоколам SMTP, POP и IMAP всё равно, шифрованные ли они сообщения передают или нет. Поэтому e-mail безопаснее любых воцапов и телеграмов - если использовать все эти фичи правильно.

В этом и состоит цена - надо самому всеми этими вопросами заниматься. Это не так уж и сложно, но надо понимать основные принципы и приёмы: как ключи работают, как их хранить, как их проверять. Но иначе невозможно: если вам обещают шифрование на блюдечке, рассказывая, что оно end-to-end, и потому никто и никогда!.. - это враньё по определению. Если мессенджер или любой другой сервис обмена сообщениями берёт на себя эти функции - возможность злоупотребления у его хозяев остаётся всегда.

(Откуда же такая разница между e-mail и мессенджерами? Да оттуда, что e-mail создавалась как децентрализованная система, с открытыми для всех протоколами, не принадлежащая никому конкретно. Любой может поставить себе сервер и обмениваться по этим протоколам письмами с другими. А в случае мессенждеров десятки миллионов людей радостно отдались на милость фирм-феодалов, по выражению Брюса Шнайера. Очень жаль, что получилось так.)
  • Current Music
    Somali Yacht Club - The Sea
  • Tags

(no subject)

Злободневненькое:

1. Депутат Кнессета Орен Хазан ("Ликуд") отреагировал на сообщение об отказе Натали Портман приехать в Израиль
для получения премии "Генезис" призывом к лишению актрисы израильского гражданства.
...
Министр культуры и спорта Мири Регев ("Ликуд"), в свою очередь, выразила сожаление по поводу того, что Портман, по ее словам, "попала в сети BDS".
(источник)

Предлагаю премировать депутата Кнессета Орена Хазана (Ликуд) орденом "Вредоносный идиот второй степени" (закрыть кавычки по вкусу). Госпожу министра Мири Регев (Ликуд) - третьей.
С учётом этого хочется спросить - а не идиоты в ликудовской фракции ещё остались?


2. Искусство цитаты в исполнении господина министра обороны, дающего интервью:
С точки зрения реальной ситуации, я хочу обратить внимание ваших читателей на статью очень известной журналистки "Гаарец" Амиры Хесс. Одной из немногих, регулярно посещающих сектор Газы. 12 февраля она написала в редакционной статье: "Нет гуманитарного кризиса в Газе"

В статье Хесс пишет, что кризиса нет, поскольку кризис быстротекущ, а нынешнее положение много хуже. От такого цитирования обалдела даже редакция вполне пропагандистского NewsRu.co.il, а это неслабая ачивка.

Далее господин министр обороны очень возмущается, что военные журналисты ведут себя, как журналисты, и смеют начальству неудобные вопросы задавать.

(no subject)

По мотивам этих двух постов (1, 2) подумалось: если бы англичане 40-ого года имели те же психологические защиты, что жители современного Израиля и изрядной части Запада - то в их среде считалось бы крайне неприличным, а то и подозрительным увязывать бомбардировку Ковентри с объявлением войны Германии. Полагалось бы намёк на такую связь гневно отвергать: вы что, считаете, эта бомбардировка не была военным преступлением? может, считаете, что с нацистской Германией воевать не стоит? может, думаете, нам сдаться надо? может, жители Ковентри сами виноваты, что их убили? уж не виктимблейминг ли это?

То, что мы с Гитлером на континенте воюем - прекрасно и правильно, германская агрессия должна быть остановлена, нацизм гнусен и должен быть побеждён. А то, что немецкие самолёты бомбят наши города - это из-за многовековой гуннской ненависти к английскому народу, из-за их мерзкой расовой теории, из жажды смерти и разрушения. Нет никакой связи между одним и другим.

По счастью, реальные англичане такой дурью не страдали. И не наслаждались.

P.S. Справедливости ради, способность видеть причинно-следственные связи отсохла не у всех.

(no subject)

По следам резни в Халамише, начитался очередных сетевых воплей "да нечего цацкаться - хоронить эту сволочь в свиных шкурах, мигом прекратят!"

Также узнал о популярной городской легенде о американском генерале Першинге, который, дескать, положил конец восстанию мусульман на Филиппинах, расстреляв пленных пулями, вымоченными в свином жире.

Уверенность, что исламских террористов можно запугать таким способом лишения райского блаженства, крайне устойчива (у нас аж целый министр внутренней безопасности её как-то проявил), эти предложения появляются на протяжении десятков лет после каждого резонансного теракта.

Но при этом она полностью безосновательна. С чего вообще взяли, что это должно сработать? Она предполагает абсолютный идиотизм со стороны противника - что его теологи не додумаются в момент выкатить разъяснилку для верующих, что на попадание души в дженну контакт трупа со свининой никак не влияет - и всех делов. (Собственно, уже: "The keys to heaven are not in the hands of settlers," said Sheikh Hassan Youssef, for Hamas. См. также.)

Да, исламский запрет на употребление свинины в пищу широко известен, как и общая брезгливость мусульман к свиньям - но огромное количество народу, негодующего, почему такой простой способ остановить терроризм не употребляется (обычно в качестве объяснения этому предлагают противные "общечеловеческие ценности" и "западный гуманизм") нигде не додумалось раскопать хоть какое-то место в Коране / Сунне / фетвах известных богословов, которое подтверждало бы, что мусульмане и вправду верят, что Аллах душу не поместит в рай из-за манипуляций неверных над трупом мученика. Да и так несложно сообразить, что такой механистичный детерминизм с любой монотеистической религией несовместим от слова "вообще".

Не меньшей популярностью пользуется объяснение мотивации террористов их желанием вечно сексоваться с 72-мя гуриями в раю (наличие среди смертников десятков женщин объясняющих не смущает), а также не менее нелепые легенды о том, что палестинские бомберы с поясами шахидов на теракт, дескать, выходят накачавшись наркотиками - в которые, бывает, даже очень образованные верят. Ну и туманные рассуждения о "промывании мозгов", всякой конкретики лишённые напрочь.

Возникает вопрос: почему эти представления настолько популярны, несмотря на их очевидную нелепость?

Моя гипотеза: они устойчивы не несмотря, а благодаря тому, что предполагают идиотизм противника.

Гражданам приятно представлять себе террористов тупыми зомбями: внушаемыми, как трёхлетки, безграмотными, лишёнными собственной воли и обдолбанными. Потому как если почитать исследования и выяснить, что эта картинка далека от реальности - что палестинские, например, бомбисты в среднем образованнее общей массы населения, что женщины среди них в среднем образованней мужчин и реже руководствуются религиозными мотивами - то неизбежно возникает вопрос: а что же они предпочитают собственную жизнь выбросить в мусор, лишь бы по нам удар нанести? Чем мы их так достали?

Вопрос этот неприятный, потому как при самом минимальном воображении и самом минимальном знании о конфликте любой израильтянин может с лёгкостью представить себе множество сценариев, как именно мы их могли достать. Но думать об этом дискомфортно, потому что предполагает ответственность.

Если же считать, что убивать нас выходят аналоги сарумановских орков, безвольные марионетки в руках своих лидеров - то вопрос этот просто не возникает.

Поэтому сограждане и далее продолжат ещё много лет негодовать, почему же не используется такой замечательный, эффектный, ещё век назад доказанный способ победить террор - свиные шкуры.

(no subject)

Недавно мимо меня пробегало новенькое израильское удостоверение личности (теудат зеут) - уже не бумажка, а смарткарта - и я, конечно, тут же его зацапал глянуть, что на ентой смарткарте есть. Мда. После потрошения ейного сертификата могу честно сказать - построено ужасно, просто ужасно.
Collapse )

В общем, сработано халтурщиками, которым возможности и детали технологии совершенно пофигу, базовая функциональность есть - и слава богу. Скажу без ложной скромности, я бы лучше сделал.

Если кто хочет повтыкать в детали сам - припадайте. "Leaf" сертификат со смарткарты не выкладываю из соображений приватности владельца, а правительственные - на здоровье.

(no subject)

У аутентификации по клиентским сертификатам есть множество ограничений, из-за которых она редко используется:
- общая сложность для понимания и настройки,
- сложность с управлением ключами, особенно когда юзеру надо ходить с нескольких устройств, с их обновлением,
- сложность с отзывом сертификатов, необходимость держать доступными точки CRL и OCSP, что может быть довольно геморройно, если у нас не общий Интернет, а изолированые сети,
- нельзя защитить часть сайта - скажем, чтобы https://hostname/public был доступен всем, а https://hostname/private требовал сертификата для опознания юзера. Точнее, этого результата можно добиться, но лишь при применении определённых хитростей.
- отсутствует нормальный logout - для того, чтобы сайт перестал тебя опознавать, надо полностью закрывать браузер (или изначально заходить в incognito-окне).

Но есть одно крутое преимущество - по сравнению с другими методами логина поверх SSL, она сильно усложняет проведение атаки man-in-the-middle, она же SSL interception. Вплоть до "вообще никак".

Подменить серверный сертификат на лету, при условии, что браузеры доверяют подменному, вполне тривиально - и есть организации, делающие это на регулярной основе: как для хороших целей (отлавливать всякую малварь), так и для менее хороших.

Способов добавить сертификат в список доверяемых есть масса, начиная с домейновых group policies и windows update, и заканчивая малварью и банальной социальной инженерией. Более того, тот же Avast antivirus делает это просто по дефолту - добавляет сертификат своего типа-CA в "Trusted Root Certification Authorities" и расшифровывает трафик.

Но когда требуется сертификат ещё и клиентский, то всё намного усложняется, посколько тогда система-перехватчик должна подменить и его тоже. А сервера куда недоверчивее в этих вопросах, чем браузеры. Им, как правило, просто указывают - сертификаты от этого CA и от этого принимать, а остальных лесом. К примеру, в FortiGate при создании PKI-юзера надо в явном виде задать и CA, которым его сертификат должен быть подписан, и что у этого сертификата должно быть в Subject. К тому же, тот может быть и вовсе самоподписанным. Тут не разгуляешься.

А подменить серверный сертификат, не подменяя клиентский, посылая его как есть - не выйдет. У сервера банально циферки не сойдутся, на чём подключению и конец.

Так что стоящая вещь, товарищи, пользуйтесь. :-)

(Это я тут с админом одной сеточки пообщался - негодовал, что не может инспектировать наш SSL-VPN. Ну, мои тебе соболезнования, приятель. :-))

(no subject)

Просто мысля, чтоб не потерялась:

Сегодня подавляющее количество траффика из типичной внутренней сети в Интернет выходит по шифрованному HTTPS. Современный файерволл предоставляет две опции для его обработки:
- либо отказаться от инспекции, разве что попытавшись проверить destination IP против заранее заданного списка (скажем, на файерволле заранее указано, какие адреса соответствуют *.windowsupdate.com),
- либо устраивать SSL inspection, то есть "узаконенный" man-in-the-middle attack: подсовывать юзеру фальшивый сертификат, расшифровывать и проверять траффик.

Обе опции проблематичны: первая - потому что поток данных полностью непрозрачен, плюс адреса служб имеют обыкновение меняться, а значит, внезапно будет накрываться связь. Вторая несёт в себе этические проблемы - если юзер заходит на сайт своего банка или больничной кассы, а сисадмин устраивает ему MitM, имея возможность совать нос в его данные - хорошо ли это, товарищи? Кроме того, вероятно, куча небраузерных программ, типа Дропбокса, перестанут работать, получив от файерволла левый сертификат.

Возможна третья опция - неидеальная, но предоставляющая какой-то компромисс. Файерволл может проактивно тестировать заранее заданные HTTPS-сервисы, подключаясь на них самостоятельно. Это позволит задавать в правила, наряду с стандартными "source & destination IP, source & destination port" также: Subject сертификата, имя выдавшего его CA, его уровень (DV/OV/EV), валидность по времени, длину ключа и так далее. Если файерволл подключился к сервису и получил сертификат, отличающийся от ожидаемого - соединения из внутренней сети туды не допускаются и конец делу.

(Можно, конечно, не открывать соединение, а просто пассивно инспектировать сертификаты, посланные сервером - но это не даст файерволлу криптографического подтверждения, что сервер и впрямь обладает законным ключом).

Как вариант, тестирование может проводить не сам файерволл, а служба егойного производителя, от которой файерволл будет получать регулярные апдейты (см., например, FortiCloud).

Кроме того, файерволл может проверять поле SNI в пакетах "Client Hello" исходящих SSL-соединений, чтобы убедиться, что клиенты пытаются подключиться к законному и проверенному сервису.

Таким образом, и клиентская приватность сохраняется, и сисадмину больше уверенности, что траффик наружу легальный ходит (а не какой пакостный бот изнутри на свой C&C коннектится).
К тому же, юзер уберегается от MitM-атак снаружи - он, допустим, не заметит, если mail.google.com внезапно предоставит сертификат от какого-нибудь странного ГУЦ, зато файерволл - таки да.

Интересно, изобретён ли уже этот велосипед?