Компания Google предупредила об изменении подхода к обработке смешанного контента на страницах, открытых по HTTPS. Ранее при наличии на открытых по HTTPS страницах компонентов, загружаемых с без шифрования по протоколу http://, выводился специальный индикатор. В будущем решено блокировать загрузку подобных ресурсов по умолчанию. Таким образом, страницы открытые по "https://" будут гарантированно содержать только ресурсы, загруженные по защищённому каналу связи...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51612
Я думал, уже давно запрещено. Ну что ж, лучше поздно, чем никогда.
В лисе настройка для запрещения уже много лет как есть
Гугл-картинки сломаются от такого.
Это как минимум
Есть очень простое гугл-решение этой проблемы.
Гугл-проблемы
Он будет проксировать через свой https
> Гугл-картинки сломаются от такого.Будет повод закрыть google images, как закрыли google reader, google plus, google wave etc
Ну или будут выводить кэшированныев гугле версии, 100x100px или сколько там от щедрот наберется.
Мысль правильная. Надо как-то принудительно затаскивать на нишу безопасности упорных админов с устаревшим видением мира.
надо внушить пользователю - все что не гугль - небезопастно, и вообще не работает - не потому что гугль нарочно поломал, а исключительно потому что это неправильные админы с "устаревшим видением мира".
В неокрепших умах комментаторов опеннета тлс == гугол, я понимаю
Комментаторы опеннета помнят, что такое sendfile(), и сколько стоят аппаратные ускорители SSL.Впрочем большинство сайтов уже и без SSL не могут существовать вне пределов Cloudflare из-за "внезапных" DDoS-атак. Так что вперёд в светлое будущее, где Гугл будет _буквально_ закрывать неугодные вебсайты за нарушение своих гайдлайнов (отрезать рекламу и блокировать в поиске он и сейчас уже умеет).
tls навязываемый гуглом в режиме "пихаем без вазелина, кто не согласен - может с тем же успехом выдернуть сетевой шнур, все равно его сайт никто не найдет а найдет так открыть не сможет" - да, гугл.И он нахер не нужен.
Как и гугл.
> В неокрепших умах комментаторов опеннета тлс == гугол, я понимаюВ Chrome 90 ждём отметки всех не-гугловых сертификатов как "небезопасных".
если ты не в курсе, поскольку вчера разморозили - их уже отменили - половина CA (и все, имевшие наглость раздавать сертификаты бесплатно) забанена, оставшиеся скоро разорятся, поскольку пользователю не нужно показывать принадлежность сертификата, "все равно он читать не умеет", а поддержание недешевой инфраструктуры оплачивалось отнюдь не DV сертификатами.остался только летсшиткрипт, подконтрольный правильным пацанам, попутно сливающий другим правильным пацанам твою активность за счет ocsp (ибо revocation lists "слишком долго грузились" и ничего не сообщали о том, на какой сайт ты собрался зайти).
> сливающий другим правильным пацанам твою активностьВиндоюзер переживает о "сливании активности" какими-то "вебсайтами". Какая прелесть. (Только не надо истерик о "в моём-то виндоусе вся тилимитрия отключена!!11", бгг)
Чувак, лоток наполовину полон!
Да ладно. Сектига вон начала раздавать бесплатный трёхмесяц без ограничений.
// надо внушить пользователюВоу, полегче, модернист!
Мысль вообще не мысль. Злодеи могут иметь настоящие сертификаты.
запретить сертификаты!
мы и так уже запретили все, кроме специально одобренных г-ном майором и со сроком действия три дня.
> Злодеи могут иметь настоящие сертификаты.Зачем ты запираешь дверь, когда уходишь? У вора ведь может быть дубликат ключа.
Да, давно пора сломать мой интернет. Вы пробовали это делать, блокировать? Я вот пробовал. Не оправдываю кривые сайты, но со всякими форумами будет проблемка.
ну сколько-то еще этот твой интернет протрепыхается, конечно - за счет того что у любого достаточно старого сайта найдется не-https версия.Но, полагаю, это будет следующим прекрасным предложением гугля, от которого нельзя будет отказаться - "а давайте вообще будем показывать белую страницу, полную невменяемого бреда, вместо любого http-сайта".
На чем они и прекратят свое существование.должны остаться только гугл, гугл, и еще вот немножко - фейсбук.
Пробовали. И уже давно, в Firefox. Так до сих пор и не отключаю опции, удобно и проблем, лично у меня, не возникло.
Надеюсь, пароли при этом будут передаваться в гугл? Или хотя бы в фсб. Ну, для "проверки". А то вдруг вы там поддерживаете запрещённые организации.
Или торгуете препаратами. А так куратор зашёл (в случае гугла нейронка), посмотрел, поставил галочку что ничего подозрительного пока нет.
> Надеюсь, пароли при этом будут передаваться в гугл?не стоит беспокоиться - давно уже передаются
> Надеюсь, пароли при этом будут передаваться в гугл? Или хотя бы в фсб. Ну, для "проверки". А то вдруг вы там поддерживаете запрещённые организации.Кстати, да. Ставишь пароль "iloveisis", и тебе немедленно выезжает пативен.
Или чемодан с деньгами, смотря в какой стране находился в момент ввода.
Египетские богини это серьёзно.
Тонкий ход, смысл которого раскроется тогда, когда сертификаты будет выдавать АНБ/ФСБ.
В смысле -когда?
Через Мои Доки.
Очередное ненужно-внимательным-пользователям-но-нужно-копрорации-добра "решение" - подгребают весь вэб (и мобилы) под "себя", а наивный пипл хавает и нахваливает. Печаль.
>Проверка осуществляется по базе, охватывающей более 4 миллиардов скомпрометированных аккаунтов, фигурировавших в утечках пользовательских баз.То есть, эта база будет либо локально хранится, либо что более вероятно пароли будут отправляться куда-то на гуглосервер, для сверки с этой базой. И все говорят о безопасности. :D
А всё просто, 5 eyes не так давно попросили корпорации позаботиться о доступности приватных пользовательских данных нужным людям. Видимо, закладочек становится всё меньше и пора принимать более кардинальные меры.
Гугл не просто будет их сверять (они отродясь просто так ничего не делали), они свяжут пароли с пользователями (ведь логины, как несложно догадаться, тоже будут отправляться). Преподносить эту мерзость, как меру безопасности, это уже театр абсурда какой-то.
Следующим шагом вероятно будет требование отсылать паспортные данные сразу рекламодателям, с анкетой своих предпочтений, а также с одновременной передачей некой суммы на счет гугла. :D
это только ваш майор такой тyпой что ему нужны ваши логины.нам они ни в пень не нужны - нам достаточно того логина, которым вы залогинились в хром. Отныне и навеки все ваши действия в интернете идентифицированны на 100% (и аккуратно сохранены в базе), а даже если вы шибкохитрый и не логинитесь (а как же ж - надежное хранение закладочек, истории и парольчиков в облачке?) - поведение тоже однозначно вас выдаст через пять минут и мы свяжем два профиля в один.
Мда, машинное обучение неистово рулит и педалит.
> А всё просто, 5 eyes не так давно попросили корпорации позаботиться о доступности приватных пользовательских данных нужным людям.Добро пожаловать в реальный мир, Нео!
Фейсбук и Кацап добровольно согласились слить переписку юзеров британской охранке
https://www.bloomberg.com/news/articles/2019-09-28/facebook-...В Австралии запретили мессенджеры без бэкдоров
https://www.wired.com/story/australia-encryption-law-global-.../
И, обрати внимание, ни воплей правозащитный организаций, ни требований ведущих стран типа "Х должны прекратить то, что они делают", ни истерик навальных детей. Всё нормально.
Полно истерик по всему интернету. Просто надо от НТВ иногда отрываться.
И что, это истерики к чему-то реальному привели?
"Собака лает - караван идёт"
Следующий абзац ты, конечно, не осилил. Видимо, там слишком много незнакомых слов оказалось.
>Следующий абзац ты, конечно, не осилил. Видимо, там слишком много незнакомых слов оказалось.Следующий абзац просто мутит воду. Так или иначе логин и пароль передается либо туда. Либо на основании переданного "слепка" часть базы будет передаваться на сторону пользователя. Иначе ничего сверить не получится. Если в этой получаемой части прочие данные будут случайны, то гугл все равно сможет получить пароли пользователя. Только не за один раз, а за несколько, пока случайные данные не отсеются.
Вот уж воистину чукча не читатель…
Для особо одаренных объясняю на пальцах. Не имеет ровным счетом никакого значения, как оно передается, и как оно шифруется при передаче. Сверить можно или на сервере, или на месте. Вот представьте на минуту, что у гугла уже есть база данных каких-то паролей. Как они ее получили - это второй вопрос. Если такая база есть, то каждый раз отправляя пользователю несколько строк из этой базы, из набора этих строк всегда будут совпадать строки, связанным с паролем. Если каждый раз все прочие строки случайны, то выделить пароли - это дело техники.
Для того, чтобы отделить пароли сложные от несложных, хватит нескольких регулярных выражений, никакие посторонние базы данных не требуются. Голову иногда тоже надо включать.
нет у них голов. Точнее, есть, но они в них - едят, все что наложит гугль. И радостно аплодируют - зато бебебебезопастно!
> пароли будут отправляться куда-то на гуглосервер, для сверки с этой базой.
> И все говорят о безопасности. :DВылезайте из криокамеры -- пароли на гуглосервер отправляются уже давным давно, причем целиком, а не по частям:
https://support.google.com/chrome/answer/185277
> When you sync
> You can see and update your synced info on all your devices, like bookmarks, history,passwords, and other settings.https://www.computerworld.com/article/2474851/android-google...
> Google knows nearly every Wi-Fi password in the world
> Android devices have defaulted to coughing up Wi-Fi passwords since version 2.2. And, since the feature is presented as a good thing, most people wouldn't change it.Вряд ли это какой-то особо хитрый план по заполучению паролей оставшихся 3½ маргиналов, не имеющих гуглоаккаунта или не сохраняющих пароли в браузере.
> Вряд ли это какой-то особо хитрый план по заполучению паролей оставшихся 3½ маргиналов, не
> имеющих гуглоаккаунта или не сохраняющих пароли в браузере.да, просто совпадение!
Вообще-то эти три мраз...маргинала и являются наиболее интересными г-ну майору.
Поскольку честный человек, разумеется, не будет ничего скрывать от гугля.
> да, просто совпадение!
> Вообще-то эти три мраз...маргинала и являются наиболее интересными г-ну майору.
> Поскольку честный человек, разумеется, не будет ничего скрывать от гугля.Угу, ЦА -- не сохраняющие пароли в браузере, не имеющие гугло-аккаунта, но пользующиеся хромым маргиналы. Самим-то не смешно, господа-товарищи майоры?
ну вот же ж - прямо на этом сайте, аплодируют?! Что не так?Или вы имеете в виду, что они безобидны для общества? А вот это вы как раз зря.
С точки зрения г-на куратора для общества безобидны наркоманы, мафиози, торговцы человечинкой - потому что это его общество, и они ему, кстати, регулярно отстегивают где деньгами, где ценной информацией, а где и прямым исполнением поручений.А вот эти вот, полагающие что увернулись от слежки - как раз могут доставить определенные неприятности, потому что неподконтрольны.
Сколько вот там, по вашему, насчитало специальное мазильное расширение для подсчета той части того 2% пользователей, которая еще и нагло отключает телеметрию? (причем с вполне предсказуемой реакцией именно этих пользователей на такую прекрасную идею) А ведь индусы получили команду, пилили код, тестировали-непрерывно-интегрировали, ценное время менеджеров потратили.
>А вот эти вот, полагающие что увернулись от слежки - как раз могут доставить определенные неприятности, потому что неподконтрольны.Кому доставить неприятности? Людям, полагающим, что "наркоманы, мафиози, торговцы человечинкой" - это нормально? Вам не то что доверять личную информацию, вам руку подать нельзя, чтобы не запачкаться.
Добро пожаловать в реальный мир, падаван, с почином!
Ждет тебя еще масса открытий про чистые руки и правильные лица!
И после них аноним выше окажется чистейшим и добрейшим.
>Ждет тебя еще масса открытий про чистые руки и правильные лица!Я давно уже не ребенок. И лица говноедов от прожитых лет приятнее не становятся. Так что открытия ждут скорее тебя.
>Аноним начнёт блокировать Chrome на своих компьютерах и запретит установку вредоносного гуглософта.Так лучше.
сложно блокировать то, чего нет в репах🤦️
В винде уже появились репы?
Ещё в Win8 завезли.
Доброе утро.
не было, нет и никогда не будет. доброе утро
> Ещё в Win8 завезли.Это мог быть забывший подписаться "Stoned Jesus", судя по src ip.
Хотя нелья полностью исключить и "соседушку", конечно.
Ну, чисто хозяйке на заметку.
> В винде уже появились репы?Да. Но как всё у них: снаружи выглядит слегка уродливо и с особенностями развития.
хз, не по адресу, спроси у своих🦋️
Я правильно понимаю, что мой уютный RSS агрегатор сломается если в нём будет хотя бы один источник без https ? Хорошо что я не пользователь Chrome :)
как rss-аггрегатор связан с браузером?
Колоночка с бложиками сбоку в браузере.
кодом на электроне
Так он у меня стоит на сервере, читаю я его браузером. Сбоку фиды, права лента. Чисто https страница там впринципе не получается, это всегда будет mixed content
сорян, ошибочка вышла:)
Tiny Tiny RSS (и куча аналогов), ставится на сервер, открывается в браузере.
если про tt-rss то он вроде умеет кэшировать картинки, нет? да потом, картинки которые одни в rss ленте и в веб-версии, наверняка уже будут с https. а rss лента - и вряд-ли кто-то захочет заморачиваться чтобы делать только rss без https, а весь остальной контент по https..
началось... гугл, ты дурак?
у меня есть сайт, чтобы всё было чики-пуки на нём установлен сертификат. но на сайте есть плеер с потоковым интернет-радио, а этот поток никогда не шифруется и, возможно, и не будет. всё, приплыли?
Точно так. Неудачные решения принимают люди, не написавшие ни строчки кода.
чего это неудачные и зачем мне писать код? Очень даже удачные, а ваш плейер НАМ никакого профита не принесет.
И ни одного процента пользователей прекрасный хромог не потеряет - потому что выбирать не из чего, а если пара белок-истеричек снова метнется в сторону мурзилы - так та через неделю еще (по моей же указке) что покруче отколет - и белки истерички снова будут плакая жевать кактус. Кто не будет жевать - тому под хвост затолкают.
Начинают забывать, что они делают браузер.
Сегодня блокируют http-ресурсы, а завтра - все, что не нравится SJW-радикалам.
Для альтернативно одарённых объясню: блокируются не http-ресурсы, а http-контент на https-ресурсах.
сегодня контент, завтра ресурсы...
а контент, ять, не ресурс?
Http внутри https запросто ведёт к компрометации всей защиты.
> Для альтернативно одарённых объясню:Для неопытных в жизненном цикле технологий.
+1, сегодня - малый контент, завтра - страны целиком.
Сегодня нагадишь в комментах, а завтра - на центральной площади.
Если вас забанить, центральную площадь это не спасёт.
Спасибо, кэп. А в заголовке `... HTTP-ресурсы на HTTPS-страницах` ничего не говорится про HTTPS-страницы
Они делают деньги. А браузер это часть средств достижения цели. И не самая значительная, если вы чего в новостях пропустили.
Ох аноны-опеннетчики, даже sjw приплели. То, что злоумышленник может подменой http-траффика скомпрометировать https их мало заботит, их больше заботит потакание админам, неправильно настроившим безопасность
> Индикатор смешанного контента признан неэффективным и вводящим пользователя в заблуждение, так как он не даёт однозначной оценки безопасности страницы.Аноны-опеннетчики сразу при внедрении писали, что на этот индикатор никто не будет обращать внимания. А такие как вы их минусовали и писали, что ИИ гугла виднее. Так что вопрос кому из вас верить для меня лично давно решён.
Ну я не минусовал и не говорил, не знаю ничего. Гугл, не гугл - безразлично, я сужу по качеству новости
Минусовали криворукие админы.
Потому что иначе, в случае блокировки небезопасного смешанного содержимого, их криворукость всплывёт ещё сильнее.
В моем представлении браузер должен уметь открывать как можно больше страниц в том виде, в каком задумали авторы страницы, а не гугл. Разумеется, в пределах стандартов.При этом будет отлично, если функционал браузера можно расширить или сузить дополнительными настройками или расширениями.
Вчера гугл решил блокировать неугодную рекламу, порезать адблокеры, сегодня он решил блокировать http-ресурсы на https-страницах, завтра он начнет требовать анализ крови и отказ запускаться, пока не проверит жесткий диск "на вирусы".
Режим параноидальной "защиты", если кому-то и нужен, то должен быть опциональным, управляться лично пользователем или администратором организации, где нужен этот режим.
Да ладно? Может ты ещё и рекламорезками не пользуешься? Как задумали он смотреть хочет. Свисти больше.
Читать научись, писатель
> Разумеется, в пределах стандартовВ пределах стандартов на странице, загруженной через HTTPS, не должно загружаться никаких ресурсов без шифрования.
Так что завали хлебало и осознай что так вообще должно было быть с самого начала и это как раз и есть движение в сторону стандарта.
>Сегодня блокируют http-ресурсыне сегодня, но да, всё к этому идёт - рано или поздно открытие сайта без шифрования будет либо не возможным вообще, либо требующим явного добавления сайта в исключения
Так, должно было быть сразу
А запятая тут нахер нужна?
Лучше бы Папа запретил по умолчанию Java Script
Зачем лезть в это овно под названием Chrome? Других браузеров не достаточно?
другие браузеры ты сам собираешься всем своим пользователям расставлять?
Кстати, какие это "другие"? А-а, понял, ты еще и по макбуку и ипхону подаришь всем посетителям своего ненужносайта?Проблема не в хромом, проблема что интернет, не играющий по правилам гугля - кончился.
Скоро будет как с гуглопочтой - половина сайтов вообще не будет открываться, потому что гугль решил что тебе незачем туда ходить, другая половина - мигать и переливаться ужастными небезопастными индикаторами и работать только частично. Причем причины будут совершенно неясны и жаловаться некуда.Зато ютруп, гугл и пейсбук, конечно же, будут открываться.
Половиной этого могу спокойно отказаться "Зато ютруп, гугл и пейсбук, конечно же, будут открываться."
Хромым не пользуюсь и другим не советую.
Чем плох на данный момент Firefox? Проблем с ним не испытываю.
Пробовал Палемун, но стало ругаться на вирусню и по скорости - тормоз, поэтому отказался.
А лучше всего собрать бабло с сообщества на разработку или доработку существующего браузера, который будет приемлемо работать и не жрать ресурсы. А потом и сервисов гугла отказаться, аналогичных хватает.
> Чем плох на данный момент Firefox?тем что игру в хорошего и плохого следователей изобрели довольно давно.
Плох он ровно тем же самым - показом белой страницы, полной неведомой хни - вместо сайтов.
Неисполнением скриптов или блокировкой кук - по желанию своей левой пятки. Сливом (о, конечно же - безопастным!) твоих паролей "для проверки" (да, и это тоже есть).> Пробовал Палемун, но стало ругаться на вирусню и по скорости - тормоз, поэтому отказался.
квалификация типового опеннетчика.
> А лучше всего собрать бабло с сообщества на разработку или доработку существующего браузера
оооо, вот это - да. Лучше всего - собирать бабло.
Особенно если в разработку и доработку ты не способен. (но, в принципе - даже если и способен - лучше все равно собирать бабло)
Сообщество не потянет и они также будет подстраиваться под стандарты гугла.
сообщество-то может и потянет сбор денег на ремонт провала - оно не сможет дотянуться до хомячков, у которых не гуглосайты скоро просто не будут открываться - или открываются но там пусто.А сайт, на который могут зайти только полтора гика - не будут посещать и те полтора гика - им самим с собой общаться неинтересно.
останется ютуб, мордокнижечка и немножко корпоративных сайтов, не нуждающихся во внешних нисикьюрна-нисикьюрна ресурсах. Какой еще вам нахрен - гипертекст в 2k19?!
Seamonkey для мозильщиков и Iridium для хромых (пока) в помощь. Жрут мало, работают быстро, зонды особо не замечены.
А относительно отказа от гугли.. - для интересующихся уже давно есть списки аналогов, но кто всем этим пользуется? Единицы - остальным привычнее есть, что дают и не думать. Человек, чай, не свинья - ко всему привыкает.
> Iridium для хромых (пока) в помощь. Жрут мало,
> работают быстро, зонды особо не замечены.Кому именно в помощь?
https://git.iridiumbrowser.de/cgit.cgi/iridium-browser/commi...
namespace {
const char kHistoryOAuthScope[] =
- "https://www.googleapis.com/auth/chromesync";
+ "https://trk-138.iridiumbrowser.de/www.googleapis.com/auth/ch...
const char kHistoryQueryHistoryUrl[] =
- "https://history.google.com/history/api/lookup?client=chrome&...
+ "https://trk-139.iridiumbrowser.de/history.google.com/history...
const char kHistoryDeleteHistoryUrl[] =
- "https://history.google.com/history/api/delete?client=chrome&...
+ "https://trk-140.iridiumbrowser.de/history.google.com/history...
вообще-то "это" собирается на базе хромиума (угу - в честном хромиуме тоже этот зонд есть - не зря же хромиум под патронажем и на деньги гугли делается. Но, по умолчанию(!), сихронизация отключена. Т.е. никто никуда нечего не отправляет и не лезет.
Типа как systemd в "миксере" - и есть и ставится, но что бы включился, нужно специално это выбрать (при старте, а так вместо эмулятор работает. Остальное на sysv).
Да и, если так страшно, - кто мешает эти адроеса в hosts прописать?
Кстати - упомянутые два браузера я использую не столько из-за отсутствия/наличия зондов (методов против них полно), сколько из-за того, что памяти жрут они меньше другихЗЫ. Лично я вообще отключаю сразу, везде, и на всех браузерах и системах и трекинг, и сохранение всех историй, и кэш, и куки от третьих лиц и, естественно, любую синхронизацию. Это в дополнение ко всяким ублокам, дисконнектам и хост-файлу" с файерволом. И меня не то, что контекстная, а вообще любая рЫглама не беспокоит.
UPD. Давеча тут не миксер переехал - там по умолчанию жирнолис последний идёт с адблоком (внешним). Дык когда его сносишь, система по умолчанию сепляет (уже установленный) какого-то Епифание на вебките. В нём всё работает но нет вообще ничего и никого. Да и жрёт он "копейки" даже по сравнению с "креведкой". Скорее всего теперь у меня "третьим будет". А там определимся, кто останется
Хорошая идея. И есть что предложить: SeaMonkey.
Ну вот это как раз нужное дело - внутри https-грузимой страницы http-вложения это вполне себе может быть компрометация
как страшно жыть! Твои котики могут быть скомпроментированы!P.S. при том что и страница грузится по https, даром транжиря ресурсы и сервера, и клиента, только потому, что гугель так велел. НАХРЕН 99.9% интернета не нужен https.
и много жрёт?
> и много жрёт?Одной шведской девочке искалечил бы детство вусмерть, если б умела думать и тем более считать...
Мне оценки энергоёмкости https в мировом масштабе пока не попадались, но здравый смысл подсказывает, что это практически вчистую добавка поверх остальных энергозатрат. Ну и то, что лет десять-пятнадцать назад, когда занимался хостингом, она заметно добавляла к нагрузке на процессор -- намекает, что добавка и теперь не будет пренебрежимо малой с учётом количества соединений в этом самом всёммире.
Она — всего лишь говорящая голова. Людям, умеющим думать и тем более считать, такая работа категорически противопоказана.
AES уже имеет весьма эффективный оффлоуд даже в бытовых процах, так-то. Да, хендшейк что-то добавит, да, сам оффлоуд тоже требует энергии, но это не "лет 10-15 назад" уже, совсем не.
0.25% на говнокоде из питона
0.42% на ентерпрайзе из похапэНо это надо сервер не слишком кривыми руками настраивать, иначе может и 90% получиться.
тебе никогда картинки котиков не подменяли на кликабельную рекламу ещё? это конечно всё ещё можно сделать взломав сервер с картинками, но без https и ломать то толком ничего не надо..
нет, не подменяли. Что я делаю не так?
Самый прикол что котики как раз в https, а вот более важные ресурсы с перс. данными обычно нет.
Ну вот даже росцеликом взялся врезать рекламу в транзитный HTTP трафик, редиректом на свою страницу, с передачей исходного адреса естессно. HTTP пора вообще выносить.
То-то поху так припекаект от каждой новости про HTTPS.
>При попытке входа на любой сайт будет выполняться проверка логина и пароля по
>базе скомпрометированных учётных записей с выводом предупреждения в случае
>выявления проблемА я-то всё голову ломаю, как удаётся взломать учётки, а они, оказывается, будут мои логин и пароль на сторону отправлять. У меня даже слов нет, как это описать. Гении.
Они ещё будут за тебя помнить что этот пароль уже используется на других ресурсах. Осталось в качестве фичи добавить галочку на разруливание паролей автоматически хромом чтобы он сам и пароль генерировал и логин автоматом генерировал.
Осталось заменить все пароли на символ возврата каретки... Чего уж мелочиться-то
генерю все пароли которые не надо помнить самому хромом, ибо теже яйки что в ластпассе.. ну а сверка утёкших паролей происходит по сверке с базой утёкших хэшей и это хорошо.
> Они ещё будут за тебя помнить что этот пароль уже используется на других ресурсах."Нельзя установить пароль dvbdkfjgh на сайте вашбанк.com, этот пароль уже используется аккаунтом vasya123"
Вот кстати да, _массовый_ сбор даже кусков хешей в привязке к URL и потенциально юзернеймам - опасен сам по себе.
"чукча не читатель, чукча писатель"
когда коту нечем заняться, он начинает лизать яица и бороца за безопасность во всём мире
Давно уже заблокано всё что не https. В чём новость? Лучше скажите как пользователя принудительно на https перевести, а то надоело динозавры отбитые.
HSTS и/или 301-й редиректК сожалению надёжных способов спасения лохов, которые переходят по http:// ссылкам, пока не придумали
В том же IE вся эта мешура дополнений и выскакивающих и не особо выскакивающих банеров просто блочилась браузером при загрузке страницы, а под адресной строкой вылезало уведомление о локе. При этом всё, что гипертекст или разрешено по умолчанию, спокойной себе грузилось. В чём проблема сделать так во всех браузерах - загадка, на которую в голову лезут только консперологические догадки
> В том же IE вся эта мешура дополнений и выскакивающих и не
> особо выскакивающих банеров просто блочилась браузером при загрузке страницы, а под
> адресной строкой вылезало уведомление о локе.и это было совершенно неправильно, потому что позволяло пользователю сразу заметить причину пустой страницы или отсутствия реакции на нажатие, и тут же отключить ненужную о себе заботу.
А нам нужно чтобы пользователь посокрушался "опять на этом сайте все поломалось, эх, когда-то такой хороший и быстрый был, наверное его админы все испортили" - и пошел себе на ютубчик и в мордокнижечку, там-то админы правильные, у них все всегда работало.
о HTTPS Everywhere изкаробки
странно что opennet по-умолчанию открывается по http, приходится добавлять в HTTPS Everywhere правило. Наверно, напряженка с хостингом. Вообще, хоть и не нравится навязывание своего, оч хорошая инициатива от гугла. Ну да, от фишинга например это никак не защитит, но уменьшение вероятности MITM хоть как-то - и то хорошо.
> таких как "abc123" (по статистике Google 23% американцев используют подобные пароли)Интересно, откуда они это знают? Из первых двух байт хеша? Или из первых двух сантиметров хромого анального зонда?
Ну у них как бы овердохренище ресурсов с регистрацией, тот же гмыль. Статистика там нехилая.
>проверять надёжность паролей
>проверять надёжность паролей
>проверять надёжность паролейТо есть, Гуглаг напрямую будет узнавать чужие пароли,
А развесившим уши хромым на голову Гуглаг-пользователям он будет туда испражнятся детскими отмазками "мы просто проверяем насколько ваш пароль хорош".
И ведь таких дурней - МИЛЛИОНЫ. И один из них обязательно начнёт борцевать за Гуглаг прямо под этим постом, в котором - простая констатация фактов.