| 1.1, tensor (?), 11:10, 23/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– |
Владельцы фишинговых сайтов в срочном порядке отправляются на letsencrypt.org.
| | |
| |
| 2.40, Michael Shigorin (ok), 14:22, 23/10/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Давно пора.
Смысл? Как совершенно справедливо отметили, те, для кого мошенничество -- "ничего личного, только бизнес", озадачатся гораздо оперативней хозяев тучи ещё полезных страничек, порой даже с гостевушками для обратной связи (изредка даже незаспамленными).
| | |
| |
| |
| 4.55, rob pike (?), 16:31, 23/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не почешутся они что так что эдак.
Увеличится только скорость, с которой полезный контент (а не clickbait) переезжает в wayback machine.
| | |
| |
| 5.72, Crazy Alex (ok), 19:07, 23/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Если они вообще туда не заходят - полезный контент останется всё там же, где и был. Если заходят - скорее вырубят гостевухи или что там. Чтобы прибили сайт из-за этого - маловероятно.
Впрочем, я вообще не сильно уверен, что хрень, которую погасили из-за халобна гостевую, может быть полезным контентом.
| | |
|
| 4.95, Хомячелло (?), 09:50, 24/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Им и не надо чесаться, т к они не собирают персональных данных, не требуют оставлять откровения о своей интимной жизни и т д. Посмотрите на этот сайт.
| | |
| |
| 5.96, Хомячелло (?), 09:52, 24/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Им и не надо чесаться, т к они не собирают персональных данных,
> не требуют оставлять откровения о своей интимной жизни и т д.
> Посмотрите на этот сайт.
Для большинства ресурсов авторизация - способ проверить, что ты не робот и только. Все доп функции в виде уведомлений на имейл нафиг большинству не уперлись (и имейлы все вводят липовые). Надо понимать, что ты в тырнете, и все, что ты тут оставил уже не твое, неважно где и кому.
| | |
| |
| 6.97, Sluggard (ok), 14:39, 24/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > доп функции в виде уведомлений на имейл нафиг большинству не уперлись (и имейлы все вводят липовые)
Давай, большинство само решит, что из него кому надо, а ты от имени этого большинства перестанешь говорить?
| | |
|
|
|
| 3.57, Аноним (-), 16:39, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> озадачатся гораздо оперативней
по крайней мере им будет сильно сложнее.
| | |
| 3.69, rshadow (ok), 18:27, 23/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Это все из серии DNT, CORS и .т.д. Пытаются сделать видимость улучшения защиты, подпирая бесполезными костылями.
| | |
| |
| 4.70, cmp (ok), 18:33, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Согласен, решать должен либо пользователь, либо владелец сайта, а диктат условий посредником - этот бред. Хотя последнее время посредники совсем распоясались, производители имеют крохи, покупатели переплачивают в разы, а эти гребут за обе щеки еще и цу раздают.
| | |
| |
| 5.78, Alexey (??), 19:46, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Тут все отлично. Владелец сайта может ничего не делать, пользователь - пользоваться любой альтернативой.
| | |
|
|
|
|
| |
| |
| 3.16, Аноним (-), 12:29, 23/10/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
хз, я не верю, что это всё только ради нашей безопасности, вся эта движуха не спроста
| | |
| |
| 4.38, xaxaxa (?), 14:17, 23/10/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
вся эта движуха чтобы кормить нас рекламой, ибо в https резка оной намного геморнее происходит
| | |
| |
| 5.39, Аноним (-), 14:20, 23/10/2015 [^] [^^] [^^^] [ответить]
| +6 +/– |
Скорее уж наоборот, никакие ушлые "провайдеры", типа точек доступа в московском метро, не будет вклинивать в трафик свою рекламу. Поэтому вопрос в силе, https выглядит как благо.
| | |
| |
| 6.43, Аноним (-), 14:24, 23/10/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
ну, т.е. гуглу нас кормить рекламой будет можно, а билайну нет
| | |
| |
| |
| 8.110, Аноним (-), 13:03, 25/10/2015 [^] [^^] [^^^] [ответить] | +1 +/– | угу, если их не купят добрые корпорации или если мозилла не решит друг от подобн... текст свёрнут, показать | | |
|
|
|
| 5.60, й (?), 16:49, 23/10/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
если резать на уровне прокси -- да, геморнее. на уровне браузера -- никакой разницы.
| | |
|
|
| 3.17, . (?), 12:33, 23/10/2015 [^] [^^] [^^^] [ответить] | +/– | да в общем, ничего особо хорошего Как, например, удобно cтановится отлаживать... большой текст свёрнут, показать | | |
| |
| 4.24, qwerty (??), 13:14, 23/10/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
Быдло кодерам всегда плохо. Они часто даже просто ПО не обновляют.
| | |
| 4.32, Crazy Alex (ok), 13:45, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
"нколеночный сорм" в виде расширения к брузеру спасёт, по идее.
А так - пока это всего лишь предупреждение, которое ещё и развернуть надо, чтобы увидеть. Мозилловцы, конечно, странные, но, надеюсь, дальше галки в настройках отказ от HTTP не уйдёт. И это, в общем-то, будет неплохим вариантом - "простой юзер" её редко когда снимет.
| | |
| 4.46, freehck (ok), 14:39, 23/10/2015 [^] [^^] [^^^] [ответить] | +3 +/– |  Надейтесь Как показывает практика, именно так большинство пользователей и посту... большой текст свёрнут, показать | | |
| |
| 5.48, тоже Аноним (ok), 14:56, 23/10/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
 Мне, обычному пользователю, пришлось нынче регистрироваться в Эльдораде.
Конечно, я к этому личному кабинету придумал, да еще и запомнил, пароль, который ни один хакер не подберет! Эльдорадо, правда, считал его слабым, но мне привычнее вспомнить "123456", когда мне этот личный кабинет вновь понадобится через полгода.
А вот к админке сайта можно и что-то оригинальное придумать. Впрочем, необязательно к каждой админке - разное, если это твой сайт и ты знаешь, что пароли на нем нормально шифруются. Главное, чтобы перебором не подбиралось в этом веке...
| | |
| |
| 6.74, Аноним (-), 19:18, 23/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>вспомнить через полгода
В таком случае лучше придумать маску: myOwNm@sk, и все пароли к малонужным сайтам делать навроде:
eldoradomyOwNm@ask
aliexpressmyOwnm@sk
| | |
| 6.115, Aleks Revo (ok), 14:21, 28/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > Главное, чтобы перебором не подбиралось в этом веке
Главное не забывать, что нынешний век длится лет 5-10 от силы.
| | |
|
|
| 4.56, Аноним (-), 16:38, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> Как будто что то плохое.
> да в общем, ничего особо хорошего.
> Как, например, "удобно" cтановится отлаживать такое, подумали? (ну или реверс-инжинерить,
> когда в очередной раз ломается скриптовый даунлоад с rutube)
> Я вот уже всерьез озаботился своим наколеночным "сормом", из которого можно достать
> расшифрованную сессию - потому что иногда нужна именно реальная сессия браузера
> с сервером, а не ручная ее имитация через openssl client
> И, надо заметить, нормального готового решения для этой задачи как-то и нет.
В chromium есть поддержка для этого:
https://www.imperialviolet.org/2012/06/25/wireshark.html
| | |
| |
| 5.111, . (?), 13:39, 26/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Fidler подойдёт для перехвата трафика?
ну, в качестве аварийного решения - да, а в качестве удобной ручки для "так, что-то поломалось, дай-ка я посмотрю, что у зайчика внутри" - это ж чудовище на .net, то бишь в случае опенсорса - на mono, как обычно, в режиме тут играем, тут рыбу заворачивали, эту версию не поддерживаем, в той ошибка... Угол с mono на их сайте выглядит, кстати, изрядно подзаброшенным.
| | |
|
|
| |
| 4.109, Аноним (-), 04:59, 25/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
>>Как будто что то плохое.
> Шифрованный трафик плохо жмётся.
я тебя удивлю, сначала сжимают, потом шифруют.
| | |
|
| 3.35, user (??), 13:52, 23/10/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Плохо, что большинство считает https защищённым каналом.
| | |
| |
| 4.42, Аноним (-), 14:23, 23/10/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
Все зависит от допущений. HTTP(без S), при надлежащем контроле за физической средой, тоже можно считать защищенным.
| | |
| 4.91, XoRe (ok), 23:57, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 > Плохо, что большинство считает https защищённым каналом.
Все познается в сравнении.
По сравнению с http, это защищенный канал.
| | |
|
| 3.41, Michael Shigorin (ok), 14:22, 23/10/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Как будто что то плохое.
Ага, и те же люди будут впаривать про "зелёную энергетику" и прочую "прозрачность", что характерно.
| | |
|
| |
| 3.25, qwerty (??), 13:18, 23/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> СОРМ-2 плачет кровавыми слезами.
Не совсем. Там же главная фишка это сравнение времени соединений и размера пакетов.
Так что узнать кто именно соединялся в тот момент когда на форуме появилось сообщение - можно. Естественно только, если есть доступ к инфе о времени (на многих форумах и чатах) или сайт расположен на русском хостинге (тогда на него установлен COMP).
| | |
| |
| 4.88, Alex (??), 23:43, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Узнать можно, а вот доказать будет проблематично.
Хотя согласен - в условиях российского кривосудия, это, конечно, и не требуется.
| | |
| |
| 5.116, Aleks Revo (ok), 14:26, 28/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Узнать можно, а вот доказать будет проблематично.
> Хотя согласен - в условиях российского кривосудия, это, конечно, и не требуется.
Там, где актуален СОРМ и прочая - доказывать ничего не требуется, независимо от юрисдикции, — требуется лишь найти того, кто готов поделиться информацией (не важно на каких условиях, но обычно «пальцы в дверь» — достаточное).
| | |
|
|
| 3.27, qwerty (??), 13:22, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> СОРМ-2 плачет кровавыми слезами.
К тому же, есть тип атаки по паттернам трафика - отпечаток сайта. В базе хранится примерный размер пакетов и времени между ними, который может быть уникален для каждого сайта.
На сегодня рандомизирует запросы только TorBrowser, предотвращая составления отпечатка.
| | |
| |
| 4.89, Alex (??), 23:45, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Это вообще уже из области паранойи. Паттерны есть только у сайтов с предсказуемым движком, а вот на шаред хостинге, где пара тысяч сайтов с непредсказуемым порядком обращений, посчитайте-ка мне паттерн :)
| | |
|
| |
| 4.44, Michael Shigorin (ok), 14:24, 23/10/2015 [^] [^^] [^^^] [ответить]
| –7 +/– | |
> Это хорошо, нелегитимные органы должны страдать.
Нелегитимные давно уже протрясли свои пейсбук и гугль добрым словом и, видимо, чем-то потяжелей... так что они-то как раз страдать не собираются; наоборот, не удивлюсь, если к инициативе запихивания всего подряд под ssl также каким-то боком причастны.
| | |
|
|
|
| 1.4, Аноним (-), 11:46, 23/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Разумным компромиссом была бы разработка стандарта, позволяющего сосуществование обоих протоколов HTTP и HTTPS в рамках одной страницы. Общедоступный контент по HTTP, приватная информация по HTTPS.
| | |
| |
| |
| 3.31, anonymous (??), 13:38, 23/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> И утечка оного через Javascript. Спасибо, не надо.
Вот с этого и надо начинать. Выпилить наконец этот дырявый Javascript.
| | |
| |
| 4.33, Nas_tradamus (ok), 13:49, 23/10/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
 При всей нелюбви ко всему, что содержит в названии "java", таки поинтересуюсь: а что использовать взамен?
| | |
| |
| 5.37, user (??), 13:56, 23/10/2015 [^] [^^] [^^^] [ответить]
| +5 +/– |
Перестать путать документы и приложения. Для документов не нужна интерактивность, а для приложений не нужен браузер.
| | |
| |
| 6.58, й (?), 16:42, 23/10/2015 [^] [^^] [^^^] [ответить]
| +2 +/– | |
можно ссылочку на парочку ваших приложений? кто-то ими пользуется?
вы, наверное, знаете, есть такая компания гугол. так вот: в части ненужности веб-приложений они с вами несогласны. но как-то получилось, что большинство людей пользуют веб-приложения этой компании, а про ваши и не слышали.
в общем, у меня серьёзное впечатление, что вы других учите тому, в чём сами полный ноль.
| | |
| |
| |
| 8.63, й (?), 17:20, 23/10/2015 [^] [^^] [^^^] [ответить] | +/– | да нет, могут особенно те, которые кричат в интернетах, что лучше всех знают, к... текст свёрнут, показать | | |
|
| 7.98, Sluggard (ok), 14:48, 24/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
То есть юзер, которому Вы отвечали, не жаждет пользовательской инфы, не пытается пользователя отслеживать, и не пичкает его рекламой?
Так он же молодец! )
| | |
| 7.114, Аноним (-), 16:48, 27/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Какой толк от интерактивности? Плавно выезжающая реклама, превращающая не слаый процессор в сковородку?
| | |
|
| 6.61, . (?), 16:49, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Чувак ... ты не на ту гравицапу нажал, созвездие Лебедя это 150 парсеков на юг, а тут планета Земля ... нет, нет - твой переводчик глючит, это не переводится как грязь" (С) :)
| | |
| 6.64, dr Equivalent (ok), 17:22, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 В терии - да. На практике все сложнее.
Вот же ж глупая практика, на ней всегда все сложнее.
| | |
| |
| 7.66, Crazy Alex (ok), 17:33, 23/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
на практике в голове у людей мусор, поэтому они не могут отличить, где нужно приложение,а где - документ. Чем и пользуются пройдохи вроде гугла.
| | |
| |
| |
| |
| 10.79, й (?), 19:58, 23/10/2015 [^] [^^] [^^^] [ответить] | +/– | ну, тогда к чему недовольствие тем, что современный веб -- это по сути веб-прило... текст свёрнут, показать | | |
|
|
| 8.68, й (?), 17:45, 23/10/2015 [^] [^^] [^^^] [ответить] | +1 +/– | бонусный вопрос а вот ещё бывают приложения для редактирования документов любо... текст свёрнут, показать | | |
| |
| |
| 10.80, й (?), 20:12, 23/10/2015 [^] [^^] [^^^] [ответить] | +/– | да не вопрос, пересылайте дальше документы по uucp так нет же -- открывают нена... текст свёрнут, показать | | |
| |
| |
| 12.112, й (?), 13:45, 26/10/2015 [^] [^^] [^^^] [ответить] | +/– | оффлайн-режим push notifications больше контроля за тем, кто и как использ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 4.59, й (?), 16:43, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Вот с этого и надо начинать. Выпилить наконец этот дырявый Javascript.
откройте для себя наконец-то lynx и не учите, как остальным жить.
| | |
| |
| 5.71, anonymous (??), 18:43, 23/10/2015 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>откройте для себя наконец-то lynx и не учите, как остальным жить.
Судя по количеству адблоков и ноускриптов они не живут, а страдают. Вэб в текущем виде скоро похоронит сам себя. И так бровзер сталь настолько жирным, что позволить его разработку может только гуголь. Даже аппл со своим выбкитом того и гляди отвалится.
| | |
|
|
|
|
| 1.6, manster (ok), 11:51, 23/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 т.е. если пароль солится или криптуется по http это конечно не в счет ...
| | |
| |
| 2.10, Alex (??), 11:54, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> т.е. если пароль солится или криптуется по http это конечно не в
> счет ...
А вот кстати да, я уже давно юзаю CRAM-авторизацию в некоторых сервисах, где HTTPS не нужен или не интересен.
| | |
| 2.11, arzeth (ok), 12:15, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
 Всмысле по http подключается JS с реализацией хэш-функции (sha256, …)?
1. Тогда паролем по сути становится уже сам хэш, и его точно так же можно использовать и перехватывать.
2. Этот JS можно подменить.
| | |
| |
| 3.21, manster (ok), 13:06, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Можно перехватывать все, что шлется по небезопасному каналу, поэтому нужно в любом случае криптовать на клиенте пароль или соль - все что угодно, что не компрометирует.
В том то и дело, что соль динамическая, а в случае статической соли да: хэш это пароль. Атакующий просто не успеет компрометировать систему при динамической соли.
JS можно подменить- да. Но можно и проверить факт подмены - способы есть.
В конце концов можно открыть файл JS у себя локально на компьютере или вообще использовать стороннее приложение для расчетов.
| | |
| |
| 4.34, тоже Аноним (ok), 13:51, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Динамическая соль требует хранения пароля в незашифрованном виде на сайте.
Избавляемся от перехвата, создаем дыру на случай слива.
Незачет.
| | |
| |
| 5.45, manster (ok), 14:32, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– | |
использование статической соли бессмысленно ибо зная соль несложно сгенерить таблицы, прятать соль сводится к роли пароля, что еще более бессмысленно
храни в зашифрованном виде - что мешает?
| | |
| |
| 6.47, тоже Аноним (ok), 14:53, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у каждой записи своя.
А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным с другой солью?
| | |
| |
| 7.51, manster (ok), 15:32, 23/10/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у
> каждой записи своя.
Это рентабельнее на много и доступнее, чем тупой перебор.
| | |
| 7.85, Alex (??), 23:38, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у
> каждой записи своя.
> А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным
> с другой солью?
А кто мешает посчитать хеш, хранимый в базе, на клиенте, и от него посчитать уже разовый хеш?
| | |
|
|
| 5.84, Alex (??), 23:36, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Динамическая соль требует хранения пароля в незашифрованном виде на сайте.
> Избавляемся от перехвата, создаем дыру на случай слива.
> Незачет.
И снова мимо: можно посчитать хеш от челенджа+хеша исходного пароля.
| | |
|
|
| 3.29, nuclight (??), 13:32, 23/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Нет, не становится. Читать про CRAM - оно будет каждый раз разным.
...Ну, на самом деле надо предусмотреть тайминги из-за отсутствия постоянного соединения в HTTP, скажем он будет постоянным в течение получаса... но тот же LiveJournal применял этот метод уже более 10 лет назад.
| | |
| 3.83, Alex (??), 23:35, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом. Перехватить можно, а вот использовать не получится. С другой стороны, от перехвата session id всё равно не спасёт. А вот для безсессионных форм вполне себе катит.
| | |
| |
| 4.90, manster (ok), 23:51, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом. Перехватить
> можно, а вот использовать не получится. С другой стороны, от перехвата
> session id всё равно не спасёт. А вот для безсессионных форм
> вполне себе катит.
Речь идет об SCRAM?
| | |
|
|
| 2.12, MidNight_er (?), 12:17, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Отличный велосипед! значит либо у вас нас на сайте в базе данных реальные пароли, а не их хэши с солью, либо перехватив тот хэш что вы передаёт по http можно авторизоваться на сайте
| | |
| |
| 3.22, manster (ok), 13:07, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Отличный велосипед! значит либо у вас нас на сайте в базе данных
> реальные пароли, а не их хэши с солью, либо перехватив тот
> хэш что вы передаёт по http можно авторизоваться на сайте
Отличный способ узнать, как на самом деле ;)
| | |
| 3.86, Alex (??), 23:38, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Отличный велосипед! значит либо у вас нас на сайте в базе данных
> реальные пароли, а не их хэши с солью, либо перехватив тот
> хэш что вы передаёт по http можно авторизоваться на сайте
Не можно. Учите матчасть.
| | |
| |
| |
| 5.106, тоже Аноним (ok), 22:48, 24/10/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Тут учить нечего, достаточно понимать, что вычисления хэша на сервере и на клиенте взаимозаменяемы.
Если авторизация основана на сравнении готовых хэшей, то, имея данные с сервера, можно повторить расчет на клиенте и получить тот же результат.
Поскольку единственное достоинство хэша в плане безопасности - это сложность восстановления из него исходных данных. А все эти повторные пересаливания и перешифрования известных данных - это пустая профанация, они только человека запутать могут...
| | |
|
|
|
|
| 1.8, Georges (ok), 11:52, 23/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 то есть все форумы и всякие админки вордпресса будут должны по HTTPS работать?
| | |
| |
| 2.26, Имя (?), 13:19, 23/10/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не должны. Просто будет помечаться, что не безопасно.
| | |
| 2.87, Alex (??), 23:40, 23/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
> то есть все форумы и всякие админки вордпресса будут должны по HTTPS
> работать?
Всё, что использует session id, должно работать по HTTPS. Потому что все хеши-пароли бессмысленны, если можно просто перехватить session id и прочие cookie. Прибивка к IP не спасёт - IP спуфится, ну и никто не гарантирует, что злоумышленник не сидит за NAT'ом с того же IP.
| | |
| |
| 3.93, Аноним (-), 00:38, 24/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>IP спуфится
Ну давай, расскажи нам как установить tcp соединение со спуфленным ип и послать хоть один пакет по нему чтоб сервер его принял. Заплачу 1000$, серьезно.
| | |
|
|
| |
| 2.20, имя (?), 12:55, 23/10/2015 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ну а что с админками роутерными делать?
ходить в них из интернет эксплорера. мозиловцы так и делают!
| | |
| |
| 3.54, Аноним (-), 16:27, 23/10/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
Дело в том что глупо показывать предупреждение для подключения по HTTP через шифрованный OpenVPN
| | |
| |
| 4.81, IZh. (?), 20:35, 23/10/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это если VPN идёт прямо до сервера сайта. А если VPN, допустим, в Европу, а далее на сайт в Америке...
| | |
|
|
| 2.92, анонимус (??), 00:00, 24/10/2015 [^] [^^] [^^^] [ответить]
| +/– |
Админка OpenWRT умееет https. В последнем релизе даже уже в конфиг uhttpd добавили необходимые настройки, хотя оно и раньше легко заводилось после курения их вики.
| | |
|
| 1.100, Аноним (-), 14:53, 24/10/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Не вижу в этом смысла. Похоже на маркетинговый ход, ведь у юзеров будет создаваться иллюзия безопасности.
| | |
|
