1.1, A.Stahl (ok), 11:40, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– |
Есть у меня один сайтец. Две HTML странички. Никакой логики, скриптов и т.п. Никаких полей для ввода. Никакой важной или конфиденциальной информации.
Заставил работать через HTTPS. А то такими темпами через полгода сайт сможет открыть только Saahriktu через Linx, да и тот испугается Юникода и убежит в Фидо или где он там обитает.
| |
|
2.8, Аноним (-), 12:05, 16/01/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
Даже если на вашем сайте не нужно вводить пароль, HTTPS защитит от внедрения вредоносного кода, подмены информации и слежки за пользователем, на какие страницы он заходил. HTTPS нужен особенно любителям подключаться к чужим VPN серверам.
| |
|
3.42, Аноним (-), 13:17, 16/01/2018 [^] [^^] [^^^] [ответить] | –4 +/– | Не защитит, если атакующий подменит DNS-ответ DNSSEC пока не рсспространён ни в... большой текст свёрнут, показать | |
|
|
5.46, Аноним (-), 13:24, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
А какой DNS мне прописать, чтобы обезопасить себя от MITM в интернете?
| |
|
|
7.147, Аноо (?), 21:29, 16/01/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Не поможет же. Или записи будешь вручную в него загружать из _надежных_источников_?
| |
|
|
|
|
|
|
7.106, Аноним (-), 15:54, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Что может быть уязвимие HTTP?
При HTTPS на сервере существенно больше переусложнённого кода, в котором в любой момент может всплыть новая уязвимость.
| |
7.121, Michael Shigorin (ok), 17:37, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Что может быть уязвимие HTTP?
Очередная дыра в libssl. Или само-DoS из-за тухлого сертификата. Или...
PS: впрочем, Вам бы сперва хоть по-русски писать научиться грамотно.
| |
|
|
|
4.70, КО (?), 13:56, 16/01/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
>Не защитит, если атакующий подменит DNS-ответ
Как бы, именно от этого, SSL и защищает. Потому как помимо подмены ответа, куда ведет www.google.com, надо еще и браузеру доказать, что есть доступ к валидному сертификату на это имя.
Другое дело, что получить этот сертификат можно подменив DNS ответ для центра выдачи сертификатов, но это сложнее и надо атаковать сразу две инфраструктуры - клиентского провайдера и провайдера центра сертификации. Ну или иметь другой путь доступа к доверенному центру выдачи сертификатов.
Проблема сертификатов, в основном, связанна с тем, что система очень сильно децентрализовано и все могут почти все. В том числе и выдавать сертификаты на www.google.com, при том, что где-то еще подобный сертификат выдан.
| |
|
5.91, fail_ (?), 14:53, 16/01/2018 [^] [^^] [^^^] [ответить]
| –3 +/– |
>>Не защитит, если атакующий подменит DNS-ответ
...
> Проблема сертификатов, в основном, связанна с тем, что система очень сильно децентрализовано
> и все могут почти все. В том числе и выдавать сертификаты
> на www.google.com, при том, что где-то еще подобный сертификат выдан.
имхаеЦЦа, вся с хрень с центрами и прочими криптографиями почила в бозе..
| |
|
4.111, pavlinux (ok), 16:30, 16/01/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
>> HTTPS защитит от внедрения вредоносного кода, подмены информации
> Не защитит, если атакующий подменит DNS-ответ.
Кроме теории на википедии, в живую покажешь?
| |
4.130, Аноним (-), 18:39, 16/01/2018 [^] [^^] [^^^] [ответить]
| +5 +/– |
> Не защитит, если атакующий подменит DNS-ответ.
А какой из CA прописанных в браузере в доверенные ему выдаст сертификат SSL на это подменённое имя? Ведь без этого браузер скажет пользователю «неизвестный центр сертификации».
| |
|
3.107, pavlinux (ok), 16:24, 16/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Даже если на вашем сайте не нужно вводить пароль, HTTPS защитит от внедрения вредоносного кода,
> подмены информации и слежки за пользователем, на какие страницы он заходил. HTTPS нужен особенно
> любителям подключаться к чужим VPN серверам.
Хватит уже параноить. "Две HTML страницы. No JS/PHP/CSS ..." куда и как внедрять ты собрался?
Если хацкеры заломают провайдера, зальют свой код, как меня спасёт SSL?
| |
|
4.138, anomymous (?), 20:16, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не, ты не понял. От подмены _по пути_. То есть врезки рекламы, вредоносного кода, etc. например провайдером.
| |
|
5.186, Аноним (-), 12:13, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Не, ты не понял. От подмены _по пути_. То есть врезки рекламы,
> вредоносного кода, etc. например провайдером.
ОПСОСы этим занимаются уже давно.
| |
|
6.201, J.L. (?), 13:18, 19/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Не, ты не понял. От подмены _по пути_. То есть врезки рекламы,
>> вредоносного кода, etc. например провайдером.
> ОПСОСы этим занимаются уже давно.
потому что http - и занимаются !
| |
|
|
|
|
2.38, th3m3 (ok), 13:07, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Зато есть HTTP/2 со своими плюшками, который не будет работать без https. Хочешь сидеть на старом протоколе - сиди.
| |
|
|
4.145, Аноним (-), 21:02, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Любители http любят telnet. Любители https любят ssh.
Нет. Любители https обычно любят какие-нибудь ssh-клиенты, реализованные на электроне или прямо в виде яваскриптового приложения для гуглхрома.
| |
|
|
|
|
2.10, Борщдрайвен бигдата (?), 12:09, 16/01/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь .intranet и забыть. Достаточно стандартная практика.
| |
|
3.61, Аноним (-), 13:41, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь
> .intranet и забыть. Достаточно стандартная практика.
Куда поставить? Во все ноутбуки при подключении к открытой точке доступа без интернета?
| |
3.97, Аноним (-), 15:07, 16/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь
> .intranet и забыть. Достаточно стандартная практика.
Да, да, да, Вы еще гуглёвому хромому это объясните, что вот ентот корневой сертификат, гуглём не признанный, но мною чесно в доверенные добавленный, он должОн считать таки доверенным, а не ругаться матом каждый раз при входе на чёй-то-там.intranet...
| |
|
4.190, Аноним (-), 15:09, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Да, да, да, Вы еще гуглёвому хромому это объясните, что вот ентот корневой сертификат, гуглём не признанный, но мною чесно в доверенные добавленный, он должОн считать таки доверенным, а не ругаться матом каждый раз при входе на чёй-то-там.intranet...
флаг --ignore-certificate-errors вам в помощь
| |
|
|
2.34, Аноним (-), 12:57, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Пользователям-то чего страдать? Разработчики немножко пострадают, но таки осилят генерацию самоподписанных сертификатов для отладки.
| |
|
3.63, Аноним (-), 13:42, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Разработчикам бывает нужно ещё и трафик снифить, чтобы видеть что там происходит на самом деле...
| |
|
4.83, Аноним (-), 14:32, 16/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ну ок, осилят ещё и настройку логирования сервера. Как они, бедные, без этого до сих пор жили…
| |
|
|
|
7.149, Аноним (-), 22:41, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Хороший разработчик использует все возможности. А при работе с чужим кодом снифер бывает просто необходим.
| |
|
6.155, Аноним (-), 23:11, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Вы не понимаете разницу между логами и снифером?
В лог можно записать всё то же, что будет показывать снифер.
| |
|
7.169, Аноним (-), 00:34, 17/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В лог можно записать всё то же, что будет показывать снифер.
Нельзя. Это совсем другой уровень, и что там делает фронтенд с заголовками и контентом может быть тайной за семью печатями.
| |
|
|
5.158, rpm (?), 23:24, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Ну ок, осилят ещё и настройку логирования сервера. Как они, бедные, без
> этого до сих пор жили…
Сервер может быть чужой
| |
|
|
|
|
1.7, Аноним (-), 12:04, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec внедрили, но они этого делать и не собираются даже...
| |
|
2.15, пох (?), 12:16, 16/01/2018 [^] [^^] [^^^] [ответить]
| –6 +/– |
> Им забашляли центры сертификации чтоли?
наоборот. Им забашляли те же, кто пихает во все дыры letsdecrypt.
Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры. Во всяком случае, вы ничего не можете на них делать без блока данных, обрабатываемого гнилым, громадным и толком неверифицируемым куском кода, выдаваемых непойми кем и который вас заставляют регулярно менять (желательно - еще и исполняя непойми чьи скрипты, но это тоже дело десятое).
(dnssec, если что, не решает ни одной проблемы, кроме, разьве что, отдельных (мелких) проблем в самом dns)
| |
|
3.21, Борщдрайвен бигдата (?), 12:23, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры.
Передергивание.
> Во всяком случае, вы ничего не можете на них делать без блока данных
Перегибаешь.
> гнилым, громадным и толком неверифицируемым куском кода
Некорректно.
> выдаваемых непойми кем
Бери у «пойми кого», делов-то.
> (dnssec, если что, не решает ни одной проблемы, кроме, разьве что, отдельных (мелких) проблем в самом dns)
Ложь, причем неприкрытая. На моей практике два раза было, когда клиенты жаловались на странные проблемы с API, на поверку оказавшиеся отравленным кешом DNS.
| |
|
4.44, Аноним (-), 13:22, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Не могу — эти уроды купили последний нормальный центр сертификации. А владельца — заставили в качестве наказания заниматься разработкой Linux-дистрибутива для простых пользователей.
| |
4.151, пох (?), 22:48, 16/01/2018 [^] [^^] [^^^] [ответить] | +/– | не ты решаешь, как и что защищать на твоем сайте И не твои пользователи Где ту... большой текст свёрнут, показать | |
|
5.175, angra (ok), 04:51, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> не ты решаешь, как и что защищать на твоем сайте. И не твои пользователи. Где тут передергивание?
В подмене вопроса принадлежности вопросом о стандарте передачи данных. То, что ты вынужден пользоваться каким-то определенным протоколом, не забирает у тебя владение самим сайтом и тем более компьютером. Если уж хочется поговорить о эфемерности владения, то стоило бы говорить о регистрарах, хостерах и провайдерах, которые действительно могут в любой момент лишить тебя сайта.
> Кстати, а как же, как же https подписанный гугледоверенным сертификатом, неужели не
> выдал им честное сообщение что они зашли не на тот сайт?
> Не может быть! ;)
Ты не понимаешь разницы между API и сайтом?
| |
|
6.179, Ю.Т. (?), 07:02, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> не ты решаешь, как и что защищать на твоем сайте. И не твои пользователи. Где тут передергивание?
> В подмене вопроса принадлежности вопросом о стандарте передачи данных. То, что ты
> вынужден пользоваться каким-то определенным протоколом, не забирает у тебя владение самим
> сайтом и тем более компьютером. Если уж хочется поговорить о эфемерности
> владения, то стоило бы говорить о регистрарах, хостерах и провайдерах, которые
> действительно могут в любой момент лишить тебя сайта.
Все эти движения *фактически* предоставляют "сертификаторам" *контроль* над "сайтами", даже ещё не созданными, и даже в изолированных сегментах.
Осталось понять, зачем так густо пугают проколами во всём, начиная с процессоров -- именно ради этого или ещё что-то преследуется.
| |
|
7.182, angra (ok), 10:22, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
И какой же именно контроль это предоставляет? В чем он выражается? Есть ли прецеденты? Какова степень его опасности в сравнении с реальными методами контроля? Не делает ли кое-кто из мухи слона?
| |
|
8.187, Ю.Т. (?), 14:08, 17/01/2018 [^] [^^] [^^^] [ответить] | +/– | Ну я не знаю, есть тут дутый драматизм или нет А так, что касается именно гипот... текст свёрнут, показать | |
|
|
6.192, пох (?), 23:37, 17/01/2018 [^] [^^] [^^^] [ответить] | +/– | да не протоколом, а здоровенным куском чужих данных, чуть ли не намеренно сде... большой текст свёрнут, показать | |
6.203, Аноним (-), 11:13, 22/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Если уж хочется поговорить о эфемерности
> владения, то стоило бы говорить о регистрарах, хостерах и провайдерах, которые
> действительно могут в любой момент лишить тебя сайта.
Регистраторы, пожалуй, тоже из этой же оперы, но хостеры и провайдеры - это не то. В любое время можно их сменить и проблемы не будет. А вот кастрированный доступ к твоему домену будет вне зависимости от твоего желания. Потому, что mozilla так решила. Иди плати бабки за сертификат и пофиг, что ты считаешь, что он тебе не нужен - твоё мнение никому не интересно.
| |
|
|
|
|
2.37, Аноним (-), 13:07, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec
> внедрили, но они этого делать и не собираются даже...
Если бы внедрили DNSSEC, то можно было бы нормально пользоваться DANE, и CA стали бы не нужны.
| |
|
3.152, пох (?), 22:50, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Если бы внедрили DNSSEC, то можно было бы нормально пользоваться DANE, и
> CA стали бы не нужны.
их просто заменили бы на регистри (без подписей которого ничего вниз по цепочке не работает - точно так же). Кому от этого легче?
| |
|
4.171, Аноним (-), 00:47, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Какие ещё регистри? Всё давно работает безо всяких "бы" и прочих ваших фантазий, не хватает только поддержки со стороны браузеров (раньше были плагины/расширения, сейчас - хз). Почтовые сервера (exim, postfix) уже поддерживают нативно.
| |
|
5.193, пох (?), 23:38, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Какие ещё регистри? Всё давно работает безо всяких "бы" и прочих ваших
https тоже как бы "давно работает". Но есть один ньюанс...
так вот в dnssec этот "ньюанс" пожирнее будет.
| |
|
6.195, Аноним (-), 02:17, 18/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Посвятите же нас в ваш "ньюанс". Особенно в эти таинственные регистри...
| |
|
|
|
|
2.209, rewwa (ok), 23:37, 29/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec
> внедрили, но они этого делать и не собираются даже...
А мне интересно, почему они этого не делают?
| |
|
1.9, Аноним (-), 12:08, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Б-ть.
А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради пары станиц на голом html?
| |
|
2.11, Борщдрайвен бигдата (?), 12:10, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Б-ть.
> А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради
> пары станиц на голом html?
Пара страниц на _голом html_ не будет использовать Service Workers.
| |
|
3.13, Аноним (-), 12:14, 16/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
А это не суть важно, главное - тенденция. Сначала браузеры стали как резаные орать при заходе на не-https - "ой, бида-бида вашим пирсанальным данным!", потом у них начнёт отваливаться функционал, а послезавтра и вовсе скажут "нефиг", да ещё и перестанут принимать самоподписанные сертификаты...
| |
|
4.18, Аноним (-), 12:19, 16/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
А почему ты думаешь что тебя, любителя одинаковых паролей на всех сайтах, должны слушать вменяемые пользователи и разработчики?
| |
|
5.19, Аноним (-), 12:21, 16/01/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
А почему я должен держать yпopoтых идиотов за вменяемых разработчиков?
| |
|
6.25, Аноним (-), 12:37, 16/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ты имеешь в виду людей, которые прививают у хомяков привычку думать о безопасности в сети?
| |
|
7.30, Аноним (-), 12:53, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Я имею в виду идиотов, считающих, что только они достойны привилегии думать.
| |
|
8.39, Аноним (-), 13:11, 16/01/2018 [^] [^^] [^^^] [ответить] | +/– | Нигде не прописан стандарт когда выводить предупреждение Твои привычки серфинга... текст свёрнут, показать | |
|
9.48, Аноним (-), 13:27, 16/01/2018 [^] [^^] [^^^] [ответить] | +2 +/– | Вопрос в тенденции ломать то, что работает, навязывая свои привычки и не оставля... текст свёрнут, показать | |
|
|
|
|
|
|
15.86, Аноним (-), 14:40, 16/01/2018 [^] [^^] [^^^] [ответить] | +5 +/– | Может быть ты просто туп Не улавливаешь тенденции или это слово для тебя непоня... текст свёрнут, показать | |
|
16.88, Аноним (-), 14:43, 16/01/2018 [^] [^^] [^^^] [ответить] | –1 +/– | В какой-то момент известных проблем стало больше чем известных преимуществ Приш... текст свёрнут, показать | |
|
17.90, Аноним (-), 14:50, 16/01/2018 [^] [^^] [^^^] [ответить] | +3 +/– | Отрубание головы при мигрени тоже можно назвать решением проблемы Понуждение к ... текст свёрнут, показать | |
|
|
|
|
|
|
|
|
|
|
7.52, Аноним (-), 13:35, 16/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Ты имеешь в виду людей, которые прививают у хомяков привычку думать о
> безопасности в сети?
Хомячки не думают, они клацают мышками и выедают мозг техподдержке, потому что не могут попасть в свои клиентбанки и емагазины после очередного проявления заботы об их безопасности озабоченными безопасностью пионэрами уэб-разработок, и им до фени эти ваши потуги "забезопасныйинтернет", особенно на фоне прочих зияющих дыр в электронных платежных системах.
| |
|
|
5.20, Аноним (-), 12:22, 16/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Потому что те у кого одностраничник с адресом магазина это "любитель одинаковых паролей" и страшный-опасный сайт -- это не вменяемые пользователи и адекватные разработчики, а обычные исторички.
| |
5.204, Аноним (-), 11:17, 22/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А почему ты думаешь что тебя, любителя одинаковых паролей на всех сайтах,
> должны слушать вменяемые пользователи и разработчики?
Вменяемые разработчики не должны навязывать своё мнение о безопасности всем вокруг.
А пользователи должны сами выбирать требуемый им уровень безопасности.
| |
|
|
|
2.12, пох (?), 12:12, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> А интранет-сайты?
а с чего ты взял, что в твоем интранете нечего красть?
> Как верно отметили выше, какого органа воротить центр сертификации ради пары станиц на голом
> html?
голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то авторизация или он захочет, вдруг, что-то знать о пользователе - придется озаботиться сертификатом.
А вот какого органа у тебя в интранете до сих пор НЕТ своего CA - действительно, удивляет.
| |
|
3.17, Аноним (-), 12:17, 16/01/2018 [^] [^^] [^^^] [ответить]
| +7 +/– |
>> А интранет-сайты?
> а с чего ты взял, что в твоем интранете нечего красть?
Можно я это сам решу?
> голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то
> авторизация или он захочет, вдруг, что-то знать о пользователе - придется
> озаботиться сертификатом.
Опять-таки - можно мне в своей гoвнo-домо-сетке на 2,5 компа самому решать - нужна мне безопасность, или нет?
> А вот какого органа у тебя в интранете до сих пор НЕТ
> своего CA - действительно, удивляет.
Он нафиг мне не нужен, имею право.
| |
|
4.22, Аноним (-), 12:25, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Можно я это сам решу?
Тоже самое разработчики мозилы говорят на критику своего браузера. Эта отмазка работает в обе стороны.
| |
|
5.24, Аноним (-), 12:32, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Можно я это сам решу?
> Тоже самое разработчики мозилы говорят на критику своего браузера. Эта отмазка работает
> в обе стороны.
Разработчики мозилы - олени с альтернативной сексуальной ориентацией, если действительно ведут себя подобным образом и считают, что это нормально - класть на мнение потребителей своего продукта.
| |
|
6.26, Борщдрайвен бигдата (?), 12:42, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Потрясающее невежество.
Ещё раз. Решения о Secure Context принимались в W3C TAG. В соотв. списках рассылок были те ещё обсуждения, какие API включать, зачем и почему.
То же самое было в списке разработки FF, но больше по техчасти.
Но ведь туда ты не ходил, правда?… Как правильно заметил, ты — потребитель, высравшийся токсичным комментарием на опеннете, и палец о клавиатуру не ударивший, чтобы не то, что изменить ситуацию, даже высказать свое мнение в надлежащем месте.
Так что не порть себе настроение зазря.
| |
|
7.55, Аноним (-), 13:38, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Решения... принимались в W3C TAG.
Который давно не функционален и выполняет желания левой пятки гугла
| |
|
|
|
4.198, пох (?), 18:19, 18/01/2018 [^] [^^] [^^^] [ответить] | –5 +/– | можно, но тогда отучайся говорить за всех Не интранет-сайты , а две мои нако... большой текст свёрнут, показать | |
|
5.199, Аноним (-), 10:50, 19/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
> можно, но тогда отучайся говорить за всех.
> Не "интранет-сайты", а "две мои наколенные поделки, ненужные никому, в том числе
> и мне - так что даже сертификат поставить для меня нерешаемо
> сложная задача".
Отучайся говорить за то, чего не знаешь.
Не "сложно", а "нафиг не нужно".
| |
5.202, Аноним (-), 14:22, 19/01/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
У тя дома, наверное, на каждой двери по два замка стоит - кодовый и обычный. А на двери в сортир три. Вдруг кто зайдет, а ты без штанов...
| |
|
4.205, Аноним (-), 11:25, 22/01/2018 [^] [^^] [^^^] [ответить] | +/– | Похоже нет Нет За тебя решили Нет никаких прав Жри что дают и восхваляй опен... большой текст свёрнут, показать | |
|
|
2.139, anomymous (?), 20:19, 16/01/2018 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Б-ть.
> А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради
> пары станиц на голом html?
Например чтобы доблестные "ISP" не врезали туда рекламу.
| |
|
3.140, anomymous (?), 20:20, 16/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> Б-ть.
>> А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради
>> пары станиц на голом html?
Для интранет-сайтов не актуально конечно, но опять же - что мешает иметь интранет-сайт с "внешним" именем домена, для которого есть сертификат?
| |
|
4.150, Аноним (-), 22:45, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Необязательное наличие этого внешнего интернета? Или нежелание платить за внешний домен каждый год?
| |
|
|
|
1.14, Аноним (-), 12:16, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Ладно жс, но ограничить новые CSS свойства только HTTPS'ом? Они там с дуба рухнули?
| |
|
2.32, Аноним (-), 12:55, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> так как использование данных API по незашифрованным каналам связи повышает риски, связанные с безопасностью и приватностью.
Перечитай зачем так сделали.
| |
|
|
4.50, Аноним (-), 13:30, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Напомни - какие риски безопасности css решает https?
Как минимум подмена шрифтов.
| |
|
5.68, Аноним (-), 13:55, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если есть такая возможность, значит и всю страницу можно подменить, что гораздо опасней. Так что не убедил.
Тут некоторые пишут чепуху про telnet и ssh... Народ, мы же не против https в принципе, мы просто хотим нормального последовательного развития, а не этого костылинга. Внедрите сначала dnssec+dane в браузеры, определите стандартный домен(ы) для интрасетей, в котором https будет необязательным, а потом уже форсируйте HTTPS во все поля.
| |
|
6.72, Аноним (-), 14:05, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Шрифты можно тянуть по http, при этом вся страница будет https.
| |
|
7.73, Аноним (-), 14:07, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Шрифты можно тянуть по http, при этом вся страница будет https.
нет
| |
|
|
9.77, Аноним (-), 14:14, 16/01/2018 [^] [^^] [^^^] [ответить] | +1 +/– | Попробуй Браузеры давно уже ничего не грузят по http если основная страница заг... текст свёрнут, показать | |
|
|
|
|
5.148, Аноним (-), 21:44, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Как минимум подмена шрифтов.
Ой бяда-бяда... всё вот так: сначала придумаем проблему (возможность использовать недефолтные шрифты), потом гордо её решаем. Сначала детям в школы интернет проведём, потом блокируем (но уже для всех), потому что там голых тётенек и дяденек показывают.
| |
|
|
3.47, Аноним (-), 13:27, 16/01/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Он доверяет всем подряд. Ему не важно, что каждый может перехватить или подменить геолокацию или хранилище. Те же люди кричали, зачем ssh если есть telnet, но сейчас они заткнулись и пользуются ssh. Некоторым людям нужно время чтобы осознать это.
| |
|
4.206, Аноним (-), 11:36, 22/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Он доверяет всем подряд. Ему не важно, что каждый может перехватить или
> подменить геолокацию или хранилище. Те же люди кричали, зачем ssh если
> есть telnet, но сейчас они заткнулись и пользуются ssh. Некоторым людям
> нужно время чтобы осознать это.
Дружище, ты часом не слаб на ум?
Мне разве надо идти и платить бабки за свои ключи для ssh-доступа?
Ты не чувствуешь разницу ssh и https?
| |
|
|
|
|
|
3.66, Аноним (-), 13:51, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Угу, сначала перейдя на хостинг подороже, который поддерживает этот letsencrypt.
| |
|
|
1.27, Аноним (-), 12:49, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
История, как telnet превратился в ssh, грубо говоря. Короче, будет только https, только гемороя с сертификатами побольше.
| |
|
2.31, Админь (?), 12:53, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> История, как telnet превратился в ssh, грубо говоря. Короче, будет только https,
> только гемороя с сертификатами побольше.
Поставил certbot и забыл. Всё само обновляется.
| |
|
1.36, Онаним (?), 13:05, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Честно говоря форсинг HTTPS немного бесит. Самую малость, но таки да. Возможно стоило бы и меру знать. Мне кажется вот это - слишком:
> По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства | |
|
2.41, Аноним (-), 13:15, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Честно говоря форсинг HTTP немного бесит. Самую малость, но таки да. Возможно стоило бы и меру знать.
| |
|
3.54, Аноним (-), 13:37, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Какие фичи браузеров доступны только на HTTP? Какие сайты редиректят тебя с https на http-версию? Какие евангелисты ходят по сайтам и рассказывают, что https опасен, и нужно срочно везде его запретить?
| |
|
4.60, Аноним (-), 13:41, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Какие фичи браузеров доступны только на HTTP? Какие сайты редиректят тебя с
> https на http-версию? Какие евангелисты ходят по сайтам и рассказывают, что
> https опасен, и нужно срочно везде его запретить?
Почему ты не ходишь голым по улицам? В интернете по HTTP ведь норм ходить.
| |
|
5.64, Аноним (-), 13:44, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Почему ты не ходишь голым по улицам?
Причём здесь HTTPS? Оговорка по Фрейду?
| |
5.89, Аноним (-), 14:43, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Почему ты не ходишь голым по улицам?
Я вот хожу. Не голым, конечно, но вот сегодня я ехал на работу на обычном троллейбусе, а не, как вы предлагаете, на танке с двухдюймовой бронёй.
| |
|
6.96, fail_ (?), 15:06, 16/01/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
...
> работу на обычном троллейбусе, а не, как вы предлагаете, на танке
> с двухдюймовой бронёй.
с сетрифицированной неизвестно кем броней..
| |
6.108, Аноним (-), 16:24, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> как вы предлагаете, на танке с двухдюймовой бронёй.
Tor + i2p + HTTPS?
| |
|
|
|
|
2.207, Аноним (-), 12:08, 22/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Честно говоря форсинг HTTPS немного бесит. Самую малость, но таки да. Возможно
> стоило бы и меру знать. Мне кажется вот это - слишком:
>> По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства
Согласн. Делали бы чуть тоньше и народ сам бы потянулся. А так идёт жёсткое навязывание.
Сделали бы какой-нибудь http-заголовок, который бы включал этот жёсткий режим браузера и т.о. авторы сайтов могли бы сами решать.
| |
|
1.53, anonymous (??), 13:36, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
давно пора вообще все только через https разрешить. Объявить план что через год http не будет и воплотить. Кому нужно - тот подсуетится.
| |
1.57, Аноним (57), 13:40, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Все зависит от того какие свойства будут заблокированы для https и можно ли разблокировать на стороне клиента.
Но вообще это выглядит так: веб-макаки не заботятся о безопасности, мы не знаем другого способа, кроме как запретить им стрелять в ногу.
| |
|
2.80, Crazy Alex (ok), 14:25, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Частично так. Частично - "всё стало дофига сложным, особенно в комбинациях фич, и мы задолбались выяснять, где ещё какие есть частные случаи".
| |
|
1.81, yet another anonymous (?), 14:25, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Большая часть сайтов и так пытается слить максимум информации. Посмотрите на коннект к googleanalytics со страницы авторизации на банковском сайте, например. Поэтому отсутствие SSL практически не добавляет ничего к реальным утечкам.
А вот с точки зрения блокировок --- становится удобнее: контролировать небольшой пул УЦ легче, чем разбираться с траффиком.
| |
1.99, Не годится (?), 15:15, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Посмотрите на коннект к googleanalytics со страницы авторизации на банковском сайте, например.
Это у какого банка такое, лол?
| |
1.109, Ivan_83 (ok), 16:27, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
HTTP это не только сайтики с котиками, это ещё и админки устройств, это IPTV.
HTTPS нафик не сдался ни где, кроме сайтов банков и прочих мест с фин транзакциями.
Ну а обозначенные фичи я бы вообще из браузера выкинул, они одинакового вредные под любым соусом.
| |
|
2.118, Аноним (-), 17:22, 16/01/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, не надо совсем уж бросаться в крайности. У одних все сайты хотят украсть твои деньги и голые фотки, у других кроме банков ты никому не нужен.
Истина посередине -- https нужен там, где используются какие-то непубличные данные: логин/пароль, постинг, чтение чего-то что может нанести тебе вред (например цп или обсуждения властей твоей страны). И раньше было нормальной практикой в этих местах и ставить https. Теперь же по какой-то причине предлагается лепить его везде, создавая дополнительную зависимость от уязвимого центра. Это как с двухфакторной аутентификаций -- в попытке обезопасить пользователей со слабыми паролями добавили ещё одну дырень, которая успешно и достаточно просто эксплуатируется.
| |
|
3.127, Ivan_83 (ok), 18:13, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
Раньше вифи так популярно не было, в остальных случаях траф идёт по проводным сетям, и провайдерам всегда было пофик и они не собирали ничего.
Я логином/паролем мало где дорожу, ну угонят акк тут или ещё где - пофик, ещё один заведу, делов то.
| |
|
4.176, Аноним (-), 05:30, 17/01/2018 [^] [^^] [^^^] [ответить] | +/– | Ха-ха Вы доверяете провайдерам In the UK, a VPN is a basic requirement for int... большой текст свёрнут, показать | |
|
|
2.185, Аноним (-), 11:57, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> HTTPS нафик не сдался ни где, кроме сайтов банков и прочих мест
> с фин транзакциями.
Только не надо думать, что один факт использования протокола https дает какие-то гарантии безопасности для банковских операций
| |
|
1.110, anonymous (??), 16:28, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А как же быть с железками, на которые натянули вебинтерфейс? Неужели для них тоже надо сертификаты лепить?
| |
|
2.116, yet another anonymous (?), 17:18, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> А как же быть с железками, на которые натянули вебинтерфейс? Неужели для
> них тоже надо сертификаты лепить?
Если натянули вебинтерфейс, то удовлетворительного варианта не просматривается: не лепить сертификаты плохо, лепить --- либо трудно, либо плохо.
| |
|
3.133, anonymous (??), 19:20, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
По http отдать гораздо проще. На шифрование может и ресурсов не хватить. И не будешь на каждый сетевой принтер свой сертификат заливать.
| |
|
4.166, Аноним (-), 00:12, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> По http отдать гораздо проще. На шифрование может и ресурсов не хватить.
Шифрование копеечное.
| |
|
5.184, Аноним (-), 11:53, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
На эмбедщине - далеко не копеечное. А на сервере теряется возможность использовать sendfile/splice, что тоже совсем не копейки
| |
|
|
|
|
1.113, Аноним (-), 16:40, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Я думал как отключить запрос на геолокацию от каждого сайта, а они это как стимул преподносят
| |
1.132, Онаним (?), 18:48, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новые CSS-свойства?
| |
|
2.134, anonymous (??), 19:26, 16/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новые
> CSS-свойства?
В перспективе лучше забить на вэб в его современном понимании. Жалко, что FSF и прочие любители свободы не в состоянии предложить альтернативу.
| |
|
3.135, Ю.Т. (?), 19:55, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новые
>> CSS-свойства?
> В перспективе лучше забить на вэб в его современном понимании.
Но это одна из тех вещей, которые добром не произойдут. Отказ же одиночек не решает ничего.
Какой-то мизерный шанс есть у варианта IceCat, но.
Надо отдать должное - любители контроля достигают своих целей довольно ловко. Как с минимумом средств уделать "среду свободы".
>Жалко, что
> FSF и прочие любители свободы не в состоянии предложить альтернативу.
Они в состоянии предложить, но это будет гипотеза. Кто вот за неё кровь будет проливать?
| |
|
4.154, anonymous (??), 23:05, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>Они в состоянии предложить, но это будет гипотеза. Кто вот за неё кровь будет проливать?
У FSF куча сайтов и сервисов. Можно для начала свои перенести. И инструменты для просмотра они могут не напрягаясь включить в состав всех дистрибутивов. Если инструмент есть в дистрибутиве, то прикрутить/поднять сервер не проблема. Так что 1% освоить не проблема вообще. На остальных 99% можно пока и забить. Пусть кактусы поедают.
| |
|
5.180, Ю.Т. (?), 07:07, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>Они в состоянии предложить, но это будет гипотеза. Кто вот за неё кровь будет проливать?
> У FSF куча сайтов и сервисов. Можно для начала свои перенести. И
Разговор был про отказ от веба как он есть сейчас (т.е., веб 2.0, "мы исполняем чьи-то программы").
| |
|
|
3.208, Аноним (-), 18:04, 22/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> В перспективе лучше забить на вэб в его современном понимании.
Согласен. Уже запарило смартфоны менять. 2GB ram для браузера на телефоне уже мало... Пипец.
| |
|
|
1.136, Аноним (-), 20:08, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
"ускорить повсеместный переход сайтов на HTTPS"
де..., б....
вот нафига???
| |
|
|
3.153, пох (?), 22:54, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
а проверял? По-моему, в современных версиях давно сломано (чувак хочет _ip_ а не домен)
| |
|
4.157, Аноним (-), 23:22, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> а проверял? По-моему, в современных версиях давно сломано (чувак хочет _ip_ а
> не домен)
Мозги у тебя сломаны. В сабжект что угодно можно прописать.
| |
|
5.160, anonymous (??), 23:35, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Мозги у тебя сломаны. В сабжект что угодно можно прописать.
А как же доверенный центр сертификации?
| |
|
6.163, Аноним (-), 00:08, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
-x509
this option outputs a self signed certificate instead of a certificate request.
| |
|
7.173, anonymous (??), 00:54, 17/01/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
>
-x509
> this
> option outputs a self signed certificate instead of a certificate request.
Речь про браузер.
| |
|
|
|
4.159, rpm (?), 23:35, 16/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> а проверял? По-моему, в современных версиях давно сломано (чувак хочет _ip_ а
> не домен)
Можно такой домен сделать
| |
|
5.167, пох (?), 00:15, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> Можно такой домен сделать
в сертификате нет "доменов", это же x509, from the people who brought you x400. CN такой сделать, полагаю, нельзя. (ну то есть в смысле - можно туда это вписать, но вряд ли браузеры поймут)
Пока еще были живы единичные ренегаты, выдававшие честные CA-signed на ip, они это делали через extension (а CN оставался доменом), и, помнится, перестали именно из-за проблем с распознаванием его новыми-модными openssl.
| |
|
4.189, Анестезиолог (?), 14:54, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
1. subjectAltName=192.168.16.2 прекрасно работает.
2. 192.168.12.2 testhost в /etc/hosts прекрасно работает.
| |
|
|
|
1.161, Kuromi (ok), 23:52, 16/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да вы что, серьезно? Они об этих планах еще года полтора тому назад говорили и потихоньку его реализуют.
"На этапе рассмотрения находится перевод в Secure Context функций Encrypted Media Extensions"
Почитайте баг - "The EME spec says it is only to be supported on secure contexts. Netflix are already only using EME over HTTPS in Firefox. Our intention is to make this change the Firefox release after Chrome ships this."
Ничего нового, просто приводят в соотвествие со спеками. Еще надо добавить U2F (WebAuth) - тоже только по HTTPS.
Я вам даже больше того скажу, у них есть долгиграющие планы по отказу от HTTP (без шифрования) вообще. Например тот же HTTP2 как бы в спеках имеет вариант без шифрования. Ни один браузер не реализовал этот вариант, все реализации требуют HTTPS.
| |
|
2.168, пох (?), 00:16, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> И на всех сайтах сообщение:
>> Либо вы используете Хром, либо идёте на %¥№.
ну зачем вы так? Хром то же самое заимплементит, мазила в данном случае поет с гуглевых денег.
| |
|
|
4.194, пох (?), 23:42, 17/01/2018 [^] [^^] [^^^] [ответить]
| +/– |
> А вас никто не спросит. Все другие браузеры не безопасны!
наоборот - все другие браузеры либо "безопастны", либо толком неработоспособны (а часто и то и другое разом)
| |
|
|
|
1.181, Аноним (-), 09:56, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Во-первых, не понял, почему в обсуждении поминают хром - гугл ничего похожего не заявлял, по крайней мере, в новости этого нет. Во-вторых, кто мешает форкнуть?
| |
1.191, rvs2016 (ok), 16:01, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Вот же шизофреники! Обложили и достали!
Если из-за якобы проблем с безопасностью (а точнее из-за проблем с ДНК разработчиков) они вставляют палки в колёса тем, кто использует протокол http, то тогда уж пусть запретят браузеру вообще загружать страницы - они ведь могут содержать вредоносный код, из-за чего могут появляться проблемы с безопасностью.
Да и вообще надо выкинуть компьютеры все на свалку истории - тогда и не будет никаких проблем с ними!
| |
1.196, Аноним (-), 02:34, 18/01/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Какого черта Мозилла заботится об улучшении мироздания вместо заботы об удобстве своих пользователей?
Все их последние инициативы (кстати много лет уже как) - полное удаление возможности использовать джаву, флеш, неподписанные расширения, а теперь и http, без возможности конфигурации исключений дле нужных сайтов ничего не добавляют к моей безопасности, и СНИЖАЮТ удобство использования.
Кажется пора уходить на Хром. Дырок и щупов в Мозилле не меньше, гибкость в использовании они сознательно ограничивают уже в большей степени, а работает Хром лучше.
| |
|