|
2.8, Аноним (-), 23:15, 17/05/2018 [^] [^^] [^^^] [ответить]
| +6 +/– |
Достаточно важное кстати. Много не-айтишников воспринимают зелёное "защищено" как признак безопасного во всех смыслах сайта и с легкостью доверяют свои деньги и личные данные сайтам однодневкам с lets encrypt сертификатом потому, что написано "защищённое соединение" да ещё и зелёным подсвечено.
| |
|
3.35, Аноним (-), 08:35, 18/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Как будто для однодневок с сертом от LE в новой схеме предусмотрено како-то отличие.
| |
|
4.36, Diozan (ok), 09:03, 18/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не предусмотрено. Но будет отсутствовать успокаивающе-усыпляющий фактор.
| |
|
3.61, macfaq (?), 12:24, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Достаточно важное кстати. Много не-айтишников воспринимают зелёное "защищено" как признак
> безопасного во всех смыслах сайта и с легкостью доверяют свои деньги
> и личные данные сайтам однодневкам с lets encrypt сертификатом потому, что
> написано "защищённое соединение" да ещё и зелёным подсвечено.
Это ещё с 2008 так, минимум. И без LE в те времена.
| |
3.78, mumu (ok), 18:04, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Вы говорите так, как будто бы в этом есть что-то плохое
| |
3.80, Аноним (-), 18:19, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Много не-айтишников воспринимают зелёное "защищено" как признак безопасного
Зато айтишники грамотно на родном не могут ).
| |
|
2.92, erera22 (ok), 16:53, 21/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
К сожалению, совсем даже не смешно. Я как хостер скажу, вопрос "Почему мой сайт теперь не зелененький в хроме?!", будет в топе. И всем придется объяснять.
| |
|
|
|
3.6, Аноним (-), 23:03, 17/05/2018 [^] [^^] [^^^] [ответить]
| –4 +/– |
Что почти одно и то же. Кто не верит, может проверить: выкладываете параметры паспорта и креды на публику и смотрите что будет дальше.
| |
|
2.13, Отражение луны (ok), 00:47, 18/05/2018 [^] [^^] [^^^] [ответить]
| –3 +/– |
Сомнительное утверждение, учитывая, что самые дегенеративные дыры находят где угодно, но только не в хроме.
| |
|
3.90, НяшМяш (ok), 20:32, 20/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Каждый мажорный релиз упоминается, сколько мнадцать тысяч зелени было оплачено за обнаружение уязвимостей. А сколько их обнаружено, но про них не сообщили?
| |
|
|
|
2.17, Онаним (?), 02:38, 18/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
А кого они волнуют вообще? Вы хоть раз задумывались, заходя на какой-то сайт, EV он или не EV?
| |
|
3.46, Аноним (-), 09:41, 18/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Меня волнует. Один раз я попал на сайт где не было русского интерфейса и ничего связанного с Россией, но был EV сертификат который спалил местонахождение сервера. Было RU.
| |
3.82, yz (?), 20:25, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
В firefox сразу видно где EV а где не EV, в адресной строке написана организация. В хроме различий нет
| |
|
4.84, Аноним (-), 23:00, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Зачем этот сертификат покупают, если в браузере-монополисте хроме различий нет? Можно было халявным LE обойтись.
| |
|
|
|
1.5, Аноним (-), 23:01, 17/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Надпись давно надо было убрать, она дезинформирующая для хомяков. Там должно быть Encrypted, а не Secure. Тогда бы не было тупых кукареков по поводу малварных и фишинговых сайтов с https и выдаче им DV-сертификатов.
А вот замок зря собираются убрать. Было бы одинаково с файрфоксом.
| |
|
2.22, Аноним (-), 04:59, 18/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Было бы одинаково с файрфоксом.
Думаешь, эти лакеи из мозиллы не собезьянничают?
| |
|
1.7, нурок (?), 23:05, 17/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
а вот это правильно сам по себе https не означает что оно secure, но то что http not secure это факт и это нужно сообщать.
| |
|
2.15, angra (ok), 02:24, 18/05/2018 [^] [^^] [^^^] [ответить]
| –13 +/– |
Смешно. Когда меня тут несколько недель назад убедили попробовать quantum я был удивлен тем, что после многих лет отставания лиса почти догнала chrome по скорости на тяжелых сайтах. Подчеркну "почти догнала", то есть по-прежнему отстает, но уже не в разы. Но некоторым похоже достаточно маркетинговой лапши с мизерным преимуществом на правильно подобранной синтетике и вот они уже клеймят хром тормозом.
| |
|
3.18, Аноним (-), 04:26, 18/05/2018 [^] [^^] [^^^] [ответить]
| +9 +/– |
А почему ты решил, что твой личный опыт правильнее чужого личного опыта, лол?
И неужели ты не знаешь, что браузеры по-разному ведут себя на разном железе и ОСях? Вплоть до кардинально разных ярлыков тормоза и шустряка.
| |
|
4.30, angra (ok), 07:54, 18/05/2018 [^] [^^] [^^^] [ответить]
| –5 +/– |
> А почему ты решил, что твой личный опыт правильнее чужого личного опыта, лол?
а почему ты решил, что я так решил? :)
> И неужели ты не знаешь, что браузеры по-разному ведут себя на разном железе и ОСях?
Есть такое дело
> Вплоть до кардинально разных ярлыков тормоза и шустряка.
А вот подобного не наблюдал. Хром всегда впереди, лиса догоняет, разнится лишь степень отставания.
| |
|
3.48, Аноним (-), 09:48, 18/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> после многих лет отставания лиса почти догнала chrome по скорости на тяжелых сайтах.
Файрвокс давно уже, примерно с 4 версии, быстрее хрома.
| |
|
4.85, angra (ok), 00:55, 19/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
У меня такое впечатление, что в этом треде собрались посланцы из альтернативной реальности.
| |
|
|
2.33, Аноним (-), 08:19, 18/05/2018 [^] [^^] [^^^] [ответить]
| –14 +/– |
Смешно. Фокс все еще не догнал хром по скорости\аддонам, но зато давно перегнал по жору оперативы и потреблению цп. Да и о приватности теперь о фоксе ходят совсем другие разговоры, хром хоть не скрывает, что сливает данные.
| |
|
3.91, НяшМяш (ok), 20:37, 20/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Фокс все еще не догнал хром по аддонам
Уже догнал, правда вниз. WebExtensions.
> давно перегнал по жору оперативы
Нет. Фокс не делает по процессу на вкладку.
> потреблению цп
Тоже нет. См. выше.
| |
|
|
1.10, Аноним (-), 00:02, 18/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
я хоть и добавил https прокол для своих серверов, но отказываться от http принципиально не буду. Нельзя завязываться на хотелки всяких шарашек,хоть и жирных и "уважаемых" (ибо тот кто контролирует са - контролирует весь веб)
| |
|
2.11, Аноним (-), 00:24, 18/05/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
Правильно, лучше подвергать пользователей ещё одной опасности в и так диком веб-мирке, им же не привыкать.
| |
|
3.16, angra (ok), 02:29, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Чтобы далеко не ходить, расскажи об опасностях, которые подстерегают меня прямо на этом сайте, который я использую без https.
| |
|
4.19, Аноним (-), 04:35, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Кого волнует, есть у тебя опасности или нет? Можешь вообще не заходить никуда, как Столлман.
А вот обычного юзера подстерегает открытость к вставлению и выполнению чужого js-кода от любого, кто находится между ним и сервером. И нет, это не проблема автоисполнения js (отдельная тема), это проблема передачи данных по недоверенному каналу через неизвестно чьи узлы, коими является интернет. Просто вставка js самый наглядный пример эксплуатации передачи голого текста через пол мира.
Поэтому http отомрёт.
| |
|
5.23, Аноним (-), 05:03, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Не только JS. Вот пойдет его мама на сайт ленты ру по http, а там написано, что её любимый сынок в ментовке повесился, и инфарктик схватит. А это всего-лишь соседский хулиган пошутил
| |
5.25, Аноним (-), 07:11, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
все это страшилки для серых масс. если веб приложение нормально написано, никакой левый жс не выполнится.а если нет, то хттпыес бесполезен.
| |
|
6.26, Аноним (-), 07:16, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
И как же он не выполнится, лол? Расскажи.
И как хттпс бесполезен? Даже при отсутствии CSP и прочих защит (которые для хттп бесполезны, т.к. тупо можно вырезать), как ты сумеешь в моё приложение, отправленное Васе с TLS, что-то вставить?
| |
6.45, Игорь (??), 09:40, 18/05/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
То, что эта s стоит немалых денег, как-то опускается из внимания. На самом деле, этот сертификат очень недёшев. Вот и пропиарили менеджеры от интернета защищённый протокол. А лохи повелись.
| |
|
5.28, angra (ok), 07:40, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Ну выполнится чужой код и что дальше? Пока практической опасности не вижу, чужой js код пользователь получает с каждого сайта и позволяет ему выполнятся, пока никто не умер.
| |
5.50, Аноним (-), 09:52, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Но простых юзеров это не волнует совсем. Одному моему знакомому вообще плевать, у него позиция "ну и пусть всю мою переписку по электронной почте читают, только зря время потратят". И речь идёт не о спецслужбах, которые, вне сомнения всё читают, а о разработчиках малвари, которую подцепил его комп на windows 10.
| |
|
6.88, Аноним (-), 15:36, 19/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
И что? Простые люди и тв-3 смотрят про всяких колдунов. Ты хочешь страдать из-за чего-то, что их не волнует?
| |
|
|
4.37, Аноним (-), 09:05, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Чтобы далеко не ходить, расскажи об опасностях, которые подстерегают меня прямо на
> этом сайте, который я использую без https.
Например, ссылочка "Подержать" будет подменена на таковую без HTTPS, а в ту страницу, в свою очередь будут подставлены номера кошельков злоумышленника.
| |
|
5.43, Аноним (-), 09:18, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Это не его опасности, а администрации опеннета. Раз не форсируют https, значит не особо им нужны донаты.
| |
|
4.89, Тузя (ok), 09:14, 20/05/2018 [^] [^^] [^^^] [ответить] | +/– | Безопасность - это фильтры контента на клиенте, которые ставят не многим более 2... большой текст свёрнут, показать | |
|
|
2.12, Аноним (-), 00:27, 18/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Интересный ведь подход: не отказываться от небезопасных соеденений чисто из вредности и бесполезного протеста. Одно дело когда монополист напаривает что-то, что выгодно ему, другое - когда тот использует доступные рычаги чтобы сделать что-то действительно полезное и подвинуть чужие ленивые тушки.
| |
|
3.31, Аноним (-), 08:06, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> сделать что-то действительно полезное
И какая польза от HTTPS в интранете?
| |
|
4.38, Аноним (-), 09:08, 18/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> И какая польза от HTTPS в интранете?
Дополнительная защита на случай, если в интранете тем или иным способом заведётся посторонняя железка, или будет скомпрометирована одна из тех, которые уже есть.
| |
4.39, Аноним (-), 09:11, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Роутер может перехватывать данные. Особенно актуально с провайдерской прошивкой.
| |
|
|
|
1.20, soarin (ok), 04:41, 18/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> о статистике Google доля страниц, открытых по HTTPS, составляет от 65% до 85% в зависимости от платформы (ChromeOS - 85%, macOS - 81%, Windows - 73%, Android - 72%, Linux - 65%).
Линуксоиды больше всех ходят по "злачным" местам
| |
|
2.32, Аноним (-), 08:09, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
И/или активнее остальных пользуются блокировщиками рекламы и прочими средствами борьбы со всякой "телеметрией".
| |
|
3.41, Аноним (-), 09:12, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> И/или активнее остальных пользуются блокировщиками рекламы и прочими средствами борьбы
> со всякой "телеметрией".
Это статистика по браузеру Chromium/Chrome. Там отключить телеметрию невозможно.
| |
|
2.86, Хмелевская (?), 09:07, 19/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Линуксоиды чаще других ходят на локалхост. При разработке всякого js как дома, так и на работе в компаниях, не считающих нужным тратить деньги на прошивку для игр на 30 машин для разработки всякого js, которое отлично работает бесплатно. Еще при "разработке" сайтов, да и вообще при разработке чего угодно. При разработке сайта его можно "наоткрывать" на 5 лет его нормального использования. И на локалочку при администрировании всякого. Маршрутизаторы, локальные серверы и сервисы рисуют всякие графики, статистику и свое состояние для администраторов, https для этого редко настраивают, если доступ разрешен только из локалки.
Юзкейсы Хром ОС заканчиваются на листании котиков в фейсбуке, выкладывании завтрака в инстаграм и просмотра +100500 на ютубе.
На прошивке для игр тоже иногда разрабатывают всякое js и сайтики и что-то администрируют. Ну и мамаши ходят по "скачать развиваюшую игру веселый лунтик на луне бесплатно", это да.
| |
|
|
2.29, Аноним (-), 07:47, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Когда http будет красным с ссылкой на продолжение открытия сайта?
Когда хотя бы 90% сайтов перейдут на https. Сейчас их чуть больше половины, так что тыкать в кнопку "Продолжить" придется для каждого второго сайта.
| |
|
3.52, Аноним (-), 09:58, 18/05/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Когда http будет красным с ссылкой на продолжение открытия сайта?
Никогда. Сейчас многие сайты не перешли на https. По-видимому из-за договорённости со спецслужбами, что пока они не встроят СОРМ-3 или его аналог, никакого https не будет. Поэтому даже если гугл так сделает, они и не перейдут. Просто пользователи этих сайтов - люди, которым пофиг на безопасность - перейдут на другой браузер.
| |
|
4.79, Аноним (-), 18:09, 18/05/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Дурак чтоли? В конце прошлого года уже было 80%.
"As of April 2018, 33.2% of Alexa top 1,000,000 websites use HTTPS as default, 57.1% of the Internet's 137,971 most popular websites have a secure implementation of HTTPS, and 70% of page loads (measured by Firefox Telemetry) use HTTPS."
57.1% популярных сайтов используют хттпс.
70% - посещенных с FF (sic!) сайтов были на хттпс.
Посещенные != общему числу сайтов. Просто кто-то так представил данные телеметрии.
Допустим, имеется 4 сайта: два на https и еще два на http. То есть доля https составляет 50%. Если пользователи некоего браузера заходят на оба сайта из первой группы и на один из второй, это НЕ поднимает долю https-сайтов до 66.6%. Смекаешь?
| |
|
|
|
1.34, Аноним (-), 08:29, 18/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
ну шо опять, сколько можно уже, выпускать такие смешные обновы, поработали бы лучше над дизайном, а то он совсем страшный.
| |
|
2.42, Аноним (-), 09:15, 18/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
> ну шо опять, сколько можно уже, выпускать такие смешные обновы, поработали бы
> лучше над дизайном, а то он совсем страшный.
Если что-то не нравится, собрал вещи и вали на лису.
| |
|
|
2.68, Winrar (?), 15:08, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Когда анон на HTTPS Everywhere пеередет? Opennet много лет как HTTPS.
| |
|
1.44, Аноне (?), 09:39, 18/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
А если у меня простой сайт типа блога или лендинг, где не собираются конфид данные, то клеймо потенциального мошенника зачем?
| |
|
2.47, Аноне (?), 09:43, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Точнее пугать неграмотного пользователя утечкой.
Другое дело, что кроме веб-дизайнеров, сеошников и прочих перфекционистов-специалистов вообще не обращают внимания ни на индикаторы, ни на фавиконы.
| |
2.59, Аноним (-), 12:19, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
А потом срединный человек вставит на твою страничку майнер и эксплойт какой-нибудь и поедет. А ты будешь как хол.
| |
|
3.64, КО (?), 13:27, 18/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Я тя умоляю, на твою страничку скорее, что-то приедет вместе с банером, от любимой банерной сети.
И достанется пользователю по любимому тобой https.
Или же подменять что-то будут уже скорее всего в браузере с каким-нибудь троянским дополнением.
| |
|
2.70, Аноним (-), 15:11, 18/05/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не заботишься о приватности пользователей? Haxpeн твой "простой сайт".
| |
|
3.81, Аноне (?), 19:14, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
А что там приватить, какие ссылки ходит? У меня не киностудия Private. Разве что через MITM действительно что-то можно пропихнуть клиенту. Дело в чём: из-за простейшего сайта ставить тот же бот Let's Encrypt, и постоянно следить, а обновляет ли он вообще, и то неизвестно, что он там наобновляет.
| |
|
|
1.51, Аноним (-), 09:53, 18/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>> Так как общей целью является повсеместный переход на HTTPS
Я то думал общая цель это глобальный контроль, а тут оказывается переход на HTTPS вот блин.
| |
|
2.53, Аноним (-), 10:00, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
>>> Так как общей целью является повсеместный переход на HTTPS
> Я то думал общая цель это глобальный контроль, а тут оказывается переход
> на HTTPS вот блин.
Глобальный контроль - это без https или других протоколов. А заменить сертрфикат на сервере нетрудно.
| |
|
3.58, Zlo (??), 12:13, 18/05/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Осталось узнать кто контролирует сервер с сертификатами...
| |
|
4.71, Аноним (-), 15:13, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Иди работать в Linux Foundation,расскажешь кто контролирует Let's Encrypt. ;)
| |
|
|
2.74, на пенек присел (?), 15:38, 18/05/2018 [^] [^^] [^^^] [ответить]
| –2 +/– |
Цель такой и осталась. Хттпс сертификаты стоят прилично, а бесплатно выдаются одной компанией при условии заглатывания зонда, можешь почитать условия на их сайте, на странице /privacy в параграфе Subscriber.
Далее, когда ты посещаешь сайт с хттпс, все популярные браузеры "проверяют валидность" сертификата, у выдавшего его удостоверяющего центра, само-собой, называясь при этом. И сиди ты хоть под сотней впн-ов с торами, этот центр знает что ты смотришь, и кто это ты. Зарегистрирован тот бесплатный уд. центр, само-собой, в США, со всеми вытекающими, перечисленными на викиликс. Остальные платные не сильно лучше в плане заботы о приватности пользователей, и то и похуже.
52-я лисичка по-моему еще у гугла или амазона спрашивает "а валидный ли это сертификат", но могу ошибаться. Еще она спрашивает у гугла "хороший ли это сайт", без всяких сертификатов, но не знаю как именно это реализовано - либо иногда запрашивая список хешей доменов/ip, что вряд ли, либо каждый раз как ты что-то смотришь, сообщает гуглу, что вероятнее. Я все эту всю заботу затер в about:config, так что теперь не помню у кого что спрашивает. К амазону точно зачем-то подключалась тоже.
Запусти wireshark, открой лису и подивись.
| |
|
3.83, Аноним (-), 20:52, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Вообще-то при ocsp-stapling-е запрос с OCSP-серверу ЦС не отправляется клиентом. Также клиент сам может отключить OCSP, если не хочет полагаться на конфигурацию посещаемых сайтов.
| |
|
|
1.76, Аноним (-), 17:40, 18/05/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
сегодня пишут про новую иконку в хроме, а завтра что? сенсация! разработчик добавил 1 строку кода в программу. фотофакт.
| |
|
2.77, Аноним (-), 17:52, 18/05/2018 [^] [^^] [^^^] [ответить]
| +/– |
Строку - это сложно. Разработчик добавил комментарий - вот это в духе современного IT.
| |
|
|