| |
| 2.4, Аноним (-), 11:18, 14/11/2013 [^] [^^] [^^^] [ответить]
| –6 +/– |
Давно уже есть методы получения "зеленых в браузере" сертификатов без помощи удостоверяющих центров.
| | |
| |
| |
| |
| 5.49, pro100master (ok), 14:37, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 уже не работает
«Описанное ниже уже не актуально, после того как стандарт хранения ssl-ключей в DNS был опубликован, и получил название DANE ru.wikipedia.org/wiki/DANE Google убрал поддержку DANE из Chrome»
| | |
| |
| 6.51, Аноним (-), 14:43, 14/11/2013 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Google убрал поддержку DANE из Chrome»
Наверное верисайн и прочие были очень недовольны.
| | |
|
|
| 4.55, Адекват (ok), 14:45, 14/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Расскажите поподробнее
http://habrahabr.ru/post/127643/
Вот, сделал себе на один год.
Правда не все браузеры считают такой сертификат валидным, возможно у меня руки кривые, или сертификат такой.
Chrome, chromium, opera, IE - считают такой сертификат нормальным.
firefox, konqeror, seamonkey, rekonq - не могут определить путь сертификации, и соответственно считают сертификат не доверенным.
| | |
| |
| |
| |
| 7.74, Lockal (??), 16:40, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Вы первую ссылку прочли? Вероятно, вы пользуйтесь хромом на постоянной основе и хром закэшировал промежуточный сертификат у какого-то другого правильно сконфигурированного сайта. А другие браузеры у вас не в почёте и ещё не знакомы с intermediate-сертификатами StartSSL, поэтому либо почините ваш сайт, либо погуляйте по инету и firefox подхватит промежуточный сертификат. На самом деле Chaining Issues чуть ли не у каждого второго сайта, просто владельцы не замечают.
| | |
|
|
|
|
| |
| |
| 5.70, гость (?), 15:37, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Корневая зона не подчиняется никому конкретно.
Она подписывает региональные TLD.
Те подписывают собой доменные записи.
Теорию знаю, реализацию - не знаю.
| | |
| |
| 6.102, Crazy Alex (ok), 21:38, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 В любом случае для ребят из ANB или ФСБ не проблема прослушать трафик. Кстати, в стандартном SSL это хотя бы только ANB могла делать, а тут - национальный домен, получается, может снифить соответствующее правительство.
| | |
|
|
| 4.71, Lockal (??), 15:44, 14/11/2013 [^] [^^] [^^^] [ответить] | +2 +/– | Идея DNSSEC провальна чуть более, чем полностью DNSSEC базируется на идее, что ... большой текст свёрнут, показать | | |
| |
| 5.72, Lockal (??), 15:49, 14/11/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
PS: нет, конечно, может быть DNSSEC в чём-то и полезен, но не в условиях террора, массовой цензуры и тоталитарного произвола, устраиваемого правительствами отдельных стран.
| | |
|
|
|
| |
| |
| 4.158, Sabakwaka (ok), 23:12, 15/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >> Конечно. Иначе деньги бы несли ему а не Марку.
ЧТО мешает использовать самоподписанные сертификаты??
ПОЧЕМУ 100 руб за месяц — дорого за сертификат начального уровня??
| | |
|
|
| 2.127, nagual (ok), 02:19, 15/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > торговцы возд^W сертификатами уже несут вам откат, Марк!
Скорее это нужно чтоб без большого ботнета любой серв заддосить ...
| | |
| |
| 3.136, Sabakwaka (ok), 13:09, 15/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>> Скорее это нужно чтоб без большого ботнета любой серв заддосить ...
Ещё один псих...
| | |
|
|
| |
| 2.9, Нанобот (ok), 11:33, 14/11/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
 АНБ, ФСБ, ZOG, моссад, mi6... параноики всегда найдут, кого бояться
| | |
| 2.12, XoRe (ok), 11:45, 14/11/2013 [^] [^^] [^^^] [ответить]
| +7 +/– |
 > от кого прятаться то?
Не прятаться, а закрываться.
Работа с банком, и прочими ценными бумагами, платежи, переписка с женой, деловая переписка и т.д.
Закрываться от тех, кому вы не бежите открывать эти данные.
| | |
| |
| 3.138, Аноним (-), 13:50, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
проекты типа folding@home уже давно все хеши посчитали, если только от соседа или жины шифроваться..
| | |
|
| 2.21, VoDA (ok), 12:21, 14/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > от кого прятаться то?
От хакира Васи. Прослушвание трафика, MIM.
Гос структуры получат свои валидные сертификаты и будут слушать дальше ;)
| | |
| 2.54, Аноним (-), 14:44, 14/11/2013 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> от кого прятаться то?
Например от пи...сов-провайдеров вклинивающихся в траффик с целью шпионажа, врезки рекламы и прочих милых и приятных применений. Теперь пакостить в транспортном канале будет сложнее.
| | |
| |
| 3.61, Адекват (ok), 14:56, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> от кого прятаться то?
> Например от пи...сов-провайдеров вклинивающихся в траффик с целью шпионажа, врезки рекламы
> и прочих милых и приятных применений. Теперь пакостить в транспортном канале
> будет сложнее.
А еще есть вероятность отличная от нуля, что они нап**ят паролей от соц сетей, и потом вашу анкету заблокируют за рассылку спама.
| | |
| |
| 4.130, Тот_Самый_Анонимус (?), 05:17, 15/11/2013 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>А еще есть вероятность отличная от нуля, что они нап**ят паролей от соц сетей, и потом вашу анкету заблокируют за рассылку спама.
Может я старомоден, но большинство посещаемых мною сайтов не требуют (хотя и предоставляют) возможность авторизации. Зачем мне https на сайтах программ, электронных энциклопедиях, поисковых системах, б_длосайтах типа ЛОРа, опеннета и лурка? Так что идее загнать всё под https даже там, где это не нужно — жирный минус. Кому нужна такая паранойя пусть использует дополнительные плагины для лисы.
| | |
| |
| 5.140, Paver (ok), 14:22, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > Зачем...
Затем, чтобы увеличить общий объем криптованного трафика и спрятать в нем тот, что представляет для Больщого Брата реальный интерес.
| | |
| |
| 6.150, Тот_Самый_Анонимус (?), 22:34, 15/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Затем, чтобы увеличить общий объем криптованного трафика и спрятать в нем тот, что представляет для Больщого Брата реальный интерес.
Хм. Я не занимаюсь ничем особо запрещаемым законом. Зачем мне https? Пусть педофилы и прочая нечисть боится. Там где это действительно нужно (банковские там приблуды итд) пусть используется, но делать это решением по умолчанию, даже там где и скрывать-то нечего — бред.
И да, надо заботиться о окружающей среде, хотя бы используя меньше электричества, не шифруя бесполезный трафик.
| | |
|
|
|
|
| 2.79, Аноним (-), 17:55, 14/11/2013 [^] [^^] [^^^] [ответить]
| +9 +/– |
От тех кто смеет мне указывать какого возраста голых девиц смотреть.
| | |
| |
| 3.144, t28 (?), 17:09, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> От тех кто смеет мне указывать какого возраста голых девиц смотреть.
Пæдофил? o_O
| | |
| |
| 4.152, Crazy Alex (ok), 22:40, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
В некоторых странных государствах - этот возраст даже не 18, а 21. От педофилии обе цифирки весьма далеки. Впрочем, её нынче вообще как-то странно трактуют - не по зрелости, а по возрасту.
| | |
| |
| 5.157, arisu (ok), 22:55, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 это следствие «отката» сексуальной революции (про удобство инструмента per se не тут говорим): маятник в обратную сторону пошёл.
| | |
|
|
|
|
| 1.5, Адекват (ok), 11:18, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> к практике обязательного использования шифрования канала связи для всех соединений.
На бесплатных самоподписанных сертификатах. //FIXED
| | |
| |
| 2.25, VoDA (ok), 12:31, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А как же там собираются делать кэширование?
Кэширование серверной стороны будет до шифрования.
А кэши на клиенте - после дешифровки.
Промежуточный кэш аки на провайдере не предусмотрен ;)
| | |
| |
| 3.57, Аноним (-), 14:46, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> А кэши на клиенте - после дешифровки.
Т.е. будут сохранять расшифрованные страницы с https на диск? АНБ одобряет, как впрочем и хакеры. Как вам идея получить с вашего веника страничку банковского аккаунта? :)
| | |
| |
| 4.91, arisu (ok), 20:21, 14/11/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Как вам идея получить с вашего веника страничку банковского аккаунта? :)
вперёд, чо.
| | |
| 4.112, Аноним (-), 22:18, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> будут сохранять расшифрованные страницы с https на диск?
Зачем? Сейчас же они не сохраняются.
Кэширование полезно в основном для ресурсов - картинок, скриптов, и пр.
| | |
|
|
|
| |
| 2.56, Crazy Alex (ok), 14:46, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Зачем? HTTP 1.0, вон, до сих пор везде работает. И 1.1 будет поддерживаться наверняка ещё лет десять. Это не говоря о том, что вольшинству веб-приложений наличие/отсутствие SSL не слишком на работу влияет.
Кстати, их обычно и так постоянно дописывают/переписывают.
| | |
|
| 1.14, anonymous (??), 11:52, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
да нафик надо, зачем нужна ещё одна прослойка, допустим, если залез на оппенет новости поглядеть
- траффик сниффером не поглядишь, архиватором не сожмешь, не закэшируешь(как уже написали выше)
где принцип KISS??
| | |
| 1.17, ILYA INDIGO (ok), 12:13, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Второй вариант, где для http применяется шифрование без покупки сертификата, более приемлем.
| | |
| 1.18, 3draven (ok), 12:14, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Я застал времена, когда платежи в платежной системе одной шли по http :) Сейчас уже они конечно все переделали, но тогда я с них посмеялся :) В общем я за https...только нагрузка на сервера возрастет ведь.
| | |
| |
| 2.22, Анончик (?), 12:26, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Есть подозрение, что можно сделать аппаратное обеспечение для хардварного шифрования
| | |
| |
| |
| 4.59, Аноним (-), 14:49, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> ЗОГ одобряет
А также производители GPU например :). Сразу можно спрос на OpenCL повысить раз так в эн - один среднего пошиба GPU сможет молотить уйму траффа. Тут кто-то показывал AES на GPU, там что-то типа 67Гб в секунду получалось, чтоли. Ну в общем 10Гбит адаптеру - явно хватит...
| | |
|
| 3.83, Аноним (-), 18:58, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Есть подозрение, что можно сделать аппаратное обеспечение для хардварного шифрования
Оно существует уже лет этак не соврать 15. Sun Crypto Accelerator гуглить. Проблемка в том, что для ввоза его в СНГовию требуется сертификация xГБ.
| | |
|
| 2.26, VoDA (ok), 12:32, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Я застал времена, когда платежи в платежной системе одной шли по http
> :) Сейчас уже они конечно все переделали, но тогда я с
> них посмеялся :) В общем я за https...только нагрузка на сервера
> возрастет ведь.
Сейчас бОльшинство серверов используется на 3-5% CPU. Будет на 15-20%. Даже новые сервера большинству компаний не понадобятся.
| | |
| |
| 3.97, Аноним (-), 21:13, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Сейчас бОльшинство серверов используется на 3-5% CPU. Будет на 15-20%. Даже новые
> сервера большинству компаний не понадобятся.
А на телефонах? Их ведь тоже придётся напрягать.
Так что - расставить зарядники на каждом углу или носить рюкзак с батареей?
| | |
| 3.128, nagual (ok), 03:04, 15/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Я застал времена, когда платежи в платежной системе одной шли по http
>> :) Сейчас уже они конечно все переделали, но тогда я с
>> них посмеялся :) В общем я за https...только нагрузка на сервера
>> возрастет ведь.
> Сейчас бОльшинство серверов используется на 3-5% CPU. Будет на 15-20%. Даже новые
> сервера большинству компаний не понадобятся.
И памяти 100500 :))
| | |
|
|
| 1.19, Александр (??), 12:18, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
И все http/2.0 сайты попавшие в реестр Роскомнадзора придётся банить по IP вместе с "соседями". Радует...
| | |
| |
| 2.20, Аноним (-), 12:21, 14/11/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Их и сейчас по IP баннят вместе с соседями. Вон Wordpress.com второй раз запрещали.
| | |
| |
| 3.24, Александр (??), 12:26, 14/11/2013 [^] [^^] [^^^] [ответить]
| –5 +/– |
Это у Вас провайдер решил не заморачиваться. Мы баним http по url, а https приходится банить по ip.
| | |
| |
| |
| 5.40, Александр (??), 13:38, 14/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
"Мы" в, данном случае, множественное число - ибо я не склонен приписывать себе плоды коллективного труда. Надеюсь троллю теперь понятно?
| | |
| |
| 6.89, АлександрПервый (?), 20:17, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Вы просто врете. Нет у нас бана по урлу. По айпи встречал и много, по урлу нет.
Т.ч. и приписывать вам нечего, нет такого "труда", банете по урлу и строите морду при кривой игре.
| | |
|
|
| 4.58, Crazy Alex (ok), 14:48, 14/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Приличные люди банят тупо по хостнейму. Облегчая другим приличным людям доступ путем подмены DNS на какой-нибдуь Гугл.
| | |
| |
| 5.145, t28 (?), 17:14, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Приличные люди банят
Вообще-то приличные люди не банят.
| | |
|
| 4.66, Адекват (ok), 15:20, 14/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Это у Вас провайдер решил не заморачиваться. Мы баним http по url,
> а https приходится банить по ip.
Ну и правильно, уважающие себя личности используют отдельный ip, с правильной записью в обратной зоне DNS. Скажите спасибо что не банят подсетями, как spamhouse.org
| | |
| |
| 5.98, Аноним (-), 21:16, 14/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Ну и правильно, уважающие себя личности используют отдельный ip, с правильной записью
> в обратной зоне DNS. Скажите спасибо что не банят подсетями, как spamhouse.org
Рюськи way: все у кого нет миллиарда - идут в **пу!
Удачи в самовыпиливании.
| | |
|
|
|
| 2.23, NikolayV81 (ok), 12:26, 14/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 К тому моменту по датацентру банить уже начнут, что-бы не повадно было сайты которые властям не нравятся размещать.
| | |
|
| 1.28, azure (ok), 12:37, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Это в рамках форсирования перехода на IPv6?
Есть же TLS для секурности (кому надо), а кому не надо - зачем ssl обязывать?
Собственно, что может помешать использовать http 2.0 не внутри ссл соединения, а плейн текстом? Хттп протокол про наличие секурного канала сам по себе ничего не знает. Зачем тогда в спеки ввобдить эту ересь?
| | |
| |
| 2.65, Аноним (-), 15:17, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Почитай, что такое http-2.0, что такое SPDY и как там идёт мультиплексирование соединений в рамках одного сокета через стандартные возможности openssl.
| | |
|
| 1.37, edwin (ok), 13:19, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Вы как хотите, но по моему это перебор.
SSL создает совсем не копеечную нагрузку на фронтэед сервера ... мало gzip online, так тут еще и SSL прибавиться ...
| | |
| |
| 2.39, Аноним (-), 13:37, 14/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ещё большее безумие - перемешивать шифрованный и не шифрованный контент на одной странице.
| | |
| |
| |
| |
| |
| |
| 7.99, Аноним (-), 21:18, 14/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> О_о твоя мама следит за тобой сниффером?
У Рутковсой есть сын?!?!
| | |
| |
| 8.132, dxd (?), 09:42, 15/11/2013 [^] [^^] [^^^] [ответить] | +/– | Я думаю, в случае Рутковской несчастный ребёнок в первую очередь получит по шее ... текст свёрнут, показать | | |
|
|
|
|
| 4.87, Аноним (-), 20:14, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Шифровать картинки, конечно, очень умно.
Нынче провы борзые - могут рекламу ввинтить пропатчив HTMLку например.
| | |
|
|
| |
| 3.43, annulen (ok), 14:03, 14/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Она уже gzip'ом пожата (и закэширована!), куда уж дальше сжимать.
| | |
|
|
| 1.44, Аноним (-), 14:10, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> Первый вариант данного предложения подразумевает использование упрощённой схемы "TLS Relaxed", с шифрованием потока данных, но без аутентификации сервера.
Давно уже пора понять, что шифрование, допускающее MitM атаки, не нужно.
Лучше бы запилили поддержку множественной проверки сертификатов разных компаний одновременно, это хоть и затратно, но одиночной компании из одной страны доверия нет никакого. Или там, распределённую по DHT между всеми браузерами параноидную систему, эх мечты-мечты.
| | |
| 1.46, robux (ok), 14:15, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Марк Ноттингем .. в HTTP/2.0 .. обязательного использования шифрования
Таких "деятелей" надо за тестикулы к Красной площади приколачивать.
Меня последнее время достало, что каждый сайт норовит перевести меня на HTTPS, даже если я этого не хочу. А сейчас еще в HTTP это гвоздями приколотят!
Похоже, дни старого доброго Веба сочтены...
| | |
| |
| 2.85, Аноним (-), 20:09, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Похоже, дни старого доброго Веба сочтены...
Да, и слава богу. Протокол обязан быть безопасным по умолчанию, а такие как вы - остаться на задворках истории. Админьте сервера telnet'ом, банковские операции производите plaintext'ом.
| | |
| |
| 3.88, Аноним (-), 20:15, 14/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> операции производите plaintext'ом.
Прийти в банк и отдать договор лично в руки пожалуй наиболее безопасная, хоть и наименее удобная опция.
| | |
| 3.92, arisu (ok), 20:27, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Да, и слава богу. Протокол обязан быть безопасным по умолчанию, а такие
> как вы — остаться на задворках истории. Админьте сервера telnet'ом, банковские
> операции производите plaintext'ом.
искренне желаю тебе, чтобы при перед посещением любого магазина тебя заставляли надевать костюм химзащиты. переступил порог без костюма — сразу завернули на выход. надел костюм — ходи. а то ведь мало ди — надо, чтобы безопасно по умолчанию же.
впрочем, я уверен, что ты будешь радоваться и приговаривать: «и правильно, и так и надо, а то я же такой дебил…»
| | |
| |
| 4.100, Аноним (-), 21:22, 14/11/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
The joke is on you, нынче товары легко покупаются в интернет-магазинах, а в магазины бытовой химии без костюмчика с замкнутым циклом лучше не соваться, если не мутант с иммунитетом к канцерогенам.
| | |
| |
| 5.107, arisu (ok), 21:52, 14/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
рад за тебя. к счастью, и идиотских сайтов, безусловно перенаправляющих на http, не так много.
| | |
| |
| 6.120, Аноним (-), 01:30, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> рад за тебя. к счастью, и идиoтских сайтов, безусловно перенаправляющих на http,
> не так много.
Правильно, больше нормальных сайтов, безусловно перенаправляющих на https.
| | |
| |
| 7.121, arisu (ok), 01:40, 15/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– | |
тьфу, вот что одна опечатка делает.
вообще, насильный https — это однозначный признак того, что сайтом пользоваться не надо вообще.
| | |
|
|
|
| 4.103, Crazy Alex (ok), 21:45, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Да ладно, никаких особых проблем SSL не создает. И даже иногда от чего-то там защищает.
| | |
| |
| 5.108, arisu (ok), 21:53, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Да ладно, никаких особых проблем SSL не создает. И даже иногда от
> чего-то там защищает.
а я не про это, я про безусловное перенаправление с http на https, как на том же гитхабе, например. спасибо, идите в задницу, лучше меня знающие, чего я хочу. если мне такое понадобится, я куплю мак.
| | |
| |
| 6.118, Аноним (-), 01:26, 15/11/2013 [^] [^^] [^^^] [ответить]
| –2 +/– |
>> Да ладно, никаких особых проблем SSL не создает. И даже иногда от
>> чего-то там защищает.
> а я не про это, я про безусловное перенаправление с http на
> https, как на том же гитхабе, например. спасибо, идите в задницу,
> лучше меня знающие, чего я хочу. если мне такое понадобится, я
> куплю мак.
Ой-ой-ой. А что ж ты не плачешься что за тебя решили использовать HTTP вместо гипертекстового фидонета, особенный ты наш? На самом деле ты молодец - на нормальных сайтах с поддержкой http 2.0 я тебя не увижу.
| | |
|
|
| 4.119, Аноним (-), 01:29, 15/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> Да, и слава богу. Протокол обязан быть безопасным по умолчанию, а такие
>> как вы — остаться на задворках истории. Админьте сервера telnet'ом, банковские
>> операции производите plaintext'ом.
> искренне желаю тебе, чтобы при перед посещением любого магазина тебя заставляли надевать
> костюм химзащиты. переступил порог без костюма — сразу завернули на выход.
> надел костюм — ходи. а то ведь мало ди — надо,
> чтобы безопасно по умолчанию же.
А тебе желаю чтобы у тебя вокруг дачи разложили минное поле а табличек не поставили.
На самом деле аналогия неуместна - костюм химзащиты доставляет неудобства, а https - нет. Ты же не ноешь что тебя заставляют GET посылать и HTTP/1.1 и Host: ?
| | |
| |
| 5.123, arisu (ok), 01:46, 15/11/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
> На самом деле аналогия неуместна - костюм химзащиты доставляет неудобства, а https
> — нет.
доставляет. как минимум — его надо разминировать, запрещая походы по сайтам проверки сертификатов, иначе атомно тормозит. и во-вторых — приходится заниматься локальным MITM'ом, чтобы мой проксь мог инспектировать запросы и ответы. а это включает в себя, в том числе, генерацию сертификатов «на лету» (по какому поводу пришлось допиливать PolarSSL: добрый автор зачем-то выкинул оттуда код генерации).
итого: безопасность нулевая (я не доверяю каким-то «центрам сертификации» ни на грош), лишних проблем дофига.
но ты, конечно, можешь продолжать верить, что https тебя от чего-то защищает. блаженны верующие.
| | |
| |
| 6.134, cbs (?), 12:14, 15/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> можешь продолжать верить, что https тебя от чего-то защищает. блаженны верующие.
Я, конечно, извиняюсь, что в чужой разговор лезу, но эт еще не самая забавная клиника)
Один мой знакомый "вебдев" был свято уверен, что https защитит его от всего на свете, включая уязвимости пхп, мускула (добро, если мускула, а не бдсм), самого вебсервера, его дырявых сайтов, колебания курса национальной валюты и возможности подхватить СПИД. К сожалению, я вряд ли узнаю, чем эта его уверенность закончится.
| | |
| |
| 7.147, arisu (ok), 17:34, 15/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
а вот это уже бедняга. его же лечить надо, вдруг буйным станет, когда разрушится чудесная иллюзия…
> Я, конечно, извиняюсь, что в чужой разговор лезу
тут же публичный ресурс, и обсуждение публичное. you are welcome.
| | |
|
|
| 5.135, robux (ok), 13:00, 15/11/2013 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> костюм химзащиты доставляет неудобства, а https - нет.
HTTPS тормозит.
Причем как на сервере тормозит, так и у клиента.
Но претензия в другом: зачем смешивать HTTP и HTTPS?
Если владельцы хотят анального огорода, то пусть перенаправляют с http на https, как например делают сейчас Github и Google. Но зачем пахабить стандарт HTTP? Тем более зачем делать ОБЯЗАЛОВКУ ШИФРОВАНИЯ?
Это попахивает тоталиторизмом. По ходу, страх пендосских корпораций, что трафик между ними и людьми кроме АНБ/ЦРУ, сможет еще прочитать ФСБ, КГБ, повайдеры или аналитические центры, не даёт уснуть.
Пендосы хотят полной монополии на информацию - вот суть этой "инновации".
| | |
| |
| 6.146, arisu (ok), 17:32, 15/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> HTTPS тормозит.
> Причем как на сервере тормозит, так и у клиента.
да нет, если у него оторвать проверку сертификатов, то и не тормозит. большинство современной техники с шифрованием/дешифрованием справится быстрее, чем закончатся данные в канале у большинства пользователей.
| | |
| |
| 7.153, Crazy Alex (ok), 22:42, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Только уточни, что имеется в виду CRL. А то найдутся особи, которые решат,что ты вообще любые подтверждения предлагаешь выкинуть (хотя для ряда случаев - самое оно, кстати).
| | |
|
|
|
|
|
|
| 1.48, Аноним (48), 14:32, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Интересно, зачем эти гиении предлагают гонять трафик внутри локальной сети или даже через loopback между реверс-прокси и апстримами с использованием SSL? Ибо воистину?
| | |
| |
| 2.53, Аноним (-), 14:44, 14/11/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
Stuxnet, копошащийся в локальной вендомашине с древней XP, с вами согласен.
| | |
| 2.62, Crazy Alex (ok), 15:05, 14/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
а они не предлагают. Там для интранетов отдельные условия оговариваются, без SSL.
| | |
| |
| 3.129, Аноним (-), 04:49, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
>а они не предлагают. Там для интранетов отдельные условия оговариваются, без SSL.
В смысле вся эта бня ... отключаемая?
И если таки йА захочу - мой сервак будет отдавать http2.0 не ч\з SSL/TLS?
| | |
|
| 2.110, all_glory_to_the_hypnotoad (ok), 22:04, 14/11/2013 [^] [^^] [^^^] [ответить]
| –1 +/– |
 это всё лобби интереснов гавнюков вроде гугла и других рекламных сетей. Им нужен повсеместный SSL чтобы провайдеры не воровали их хлеб в виде сбора статистистики за поведением пользователей в интернете. В некоторых странах разрешено законом передавать пользовательский трафик другим лицам.
| | |
| |
| 3.117, Аноним (-), 01:24, 15/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> это всё лобби интереснов гaвнюков вроде гугла и других рекламных сетей. Им
> нужен повсеместный SSL чтобы провайдеры не воровали их хлеб в виде
> сбора статистистики за поведением пользователей в интернете. В некоторых странах разрешено
> законом передавать пользовательский трафик другим лицам.
Значит гугл собирающий информацию о пользователях - гaвнюки, а провайдеры, собирающие информацию о пользователях - не гaвнюки? На самом деле первые режутся AdBlock'ом, вторые - SSL'ем. Без SSL'я вторые будут процветать, так что без него никак.
| | |
|
|
| 1.84, Аноним (-), 20:07, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Давно пора. Больше всего умиляют долбодятлы, которые возникают против безопасного протокола. Такие появлялись ещё в новости где github оставил только https.
| | |
| |
| 2.90, Аноним (-), 20:17, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Давно пора. Больше всего умиляют долбодятлы, которые
> возникают против безопасного протокола.
Дело в том что SSL не настолько уж и безопасный. В том плане что кто угодно может выписать серт на что угодно. А ростелеком вообще прост как топор: а вот мы хотим хакнуть сертификат! Что? Вам на нравится? Ну тогда мы не будем качать вам эти данные совсем!
| | |
| |
| 3.94, arisu (ok), 20:29, 14/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Дело в том что SSL не настолько уж и безопасный.
подобные придурки этого не понимают. они же в безопасности не разбираются вообще, им просто сосед Петя сказал, что «ссл — это секурно, чувак! а кто его не использует — тот лох!» вот они и бегают теперь со своим Сакральным Знанием. мозгов-то нет.
| | |
| |
| 4.116, Аноним (-), 01:22, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> подобные придурки этого не понимают. они же в безопасности не разбираются вообще,
> им просто сосед Петя сказал, что «ссл — это секурно, чувак!
> а кто его не использует — тот лох!» вот они и
> бегают теперь со своим Сакральным Знанием. мозгов-то нет.
Не судите всех по себе. А вообще - лучше уж пусть используют протокол подсказанный соседом Петей, который имеет хотя бы потенциальную возможность обеспечить безопасность, чем просто ничем не прикрытую дырку.
| | |
| |
| 5.125, arisu (ok), 01:49, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
если бы ты хоть чуть-чуть понимал в безопасности, то знал бы, что иллюзия безопасности (чем и является https) намного хуже явно небезопасного соединения. домашнее задание: поробуй догадаться, почему.
| | |
|
|
|
| 2.93, arisu (ok), 20:27, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Давно пора. Больше всего умиляют долбодятлы, которые возникают против безопасного протокола.
> Такие появлялись ещё в новости где github оставил только https.
а ещё сильней умиляют долбодятлы, которые довольны, когда кто-то за них решает, что им надо.
| | |
| |
| 3.115, Аноним (-), 01:20, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
Я-то сам за себя решил. А вот те кому плевать на безопасность не только свою но и других, такого права не имеют - всё решено за них.
| | |
| |
| 4.124, arisu (ok), 01:48, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Я-то сам за себя решил. А вот те кому плевать на безопасность
> не только свою но и других, такого права не имеют —
> всё решено за них.
ты ничего обоснованно решить не в состоянии, потому что про безопасность знаешь только то, что сосед Петя под пивко рассказал. что, собственно, и демонстрируешь тут в комментариях.
| | |
|
|
|
| 1.101, Аноним (-), 21:37, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а как раскидывать трафик по beck-end-ам? расшифровал, проанализировал, зашифровал, отправил на нужный бек-энд? - гарантированна повышенная нагрузка на фронт-энд.
от ддосов по сигнальным строкам уже не защитишься, каждый запрос придется дешифровать, искать в нем сигнальные строки и только потом принимать решение о блокировке... такое хоть один фаирвол умеет?
| | |
| |
| 2.109, Аноним (-), 22:01, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
хыхы - незачем самому всё делать. это будет для лохов. в будущем правильные пацаны, ака гугл и иже с ними, за вас решат что, как и куда шифровать-анализировать-раскидывать. остальные должны использовать вебсервисы и говорить кю.
| | |
|
| 1.111, Аноним (-), 22:14, 14/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
По мне так это не новость, многие интернет сайты и так по умолчанию переходят только на работу с https и эта тенденция растет. При цене сертификата от 3~5$ конечно не с зеленой строкой но все равно это не такое и страшное предложение, при условии что цена на сертификаты не станет выше. Ну а если говорить о повышение нагрузки на сервера то к моменту принятия этого стандарта возможно найдут способы оптимизировать ПО чтобы снизить нагрузку, ну или аппаратные средства начнут более активно использовать. Что касается мобильных устройств то и в них начнется более активное использование аппаратного шифрования. С другой стороны новость звучит как «мы можем дать всем и каждому таблетку от паранойи»
| | |
| |
| 2.113, Аноним (-), 22:27, 14/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> к моменту принятия этого стандарта возможно
> найдут способы оптимизировать ПО чтобы снизить нагрузку
> Что касается мобильных устройств то и в них начнется более активное
> использование аппаратного шифрования.
Согласен. Принятие нового стандарта - дело не быстрое, и хорошо если на HTTP/2.0 все основные сайты перейдут только лет через 10. А через 10 лет, понятно, мобильные устройства и аппаратные средства будут уже совершенно другого уровня.
| | |
| |
| 3.114, arisu (ok), 22:36, 14/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> через 10 лет, понятно, мобильные устройства и аппаратные средства
> будут уже совершенно другого уровня.
но глючить и тормозить будут точно так же, как и сейчас, я гарантирую это.
| | |
| 3.137, robux (ok), 13:15, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> мобильные устройства и аппаратные средства будут уже совершенно другого уровня.
И это самое страшное.
Устройства с годами становятся всё более и более нашпигованны подсистемами, функции которых трудно точно определить.
Вот я пишу с обычного нетбука на "Атоме": wi-fi, bluetooth, linux - вроде всё безобидно. Но где гарантия, что радиомодули не могут вдруг начать работать по другим протоколам и на других частотах? "Но ведь у тебя защищенная система!" Да. Но где гарантия, что программный код не встроен в южный мост и не активируется через гипервизор, например при получении определенной "случайной" комбинации на радиомодуль?
И чем дальше в лес, тем гуще партизаны.
| | |
| |
| |
| 5.148, arisu (ok), 17:36, 15/11/2013 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Так параноикам вообще тяжело живется.
зато дуракам просто.
| | |
|
| 4.155, Crazy Alex (ok), 22:46, 15/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Внятно постоенная модель угроз и адекватные ей средства защиты тебя спасут. Заодно хоть будешь в курсе, от кого именно хочешь спасаться.
И да, как одно из таких средств - уход на более простые, более контролируемые устройства.
| | |
|
|
|
| 1.142, некто (ok), 16:44, 15/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 как теперь будут конторки, в которых заблокирован https? В скором будущем останутся без нормального интернета?
В след за этим поувольняются нормальные спецы... Страны, в которых это вообще вне закона - начнут отставать в техническом развитии и неуспевать.
Не исключена возможность появления левых сборок с дырявыми https и патчами сомнительного толка.
"Будут ходить" представители общественности и рассказывать населению как это нехорошо: http 2.0
| | |
| 1.159, Аноним (-), 21:46, 16/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
то есть теперь прокси станут бесполезными? интересно, насколько возрастет трафик?
| | |
|
