Компания Google сообщила (https://blog.chromium.org/2017/04/next-steps-toward-more-con...) о решении расширить спектр ситуаций при которых будет выводиться сообщение о небезопасном соединении при обращении к сайтам по HTTP. Помимо уже выставляемой метки небезопасного соединения при заполнение форм ввода пароля и номеров кредитных карт, начиная с октября 2017 года аналогичное предупреждение будет выводиться при заполнении любых форм данных на страницах открытых по HTTP, а также при открытии сайтов по HTTP в режиме инкогнито.
По статистике Google предпринятые в Chrome 56 меры привели к сокращению обращений по HTTP к страницам с формами ввода паролей на 23%. В более отдалённом будущем компания Google намерена (https://www.chromium.org/Home/chromium-security/marking-http...) помечать небезопасными все обращения к сайтам по HTTP.URL: https://blog.chromium.org/2017/04/next-steps-toward-more-con...
Новость: http://www.opennet.me/opennews/art.shtml?num=46464
Да ладно? Роскомнадзору привет :)
Людей обяжут пользоваться браузером от mail.ru в котором будет только один самый безопасный и новый сертификат с которым никакой интернет не страшен!
Замечательно. Все будут смотреть ДОМ2
И буду счастливы.
Что дальше?
Я сегодня спускался в метро и видел поколение младое. Эти уже не будут! Если они не выбьют стул из под censored, то никто уже не выбьет. И тогда зима будет дооолгой :(
Непонятно. Не будут счастливы? Тю. Почему?
Эти братишки могли бы уже поосто заблокировать весь этот интернет. Чо мелочиться то...
Головокружение от успехов? Не стоит искусственно ускорять процесс. Можно всё испортить. Есть план на пятилетку. Его и придерживайтесь.
зато инфу о сертификате спрятали в средства разработки, молодцы чо! Все для корпораций, в которых корневой серт, подсут в доверенные через ГПО и на проксе идет подмена серта.
Повсеместное внедрение https там где оно не нужно очень беспокоит. Если весь интеренет перейдет на него, то роскомпозор возбудится и озабоится этой проблемой. И в итоге мы окажеися вообще без интернета и впн как ОАЭ, Китай и Иран.
Из-за этого HTTPS редиректы не работают
Вот вот. Нафига мне смотреть котиков по https? Их кто-то подменит?
А вдруг вместо котиков злоумышленники подсунут тебе или твоему ребенку картинку с информацией, которая спровоцирует совершить самоубийство или, например, вступить в ИГИЛ? Так что котиков тоже надо защищать.
Вы на полном серьёзе считаете, что психически здорового ребёнка можно спровоцировать на неадекватные действия какими-либо картинками?
Подобные темы специально раздуваются думскими шизоидами и кремлёвскими полит-менеджерами лишь для дальнейшего закручивания гаек.
Могут и подменить, чтобы поиметь тебя через дыру в твоём libjpeg, например.
Не плачь, Интернет и так и сяк отключат.
Отключу в первый же день, я по работе на десятках сайтов в день авторизуюсь на которых только хттп. Именно так вышло в случае с лисой.
>> по работе
>> авторизуюсь на которых только хттпХорошая такая работая, заботится о безопасности данных и конфиденциальности информации. Не удивлюсь, если это госсектор.
>>> по работе
>>> авторизуюсь на которых только хттп
> Хорошая такая работая, заботится о безопасности данных и конфиденциальности информации.
> Не удивлюсь, если это госсектор.это может быть демон, который имеет "админку" и торчать он может (и чаще всего торчит) в managment сети, доступ туда через, например, vpn. на кой болт там https ?
вот, к примеру, такое есть https://cesbo.com/en/astra/
ладно бы браузер там адресную строку красил в красный, рисовал жопу и тд вместо favicon, но безоговорочно принуждать пользователя к доп. лишним действиям...
> Не удивлюсь, если это госсектор.Ольгинский госсектор? Да.
Сразу видно ты большой специалист в этом деле. Получаешь финансирование из-за рубежа?
а как в случае с лисой это отключается? вот есть N "сайтов" которые по http и явки-пароли к которым хранятся в браузере. еще недавно достаточно было зайти по ссылке и запомненная пара логин-пароль уже были "вбиты" в поля формы, сейчас вот кликать по Login нужно и выбирать тот-самый-единственный-логин. он вторым в списке, на первом месте сообщение, которое должно испугать домохозяйку, про не секурность http.
Как насчет не хранить логины/пароли в браузере?
Вы не поверите, но есть программа keepass, у которой есть очень удобный функционал - по нажатию кнопки сама вбивает логин и пароль на сайте.
> Как насчет не хранить логины/пароли в браузере?
> Вы не поверите, но есть программа keepass, у которой есть очень удобный
> функционал - по нажатию кнопки сама вбивает логин и пароль на
> сайте.Вы не поверите, но что такое keepass я знаю, не удобно оно (мне). + оно на mono (keepass-2.35). не вижу абсолютно никакого смысла ставить N лишних сущностей для функционала, который есть в браузере 200 лет как. Кипас (и прочие его аналоги разной степени кривости, к примеру teampass (вебня)) удобен в случаях, когда нужно шарить пароли к чему-то между командой. Скажем, пароль на юзера root серверов, когда нужно "локально" через всякие ipmi/idrac/тд зайти. явки-пароли на всякие железяки и прочее. Но в случае с вебней это какой-то оверкилл, имхо.
Ну если разница в фукционале недоступна для понимания, то и говорить, конечно, не о чем.
> не вижу абсолютно никакого смысла ставить N лишних сущностей для функционала, который есть в браузере 200 лет какДело в том, что из браузера пароли вытаскиваются на раз, а из keepass - нет.
К счастью, есть много реализаций keepass.
Если вам не нравится mono, есть keepassx на сях.
Пусть, сволочи, разрешат ввод пароля по http://localhost, без предупреждений и крассных консоль.логов
А то, меня это кошмарит
chrome://flags/#allow-insecure-localhost ?
А на OpenNET до сих пор серт от китайцев, который летом превратится в тыкву, и толку от китайского https никакого.P.S. Макс, ну нельзя же тянуть до последнего. Пора уже освоить dehydrated. Я могу даже своим форком поделится, в котором ничего на сервере и в конфиге openSSL менять не нужно, просто передаются путь к общей папки (-dr | --docroot) с сайтами, при необходимости путь к папке на виртуальном домене (-ho | --host), имена доменов, включая SAN и всё.
h=ilya.pp.ua && dr=/srv/www/htdocs && ho=ilya && e=ilya@ilya.pp.ua && t=/tmp/certs-$h && d=/etc/apache2 && mkdir -pm0700 $t && openssl genrsa -out $t/$h.key 4096 && chmod 0600 $t/$h.key && openssl req -new -sha512 -key $t/$h.key -out $t/$h.csr -subj "/CN=$h/emailAddress=$e" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:$h,DNS:www.$h")) && le -s $t/$h.csr -dr $dr -ho $ho > $t/$h.crt && sudo chown root:root $t/$h.key $t/$h.csr $t/$h.crt && sudo mv $t/$h.key $d/ssl.key && sudo mv $t/$h.csr $d/ssl.csr && sudo mv $t/$h.crt $d/ssl.crt && rm -r $t && sudo systemctl restart apache2.service
Перейдут на letsencrypt, все автоматизируют, не парься.
>[оверквотинг удален]
> папке на виртуальном домене (-ho | --host), имена доменов, включая SAN
> и всё.
>h=ilya.pp.ua && dr=/srv/www/htdocs && ho=ilya && e=ilya@ilya.pp.ua && t=/tmp/certs-$h
> && d=/etc/apache2 && mkdir -pm0700 $t && openssl genrsa -out $t/$h.key
> 4096 && chmod 0600 $t/$h.key && openssl req -new -sha512 -key
> $t/$h.key -out $t/$h.csr -subj "/CN=$h/emailAddress=$e" -reqexts SAN -config <(cat /etc/ssl/openssl.cnf
> <(printf "[SAN]\nsubjectAltName=DNS:$h,DNS:www.$h")) && le -s $t/$h.csr -dr $dr -ho $ho
> > $t/$h.crt && sudo chown root:root $t/$h.key $t/$h.csr $t/$h.crt && sudo
> mv $t/$h.key $d/ssl.key && sudo mv $t/$h.csr $d/ssl.csr && sudo mv
> $t/$h.crt $d/ssl.crt && rm -r $t && sudo systemctl restart apache2.serviceуже давно есть acme.sh, зачем нужОн dehydrated, да еще и с форками ананимусов всяких? ;-)
про systemctl тоже ржачно)
> уже давно есть acme.sh, зачем нужОн dehydratedуже давно есть dehydrated, зачем нужОн acme.sh
Починил. Можешь не благодарить.
>> уже давно есть acme.sh, зачем нужОн dehydrated
> уже давно есть dehydrated, зачем нужОн acme.sh
> Починил. Можешь не благодарить.затем, чтобы не тащить баш в систему, к примеру (он не нужен;-) ).
Поклонники systemd пытаются протащить этот хлам куда угодно. Видно не зря говорят что секта :)
Всё для Cricetinae
Дорогой он, этот https. Этот сертификат обходится вдвое дороже, чем хостинг и домен вместе взятые.
Let`s encrypt спасёт отца русской демократии.
А еще с помощью Let`s encrypt получают сертификаты толпы фишинговых доменов, и для них в адресной строке браузер тоже пишет Secure, хотя по факту полжен писать Encripted
> Дорогой он, этот https. Этот сертификат обходится вдвое дороже, чем хостинг и домен
> вместе взятые.просто у кого-то нищебpoдский домен и гoвнохостинг. Покупаешь opennnet.sucks - и наслаждаешься, через год он будет стоить тебе лишь немногим дороже EV3 сертификата на себя (кто-нибудь, ну намекните этим п-сам, что они не тот tld заграбастали, никто это слово по правилам без двух ошибок не пишет)
и что, ради этой лампочки мне покупать сертификат для paste.org.ru? это бред
только лишнее электричество потратится на ненужное шифрование и превратится в теплоогромное к-во ситуаций, когда хттпс просто ненужен, зато клеймо повесят
https нужен везде. Точка.
Как минимум для того, чтоб очередной ушлый оператор не совал свой фекальный джаваскрипт с ненужными попапами в весь транзитный трафик
> и что, ради этой лампочки мне покупать сертификат для paste.org.ru? это бредзачем? Им все равно пользуются только гики.
> огромное к-во ситуаций, когда хттпс просто ненужен, зато клеймо повесят
не сметь ругать корпорацию бобра! Должны же они каким-то образом заставить тебя поставить свое ненужно?
До них все никак не дойдет, что сертификат может быть и у мошеннического сайта куда пользователь добровольно вобъет данные с кредитки. Надо народ просвящать, а не делать из них еще больших офощей-идиотов!
Шифрование не против мошеннических сайтов, а против МайораInMiddle.
>просвящатьПричащать и слушать радио "Радонеж". Да, с божьей помощью и Майор не страшен.
Против майора отлично сработает даже самоподписанный сертификат. Но нет, современные браузеры же требуют именно SSL от авторизованного центра сертификации.
Я в таких штуках не шарю, но мне кажется замена самоподписанного сертификата майором может легко остаться незамеченной.
Если ты заходишь на сайт подписанный Василием Пупкиным, а злой майор Васисуалий Пупкович заменит его на свой, то ты просто ничего не заметишь. Похоже из этого растут все неудобства и требования наличия хоть какой-то третьей стороны.
если не шаришь - лучше больше слушать.
Ну как реализовать, если сгенерить свой корневой серт и объявить его доверенным в системе, то майор пойдет лесом, и браузер будет зеленее зеленого, другое дело, что сделать это на некоторых осях затруднительно, а некоторые на уровне системы начинают алармить, впрочем неназойливо и тоже лечится через сброс и восстановление телефона.
> Против майора отлично сработает даже самоподписанный сертификат. Но нет, современные
> браузеры же требуют именно SSL от авторизованного центра сертификации.не требуют, но требуют чтобы ты никогда не мог автоматически разграничить эти "авторизованные" тов.майором от *доверенных*. Совпадение? Да, совпадение!
> Шифрование не против мошеннических сайтов, а против МайораInMiddle.майор просто легонько шлепает тебя кончиком дубинки по почкам, и у него появляется твой чудесный сгенеренный доверенным центром сертификат.
В случае letsencrypt и прочего мусора, майору, разумеется, удобнее - можно иногда сэкономить время и не ждать, пока тебя подвезут. Или дубинкой не тебе а твоему хостеру - у тебя же нешифрованный ключик, да? А уж как удобно американскому майору-то...
Интересно, гугль встроил интерфейс к magic lantern в letsencryptoвую инфраструктуру, или еще ждет следующий транш кредита?и да, шифрование не против, а для мошеннических сайтов (с майором они уже договорились, кстати)
Так это не для пользователей делают, а для дəбилов-админов, чтобы заставить их наконец настроить HTTPS.
HTTPS головного мозга.
Как на хабре верно подметили, сначала эти чудики убрали обозначение протокола из строки адреса (типа пользователю это знать не обязательно, да и место занимает), а теперь суют всюду эти плашки "insecure"/"not secure", чтобы пользователь мог отличить HTTP от HTTPS.
Интересно, как быстро появится плагин "Hide annoying insecure warnings".
> предупреждение будет выводиться при заполнении любых форм данных на страницах открытых по HTTPТакое уже было в internet explorer 3.0
> Такое уже было в internet explorer 3.0там прямо в этом диалоге была галка "убрать хню и больше никогда не лезть под руку".
сейчас такие галки размещают только в тех диалогах, которые нужно видеть всегда.