Компания Mozilla объявила (https://blog.mozilla.org/security/2018/01/15/secure-contexts.../) о применении принципа защищённого контекста (https://developer.mozilla.org/en-US/docs/Web/Security/Secure...) (Secure Context) к новым Web-технологиям, которые будут появляться в будущих выпусках Firefox. Secure Context подразумевает, что ряд возможностей для web-разработки станут доступны только при открытии с использованием защищённого соединения. По мнению разработчиков, данная тактика позволит ускорить повсеместный переход сайтов на HTTPS, а в случае доступа по HTTP усложнят проведение атак, которые могут привести к утечке персональных данных или получения низкоуровневого доступа к оборудованию.
По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства, расширения существующих объектов JavaScript, новые HTTP-заголовки и новые Web API (например, WebVR). Привязка к HTTPS также может быть обеспечена и для уже присутствующих возможностей, доступ к которым по HTTP сопряжёт с угрозами для безопасности и приватности.
При этом предусмотрен ряд исключений, которые могут быть приняты если возможность уже доступна в других браузерах без привязки
к Secure Context или если применение ограничений приводит к чрезмерной сложности в реализации. Например, новое CSS-свойство color, вероятно останется доступно для HTTP.
В настоящее время только для HTTPS доступны (https://developer.mozilla.org/en-US/docs/Web/Security/Secure...) такие API, как Geolocation, Service workers и Storage, так как использование данных API по незашифрованным каналам связи сопряжено с рисками, связанными с безопасностью и приватностью. На этапе рассмотрения находится перевод в Secure Context функций Encrypted Media Extensions (https://bugzilla.mozilla.org/show_bug.cgi?id=1322517) и Web Crypto API (https://bugzilla.mozilla.org/show_bug.cgi?id=1333140). Уже утверждён перевод в Secure Context интерфейсов
Generic sensor API, Credential Management Level 1 и Web NFC API.
Для определения доступности тех или иных возможностей при обращении HTTP предлагается (https://developer.mozilla.org/en-US/docs/Learn/Tools_and_tes...) использовать CSS-правила @supports, которое рекомендуется как более предпочтительный вариант, чем API self.isSecureContext. Для упрощения перехода на Secure Context и обеспечения локального тестирования без HTTPS будет предоставлен специальный инструментарий (https://bugzilla.mozilla.org/show_bug.cgi?id=1410365).URL: https://blog.mozilla.org/security/2018/01/15/secure-contexts.../
Новость: http://www.opennet.me/opennews/art.shtml?num=47913
Есть у меня один сайтец. Две HTML странички. Никакой логики, скриптов и т.п. Никаких полей для ввода. Никакой важной или конфиденциальной информации.
Заставил работать через HTTPS. А то такими темпами через полгода сайт сможет открыть только Saahriktu через Linx, да и тот испугается Юникода и убежит в Фидо или где он там обитает.
Даже если на вашем сайте не нужно вводить пароль, HTTPS защитит от внедрения вредоносного кода, подмены информации и слежки за пользователем, на какие страницы он заходил. HTTPS нужен особенно любителям подключаться к чужим VPN серверам.
> HTTPS защитит от внедрения вредоносного кода, подмены информацииНе защитит, если атакующий подменит DNS-ответ. DNSSEC пока не рсспространён ни в винде, ни на среднестатистическом дистрибутиве Linux. Вообще, когда заходит речь про DNS, все евангелисты SSL почему-то быстро стушёвываются, — видимо не хватает технической подготовки... А ведь любой компьютер — в т.ч. и с большинство сервер с Linux с вероятностью 90% получает адрес DNS-сервера по DHCP от того интернет-провайдера, которого так "боятся" пропоненты SSL. А ещё они оттуда получают NTP-сервера. И роуты. И другие интересные вещи. Без всякого шифрования! Всё жду-не дождусь новости: исследователь безопасности вася пупкинофф совершил открытие: "DHCP — дыра!" Дистрибутивы Linux и Windows на перегонки пытаются выпустить патчи!
> HTTPS защитит от... слежки за пользователем, на какие страницы он заходил
Не защитит: https://www.theatlantic.com/technology/archive/2017/03/encry.../. Есть способы борьбы, но абсолютное большинство страниц никогда не будут защищены от этой атаки: вебмастеры слишком заняты воспеванием гимнов SSL.
Единственное, что SSL "может" это внедрить между пользователем и атакующим несколько мегабайт дырявых криптолиб. Прочность алгоритмов которых вообще ничем не подкреплена, кроме заверений их (малоизвестных) авторов.
Лень прописать DNS на своей стороне?
А какой DNS мне прописать, чтобы обезопасить себя от MITM в интернете?
127.0.0.1
+1
у меня даже свой резолвер (да-да, он самый - самописный)
Это необязательно именно достоинство.
Не поможет же. Или записи будешь вручную в него загружать из _надежных_источников_?
Установить свой DNS сервер, если у тебя не винда.
Вы хоть примерно представляете как работает инфраструктура DNS и что такое MITM?...
HTTP вообще ни от чего не защитит.
А HTTPS ещё и создаст дополнительные уязвимости
Что может быть уязвимие HTTP?
> Что может быть уязвимие HTTP?При HTTPS на сервере существенно больше переусложнённого кода, в котором в любой момент может всплыть новая уязвимость.
> Что может быть уязвимие HTTP?Очередная дыра в libssl. Или само-DoS из-за тухлого сертификата. Или...
PS: впрочем, Вам бы сперва хоть по-русски писать научиться грамотно.
у вас ббкоды поехали
>Не защитит, если атакующий подменит DNS-ответКак бы, именно от этого, SSL и защищает. Потому как помимо подмены ответа, куда ведет www.google.com, надо еще и браузеру доказать, что есть доступ к валидному сертификату на это имя.
Другое дело, что получить этот сертификат можно подменив DNS ответ для центра выдачи сертификатов, но это сложнее и надо атаковать сразу две инфраструктуры - клиентского провайдера и провайдера центра сертификации. Ну или иметь другой путь доступа к доверенному центру выдачи сертификатов.
Проблема сертификатов, в основном, связанна с тем, что система очень сильно децентрализовано и все могут почти все. В том числе и выдавать сертификаты на www.google.com, при том, что где-то еще подобный сертификат выдан.
>>Не защитит, если атакующий подменит DNS-ответ...
> Проблема сертификатов, в основном, связанна с тем, что система очень сильно децентрализовано
> и все могут почти все. В том числе и выдавать сертификаты
> на www.google.com, при том, что где-то еще подобный сертификат выдан.имхаеЦЦа, вся с хрень с центрами и прочими криптографиями почила в бозе..
>> HTTPS защитит от внедрения вредоносного кода, подмены информации
> Не защитит, если атакующий подменит DNS-ответ.Кроме теории на википедии, в живую покажешь?
DNSCrypt.
Ну и VPN становится насущной необходимостью.
> Не защитит, если атакующий подменит DNS-ответ.А какой из CA прописанных в браузере в доверенные ему выдаст сертификат SSL на это подменённое имя? Ведь без этого браузер скажет пользователю «неизвестный центр сертификации».
Ну подменит, и что дальше? Будет ошибка сертификата.
> Даже если на вашем сайте не нужно вводить пароль, HTTPS защитит от внедрения вредоносного кода,
> подмены информации и слежки за пользователем, на какие страницы он заходил. HTTPS нужен особенно
> любителям подключаться к чужим VPN серверам.Хватит уже параноить. "Две HTML страницы. No JS/PHP/CSS ..." куда и как внедрять ты собрался?
Если хацкеры заломают провайдера, зальют свой код, как меня спасёт SSL?
Не, ты не понял. От подмены _по пути_. То есть врезки рекламы, вредоносного кода, etc. например провайдером.
> Не, ты не понял. От подмены _по пути_. То есть врезки рекламы,
> вредоносного кода, etc. например провайдером.ОПСОСы этим занимаются уже давно.
>> Не, ты не понял. От подмены _по пути_. То есть врезки рекламы,
>> вредоносного кода, etc. например провайдером.
> ОПСОСы этим занимаются уже давно.потому что http - и занимаются !
Зато есть HTTP/2 со своими плюшками, который не будет работать без https. Хочешь сидеть на старом протоколе - сиди.
Любители http любят telnet. Любители https любят ssh.
> Любители http любят telnet. Любители https любят ssh.На удивление кривая "параллель".
> Любители http любят telnet. Любители https любят ssh.Нет. Любители https обычно любят какие-нибудь ssh-клиенты, реализованные на электроне или прямо в виде яваскриптового приложения для гуглхрома.
Больше страданий для пользователей интранет сайтов!
Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь .intranet и забыть. Достаточно стандартная практика.
> Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь
> .intranet и забыть. Достаточно стандартная практика.Куда поставить? Во все ноутбуки при подключении к открытой точке доступа без интернета?
> Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь
> .intranet и забыть. Достаточно стандартная практика.Да, да, да, Вы еще гуглёвому хромому это объясните, что вот ентот корневой сертификат, гуглём не признанный, но мною чесно в доверенные добавленный, он должОн считать таки доверенным, а не ругаться матом каждый раз при входе на чёй-то-там.intranet...
> Да, да, да, Вы еще гуглёвому хромому это объясните, что вот ентот корневой сертификат, гуглём не признанный, но мною чесно в доверенные добавленный, он должОн считать таки доверенным, а не ругаться матом каждый раз при входе на чёй-то-там.intranet...флаг --ignore-certificate-errors вам в помощь
Пользователям-то чего страдать? Разработчики немножко пострадают, но таки осилят генерацию самоподписанных сертификатов для отладки.
Разработчикам бывает нужно ещё и трафик снифить, чтобы видеть что там происходит на самом деле...
Ну ок, осилят ещё и настройку логирования сервера. Как они, бедные, без этого до сих пор жили…
Вы не понимаете разницу между логами и снифером?
Нормальному разработчику снифер не нужен.
Хороший разработчик использует все возможности. А при работе с чужим кодом снифер бывает просто необходим.
> Вы не понимаете разницу между логами и снифером?В лог можно записать всё то же, что будет показывать снифер.
> В лог можно записать всё то же, что будет показывать снифер.Нельзя. Это совсем другой уровень, и что там делает фронтенд с заголовками и контентом может быть тайной за семью печатями.
> Ну ок, осилят ещё и настройку логирования сервера. Как они, бедные, без
> этого до сих пор жили…Сервер может быть чужой
Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec внедрили, но они этого делать и не собираются даже...
> Им забашляли центры сертификации чтоли?наоборот. Им забашляли те же, кто пихает во все дыры letsdecrypt.
Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры. Во всяком случае, вы ничего не можете на них делать без блока данных, обрабатываемого гнилым, громадным и толком неверифицируемым куском кода, выдаваемых непойми кем и который вас заставляют регулярно менять (желательно - еще и исполняя непойми чьи скрипты, но это тоже дело десятое).
(dnssec, если что, не решает ни одной проблемы, кроме, разьве что, отдельных (мелких) проблем в самом dns)
> Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры.Передергивание.
> Во всяком случае, вы ничего не можете на них делать без блока данных
Перегибаешь.
> гнилым, громадным и толком неверифицируемым куском кода
Некорректно.
> выдаваемых непойми кем
Бери у «пойми кого», делов-то.
> (dnssec, если что, не решает ни одной проблемы, кроме, разьве что, отдельных (мелких) проблем в самом dns)
Ложь, причем неприкрытая. На моей практике два раза было, когда клиенты жаловались на странные проблемы с API, на поверку оказавшиеся отравленным кешом DNS.
Не могу — эти уроды купили последний нормальный центр сертификации. А владельца — заставили в качестве наказания заниматься разработкой Linux-дистрибутива для простых пользователей.
>> Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры.
> Передергивание.не ты решаешь, как и что защищать на твоем сайте. И не твои пользователи. Где тут передергивание?
>> выдаваемых непойми кем
> Бери у «пойми кого», делов-то.Браузеры это не умеют. В принципе.
> Ложь, причем неприкрытая. На моей практике два раза было, когда клиенты жаловались на странные
> проблемы с API, на поверку оказавшиеся отравленным кешом DNS.ахренеть какие продвинутые клиенты. И какие продвинутые суперхакеры работают у этих клиентов или где-то рядом.
Кстати, а как же, как же https подписанный гугледоверенным сертификатом, неужели не выдал им честное сообщение что они зашли не на тот сайт? Не может быть! ;)
Ну и да, dnssec (во всяком случае, в нынешнем его неполноценном виде) и этой проблемы тоже не решает (разьве что клиент специально будет стараться).
> не ты решаешь, как и что защищать на твоем сайте. И не твои пользователи. Где тут передергивание?В подмене вопроса принадлежности вопросом о стандарте передачи данных. То, что ты вынужден пользоваться каким-то определенным протоколом, не забирает у тебя владение самим сайтом и тем более компьютером. Если уж хочется поговорить о эфемерности владения, то стоило бы говорить о регистрарах, хостерах и провайдерах, которые действительно могут в любой момент лишить тебя сайта.
> Кстати, а как же, как же https подписанный гугледоверенным сертификатом, неужели не
> выдал им честное сообщение что они зашли не на тот сайт?
> Не может быть! ;)Ты не понимаешь разницы между API и сайтом?
>> не ты решаешь, как и что защищать на твоем сайте. И не твои пользователи. Где тут передергивание?
> В подмене вопроса принадлежности вопросом о стандарте передачи данных. То, что ты
> вынужден пользоваться каким-то определенным протоколом, не забирает у тебя владение самим
> сайтом и тем более компьютером. Если уж хочется поговорить о эфемерности
> владения, то стоило бы говорить о регистрарах, хостерах и провайдерах, которые
> действительно могут в любой момент лишить тебя сайта.Все эти движения *фактически* предоставляют "сертификаторам" *контроль* над "сайтами", даже ещё не созданными, и даже в изолированных сегментах.
Осталось понять, зачем так густо пугают проколами во всём, начиная с процессоров -- именно ради этого или ещё что-то преследуется.
И какой же именно контроль это предоставляет? В чем он выражается? Есть ли прецеденты? Какова степень его опасности в сравнении с реальными методами контроля? Не делает ли кое-кто из мухи слона?
> И какой же именно контроль это предоставляет? В чем он выражается? Есть
> ли прецеденты? Какова степень его опасности в сравнении с реальными методами
> контроля? Не делает ли кое-кто из мухи слона?Ну я не знаю, есть тут дутый драматизм или нет.
А так, что касается именно гипотетически обретаемого кем-то контроля -- на уровне ПО (почти) никто не (с)может работать без разрешения "корпорации "сертификаторов". То есть контроль от технических акторов (которые слишком неподконтрольны) перемещается на уровень человеков, что и требовалось.
А там недалеко до подкожных чипов, которые будут обеспечивать идентичность в сети, конечно же, в наших лучших интересах.
Да тут много чего можно соорудить производного, но фактор усиления контроля налицо.
> То, что ты вынужден пользоваться каким-то определенным протоколомда не протоколом, а здоровенным куском (чужих!) данных, чуть ли не намеренно сделанным таким, чтобы его вообще невозможно было обрабатывать компактным, понимаемым, не говоря уж о верифицируемым кодом. Того гляди - сам начнет что-нибудь у тебя обрабатывать. А отказаться от него ты уже не можешь. Против точно такого же куска из доверенного (мной!) источника у меня возражений гораздо меньше - там я хотя бы уверен в отсутствии злого умысла. Так что дело не (только) в протоколе, но в первую очередь в том, _как_ его заставляют использовать.
> то стоило бы говорить о регистрарах, хостерах и провайдерах, которые действительно могут в любой
> момент лишить тебя сайта.вот как раз не могут. Ну, если это не регру, конечно. Прецеденты были, но если владелец не был в розыске, каждый раз не только откатывали назад, но и долго униженно извинялись.
Потому что могут при этом попасть на существенные деньги - владение чем-то или предоставление сервиса - это вполне юридические понятия, за них и ответить можно. А за блок двоичного мусора ответить нельзя (во всяком случае, история не знает прецедентов), и ничего кроме этого мусора тебе никакой летсшитйорсайт не обещал.> Ты не понимаешь разницы между API и сайтом?
апи из воздуха приехал?
> Если уж хочется поговорить о эфемерности
> владения, то стоило бы говорить о регистрарах, хостерах и провайдерах, которые
> действительно могут в любой момент лишить тебя сайта.Регистраторы, пожалуй, тоже из этой же оперы, но хостеры и провайдеры - это не то. В любое время можно их сменить и проблемы не будет. А вот кастрированный доступ к твоему домену будет вне зависимости от твоего желания. Потому, что mozilla так решила. Иди плати бабки за сертификат и пофиг, что ты считаешь, что он тебе не нужен - твоё мнение никому не интересно.
Под dnssec разумеется имелось ввиду dnssec+dane (TLSA).
> Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec
> внедрили, но они этого делать и не собираются даже...Если бы внедрили DNSSEC, то можно было бы нормально пользоваться DANE, и CA стали бы не нужны.
> Если бы внедрили DNSSEC, то можно было бы нормально пользоваться DANE, и
> CA стали бы не нужны.их просто заменили бы на регистри (без подписей которого ничего вниз по цепочке не работает - точно так же). Кому от этого легче?
Какие ещё регистри? Всё давно работает безо всяких "бы" и прочих ваших фантазий, не хватает только поддержки со стороны браузеров (раньше были плагины/расширения, сейчас - хз). Почтовые сервера (exim, postfix) уже поддерживают нативно.
> Какие ещё регистри? Всё давно работает безо всяких "бы" и прочих вашихhttps тоже как бы "давно работает". Но есть один ньюанс...
так вот в dnssec этот "ньюанс" пожирнее будет.
Посвятите же нас в ваш "ньюанс". Особенно в эти таинственные регистри...
> Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec
> внедрили, но они этого делать и не собираются даже...А мне интересно, почему они этого не делают?
Б-ть.
А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради пары станиц на голом html?
> Б-ть.
> А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради
> пары станиц на голом html?Пара страниц на _голом html_ не будет использовать Service Workers.
А это не суть важно, главное - тенденция. Сначала браузеры стали как резаные орать при заходе на не-https - "ой, бида-бида вашим пирсанальным данным!", потом у них начнёт отваливаться функционал, а послезавтра и вовсе скажут "нефиг", да ещё и перестанут принимать самоподписанные сертификаты...
А почему ты думаешь что тебя, любителя одинаковых паролей на всех сайтах, должны слушать вменяемые пользователи и разработчики?
А почему я должен держать yпopoтых идиотов за вменяемых разработчиков?
Ты имеешь в виду людей, которые прививают у хомяков привычку думать о безопасности в сети?
Я имею в виду идиотов, считающих, что только они достойны привилегии думать.
Нигде не прописан стандарт когда выводить предупреждение. Твои привычки серфинга не являются истинными. Так в чем вопрос?
Вопрос в тенденции ломать то, что работает, навязывая свои привычки и не оставляя возможностей выбирать.
> то, что работаетПосле публикаций Сноудена не работает.
>> то, что работает
> После публикаций Сноудена не работает.Да ви шо, ну и как публикация Сноудена сломала мою домосетку?
Почему ты думаешь что разработчики браузера с многомиллионной аудиторией должны закладывать в него код с исключением твоей домосетки?
Почему бы не разрешать миллионам выбирать из двух зол то, которое им в данный момент нужнее?
Может быть ты просто не очень умен?about:config > security.insecure_*
Может быть ты просто туп? Не улавливаешь тенденции или это слово для тебя непонятное?Имеем фичу Х. Фича имеет известные проблемы и известные преимущества.
В версии N "ради общего блага" отключаем фичу Х. Потому что проблемы надо решать, а нам некогда, мы заняты важными разработками. А кому очень надо - милостиво разрешим включить обратно через about:config.
В версии N+1, убедившись, что фичу Х продолжают использовать, отламываем ее нафиг - мы же разрабы, мы должны решать проблему!
> Имеем фичу Х. Фича имеет известные проблемы и известные преимущества.В какой-то момент известных проблем стало больше чем известных преимуществ. Пришло время решать проблемы.
> В версии N "ради общего блага" отключаем фичу Х. Потому что проблемы надо решать, а нам некогда, мы заняты важными разработками. А кому очень надо - милостиво разрешим включить обратно через about:config.
Это называется мягкий переход. Ты предпочитаешь резкий?
> В какой-то момент известных проблем стало больше чем известных преимуществ. Пришло время
> решать проблемы.Отрубание головы при мигрени тоже можно назвать решением проблемы.
Понуждение к безопасности таким вот способом ведет к замене одной проблемы несколькими другими.> Это называется мягкий переход. Ты предпочитаешь резкий?
Я предпочитаю разумный переход - с сохранением как можно большего числа возможностей.
> Я предпочитаю разумный переход - с сохранением как можно большего числа возможностей.Предлагай
> ПредлагайКоторое слово опять непонятно?
Пока что я вижу истеричку катающуюся по полу и сучащую ножками, при том что все что ты предложил реализовано 1 в 1 разрабами Мозиллы. Ничего иного, что ты не предлагал, не делалось. Может ты просто сам не знаешь чего хочешь? Откуда недовольство? Ах, тенденции. Так в твоих предложениях про них ничего нет. И кто виноват что ты про них не упомянул вовремя, когда была возможность? Я все еще вижу крайне непоследовательного человека, который если бы занимал должность руководителя, принимающего решения, не смог бы сделать продукт, потому что сформулировал задачу плохо. И куда тогда лезешь?
> Пока что я вижу истеричкуЯ не спрашивал, что ты видишь. И какие таблетки ты забыл сегодня принять - меня тоже не интересует. Я спросил - какое слово из сказанного мной тебе еще непонятно? Это относительно простой вопрос.
> Ты имеешь в виду людей, которые прививают у хомяков привычку думать о
> безопасности в сети?Хомячки не думают, они клацают мышками и выедают мозг техподдержке, потому что не могут попасть в свои клиентбанки и емагазины после очередного проявления заботы об их безопасности озабоченными безопасностью пионэрами уэб-разработок, и им до фени эти ваши потуги "забезопасныйинтернет", особенно на фоне прочих зияющих дыр в электронных платежных системах.
Потому что те у кого одностраничник с адресом магазина это "любитель одинаковых паролей" и страшный-опасный сайт -- это не вменяемые пользователи и адекватные разработчики, а обычные исторички.
> А почему ты думаешь что тебя, любителя одинаковых паролей на всех сайтах,
> должны слушать вменяемые пользователи и разработчики?Вменяемые разработчики не должны навязывать своё мнение о безопасности всем вокруг.
А пользователи должны сами выбирать требуемый им уровень безопасности.
> А интранет-сайты?а с чего ты взял, что в твоем интранете нечего красть?
> Как верно отметили выше, какого органа воротить центр сертификации ради пары станиц на голом
> html?голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то авторизация или он захочет, вдруг, что-то знать о пользователе - придется озаботиться сертификатом.
А вот какого органа у тебя в интранете до сих пор НЕТ своего CA - действительно, удивляет.
>> А интранет-сайты?
> а с чего ты взял, что в твоем интранете нечего красть?Можно я это сам решу?
> голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то
> авторизация или он захочет, вдруг, что-то знать о пользователе - придется
> озаботиться сертификатом.Опять-таки - можно мне в своей гoвнo-домо-сетке на 2,5 компа самому решать - нужна мне безопасность, или нет?
> А вот какого органа у тебя в интранете до сих пор НЕТ
> своего CA - действительно, удивляет.Он нафиг мне не нужен, имею право.
> Можно я это сам решу?Тоже самое разработчики мозилы говорят на критику своего браузера. Эта отмазка работает в обе стороны.
>> Можно я это сам решу?
> Тоже самое разработчики мозилы говорят на критику своего браузера. Эта отмазка работает
> в обе стороны.Разработчики мозилы - олени с альтернативной сексуальной ориентацией, если действительно ведут себя подобным образом и считают, что это нормально - класть на мнение потребителей своего продукта.
Потрясающее невежество.Ещё раз. Решения о Secure Context принимались в W3C TAG. В соотв. списках рассылок были те ещё обсуждения, какие API включать, зачем и почему.
То же самое было в списке разработки FF, но больше по техчасти.Но ведь туда ты не ходил, правда?… Как правильно заметил, ты — потребитель, высравшийся токсичным комментарием на опеннете, и палец о клавиатуру не ударивший, чтобы не то, что изменить ситуацию, даже высказать свое мнение в надлежащем месте.
Так что не порть себе настроение зазря.
> Решения... принимались в W3C TAG.Который давно не функционален и выполняет желания левой пятки гугла
>W3C TAGкоррумпированная хренb
>>> А интранет-сайты?
>> а с чего ты взял, что в твоем интранете нечего красть?
> Можно я это сам решу?можно, но тогда отучайся говорить за всех.
Не "интранет-сайты", а "две мои наколенные поделки, ненужные никому, в том числе и мне - так что даже сертификат поставить для меня нерешаемо сложная задача".в интранетах как раз нет ни проблемы (потому что можно позволить себе быть самому-себе-CA, и не связываться со стремными впаривателями блоков непонятных байтов), ни поводов так не делать (потому что в нормальном интранете как раз есть чего беречь)
проблема есть именно в паблик-интернетах, когда беречь уже особо нечего - ты и так уже все что мог и что не мог о себе рассказал какому-то левому сайту, какая нахрен разница, кто еще по дороге мог перехватить жизненно-важную информацию что у тебя телефон нагрелся на два градуса?
Ну и с крипто-апи(которое для того вообще-то и было придумано, чтобы не гонять нешифрованные данные через хз-чей канал, даже если он весь из себя "безопаснтый") особенно правильно получилось.
> можно, но тогда отучайся говорить за всех.
> Не "интранет-сайты", а "две мои наколенные поделки, ненужные никому, в том числе
> и мне - так что даже сертификат поставить для меня нерешаемо
> сложная задача".Отучайся говорить за то, чего не знаешь.
Не "сложно", а "нафиг не нужно".
У тя дома, наверное, на каждой двери по два замка стоит - кодовый и обычный. А на двери в сортир три. Вдруг кто зайдет, а ты без штанов...
>>> А интранет-сайты?
>> а с чего ты взял, что в твоем интранете нечего красть?
> Можно я это сам решу?Похоже нет.
>> голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то
>> авторизация или он захочет, вдруг, что-то знать о пользователе - придется
>> озаботиться сертификатом.
> Опять-таки - можно мне в своей гoвнo-домо-сетке на 2,5 компа самому решать
> - нужна мне безопасность, или нет?Нет. За тебя решили.
>> А вот какого органа у тебя в интранете до сих пор НЕТ
>> своего CA - действительно, удивляет.
> Он нафиг мне не нужен, имею право.Нет никаких прав. Жри что дают и восхваляй опенсорц и свободу выбора между разными сортами гов#а.
P.S. ёб#нн#й опеннет. Модеры вы что пе#ерасты толерантные что ли? С какого слово г о в н о - нецензурная брань? Совсем ёб#улись что ли?..
> Б-ть.
> А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради
> пары станиц на голом html?Например чтобы доблестные "ISP" не врезали туда рекламу.
>> Б-ть.
>> А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради
>> пары станиц на голом html?Для интранет-сайтов не актуально конечно, но опять же - что мешает иметь интранет-сайт с "внешним" именем домена, для которого есть сертификат?
Необязательное наличие этого внешнего интернета? Или нежелание платить за внешний домен каждый год?
Это был сарказм или ты не знаешь, что такое интранет?
Ладно жс, но ограничить новые CSS свойства только HTTPS'ом? Они там с дуба рухнули?
> так как использование данных API по незашифрованным каналам связи повышает риски, связанные с безопасностью и приватностью.Перечитай зачем так сделали.
Напомни - какие риски безопасности css решает https?
> Напомни - какие риски безопасности css решает https?Как минимум подмена шрифтов.
Если есть такая возможность, значит и всю страницу можно подменить, что гораздо опасней. Так что не убедил.Тут некоторые пишут чепуху про telnet и ssh... Народ, мы же не против https в принципе, мы просто хотим нормального последовательного развития, а не этого костылинга. Внедрите сначала dnssec+dane в браузеры, определите стандартный домен(ы) для интрасетей, в котором https будет необязательным, а потом уже форсируйте HTTPS во все поля.
Шрифты можно тянуть по http, при этом вся страница будет https.
> Шрифты можно тянуть по http, при этом вся страница будет https.нет
Как нет, если да?
> Как нет, если да?Попробуй. Браузеры давно уже ничего не грузят по http если основная страница загружена по https.
>> Как нет, если да?
> Попробуй. Браузеры давно уже ничего не грузят по http если основная страница
> загружена по https.Грузят, просто у многих сайтах уже везде HTTPS.
Не грузят, не грузят. Иначе это бы нарушало сам смысл существования https.
Со сторонних ресурсов можно грузить через http. Просто будет на замочке предупреждение, но https не пропадет.
В хроме:Mixed Content: The page at 'https://www.-----.ru/test' was loaded over HTTPS, but requested an insecure stylesheet 'http://fonts.googleapis.com/css?family=Lora'. This request has been blocked; the content must be served over HTTPS.
> В хроме:
>Mixed Content: The page at 'https://www.-----.ru/test' was loaded over HTTPS, but
> requested an insecure stylesheet 'http://fonts.googleapis.com/css?family=Lora'. This
> request has been blocked; the content must be served over HTTPS.Ты говорил про браузеры. При чём здесь хром?
> Ты говорил про браузеры. При чём здесь хром?Вопросов больше не имею...
> Как минимум подмена шрифтов.Ой бяда-бяда... всё вот так: сначала придумаем проблему (возможность использовать недефолтные шрифты), потом гордо её решаем. Сначала детям в школы интернет проведём, потом блокируем (но уже для всех), потому что там голых тётенек и дяденек показывают.
Он доверяет всем подряд. Ему не важно, что каждый может перехватить или подменить геолокацию или хранилище. Те же люди кричали, зачем ssh если есть telnet, но сейчас они заткнулись и пользуются ssh. Некоторым людям нужно время чтобы осознать это.
> Он доверяет всем подряд. Ему не важно, что каждый может перехватить или
> подменить геолокацию или хранилище. Те же люди кричали, зачем ssh если
> есть telnet, но сейчас они заткнулись и пользуются ssh. Некоторым людям
> нужно время чтобы осознать это.Дружище, ты часом не слаб на ум?
Мне разве надо идти и платить бабки за свои ключи для ssh-доступа?
Ты не чувствуешь разницу ssh и https?
Покупайте SSL сертификаты за %d долларов!
> Покупайте SSL сертификаты за 0 долларов!Так и делаю.
Угу, сначала перейдя на хостинг подороже, который поддерживает этот letsencrypt.
Я сам себе хостинг. VPS, не, не слышали?
Это и есть подороже.
Сколько ваш хостинг стоит, если 5 долларов это подороже?
https://www.hostobzor.ru/ - от 6 руб/мес.
История, как telnet превратился в ssh, грубо говоря. Короче, будет только https, только гемороя с сертификатами побольше.
> История, как telnet превратился в ssh, грубо говоря. Короче, будет только https,
> только гемороя с сертификатами побольше.Поставил certbot и забыл. Всё само обновляется.
> История, как telnet превратился в sshА он разве так мутировал? Что-то не припоминаю.
Честно говоря форсинг HTTPS немного бесит. Самую малость, но таки да. Возможно стоило бы и меру знать. Мне кажется вот это - слишком:> По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства
Честно говоря форсинг HTTP немного бесит. Самую малость, но таки да. Возможно стоило бы и меру знать.
Какие фичи браузеров доступны только на HTTP? Какие сайты редиректят тебя с https на http-версию? Какие евангелисты ходят по сайтам и рассказывают, что https опасен, и нужно срочно везде его запретить?
> Какие фичи браузеров доступны только на HTTP? Какие сайты редиректят тебя с
> https на http-версию? Какие евангелисты ходят по сайтам и рассказывают, что
> https опасен, и нужно срочно везде его запретить?Почему ты не ходишь голым по улицам? В интернете по HTTP ведь норм ходить.
> Почему ты не ходишь голым по улицам?Причём здесь HTTPS? Оговорка по Фрейду?
> Почему ты не ходишь голым по улицам?Я вот хожу. Не голым, конечно, но вот сегодня я ехал на работу на обычном троллейбусе, а не, как вы предлагаете, на танке с двухдюймовой бронёй.
...
> работу на обычном троллейбусе, а не, как вы предлагаете, на танке
> с двухдюймовой бронёй.с сетрифицированной неизвестно кем броней..
> как вы предлагаете, на танке с двухдюймовой бронёй.Tor + i2p + HTTPS?
> Честно говоря форсинг HTTPS немного бесит. Самую малость, но таки да. Возможно
> стоило бы и меру знать. Мне кажется вот это - слишком:
>> По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойстваСогласн. Делали бы чуть тоньше и народ сам бы потянулся. А так идёт жёсткое навязывание.
Сделали бы какой-нибудь http-заголовок, который бы включал этот жёсткий режим браузера и т.о. авторы сайтов могли бы сами решать.
давно пора вообще все только через https разрешить. Объявить план что через год http не будет и воплотить. Кому нужно - тот подсуетится.
Все зависит от того какие свойства будут заблокированы для https и можно ли разблокировать на стороне клиента.
Но вообще это выглядит так: веб-макаки не заботятся о безопасности, мы не знаем другого способа, кроме как запретить им стрелять в ногу.
*для http
Частично так. Частично - "всё стало дофига сложным, особенно в комбинациях фич, и мы задолбались выяснять, где ещё какие есть частные случаи".
Оголтелая дискриминация нечегоскрывателей. Куда смотрит ООН?
Большая часть сайтов и так пытается слить максимум информации. Посмотрите на коннект к googleanalytics со страницы авторизации на банковском сайте, например. Поэтому отсутствие SSL практически не добавляет ничего к реальным утечкам.А вот с точки зрения блокировок --- становится удобнее: контролировать небольшой пул УЦ легче, чем разбираться с траффиком.
> Посмотрите на коннект к googleanalytics со страницы авторизации на банковском сайте, например.Это у какого банка такое, лол?
> Это у каких банков такое, лол?fix.
Сбербанк (который сбербанк-онлайн для физ. лиц)
Вам огласить весь список, или сами посмотрите? ;)
огласить
HTTP это не только сайтики с котиками, это ещё и админки устройств, это IPTV.
HTTPS нафик не сдался ни где, кроме сайтов банков и прочих мест с фин транзакциями.
Ну а обозначенные фичи я бы вообще из браузера выкинул, они одинакового вредные под любым соусом.
Ну, не надо совсем уж бросаться в крайности. У одних все сайты хотят украсть твои деньги и голые фотки, у других кроме банков ты никому не нужен.Истина посередине -- https нужен там, где используются какие-то непубличные данные: логин/пароль, постинг, чтение чего-то что может нанести тебе вред (например цп или обсуждения властей твоей страны). И раньше было нормальной практикой в этих местах и ставить https. Теперь же по какой-то причине предлагается лепить его везде, создавая дополнительную зависимость от уязвимого центра. Это как с двухфакторной аутентификаций -- в попытке обезопасить пользователей со слабыми паролями добавили ещё одну дырень, которая успешно и достаточно просто эксплуатируется.
Раньше вифи так популярно не было, в остальных случаях траф идёт по проводным сетям, и провайдерам всегда было пофик и они не собирали ничего.Я логином/паролем мало где дорожу, ну угонят акк тут или ещё где - пофик, ещё один заведу, делов то.
> в остальных случаях траф идёт по проводным сетям, и провайдерам всегда было пофик и они не собирали ничего.Ха-ха. Вы доверяете провайдерам?
In the UK, a VPN is a basic requirement for internet usage, since the country's new Investigatory Powers Bill allows practically any government employee in any division to look up your internet history for the part year. That sounds like an exaggeration, but amazingly it isn't. Even if you aren't worried about what the department or employees could do with your data officially, these are humans trusted with this power: hundreds of thousands of them. Any malicious group could easily put their man into one of these departments and retrieve whatever data they want.
Even if you're not in the UK, there's no doubt there are sleeper cells from malicious groups in every ISP already. Why wouldn't there be?
> HTTPS нафик не сдался ни где, кроме сайтов банков и прочих мест
> с фин транзакциями.Только не надо думать, что один факт использования протокола https дает какие-то гарантии безопасности для банковских операций
А как же быть с железками, на которые натянули вебинтерфейс? Неужели для них тоже надо сертификаты лепить?
> А как же быть с железками, на которые натянули вебинтерфейс? Неужели для
> них тоже надо сертификаты лепить?Если натянули вебинтерфейс, то удовлетворительного варианта не просматривается: не лепить сертификаты плохо, лепить --- либо трудно, либо плохо.
По http отдать гораздо проще. На шифрование может и ресурсов не хватить. И не будешь на каждый сетевой принтер свой сертификат заливать.
> По http отдать гораздо проще. На шифрование может и ресурсов не хватить.Шифрование копеечное.
TLS это не только шифрование.
На эмбедщине - далеко не копеечное. А на сервере теряется возможность использовать sendfile/splice, что тоже совсем не копейки
Я думал как отключить запрос на геолокацию от каждого сайта, а они это как стимул преподносят
За принудительную безопасность нужно судить!
Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новые CSS-свойства?
> Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новые
> CSS-свойства?В перспективе лучше забить на вэб в его современном понимании. Жалко, что FSF и прочие любители свободы не в состоянии предложить альтернативу.
>> Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новые
>> CSS-свойства?
> В перспективе лучше забить на вэб в его современном понимании.Но это одна из тех вещей, которые добром не произойдут. Отказ же одиночек не решает ничего.
Какой-то мизерный шанс есть у варианта IceCat, но.Надо отдать должное - любители контроля достигают своих целей довольно ловко. Как с минимумом средств уделать "среду свободы".
>Жалко, что
> FSF и прочие любители свободы не в состоянии предложить альтернативу.Они в состоянии предложить, но это будет гипотеза. Кто вот за неё кровь будет проливать?
>Они в состоянии предложить, но это будет гипотеза. Кто вот за неё кровь будет проливать?У FSF куча сайтов и сервисов. Можно для начала свои перенести. И инструменты для просмотра они могут не напрягаясь включить в состав всех дистрибутивов. Если инструмент есть в дистрибутиве, то прикрутить/поднять сервер не проблема. Так что 1% освоить не проблема вообще. На остальных 99% можно пока и забить. Пусть кактусы поедают.
>>Они в состоянии предложить, но это будет гипотеза. Кто вот за неё кровь будет проливать?
> У FSF куча сайтов и сервисов. Можно для начала свои перенести. ИРазговор был про отказ от веба как он есть сейчас (т.е., веб 2.0, "мы исполняем чьи-то программы").
> В перспективе лучше забить на вэб в его современном понимании.Согласен. Уже запарило смартфоны менять. 2GB ram для браузера на телефоне уже мало... Пипец.
"ускорить повсеместный переход сайтов на HTTPS"де..., б....
вот нафига???
Жаров, залогиньтесь.
Посоны, как получить сертификат для http://192.168.16.2 ?
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pemа проверял? По-моему, в современных версиях давно сломано (чувак хочет _ip_ а не домен)
>> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> а проверял? По-моему, в современных версиях давно сломано (чувак хочет _ip_ а
> не домен)Мозги у тебя сломаны. В сабжект что угодно можно прописать.
> Мозги у тебя сломаны. В сабжект что угодно можно прописать.А как же доверенный центр сертификации?
-x509
this option outputs a self signed certificate instead of a certificate request.
>-x509
> this
> option outputs a self signed certificate instead of a certificate request.Речь про браузер.
Речь про 192.168.16.2
> Речь про браузер.В браузере разрешишь сертификат ручками. Если надо много, сделаешь CA и добавишь корневой серт в доверенные.
>> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> а проверял? По-моему, в современных версиях давно сломано (чувак хочет _ip_ а
> не домен)Можно такой домен сделать
Нельзя.
>>> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> Можно такой домен сделатьв сертификате нет "доменов", это же x509, from the people who brought you x400. CN такой сделать, полагаю, нельзя. (ну то есть в смысле - можно туда это вписать, но вряд ли браузеры поймут)
Пока еще были живы единичные ренегаты, выдававшие честные CA-signed на ip, они это делали через extension (а CN оставался доменом), и, помнится, перестали именно из-за проблем с распознаванием его новыми-модными openssl.
1. subjectAltName=192.168.16.2 прекрасно работает.
2. 192.168.12.2 testhost в /etc/hosts прекрасно работает.
Да вы что, серьезно? Они об этих планах еще года полтора тому назад говорили и потихоньку его реализуют.
"На этапе рассмотрения находится перевод в Secure Context функций Encrypted Media Extensions"
Почитайте баг - "The EME spec says it is only to be supported on secure contexts. Netflix are already only using EME over HTTPS in Firefox. Our intention is to make this change the Firefox release after Chrome ships this."Ничего нового, просто приводят в соотвествие со спеками. Еще надо добавить U2F (WebAuth) - тоже только по HTTPS.
Я вам даже больше того скажу, у них есть долгиграющие планы по отказу от HTTP (без шифрования) вообще. Например тот же HTTP2 как бы в спеках имеет вариант без шифрования. Ни один браузер не реализовал этот вариант, все реализации требуют HTTPS.
И на всех сайтах сообщение:
> Либо вы используете Хром, либо идёте на %¥№.
> И на всех сайтах сообщение:
>> Либо вы используете Хром, либо идёте на %¥№.ну зачем вы так? Хром то же самое заимплементит, мазила в данном случае поет с гуглевых денег.
А вас никто не спросит. Все другие браузеры не безопасны!
> А вас никто не спросит. Все другие браузеры не безопасны!наоборот - все другие браузеры либо "безопастны", либо толком неработоспособны (а часто и то и другое разом)
Во-первых, не понял, почему в обсуждении поминают хром - гугл ничего похожего не заявлял, по крайней мере, в новости этого нет. Во-вторых, кто мешает форкнуть?
Вот же шизофреники! Обложили и достали!
Если из-за якобы проблем с безопасностью (а точнее из-за проблем с ДНК разработчиков) они вставляют палки в колёса тем, кто использует протокол http, то тогда уж пусть запретят браузеру вообще загружать страницы - они ведь могут содержать вредоносный код, из-за чего могут появляться проблемы с безопасностью.
Да и вообще надо выкинуть компьютеры все на свалку истории - тогда и не будет никаких проблем с ними!
Какого черта Мозилла заботится об улучшении мироздания вместо заботы об удобстве своих пользователей?
Все их последние инициативы (кстати много лет уже как) - полное удаление возможности использовать джаву, флеш, неподписанные расширения, а теперь и http, без возможности конфигурации исключений дле нужных сайтов ничего не добавляют к моей безопасности, и СНИЖАЮТ удобство использования.
Кажется пора уходить на Хром. Дырок и щупов в Мозилле не меньше, гибкость в использовании они сознательно ограничивают уже в большей степени, а работает Хром лучше.
Мозилла маст дай!