forum.opennet.ru - "Новые Web API в Firefox будут доступны только для HTTPS" (193)

"Новые Web API в Firefox будут доступны только для HTTPS"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Новые Web API в Firefox будут доступны только для HTTPS"	+/–
Сообщение от opennews (ok), 16-Янв-18, 11:40
Компания Mozilla объявила (https://blog.mozilla.org/security/2018/01/15/secure-contexts.../) о применении принципа защищённого контекста (https://developer.mozilla.org/en-US/docs/Web/Security/Secure...) (Secure Context) к новым Web-технологиям, которые будут появляться в будущих выпусках Firefox. Secure Context подразумевает, что ряд возможностей для web-разработки станут доступны только при открытии с использованием защищённого соединения. По мнению разработчиков, данная тактика позволит ускорить повсеместный переход сайтов на HTTPS, а в случае доступа по HTTP усложнят проведение атак, которые могут привести к утечке персональных данных или получения низкоуровневого доступа к оборудованию. По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства, расширения существующих объектов JavaScript, новые HTTP-заголовки и новые Web API (например, WebVR). Привязка к HTTPS также может быть обеспечена и для уже присутствующих возможностей, доступ к которым по HTTP сопряжёт с угрозами для безопасности и приватности. При этом предусмотрен ряд исключений, которые могут быть приняты если возможность уже доступна в других браузерах без привязки к Secure Context или если применение ограничений приводит к чрезмерной сложности в реализации. Например, новое CSS-свойство color, вероятно останется доступно для HTTP. В настоящее время только для HTTPS доступны (https://developer.mozilla.org/en-US/docs/Web/Security/Secure...) такие API, как Geolocation, Service workers и Storage, так как использование данных API по незашифрованным каналам связи сопряжено с рисками, связанными с безопасностью и приватностью. На этапе рассмотрения находится перевод в Secure Context функций Encrypted Media Extensions (https://bugzilla.mozilla.org/show_bug.cgi?id=1322517) и Web Crypto API (https://bugzilla.mozilla.org/show_bug.cgi?id=1333140). Уже утверждён перевод в Secure Context интерфейсов Generic sensor API, Credential Management Level 1 и Web NFC API. Для определения доступности тех или иных возможностей при обращении HTTP предлагается (https://developer.mozilla.org/en-US/docs/Learn/Tools_and_tes...) использовать CSS-правила @supports, которое рекомендуется как более предпочтительный вариант, чем API self.isSecureContext. Для упрощения перехода на Secure Context и обеспечения локального тестирования без HTTPS будет предоставлен специальный инструментарий (https://bugzilla.mozilla.org/show_bug.cgi?id=1410365). URL: https://blog.mozilla.org/security/2018/01/15/secure-contexts.../ Новость: http://www.opennet.me/opennews/art.shtml?num=47913
Cообщить модератору

Оглавление

Есть у меня один сайтец Две HTML странички Никакой логики, скриптов и т п Ник, A.Stahl (ok), 11:40 , 16-Янв-18, (1) +14

Даже если на вашем сайте не нужно вводить пароль, HTTPS защитит от внедрения вре, Аноним (-), 12:05 , 16-Янв-18, (8) +6

Не защитит, если атакующий подменит DNS-ответ DNSSEC пока не рсспространён ни в, Аноним (-), 13:17 , 16-Янв-18, (42) –4

Лень прописать DNS на своей стороне , Аноним (-), 13:21 , 16-Янв-18, (43) –3

А какой DNS мне прописать, чтобы обезопасить себя от MITM в интернете , Аноним (-), 13:24 , 16-Янв-18, (46)

127 0 0 1, Аноним (-), 13:29 , 16-Янв-18, (49) –2

1у меня даже свой резолвер да-да, он самый - самописный , Аноним (-), 15:33 , 16-Янв-18, (104) –2

Это необязательно именно достоинство , Michael Shigorin (ok), 17:36 , 16-Янв-18, (120) +3

Не поможет же Или записи будешь вручную в него загружать из _надежных_источнико, Аноо (?), 21:29 , 16-Янв-18, (147) +4

Установить свой DNS сервер, если у тебя не винда , А (??), 23:17 , 16-Янв-18, (156)

Вы хоть примерно представляете как работает инфраструктура DNS и что такое MITM , Аноним (-), 00:38 , 17-Янв-18, (170)

HTTP вообще ни от чего не защитит , Аноним (-), 13:38 , 16-Янв-18, (56) +1

А HTTPS ещё и создаст дополнительные уязвимости, Аноним (-), 13:55 , 16-Янв-18, (67) +1

Что может быть уязвимие HTTP , Аноним (-), 14:07 , 16-Янв-18, (74) +2

При HTTPS на сервере существенно больше переусложнённого кода, в котором в любой, Аноним (-), 15:54 , 16-Янв-18, (106) –1
Очередная дыра в libssl Или само-DoS из-за тухлого сертификата Или PS впр, Michael Shigorin (ok), 17:37 , 16-Янв-18, (121) –1

у вас ббкоды поехали, пёс (?), 18:25 , 16-Янв-18, (128)

Как бы, именно от этого, SSL и защищает Потому как помимо подмены ответа, куда , КО (?), 13:56 , 16-Янв-18, (70) +4

имхаеЦЦа, вся с хрень с центрами и прочими криптографиями почила в бозе , fail_ (?), 14:53 , 16-Янв-18, (91) –3

Кроме теории на википедии, в живую покажешь , pavlinux (ok), 16:30 , 16-Янв-18, (111) +4
DNSCrypt Ну и VPN становится насущной необходимостью , Аноним (-), 18:30 , 16-Янв-18, (129)
А какой из CA прописанных в браузере в доверенные ему выдаст сертификат SSL на э, Аноним (-), 18:39 , 16-Янв-18, (130) +5
Ну подменит, и что дальше Будет ошибка сертификата , anomymous (?), 20:16 , 16-Янв-18, (137) +3

Хватит уже параноить Две HTML страницы No JS PHP CSS куда и как внедрять, pavlinux (ok), 16:24 , 16-Янв-18, (107) +3

Не, ты не понял От подмены _по пути_ То есть врезки рекламы, вредоносного кода, anomymous (?), 20:16 , 16-Янв-18, (138) +1

ОПСОСы этим занимаются уже давно , Аноним (-), 12:13 , 17-Янв-18, (186)

потому что http - и занимаются , J.L. (?), 13:18 , 19-Янв-18, (201)

Зато есть HTTP 2 со своими плюшками, который не будет работать без https Хочешь, th3m3 (ok), 13:07 , 16-Янв-18, (38)

Любители http любят telnet Любители https любят ssh , Мудрый Аноним (?), 13:11 , 16-Янв-18, (40) –2

На удивление кривая параллель , Michael Shigorin (ok), 17:39 , 16-Янв-18, (122) +1
Нет Любители https обычно любят какие-нибудь ssh-клиенты, реализованные на элек, Аноним (-), 21:02 , 16-Янв-18, (145) –1

Больше страданий для пользователей интранет сайтов , mimocrocodile (?), 11:50 , 16-Янв-18, (5) +6

Пользователям интранетов достаточно поставить корневой сертификат для какого-ниб, Борщдрайвен бигдата (?), 12:09 , 16-Янв-18, (10) +4

Куда поставить Во все ноутбуки при подключении к открытой точке доступа без инт, Аноним (-), 13:41 , 16-Янв-18, (61)
Да, да, да, Вы еще гуглёвому хромому это объясните, что вот ентот корневой серти, Аноним (-), 15:07 , 16-Янв-18, (97) +3

флаг --ignore-certificate-errors вам в помощь, Аноним (-), 15:09 , 17-Янв-18, (190)

Пользователям-то чего страдать Разработчики немножко пострадают, но таки осилят, Аноним (-), 12:57 , 16-Янв-18, (34)

Разработчикам бывает нужно ещё и трафик снифить, чтобы видеть что там происходит, Аноним (-), 13:42 , 16-Янв-18, (63) +2

Ну ок, осилят ещё и настройку логирования сервера Как они, бедные, без этого до, Аноним (-), 14:32 , 16-Янв-18, (83) –2

Вы не понимаете разницу между логами и снифером , Аноним (-), 15:19 , 16-Янв-18, (101) +2

Нормальному разработчику снифер не нужен , Аноним (-), 20:49 , 16-Янв-18, (143) –3

Хороший разработчик использует все возможности А при работе с чужим кодом снифе, Аноним (-), 22:41 , 16-Янв-18, (149)

В лог можно записать всё то же, что будет показывать снифер , Аноним (-), 23:11 , 16-Янв-18, (155) –1

Нельзя Это совсем другой уровень, и что там делает фронтенд с заголовками и кон, Аноним (-), 00:34 , 17-Янв-18, (169) +1

Сервер может быть чужой, rpm (?), 23:24 , 16-Янв-18, (158)

Им забашляли центры сертификации чтоли Я понимаю если бы они сначала dnssec вне, Аноним (-), 12:04 , 16-Янв-18, (7) +5

наоборот Им забашляли те же, кто пихает во все дыры letsdecrypt Теперь ваши сай, пох (?), 12:16 , 16-Янв-18, (15) –6

Передергивание Перегибаешь Некорректно Бери у 171 пойми кого 187 , делов-то Л, Борщдрайвен бигдата (?), 12:23 , 16-Янв-18, (21)

Не могу 8212 эти уроды купили последний нормальный центр сертификации А влад, Аноним (-), 13:22 , 16-Янв-18, (44)
не ты решаешь, как и что защищать на твоем сайте И не твои пользователи Где ту, пох (?), 22:48 , 16-Янв-18, (151)

В подмене вопроса принадлежности вопросом о стандарте передачи данных То, что т, angra (ok), 04:51 , 17-Янв-18, (175)

Все эти движения фактически предоставляют сертификаторам контроль над сай, Ю.Т. (?), 07:02 , 17-Янв-18, (179)

И какой же именно контроль это предоставляет В чем он выражается Есть ли преце, angra (ok), 10:22 , 17-Янв-18, (182)

Ну я не знаю, есть тут дутый драматизм или нет А так, что касается именно гипоте, Ю.Т. (?), 14:08 , 17-Янв-18, (187)

да не протоколом, а здоровенным куском чужих данных, чуть ли не намеренно сде, пох (?), 23:37 , 17-Янв-18, (192)
Регистраторы, пожалуй, тоже из этой же оперы, но хостеры и провайдеры - это не т, Аноним (-), 11:13 , 22-Янв-18, (203)

Под dnssec разумеется имелось ввиду dnssec dane TLSA , Аноним (-), 12:52 , 16-Янв-18, (28)

Если бы внедрили DNSSEC, то можно было бы нормально пользоваться DANE, и CA стал, Аноним (-), 13:07 , 16-Янв-18, (37) +2

их просто заменили бы на регистри без подписей которого ничего вниз по цепочке , пох (?), 22:50 , 16-Янв-18, (152)

Какие ещё регистри Всё давно работает безо всяких бы и прочих ваших фантазий,, Аноним (-), 00:47 , 17-Янв-18, (171)

https тоже как бы давно работает Но есть один ньюанс так вот в dnssec этот , пох (?), 23:38 , 17-Янв-18, (193)

Посвятите же нас в ваш ньюанс Особенно в эти таинственные регистри , Аноним (-), 02:17 , 18-Янв-18, (195)

А мне интересно, почему они этого не делают , rewwa (ok), 23:37 , 29-Янв-18, (209)

Б-ть А интранет-сайты Как верно отметили выше, какого органа воротить центр сер, Аноним (-), 12:08 , 16-Янв-18, (9) +3

Пара страниц на _голом html_ не будет использовать Service Workers , Борщдрайвен бигдата (?), 12:10 , 16-Янв-18, (11)

А это не суть важно, главное - тенденция Сначала браузеры стали как резаные ора, Аноним (-), 12:14 , 16-Янв-18, (13) +3

А почему ты думаешь что тебя, любителя одинаковых паролей на всех сайтах, должны, Аноним (-), 12:19 , 16-Янв-18, (18) –2

А почему я должен держать yпopoтых идиотов за вменяемых разработчиков , Аноним (-), 12:21 , 16-Янв-18, (19) +4

Ты имеешь в виду людей, которые прививают у хомяков привычку думать о безопаснос, Аноним (-), 12:37 , 16-Янв-18, (25) –2

Я имею в виду идиотов, считающих, что только они достойны привилегии думать , Аноним (-), 12:53 , 16-Янв-18, (30) +1

Нигде не прописан стандарт когда выводить предупреждение Твои привычки серфинга, Аноним (-), 13:11 , 16-Янв-18, (39)

Вопрос в тенденции ломать то, что работает, навязывая свои привычки и не оставля, Аноним (-), 13:27 , 16-Янв-18, (48) +2

После публикаций Сноудена не работает , Аноним (-), 13:33 , 16-Янв-18, (51)

Да ви шо, ну и как публикация Сноудена сломала мою домосетку , Аноним (-), 13:40 , 16-Янв-18, (58) +3

Почему ты думаешь что разработчики браузера с многомиллионной аудиторией должны , Аноним (-), 13:50 , 16-Янв-18, (65)
Почему бы не разрешать миллионам выбирать из двух зол то, которое им в данный мо, Аноним (-), 13:55 , 16-Янв-18, (69)
Может быть ты просто не очень умен about config security insecure_ , Аноним (-), 14:24 , 16-Янв-18, (79)
Может быть ты просто туп Не улавливаешь тенденции или это слово для тебя непоня, Аноним (-), 14:40 , 16-Янв-18, (86) +5
В какой-то момент известных проблем стало больше чем известных преимуществ Приш, Аноним (-), 14:43 , 16-Янв-18, (88) –1
Отрубание головы при мигрени тоже можно назвать решением проблемы Понуждение к б, Аноним (-), 14:50 , 16-Янв-18, (90) +3
Предлагай, Аноним (-), 14:55 , 16-Янв-18, (92) –1
Которое слово опять непонятно , Аноним (-), 14:59 , 16-Янв-18, (93)
Пока что я вижу истеричку катающуюся по полу и сучащую ножками, при том что все , Аноним (-), 15:47 , 16-Янв-18, (105) –2
Я не спрашивал, что ты видишь И какие таблетки ты забыл сегодня принять - меня , Аноним (-), 17:58 , 16-Янв-18, (125) +1

Хомячки не думают, они клацают мышками и выедают мозг техподдержке, потому что н, Аноним (-), 13:35 , 16-Янв-18, (52) +3

Потому что те у кого одностраничник с адресом магазина это любитель одинаковых , Аноним (-), 12:22 , 16-Янв-18, (20) –2
Вменяемые разработчики не должны навязывать своё мнение о безопасности всем вокр, Аноним (-), 11:17 , 22-Янв-18, (204) +1

а с чего ты взял, что в твоем интранете нечего красть голый html у тебя останетс, пох (?), 12:12 , 16-Янв-18, (12) –1

Можно я это сам решу Опять-таки - можно мне в своей гoвнo-домо-сетке на 2,5 комп, Аноним (-), 12:17 , 16-Янв-18, (17) +7

Тоже самое разработчики мозилы говорят на критику своего браузера Эта отмазка р, Аноним (-), 12:25 , 16-Янв-18, (22) –1

Разработчики мозилы - олени с альтернативной сексуальной ориентацией, если дейст, Аноним (-), 12:32 , 16-Янв-18, (24)

Потрясающее невежество Ещё раз Решения о Secure Context принимались в W3C TAG , Борщдрайвен бигдата (?), 12:42 , 16-Янв-18, (26) –1

Который давно не функционален и выполняет желания левой пятки гугла, Аноним (-), 13:38 , 16-Янв-18, (55) +2
коррумпированная хренb, Аноним (-), 17:25 , 16-Янв-18, (119) +1

можно, но тогда отучайся говорить за всех Не интранет-сайты , а две мои накол, пох (?), 18:19 , 18-Янв-18, (198) –5

Отучайся говорить за то, чего не знаешь Не сложно , а нафиг не нужно , Аноним (-), 10:50 , 19-Янв-18, (199) +3
У тя дома, наверное, на каждой двери по два замка стоит - кодовый и обычный А н, Аноним (-), 14:22 , 19-Янв-18, (202) +3

Похоже нет Нет За тебя решили Нет никаких прав Жри что дают и восхваляй опенсо, Аноним (-), 11:25 , 22-Янв-18, (205)

Например чтобы доблестные ISP не врезали туда рекламу , anomymous (?), 20:19 , 16-Янв-18, (139) –3

Для интранет-сайтов не актуально конечно, но опять же - что мешает иметь интране, anomymous (?), 20:20 , 16-Янв-18, (140) –2

Необязательное наличие этого внешнего интернета Или нежелание платить за внешни, Аноним (-), 22:45 , 16-Янв-18, (150) +1

Это был сарказм или ты не знаешь, что такое интранет , angra (ok), 02:49 , 17-Янв-18, (174)

Ладно жс, но ограничить новые CSS свойства только HTTPS ом Они там с дуба рухну, Аноним (-), 12:16 , 16-Янв-18, (14) +4

Перечитай зачем так сделали , Аноним (-), 12:55 , 16-Янв-18, (32) –1

Напомни - какие риски безопасности css решает https , Аноним (-), 13:23 , 16-Янв-18, (45)

Как минимум подмена шрифтов , Аноним (-), 13:30 , 16-Янв-18, (50)

Если есть такая возможность, значит и всю страницу можно подменить, что гораздо , Аноним (-), 13:55 , 16-Янв-18, (68) +1

Шрифты можно тянуть по http, при этом вся страница будет https , Аноним (-), 14:05 , 16-Янв-18, (72) –1

нет, Аноним (-), 14:07 , 16-Янв-18, (73)

Как нет, если да , Аноним (-), 14:08 , 16-Янв-18, (75) –1

Попробуй Браузеры давно уже ничего не грузят по http если основная страница заг, Аноним (-), 14:14 , 16-Янв-18, (77) +1

Грузят, просто у многих сайтах уже везде HTTPS , Аноним (-), 14:29 , 16-Янв-18, (82) –1

Не грузят, не грузят Иначе это бы нарушало сам смысл существования https , Аноним (-), 14:36 , 16-Янв-18, (85)

Со сторонних ресурсов можно грузить через http Просто будет на замочке предупре, Аноним (-), 14:40 , 16-Янв-18, (87)
В хроме code Mixed Content The page at https www ----- ru test was loaded , Аноним (-), 14:59 , 16-Янв-18, (94) +3
Ты говорил про браузеры При чём здесь хром , Аноним (-), 15:06 , 16-Янв-18, (95) –5
Вопросов больше не имею , Аноним (-), 15:16 , 16-Янв-18, (100) +2

Ой бяда-бяда всё вот так сначала придумаем проблему возможность использоват, Аноним (-), 21:44 , 16-Янв-18, (148)

Он доверяет всем подряд Ему не важно, что каждый может перехватить или подменит, Аноним (-), 13:27 , 16-Янв-18, (47) –2

Дружище, ты часом не слаб на ум Мне разве надо идти и платить бабки за свои ключ, Аноним (-), 11:36 , 22-Янв-18, (206)

Покупайте SSL сертификаты за d долларов , Онон (?), 12:28 , 16-Янв-18, (23) +2

Так и делаю , Админь (?), 12:52 , 16-Янв-18, (29) +1

Угу, сначала перейдя на хостинг подороже, который поддерживает этот letsencrypt , Аноним (-), 13:51 , 16-Янв-18, (66) +1

Я сам себе хостинг VPS, не, не слышали , Админь (?), 14:00 , 16-Янв-18, (71) +1

Это и есть подороже , Аноним (-), 14:12 , 16-Янв-18, (76) +3

Сколько ваш хостинг стоит, если 5 долларов это подороже , Админь (?), 14:35 , 16-Янв-18, (84)

https www hostobzor ru - от 6 руб мес , Аноним (-), 15:14 , 16-Янв-18, (98) –1

История, как telnet превратился в ssh, грубо говоря Короче, будет только https,, Аноним (-), 12:49 , 16-Янв-18, (27) –2

Поставил certbot и забыл Всё само обновляется , Админь (?), 12:53 , 16-Янв-18, (31) +1
А он разве так мутировал Что-то не припоминаю , Michael Shigorin (ok), 17:47 , 16-Янв-18, (124)

Честно говоря форсинг HTTPS немного бесит Самую малость, но таки да Возможно с, Онаним (?), 13:05 , 16-Янв-18, (36) +5

Честно говоря форсинг HTTP немного бесит Самую малость, но таки да Возможно ст, Аноним (-), 13:15 , 16-Янв-18, (41) –1

Какие фичи браузеров доступны только на HTTP Какие сайты редиректят тебя с http, Аноним (-), 13:37 , 16-Янв-18, (54) +1

Почему ты не ходишь голым по улицам В интернете по HTTP ведь норм ходить , Аноним (-), 13:41 , 16-Янв-18, (60) –1

Причём здесь HTTPS Оговорка по Фрейду , Аноним (-), 13:44 , 16-Янв-18, (64) +1
Я вот хожу Не голым, конечно, но вот сегодня я ехал на работу на обычном тролле, Аноним (-), 14:43 , 16-Янв-18, (89) +1

с сетрифицированной неизвестно кем броней , fail_ (?), 15:06 , 16-Янв-18, (96) –1
Tor i2p HTTPS , Аноним (-), 16:24 , 16-Янв-18, (108)

Согласн Делали бы чуть тоньше и народ сам бы потянулся А так идёт жёсткое нав, Аноним (-), 12:08 , 22-Янв-18, (207)

давно пора вообще все только через https разрешить Объявить план что через год , anonymous (??), 13:36 , 16-Янв-18, (53)
Все зависит от того какие свойства будут заблокированы для https и можно ли разб, Аноним (57), 13:40 , 16-Янв-18, (57) +1

для http , Аноним (57), 13:40 , 16-Янв-18, (59)
Частично так Частично - всё стало дофига сложным, особенно в комбинациях фич, , Crazy Alex (ok), 14:25 , 16-Янв-18, (80) +2

Оголтелая дискриминация нечегоскрывателей Куда смотрит ООН , Ashley Williams (?), 13:41 , 16-Янв-18, (62)
Большая часть сайтов и так пытается слить максимум информации Посмотрите на кон, yet another anonymous (?), 14:25 , 16-Янв-18, (81) +1
Это у какого банка такое, лол , Не годится (?), 15:15 , 16-Янв-18, (99)

fix , Аноним (-), 15:21 , 16-Янв-18, (102)
Сбербанк который сбербанк-онлайн для физ лиц , Онвоним (?), 16:33 , 16-Янв-18, (112)
Вам огласить весь список, или сами посмотрите , yet another anonymous (?), 17:11 , 16-Янв-18, (115)

огласить , Stop (?), 20:51 , 16-Янв-18, (144)

HTTP это не только сайтики с котиками, это ещё и админки устройств, это IPTV HTT, Ivan_83 (ok), 16:27 , 16-Янв-18, (109) +1

Ну, не надо совсем уж бросаться в крайности У одних все сайты хотят украсть тво, Аноним (-), 17:22 , 16-Янв-18, (118) +2

Раньше вифи так популярно не было, в остальных случаях траф идёт по проводным се, Ivan_83 (ok), 18:13 , 16-Янв-18, (127)

Ха-ха Вы доверяете провайдерам In the UK, a VPN is a basic requirement for inte, Аноним (-), 05:30 , 17-Янв-18, (176)

Только не надо думать, что один факт использования протокола https дает какие-то, Аноним (-), 11:57 , 17-Янв-18, (185)

А как же быть с железками, на которые натянули вебинтерфейс Неужели для них тож, anonymous (??), 16:28 , 16-Янв-18, (110)

Если натянули вебинтерфейс, то удовлетворительного варианта не просматривается , yet another anonymous (?), 17:18 , 16-Янв-18, (116)

По http отдать гораздо проще На шифрование может и ресурсов не хватить И не бу, anonymous (??), 19:20 , 16-Янв-18, (133)

Шифрование копеечное , Аноним (-), 00:12 , 17-Янв-18, (166)

TLS это не только шифрование , anonymous (??), 00:53 , 17-Янв-18, (172)
На эмбедщине - далеко не копеечное А на сервере теряется возможность использова, Аноним (-), 11:53 , 17-Янв-18, (184)

Я думал как отключить запрос на геолокацию от каждого сайта, а они это как стиму, Аноним (-), 16:40 , 16-Янв-18, (113) +1
За принудительную безопасность нужно судить , Мрак Цукерович (?), 18:43 , 16-Янв-18, (131) +1
Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новы, Онаним (?), 18:48 , 16-Янв-18, (132) +1

В перспективе лучше забить на вэб в его современном понимании Жалко, что FSF и , anonymous (??), 19:26 , 16-Янв-18, (134) +1

Но это одна из тех вещей, которые добром не произойдут Отказ же одиночек не реш, Ю.Т. (?), 19:55 , 16-Янв-18, (135)

У FSF куча сайтов и сервисов Можно для начала свои перенести И инструменты для, anonymous (??), 23:05 , 16-Янв-18, (154)

Разговор был про отказ от веба как он есть сейчас т е , веб 2 0, мы исполняем , Ю.Т. (?), 07:07 , 17-Янв-18, (180)

Согласен Уже запарило смартфоны менять 2GB ram для браузера на телефоне уже ма, Аноним (-), 18:04 , 22-Янв-18, (208)

ускорить повсеместный переход сайтов на HTTPS де , б вот нафига , Аноним (-), 20:08 , 16-Янв-18, (136) +2

Жаров, залогиньтесь , Аноним (-), 00:10 , 17-Янв-18, (164)

Посоны, как получить сертификат для http 192 168 16 2 , VINRARUS (ok), 20:26 , 16-Янв-18, (141) –2

openssl req -x509 -newkey rsa 4096 -keyout key pem -out cert pem, Бесплатно без СМС (?), 20:38 , 16-Янв-18, (142) +1

а проверял По-моему, в современных версиях давно сломано чувак хочет _ip_ а не, пох (?), 22:54 , 16-Янв-18, (153)

Мозги у тебя сломаны В сабжект что угодно можно прописать , Аноним (-), 23:22 , 16-Янв-18, (157)

А как же доверенный центр сертификации , anonymous (??), 23:35 , 16-Янв-18, (160)

code -x509 this option outputs a self signed certificate instead of a, Аноним (-), 00:08 , 17-Янв-18, (163)

Речь про браузер , anonymous (??), 00:54 , 17-Янв-18, (173) +1

Речь про 192 168 16 2, Аноним (-), 05:33 , 17-Янв-18, (177)
В браузере разрешишь сертификат ручками Если надо много, сделаешь CA и добавишь, Аноним (-), 14:37 , 17-Янв-18, (188)

Можно такой домен сделать, rpm (?), 23:35 , 16-Янв-18, (159)

Нельзя , Аноним (-), 00:10 , 17-Янв-18, (165)
в сертификате нет доменов , это же x509, from the people who brought you x400 , пох (?), 00:15 , 17-Янв-18, (167)

1 subjectAltName 192 168 16 2 прекрасно работает 2 192 168 12 2 testhost в et, Анестезиолог (?), 14:54 , 17-Янв-18, (189)

Да вы что, серьезно Они об этих планах еще года полтора тому назад говорили и п, Kuromi (ok), 23:52 , 16-Янв-18, (161)
И на всех сайтах сообщение , Аноним (-), 00:04 , 17-Янв-18, (162)

ну зачем вы так Хром то же самое заимплементит, мазила в данном случае поет с г, пох (?), 00:16 , 17-Янв-18, (168)

А вас никто не спросит Все другие браузеры не безопасны , Аноним (-), 05:34 , 17-Янв-18, (178)

наоборот - все другие браузеры либо безопастны , либо толком неработоспособны , пох (?), 23:42 , 17-Янв-18, (194)

Во-первых, не понял, почему в обсуждении поминают хром - гугл ничего похожего не, Аноним (-), 09:56 , 17-Янв-18, (181)
Вот же шизофреники Обложили и достали Если из-за якобы проблем с безопасностью , rvs2016 (ok), 16:01 , 17-Янв-18, (191) +2
Какого черта Мозилла заботится об улучшении мироздания вместо заботы об удобстве, Аноним (-), 02:34 , 18-Янв-18, (196)

Мозилла маст дай , Аноним (-), 02:35 , 18-Янв-18, (197)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от A.Stahl (ok), 16-Янв-18, 11:40 +14 +/–

Есть у меня один сайтец. Две HTML странички. Никакой логики, скриптов и т.п. Никаких полей для ввода. Никакой важной или конфиденциальной информации.
Заставил работать через HTTPS. А то такими темпами через полгода сайт сможет открыть только Saahriktu через Linx, да и тот испугается Юникода и убежит в Фидо или где он там обитает.

Наверх | Cообщить модератору
Ответы: #8, #38

5. Сообщение от mimocrocodile (?), 16-Янв-18, 11:50 +6 +/–

Больше страданий для пользователей интранет сайтов!

Наверх | Cообщить модератору
Ответы: #10, #34

7. Сообщение от Аноним (-), 16-Янв-18, 12:04 +5 +/–

Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec внедрили, но они этого делать и не собираются даже...

Наверх | Cообщить модератору
Ответы: #15, #37, #209

8. Сообщение от Аноним (-), 16-Янв-18, 12:05 +6 +/–

Даже если на вашем сайте не нужно вводить пароль, HTTPS защитит от внедрения вредоносного кода, подмены информации и слежки за пользователем, на какие страницы он заходил. HTTPS нужен особенно любителям подключаться к чужим VPN серверам.

Наверх | Cообщить модератору
Родитель: #1 Ответы: #42, #107

9. Сообщение от Аноним (-), 16-Янв-18, 12:08 +3 +/–

Б-ть.
А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради пары станиц на голом html?

Наверх | Cообщить модератору
Ответы: #11, #12, #139

10. Сообщение от Борщдрайвен бигдата (?), 16-Янв-18, 12:09 +4 +/–

Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь .intranet и забыть. Достаточно стандартная практика.

Наверх | Cообщить модератору
Родитель: #5 Ответы: #61, #97

11. Сообщение от Борщдрайвен бигдата (?), 16-Янв-18, 12:10 +/–

> Б-ть.
> А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради
> пары станиц на голом html?
Пара страниц на _голом html_ не будет использовать Service Workers.

Наверх | Cообщить модератору
Родитель: #9 Ответы: #13

12. Сообщение от пох (?), 16-Янв-18, 12:12 –1 +/–

> А интранет-сайты?
а с чего ты взял, что в твоем интранете нечего красть?
> Как верно отметили выше, какого органа воротить центр сертификации ради пары станиц на голом
> html?
голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то авторизация или он захочет, вдруг, что-то знать о пользователе - придется озаботиться сертификатом.
А вот какого органа у тебя в интранете до сих пор НЕТ своего CA - действительно, удивляет.

Наверх | Cообщить модератору
Родитель: #9 Ответы: #17

13. Сообщение от Аноним (-), 16-Янв-18, 12:14 +3 +/–

А это не суть важно, главное - тенденция. Сначала браузеры стали как резаные орать при заходе на не-https - "ой, бида-бида вашим пирсанальным данным!", потом у них начнёт отваливаться функционал, а послезавтра и вовсе скажут "нефиг", да ещё и перестанут принимать самоподписанные сертификаты...

Наверх | Cообщить модератору
Родитель: #11 Ответы: #18

14. Сообщение от Аноним (-), 16-Янв-18, 12:16 +4 +/–

Ладно жс, но ограничить новые CSS свойства только HTTPS'ом? Они там с дуба рухнули?

Наверх | Cообщить модератору
Ответы: #32

15. Сообщение от пох (?), 16-Янв-18, 12:16 –6 +/–

> Им забашляли центры сертификации чтоли?
наоборот. Им забашляли те же, кто пихает во все дыры letsdecrypt.
Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры. Во всяком случае, вы ничего не можете на них делать без блока данных, обрабатываемого гнилым, громадным и толком неверифицируемым куском кода, выдаваемых непойми кем и который вас заставляют регулярно менять (желательно - еще и исполняя непойми чьи скрипты, но это тоже дело десятое).
(dnssec, если что, не решает ни одной проблемы, кроме, разьве что, отдельных (мелких) проблем в самом dns)

Наверх | Cообщить модератору
Родитель: #7 Ответы: #21, #28

17. Сообщение от Аноним (-), 16-Янв-18, 12:17 +7 +/–

>> А интранет-сайты?
> а с чего ты взял, что в твоем интранете нечего красть?
Можно я это сам решу?
> голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то
> авторизация или он захочет, вдруг, что-то знать о пользователе - придется
> озаботиться сертификатом.
Опять-таки - можно мне в своей гoвнo-домо-сетке на 2,5 компа самому решать - нужна мне безопасность, или нет?
> А вот какого органа у тебя в интранете до сих пор НЕТ
> своего CA - действительно, удивляет.
Он нафиг мне не нужен, имею право.

Наверх | Cообщить модератору
Родитель: #12 Ответы: #22, #198, #205

18. Сообщение от Аноним (-), 16-Янв-18, 12:19 –2 +/–

А почему ты думаешь что тебя, любителя одинаковых паролей на всех сайтах, должны слушать вменяемые пользователи и разработчики?

Наверх | Cообщить модератору
Родитель: #13 Ответы: #19, #20, #204

19. Сообщение от Аноним (-), 16-Янв-18, 12:21 +4 +/–

А почему я должен держать yпopoтых идиотов за вменяемых разработчиков?

Наверх | Cообщить модератору
Родитель: #18 Ответы: #25

20. Сообщение от Аноним (-), 16-Янв-18, 12:22 –2 +/–

Потому что те у кого одностраничник с адресом магазина это "любитель одинаковых паролей" и страшный-опасный сайт -- это не вменяемые пользователи и адекватные разработчики, а обычные исторички.

Наверх | Cообщить модератору
Родитель: #18

21. Сообщение от Борщдрайвен бигдата (?), 16-Янв-18, 12:23 +/–

> Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры.
Передергивание.
> Во всяком случае, вы ничего не можете на них делать без блока данных
Перегибаешь.
> гнилым, громадным и толком неверифицируемым куском кода
Некорректно.
> выдаваемых непойми кем
Бери у «пойми кого», делов-то.
> (dnssec, если что, не решает ни одной проблемы, кроме, разьве что, отдельных (мелких) проблем в самом dns)
Ложь, причем неприкрытая. На моей практике два раза было, когда клиенты жаловались на странные проблемы с API, на поверку оказавшиеся отравленным кешом DNS.

Наверх | Cообщить модератору
Родитель: #15 Ответы: #44, #151

22. Сообщение от Аноним (-), 16-Янв-18, 12:25 –1 +/–

> Можно я это сам решу?
Тоже самое разработчики мозилы говорят на критику своего браузера. Эта отмазка работает в обе стороны.

Наверх | Cообщить модератору
Родитель: #17 Ответы: #24

23. Сообщение от Онон (?), 16-Янв-18, 12:28 +2 +/–

Покупайте SSL сертификаты за %d долларов!

Наверх | Cообщить модератору
Ответы: #29

24. Сообщение от Аноним (-), 16-Янв-18, 12:32 +/–

>> Можно я это сам решу?
> Тоже самое разработчики мозилы говорят на критику своего браузера. Эта отмазка работает
> в обе стороны.
Разработчики мозилы - олени с альтернативной сексуальной ориентацией, если действительно ведут себя подобным образом и считают, что это нормально - класть на мнение потребителей своего продукта.

Наверх | Cообщить модератору
Родитель: #22 Ответы: #26

25. Сообщение от Аноним (-), 16-Янв-18, 12:37 –2 +/–

Ты имеешь в виду людей, которые прививают у хомяков привычку думать о безопасности в сети?

Наверх | Cообщить модератору
Родитель: #19 Ответы: #30, #52

26. Сообщение от Борщдрайвен бигдата (?), 16-Янв-18, 12:42 –1 +/–

Потрясающее невежество.
Ещё раз. Решения о Secure Context принимались в W3C TAG. В соотв. списках рассылок были те ещё обсуждения, какие API включать, зачем и почему.
То же самое было в списке разработки FF, но больше по техчасти.
Но ведь туда ты не ходил, правда?… Как правильно заметил, ты — потребитель, высравшийся токсичным комментарием на опеннете, и палец о клавиатуру не ударивший, чтобы не то, что изменить ситуацию, даже высказать свое мнение в надлежащем месте.
Так что не порть себе настроение зазря.

Наверх | Cообщить модератору
Родитель: #24 Ответы: #55, #119

27. Сообщение от Аноним (-), 16-Янв-18, 12:49 –2 +/–

История, как telnet превратился в ssh, грубо говоря. Короче, будет только https, только гемороя с сертификатами побольше.

Наверх | Cообщить модератору
Ответы: #31, #124

28. Сообщение от Аноним (-), 16-Янв-18, 12:52 +/–

Под dnssec разумеется имелось ввиду dnssec+dane (TLSA).

Наверх | Cообщить модератору
Родитель: #15

29. Сообщение от Админь (?), 16-Янв-18, 12:52 +1 +/–

> Покупайте SSL сертификаты за 0 долларов!
Так и делаю.

Наверх | Cообщить модератору
Родитель: #23 Ответы: #66

30. Сообщение от Аноним (-), 16-Янв-18, 12:53 +1 +/–

Я имею в виду идиотов, считающих, что только они достойны привилегии думать.

Наверх | Cообщить модератору
Родитель: #25 Ответы: #39

31. Сообщение от Админь (?), 16-Янв-18, 12:53 +1 +/–

> История, как telnet превратился в ssh, грубо говоря. Короче, будет только https,
> только гемороя с сертификатами побольше.
Поставил certbot и забыл. Всё само обновляется.

Наверх | Cообщить модератору
Родитель: #27

32. Сообщение от Аноним (-), 16-Янв-18, 12:55 –1 +/–

> так как использование данных API по незашифрованным каналам связи повышает риски, связанные с безопасностью и приватностью.
Перечитай зачем так сделали.

Наверх | Cообщить модератору
Родитель: #14 Ответы: #45, #47

34. Сообщение от Аноним (-), 16-Янв-18, 12:57 +/–

Пользователям-то чего страдать? Разработчики немножко пострадают, но таки осилят генерацию самоподписанных сертификатов для отладки.

Наверх | Cообщить модератору
Родитель: #5 Ответы: #63

36. Сообщение от Онаним (?), 16-Янв-18, 13:05 +5 +/–

Честно говоря форсинг HTTPS немного бесит. Самую малость, но таки да. Возможно стоило бы и меру знать. Мне кажется вот это - слишком:
> По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства

Наверх | Cообщить модератору
Ответы: #41, #207

37. Сообщение от Аноним (-), 16-Янв-18, 13:07 +2 +/–

> Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec
> внедрили, но они этого делать и не собираются даже...
Если бы внедрили DNSSEC, то можно было бы нормально пользоваться DANE, и CA стали бы не нужны.

Наверх | Cообщить модератору
Родитель: #7 Ответы: #152

38. Сообщение от th3m3 (ok), 16-Янв-18, 13:07 +/–

Зато есть HTTP/2 со своими плюшками, который не будет работать без https. Хочешь сидеть на старом протоколе - сиди.

Наверх | Cообщить модератору
Родитель: #1 Ответы: #40

39. Сообщение от Аноним (-), 16-Янв-18, 13:11 +/–

Нигде не прописан стандарт когда выводить предупреждение. Твои привычки серфинга не являются истинными. Так в чем вопрос?

Наверх | Cообщить модератору
Родитель: #30 Ответы: #48

40. Сообщение от Мудрый Аноним (?), 16-Янв-18, 13:11 –2 +/–

Любители http любят telnet. Любители https любят ssh.

Наверх | Cообщить модератору
Родитель: #38 Ответы: #122, #145

41. Сообщение от Аноним (-), 16-Янв-18, 13:15 –1 +/–

Честно говоря форсинг HTTP немного бесит. Самую малость, но таки да. Возможно стоило бы и меру знать.

Наверх | Cообщить модератору
Родитель: #36 Ответы: #54

42. Сообщение от Аноним (-), 16-Янв-18, 13:17 –4 +/–

> HTTPS защитит от внедрения вредоносного кода, подмены информации
Не защитит, если атакующий подменит DNS-ответ. DNSSEC пока не рсспространён ни в винде, ни на среднестатистическом дистрибутиве Linux. Вообще, когда заходит речь про DNS, все евангелисты SSL почему-то быстро стушёвываются, — видимо не хватает технической подготовки... А ведь любой компьютер — в т.ч. и с большинство сервер с Linux с вероятностью 90% получает адрес DNS-сервера по DHCP от того интернет-провайдера, которого так "боятся" пропоненты SSL. А ещё они оттуда получают NTP-сервера. И роуты. И другие интересные вещи. Без всякого шифрования! Всё жду-не дождусь новости: исследователь безопасности вася пупкинофф совершил открытие: "DHCP — дыра!" Дистрибутивы Linux и Windows на перегонки пытаются выпустить патчи!
> HTTPS защитит от... слежки за пользователем, на какие страницы он заходил
Не защитит: https://www.theatlantic.com/technology/archive/2017/03/encry.../. Есть способы борьбы, но абсолютное большинство страниц никогда не будут защищены от этой атаки: вебмастеры слишком заняты воспеванием гимнов SSL.
Единственное, что SSL "может" это внедрить между пользователем и атакующим несколько мегабайт дырявых криптолиб. Прочность алгоритмов которых вообще ничем не подкреплена, кроме заверений их (малоизвестных) авторов.

Наверх | Cообщить модератору
Родитель: #8 Ответы: #43, #56, #70, #111, #129, #130, #137

43. Сообщение от Аноним (-), 16-Янв-18, 13:21 –3 +/–

Лень прописать DNS на своей стороне?

Наверх | Cообщить модератору
Родитель: #42 Ответы: #46

44. Сообщение от Аноним (-), 16-Янв-18, 13:22 +/–

Не могу — эти уроды купили последний нормальный центр сертификации. А владельца — заставили в качестве наказания заниматься разработкой Linux-дистрибутива для простых пользователей.

Наверх | Cообщить модератору
Родитель: #21

45. Сообщение от Аноним (-), 16-Янв-18, 13:23 +/–

Напомни - какие риски безопасности css решает https?

Наверх | Cообщить модератору
Родитель: #32 Ответы: #50

46. Сообщение от Аноним (-), 16-Янв-18, 13:24 +/–

А какой DNS мне прописать, чтобы обезопасить себя от MITM в интернете?

Наверх | Cообщить модератору
Родитель: #43 Ответы: #49

47. Сообщение от Аноним (-), 16-Янв-18, 13:27 –2 +/–

Он доверяет всем подряд. Ему не важно, что каждый может перехватить или подменить геолокацию или хранилище. Те же люди кричали, зачем ssh если есть telnet, но сейчас они заткнулись и пользуются ssh. Некоторым людям нужно время чтобы осознать это.

Наверх | Cообщить модератору
Родитель: #32 Ответы: #206

48. Сообщение от Аноним (-), 16-Янв-18, 13:27 +2 +/–

Вопрос в тенденции ломать то, что работает, навязывая свои привычки и не оставляя возможностей выбирать.

Наверх | Cообщить модератору
Родитель: #39 Ответы: #51

49. Сообщение от Аноним (-), 16-Янв-18, 13:29 –2 +/–

127.0.0.1

Наверх | Cообщить модератору
Родитель: #46 Ответы: #104, #147

50. Сообщение от Аноним (-), 16-Янв-18, 13:30 +/–

> Напомни - какие риски безопасности css решает https?
Как минимум подмена шрифтов.

Наверх | Cообщить модератору
Родитель: #45 Ответы: #68, #148

51. Сообщение от Аноним (-), 16-Янв-18, 13:33 +/–

> то, что работает
После публикаций Сноудена не работает.

Наверх | Cообщить модератору
Родитель: #48 Ответы: #58

52. Сообщение от Аноним (-), 16-Янв-18, 13:35 +3 +/–

> Ты имеешь в виду людей, которые прививают у хомяков привычку думать о
> безопасности в сети?
Хомячки не думают, они клацают мышками и выедают мозг техподдержке, потому что не могут попасть в свои клиентбанки и емагазины после очередного проявления заботы об их безопасности озабоченными безопасностью пионэрами уэб-разработок, и им до фени эти ваши потуги "забезопасныйинтернет", особенно на фоне прочих зияющих дыр в электронных платежных системах.

Наверх | Cообщить модератору
Родитель: #25

53. Сообщение от anonymous (??), 16-Янв-18, 13:36 +/–

давно пора вообще все только через https разрешить. Объявить план что через год http не будет и воплотить. Кому нужно - тот подсуетится.

Наверх | Cообщить модератору

54. Сообщение от Аноним (-), 16-Янв-18, 13:37 +1 +/–

Какие фичи браузеров доступны только на HTTP? Какие сайты редиректят тебя с https на http-версию? Какие евангелисты ходят по сайтам и рассказывают, что https опасен, и нужно срочно везде его запретить?

Наверх | Cообщить модератору
Родитель: #41 Ответы: #60

55. Сообщение от Аноним (-), 16-Янв-18, 13:38 +2 +/–

> Решения... принимались в W3C TAG.
Который давно не функционален и выполняет желания левой пятки гугла

Наверх | Cообщить модератору
Родитель: #26

56. Сообщение от Аноним (-), 16-Янв-18, 13:38 +1 +/–

HTTP вообще ни от чего не защитит.

Наверх | Cообщить модератору
Родитель: #42 Ответы: #67

57. Сообщение от Аноним (57), 16-Янв-18, 13:40 +1 +/–

Все зависит от того какие свойства будут заблокированы для https и можно ли разблокировать на стороне клиента.
Но вообще это выглядит так: веб-макаки не заботятся о безопасности, мы не знаем другого способа, кроме как запретить им стрелять в ногу.

Наверх | Cообщить модератору
Ответы: #59, #80

58. Сообщение от Аноним (-), 16-Янв-18, 13:40 +3 +/–

>> то, что работает
> После публикаций Сноудена не работает.
Да ви шо, ну и как публикация Сноудена сломала мою домосетку?

Наверх | Cообщить модератору
Родитель: #51 Ответы: #65

59. Сообщение от Аноним (57), 16-Янв-18, 13:40 +/–

*для http

Наверх | Cообщить модератору
Родитель: #57

60. Сообщение от Аноним (-), 16-Янв-18, 13:41 –1 +/–

> Какие фичи браузеров доступны только на HTTP? Какие сайты редиректят тебя с
> https на http-версию? Какие евангелисты ходят по сайтам и рассказывают, что
> https опасен, и нужно срочно везде его запретить?
Почему ты не ходишь голым по улицам? В интернете по HTTP ведь норм ходить.

Наверх | Cообщить модератору
Родитель: #54 Ответы: #64, #89

61. Сообщение от Аноним (-), 16-Янв-18, 13:41 +/–

> Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь
> .intranet и забыть. Достаточно стандартная практика.
Куда поставить? Во все ноутбуки при подключении к открытой точке доступа без интернета?

Наверх | Cообщить модератору
Родитель: #10

62. Сообщение от Ashley Williams (?), 16-Янв-18, 13:41 +/–

Оголтелая дискриминация нечегоскрывателей. Куда смотрит ООН?

Наверх | Cообщить модератору

63. Сообщение от Аноним (-), 16-Янв-18, 13:42 +2 +/–

Разработчикам бывает нужно ещё и трафик снифить, чтобы видеть что там происходит на самом деле...

Наверх | Cообщить модератору
Родитель: #34 Ответы: #83

64. Сообщение от Аноним (-), 16-Янв-18, 13:44 +1 +/–

> Почему ты не ходишь голым по улицам?
Причём здесь HTTPS? Оговорка по Фрейду?

Наверх | Cообщить модератору
Родитель: #60

65. Сообщение от Аноним (-), 16-Янв-18, 13:50 +/–

Почему ты думаешь что разработчики браузера с многомиллионной аудиторией должны закладывать в него код с исключением твоей домосетки?

Наверх | Cообщить модератору
Родитель: #58 Ответы: #69

66. Сообщение от Аноним (-), 16-Янв-18, 13:51 +1 +/–

Угу, сначала перейдя на хостинг подороже, который поддерживает этот letsencrypt.

Наверх | Cообщить модератору
Родитель: #29 Ответы: #71

67. Сообщение от Аноним (-), 16-Янв-18, 13:55 +1 +/–

А HTTPS ещё и создаст дополнительные уязвимости

Наверх | Cообщить модератору
Родитель: #56 Ответы: #74

68. Сообщение от Аноним (-), 16-Янв-18, 13:55 +1 +/–

Если есть такая возможность, значит и всю страницу можно подменить, что гораздо опасней. Так что не убедил.
Тут некоторые пишут чепуху про telnet и ssh... Народ, мы же не против https в принципе, мы просто хотим нормального последовательного развития, а не этого костылинга. Внедрите сначала dnssec+dane в браузеры, определите стандартный домен(ы) для интрасетей, в котором https будет необязательным, а потом уже форсируйте HTTPS во все поля.

Наверх | Cообщить модератору
Родитель: #50 Ответы: #72

69. Сообщение от Аноним (-), 16-Янв-18, 13:55 +/–

Почему бы не разрешать миллионам выбирать из двух зол то, которое им в данный момент нужнее?

Наверх | Cообщить модератору
Родитель: #65 Ответы: #79

70. Сообщение от КО (?), 16-Янв-18, 13:56 +4 +/–

>Не защитит, если атакующий подменит DNS-ответ
Как бы, именно от этого, SSL и защищает. Потому как помимо подмены ответа, куда ведет www.google.com, надо еще и браузеру доказать, что есть доступ к валидному сертификату на это имя.
Другое дело, что получить этот сертификат можно подменив DNS ответ для центра выдачи сертификатов, но это сложнее и надо атаковать сразу две инфраструктуры - клиентского провайдера и провайдера центра сертификации. Ну или иметь другой путь доступа к доверенному центру выдачи сертификатов.
Проблема сертификатов, в основном, связанна с тем, что система очень сильно децентрализовано и все могут почти все. В том числе и выдавать сертификаты на www.google.com, при том, что где-то еще подобный сертификат выдан.

Наверх | Cообщить модератору
Родитель: #42 Ответы: #91

71. Сообщение от Админь (?), 16-Янв-18, 14:00 +1 +/–

Я сам себе хостинг. VPS, не, не слышали?

Наверх | Cообщить модератору
Родитель: #66 Ответы: #76

72. Сообщение от Аноним (-), 16-Янв-18, 14:05 –1 +/–

Шрифты можно тянуть по http, при этом вся страница будет https.

Наверх | Cообщить модератору
Родитель: #68 Ответы: #73

73. Сообщение от Аноним (-), 16-Янв-18, 14:07 +/–

> Шрифты можно тянуть по http, при этом вся страница будет https.
нет

Наверх | Cообщить модератору
Родитель: #72 Ответы: #75

74. Сообщение от Аноним (-), 16-Янв-18, 14:07 +2 +/–

Что может быть уязвимие HTTP?

Наверх | Cообщить модератору
Родитель: #67 Ответы: #106, #121

75. Сообщение от Аноним (-), 16-Янв-18, 14:08 –1 +/–

Как нет, если да?

Наверх | Cообщить модератору
Родитель: #73 Ответы: #77

76. Сообщение от Аноним (-), 16-Янв-18, 14:12 +3 +/–

Это и есть подороже.

Наверх | Cообщить модератору
Родитель: #71 Ответы: #84

77. Сообщение от Аноним (-), 16-Янв-18, 14:14 +1 +/–

> Как нет, если да?
Попробуй. Браузеры давно уже ничего не грузят по http если основная страница загружена по https.

Наверх | Cообщить модератору
Родитель: #75 Ответы: #82

79. Сообщение от Аноним (-), 16-Янв-18, 14:24 +/–

Может быть ты просто не очень умен?
about:config > security.insecure_*

Наверх | Cообщить модератору
Родитель: #69 Ответы: #86

80. Сообщение от Crazy Alex (ok), 16-Янв-18, 14:25 +2 +/–

Частично так. Частично - "всё стало дофига сложным, особенно в комбинациях фич, и мы задолбались выяснять, где ещё какие есть частные случаи".

Наверх | Cообщить модератору
Родитель: #57

81. Сообщение от yet another anonymous (?), 16-Янв-18, 14:25 +1 +/–

Большая часть сайтов и так пытается слить максимум информации. Посмотрите на коннект к googleanalytics со страницы авторизации на банковском сайте, например. Поэтому отсутствие SSL практически не добавляет ничего к реальным утечкам.
А вот с точки зрения блокировок --- становится удобнее: контролировать небольшой пул УЦ легче, чем разбираться с траффиком.

Наверх | Cообщить модератору

82. Сообщение от Аноним (-), 16-Янв-18, 14:29 –1 +/–

>> Как нет, если да?
> Попробуй. Браузеры давно уже ничего не грузят по http если основная страница
> загружена по https.
Грузят, просто у многих сайтах уже везде HTTPS.

Наверх | Cообщить модератору
Родитель: #77 Ответы: #85

83. Сообщение от Аноним (-), 16-Янв-18, 14:32 –2 +/–

Ну ок, осилят ещё и настройку логирования сервера. Как они, бедные, без этого до сих пор жили…

Наверх | Cообщить модератору
Родитель: #63 Ответы: #101, #158

84. Сообщение от Админь (?), 16-Янв-18, 14:35 +/–

Сколько ваш хостинг стоит, если 5 долларов это подороже?

Наверх | Cообщить модератору
Родитель: #76 Ответы: #98

85. Сообщение от Аноним (-), 16-Янв-18, 14:36 +/–

Не грузят, не грузят. Иначе это бы нарушало сам смысл существования https.

Наверх | Cообщить модератору
Родитель: #82 Ответы: #87

86. Сообщение от Аноним (-), 16-Янв-18, 14:40 +5 +/–

Может быть ты просто туп? Не улавливаешь тенденции или это слово для тебя непонятное?
Имеем фичу Х. Фича имеет известные проблемы и известные преимущества.
В версии N "ради общего блага" отключаем фичу Х. Потому что проблемы надо решать, а нам некогда, мы заняты важными разработками. А кому очень надо - милостиво разрешим включить обратно через about:config.
В версии N+1, убедившись, что фичу Х продолжают использовать, отламываем ее нафиг - мы же разрабы, мы должны решать проблему!

Наверх | Cообщить модератору
Родитель: #79 Ответы: #88

87. Сообщение от Аноним (-), 16-Янв-18, 14:40 +/–

Со сторонних ресурсов можно грузить через http. Просто будет на замочке предупреждение, но https не пропадет.

Наверх | Cообщить модератору
Родитель: #85 Ответы: #94

88. Сообщение от Аноним (-), 16-Янв-18, 14:43 –1 +/–

> Имеем фичу Х. Фича имеет известные проблемы и известные преимущества.
В какой-то момент известных проблем стало больше чем известных преимуществ. Пришло время решать проблемы.
> В версии N "ради общего блага" отключаем фичу Х. Потому что проблемы надо решать, а нам некогда, мы заняты важными разработками. А кому очень надо - милостиво разрешим включить обратно через about:config.
Это называется мягкий переход. Ты предпочитаешь резкий?

Наверх | Cообщить модератору
Родитель: #86 Ответы: #90

89. Сообщение от Аноним (-), 16-Янв-18, 14:43 +1 +/–

> Почему ты не ходишь голым по улицам?
Я вот хожу. Не голым, конечно, но вот сегодня я ехал на работу на обычном троллейбусе, а не, как вы предлагаете, на танке с двухдюймовой бронёй.

Наверх | Cообщить модератору
Родитель: #60 Ответы: #96, #108

90. Сообщение от Аноним (-), 16-Янв-18, 14:50 +3 +/–

> В какой-то момент известных проблем стало больше чем известных преимуществ. Пришло время
> решать проблемы.
Отрубание головы при мигрени тоже можно назвать решением проблемы.
Понуждение к безопасности таким вот способом ведет к замене одной проблемы несколькими другими.
> Это называется мягкий переход. Ты предпочитаешь резкий?
Я предпочитаю разумный переход - с сохранением как можно большего числа возможностей.

Наверх | Cообщить модератору
Родитель: #88 Ответы: #92

91. Сообщение от fail_ (?), 16-Янв-18, 14:53 –3 +/–

>>Не защитит, если атакующий подменит DNS-ответ
...
> Проблема сертификатов, в основном, связанна с тем, что система очень сильно децентрализовано
> и все могут почти все. В том числе и выдавать сертификаты
> на www.google.com, при том, что где-то еще подобный сертификат выдан.
имхаеЦЦа, вся с хрень с центрами и прочими криптографиями почила в бозе..

Наверх | Cообщить модератору
Родитель: #70

92. Сообщение от Аноним (-), 16-Янв-18, 14:55 –1 +/–

> Я предпочитаю разумный переход - с сохранением как можно большего числа возможностей.
Предлагай

Наверх | Cообщить модератору
Родитель: #90 Ответы: #93

93. Сообщение от Аноним (-), 16-Янв-18, 14:59 +/–

> Предлагай
Которое слово опять непонятно?

Наверх | Cообщить модератору
Родитель: #92 Ответы: #105

94. Сообщение от Аноним (-), 16-Янв-18, 14:59 +3 +/–

В хроме:
Mixed Content: The page at 'https://www.-----.ru/test' was loaded over HTTPS, but requested an insecure stylesheet 'http://fonts.googleapis.com/css?family=Lora'. This request has been blocked; the content must be served over HTTPS.

Наверх | Cообщить модератору
Родитель: #87 Ответы: #95

95. Сообщение от Аноним (-), 16-Янв-18, 15:06 –5 +/–

> В хроме:
>
Mixed Content: The page at 'https://www.-----.ru/test' was loaded over HTTPS, but
> requested an insecure stylesheet 'http://fonts.googleapis.com/css?family=Lora'. This
> request has been blocked; the content must be served over HTTPS.

Ты говорил про браузеры. При чём здесь хром?

Наверх | Cообщить модератору
Родитель: #94 Ответы: #100

96. Сообщение от fail_ (?), 16-Янв-18, 15:06 –1 +/–

...
> работу на обычном троллейбусе, а не, как вы предлагаете, на танке
> с двухдюймовой бронёй.
с сетрифицированной неизвестно кем броней..

Наверх | Cообщить модератору
Родитель: #89

97. Сообщение от Аноним (-), 16-Янв-18, 15:07 +3 +/–

> Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь
> .intranet и забыть. Достаточно стандартная практика.
Да, да, да, Вы еще гуглёвому хромому это объясните, что вот ентот корневой сертификат, гуглём не признанный, но мною чесно в доверенные добавленный, он должОн считать таки доверенным, а не ругаться матом каждый раз при входе на чёй-то-там.intranet...

Наверх | Cообщить модератору
Родитель: #10 Ответы: #190

98. Сообщение от Аноним (-), 16-Янв-18, 15:14 –1 +/–

https://www.hostobzor.ru/ - от 6 руб/мес.

Наверх | Cообщить модератору
Родитель: #84

99. Сообщение от Не годится (?), 16-Янв-18, 15:15 +/–

> Посмотрите на коннект к googleanalytics со страницы авторизации на банковском сайте, например.
Это у какого банка такое, лол?

Наверх | Cообщить модератору
Ответы: #102, #112, #115

100. Сообщение от Аноним (-), 16-Янв-18, 15:16 +2 +/–

> Ты говорил про браузеры. При чём здесь хром?
Вопросов больше не имею...

Наверх | Cообщить модератору
Родитель: #95

101. Сообщение от Аноним (-), 16-Янв-18, 15:19 +2 +/–

Вы не понимаете разницу между логами и снифером?

Наверх | Cообщить модератору
Родитель: #83 Ответы: #143, #155

102. Сообщение от Аноним (-), 16-Янв-18, 15:21 +/–

> Это у каких банков такое, лол?
fix.

Наверх | Cообщить модератору
Родитель: #99

104. Сообщение от Аноним (-), 16-Янв-18, 15:33 –2 +/–

+1
у меня даже свой резолвер (да-да, он самый - самописный)

Наверх | Cообщить модератору
Родитель: #49 Ответы: #120

105. Сообщение от Аноним (-), 16-Янв-18, 15:47 –2 +/–

Пока что я вижу истеричку катающуюся по полу и сучащую ножками, при том что все что ты предложил реализовано 1 в 1 разрабами Мозиллы. Ничего иного, что ты не предлагал, не делалось. Может ты просто сам не знаешь чего хочешь? Откуда недовольство? Ах, тенденции. Так в твоих предложениях про них ничего нет. И кто виноват что ты про них не упомянул вовремя, когда была возможность? Я все еще вижу крайне непоследовательного человека, который если бы занимал должность руководителя, принимающего решения, не смог бы сделать продукт, потому что сформулировал задачу плохо. И куда тогда лезешь?

Наверх | Cообщить модератору
Родитель: #93 Ответы: #125

106. Сообщение от Аноним (-), 16-Янв-18, 15:54 –1 +/–

> Что может быть уязвимие HTTP?
При HTTPS на сервере существенно больше переусложнённого кода, в котором в любой момент может всплыть новая уязвимость.

Наверх | Cообщить модератору
Родитель: #74

107. Сообщение от pavlinux (ok), 16-Янв-18, 16:24 +3 +/–

> Даже если на вашем сайте не нужно вводить пароль, HTTPS защитит от внедрения вредоносного кода,
> подмены информации и слежки за пользователем, на какие страницы он заходил. HTTPS нужен особенно
> любителям подключаться к чужим VPN серверам.
Хватит уже параноить. "Две HTML страницы. No JS/PHP/CSS ..." куда и как внедрять ты собрался?
Если хацкеры заломают провайдера, зальют свой код, как меня спасёт SSL?

Наверх | Cообщить модератору
Родитель: #8 Ответы: #138

108. Сообщение от Аноним (-), 16-Янв-18, 16:24 +/–

> как вы предлагаете, на танке с двухдюймовой бронёй.
Tor + i2p + HTTPS?

Наверх | Cообщить модератору
Родитель: #89

109. Сообщение от Ivan_83 (ok), 16-Янв-18, 16:27 +1 +/–

HTTP это не только сайтики с котиками, это ещё и админки устройств, это IPTV.
HTTPS нафик не сдался ни где, кроме сайтов банков и прочих мест с фин транзакциями.
Ну а обозначенные фичи я бы вообще из браузера выкинул, они одинакового вредные под любым соусом.

Наверх | Cообщить модератору
Ответы: #118, #185

110. Сообщение от anonymous (??), 16-Янв-18, 16:28 +/–

А как же быть с железками, на которые натянули вебинтерфейс? Неужели для них тоже надо сертификаты лепить?

Наверх | Cообщить модератору
Ответы: #116

111. Сообщение от pavlinux (ok), 16-Янв-18, 16:30 +4 +/–

>> HTTPS защитит от внедрения вредоносного кода, подмены информации
> Не защитит, если атакующий подменит DNS-ответ.
Кроме теории на википедии, в живую покажешь?

Наверх | Cообщить модератору
Родитель: #42

112. Сообщение от Онвоним (?), 16-Янв-18, 16:33 +/–

Сбербанк (который сбербанк-онлайн для физ. лиц)

Наверх | Cообщить модератору
Родитель: #99

113. Сообщение от Аноним (-), 16-Янв-18, 16:40 +1 +/–

Я думал как отключить запрос на геолокацию от каждого сайта, а они это как стимул преподносят

Наверх | Cообщить модератору

115. Сообщение от yet another anonymous (?), 16-Янв-18, 17:11 +/–

Вам огласить весь список, или сами посмотрите? ;)

Наверх | Cообщить модератору
Родитель: #99 Ответы: #144

116. Сообщение от yet another anonymous (?), 16-Янв-18, 17:18 +/–

> А как же быть с железками, на которые натянули вебинтерфейс? Неужели для
> них тоже надо сертификаты лепить?
Если натянули вебинтерфейс, то удовлетворительного варианта не просматривается: не лепить сертификаты плохо, лепить --- либо трудно, либо плохо.

Наверх | Cообщить модератору
Родитель: #110 Ответы: #133

118. Сообщение от Аноним (-), 16-Янв-18, 17:22 +2 +/–

Ну, не надо совсем уж бросаться в крайности. У одних все сайты хотят украсть твои деньги и голые фотки, у других кроме банков ты никому не нужен.
Истина посередине -- https нужен там, где используются какие-то непубличные данные: логин/пароль, постинг, чтение чего-то что может нанести тебе вред (например цп или обсуждения властей твоей страны). И раньше было нормальной практикой в этих местах и ставить https. Теперь же по какой-то причине предлагается лепить его везде, создавая дополнительную зависимость от уязвимого центра. Это как с двухфакторной аутентификаций -- в попытке обезопасить пользователей со слабыми паролями добавили ещё одну дырень, которая успешно и достаточно просто эксплуатируется.

Наверх | Cообщить модератору
Родитель: #109 Ответы: #127

119. Сообщение от Аноним (-), 16-Янв-18, 17:25 +1 +/–

>W3C TAG
коррумпированная хренb

Наверх | Cообщить модератору
Родитель: #26

120. Сообщение от Michael Shigorin (ok), 16-Янв-18, 17:36 +3 +/–

Это необязательно именно достоинство.

Наверх | Cообщить модератору
Родитель: #104

121. Сообщение от Michael Shigorin (ok), 16-Янв-18, 17:37 –1 +/–

> Что может быть уязвимие HTTP?
Очередная дыра в libssl.  Или само-DoS из-за тухлого сертификата.  Или...
PS: впрочем, Вам бы сперва хоть по-русски писать научиться грамотно.

Наверх | Cообщить модератору
Родитель: #74 Ответы: #128

122. Сообщение от Michael Shigorin (ok), 16-Янв-18, 17:39 +1 +/–

> Любители http любят telnet. Любители https любят ssh.
На удивление кривая "параллель".

Наверх | Cообщить модератору
Родитель: #40

124. Сообщение от Michael Shigorin (ok), 16-Янв-18, 17:47 +/–

> История, как telnet превратился в ssh
А он разве так мутировал?  Что-то не припоминаю.

Наверх | Cообщить модератору
Родитель: #27

125. Сообщение от Аноним (-), 16-Янв-18, 17:58 +1 +/–

> Пока что я вижу истеричку
Я не спрашивал, что ты видишь. И какие таблетки ты забыл сегодня принять - меня тоже не интересует. Я спросил - какое слово из сказанного мной тебе еще непонятно? Это относительно простой вопрос.

Наверх | Cообщить модератору
Родитель: #105

127. Сообщение от Ivan_83 (ok), 16-Янв-18, 18:13 +/–

Раньше вифи так популярно не было, в остальных случаях траф идёт по проводным сетям, и провайдерам всегда было пофик и они не собирали ничего.
Я логином/паролем мало где дорожу, ну угонят акк тут или ещё где - пофик, ещё один заведу, делов то.

Наверх | Cообщить модератору
Родитель: #118 Ответы: #176

128. Сообщение от пёс (?), 16-Янв-18, 18:25 +/–

у вас ббкоды поехали

Наверх | Cообщить модератору
Родитель: #121

129. Сообщение от Аноним (-), 16-Янв-18, 18:30 +/–

DNSCrypt.
Ну и VPN становится насущной необходимостью.

Наверх | Cообщить модератору
Родитель: #42

130. Сообщение от Аноним (-), 16-Янв-18, 18:39 +5 +/–

> Не защитит, если атакующий подменит DNS-ответ.
А какой из CA прописанных в браузере в доверенные ему выдаст сертификат SSL на это подменённое имя? Ведь без этого браузер скажет пользователю «неизвестный центр сертификации».

Наверх | Cообщить модератору
Родитель: #42

131. Сообщение от Мрак Цукерович (?), 16-Янв-18, 18:43 +1 +/–

За принудительную безопасность нужно судить!

Наверх | Cообщить модератору

132. Сообщение от Онаним (?), 16-Янв-18, 18:48 +1 +/–

Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новые CSS-свойства?

Наверх | Cообщить модератору
Ответы: #134

133. Сообщение от anonymous (??), 16-Янв-18, 19:20 +/–

По http отдать гораздо проще. На шифрование может и ресурсов не хватить. И не будешь на каждый сетевой принтер свой сертификат заливать.

Наверх | Cообщить модератору
Родитель: #116 Ответы: #166

134. Сообщение от anonymous (??), 16-Янв-18, 19:26 +1 +/–

> Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новые
> CSS-свойства?
В перспективе лучше забить на вэб в его современном понимании. Жалко, что FSF и прочие любители свободы не в состоянии предложить альтернативу.

Наверх | Cообщить модератору
Родитель: #132 Ответы: #135, #208

135. Сообщение от Ю.Т. (?), 16-Янв-18, 19:55 +/–

>> Кстати как тогда на локалхосте без лишнего гемора тестить код, использующий новые
>> CSS-свойства?
> В перспективе лучше забить на вэб в его современном понимании.
Но это одна из тех вещей, которые добром не произойдут. Отказ же одиночек не решает ничего.
Какой-то мизерный шанс есть у варианта IceCat, но.
Надо отдать должное - любители контроля достигают своих целей довольно ловко. Как с минимумом средств уделать "среду свободы".
>Жалко, что
> FSF и прочие любители свободы не в состоянии предложить альтернативу.
Они в состоянии предложить, но это будет гипотеза. Кто вот за неё кровь будет проливать?

Наверх | Cообщить модератору
Родитель: #134 Ответы: #154

136. Сообщение от Аноним (-), 16-Янв-18, 20:08 +2 +/–

"ускорить повсеместный переход сайтов на HTTPS"
де..., б....
вот нафига???

Наверх | Cообщить модератору
Ответы: #164

137. Сообщение от anomymous (?), 16-Янв-18, 20:16 +3 +/–

Ну подменит, и что дальше? Будет ошибка сертификата.

Наверх | Cообщить модератору
Родитель: #42

138. Сообщение от anomymous (?), 16-Янв-18, 20:16 +1 +/–

Не, ты не понял. От подмены _по пути_. То есть врезки рекламы, вредоносного кода, etc. например провайдером.

Наверх | Cообщить модератору
Родитель: #107 Ответы: #186

139. Сообщение от anomymous (?), 16-Янв-18, 20:19 –3 +/–

> Б-ть.
> А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради
> пары станиц на голом html?
Например чтобы доблестные "ISP" не врезали туда рекламу.

Наверх | Cообщить модератору
Родитель: #9 Ответы: #140, #174

140. Сообщение от anomymous (?), 16-Янв-18, 20:20 –2 +/–

>> Б-ть.
>> А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради
>> пары станиц на голом html?
Для интранет-сайтов не актуально конечно, но опять же - что мешает иметь интранет-сайт с "внешним" именем домена, для которого есть сертификат?

Наверх | Cообщить модератору
Родитель: #139 Ответы: #150

141. Сообщение от VINRARUS (ok), 16-Янв-18, 20:26 –2 +/–

Посоны, как получить сертификат для http://192.168.16.2 ?

Наверх | Cообщить модератору
Ответы: #142

142. Сообщение от Бесплатно без СМС (?), 16-Янв-18, 20:38 +1 +/–

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem

Наверх | Cообщить модератору
Родитель: #141 Ответы: #153

143. Сообщение от Аноним (-), 16-Янв-18, 20:49 –3 +/–

Нормальному разработчику снифер не нужен.

Наверх | Cообщить модератору
Родитель: #101 Ответы: #149

144. Сообщение от Stop (?), 16-Янв-18, 20:51 +/–

огласить

Наверх | Cообщить модератору
Родитель: #115

145. Сообщение от Аноним (-), 16-Янв-18, 21:02 –1 +/–

> Любители http любят telnet. Любители https любят ssh.
Нет. Любители https обычно любят какие-нибудь ssh-клиенты, реализованные на электроне или прямо в виде яваскриптового приложения для гуглхрома.

Наверх | Cообщить модератору
Родитель: #40

147. Сообщение от Аноо (?), 16-Янв-18, 21:29 +4 +/–

Не поможет же. Или записи будешь вручную в него загружать из _надежных_источников_?

Наверх | Cообщить модератору
Родитель: #49 Ответы: #156

148. Сообщение от Аноним (-), 16-Янв-18, 21:44 +/–

> Как минимум подмена шрифтов.
Ой бяда-бяда... всё вот так: сначала придумаем проблему (возможность использовать недефолтные шрифты), потом гордо её решаем. Сначала детям в школы интернет проведём, потом блокируем (но уже для всех), потому что там голых тётенек и дяденек показывают.

Наверх | Cообщить модератору
Родитель: #50

149. Сообщение от Аноним (-), 16-Янв-18, 22:41 +/–

Хороший разработчик использует все возможности. А при работе с чужим кодом снифер бывает просто необходим.

Наверх | Cообщить модератору
Родитель: #143

150. Сообщение от Аноним (-), 16-Янв-18, 22:45 +1 +/–

Необязательное наличие этого внешнего интернета? Или нежелание платить за внешний домен каждый год?

Наверх | Cообщить модератору
Родитель: #140

151. Сообщение от пох (?), 16-Янв-18, 22:48 +/–

>> Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры.
> Передергивание.
не ты решаешь, как и что защищать на твоем сайте. И не твои пользователи. Где тут передергивание?
>> выдаваемых непойми кем
> Бери у «пойми кого», делов-то.
Браузеры это не умеют. В принципе.
> Ложь, причем неприкрытая. На моей практике два раза было, когда клиенты жаловались на странные
> проблемы с API, на поверку оказавшиеся отравленным кешом DNS.
ахренеть какие продвинутые клиенты. И какие продвинутые суперхакеры работают у этих клиентов или где-то рядом.
Кстати, а как же, как же https подписанный гугледоверенным сертификатом, неужели не выдал им честное сообщение что они зашли не на тот сайт? Не может быть! ;)
Ну и да, dnssec (во всяком случае, в нынешнем его неполноценном виде) и этой проблемы тоже не решает (разьве что клиент специально будет стараться).

Наверх | Cообщить модератору
Родитель: #21 Ответы: #175

152. Сообщение от пох (?), 16-Янв-18, 22:50 +/–

> Если бы внедрили DNSSEC, то можно было бы нормально пользоваться DANE, и
> CA стали бы не нужны.
их просто заменили бы на регистри (без подписей которого ничего вниз по цепочке не работает - точно так же). Кому от этого легче?

Наверх | Cообщить модератору
Родитель: #37 Ответы: #171

153. Сообщение от пох (?), 16-Янв-18, 22:54 +/–

> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
а проверял? По-моему, в современных версиях давно сломано (чувак хочет _ip_ а не домен)

Наверх | Cообщить модератору
Родитель: #142 Ответы: #157, #159, #189

154. Сообщение от anonymous (??), 16-Янв-18, 23:05 +/–

>Они в состоянии предложить, но это будет гипотеза. Кто вот за неё кровь будет проливать?
У FSF куча сайтов и сервисов. Можно для начала свои перенести. И инструменты для просмотра они могут не напрягаясь включить в состав всех дистрибутивов. Если инструмент есть в дистрибутиве, то прикрутить/поднять сервер не проблема. Так что 1% освоить не проблема вообще. На остальных 99% можно пока и забить. Пусть кактусы поедают.

Наверх | Cообщить модератору
Родитель: #135 Ответы: #180

155. Сообщение от Аноним (-), 16-Янв-18, 23:11 –1 +/–

> Вы не понимаете разницу между логами и снифером?
В лог можно записать всё то же, что будет показывать снифер.

Наверх | Cообщить модератору
Родитель: #101 Ответы: #169

156. Сообщение от А (??), 16-Янв-18, 23:17 +/–

Установить свой DNS сервер, если у тебя не винда.

Наверх | Cообщить модератору
Родитель: #147 Ответы: #170

157. Сообщение от Аноним (-), 16-Янв-18, 23:22 +/–

>> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> а проверял? По-моему, в современных версиях давно сломано (чувак хочет _ip_ а
> не домен)
Мозги у тебя сломаны. В сабжект что угодно можно прописать.

Наверх | Cообщить модератору
Родитель: #153 Ответы: #160

158. Сообщение от rpm (?), 16-Янв-18, 23:24 +/–

> Ну ок, осилят ещё и настройку логирования сервера. Как они, бедные, без
> этого до сих пор жили…
Сервер может быть чужой

Наверх | Cообщить модератору
Родитель: #83

159. Сообщение от rpm (?), 16-Янв-18, 23:35 +/–

>> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> а проверял? По-моему, в современных версиях давно сломано (чувак хочет _ip_ а
> не домен)
Можно такой домен сделать

Наверх | Cообщить модератору
Родитель: #153 Ответы: #165, #167

160. Сообщение от anonymous (??), 16-Янв-18, 23:35 +/–

> Мозги у тебя сломаны. В сабжект что угодно можно прописать.
А как же доверенный центр сертификации?

Наверх | Cообщить модератору
Родитель: #157 Ответы: #163

161. Сообщение от Kuromi (ok), 16-Янв-18, 23:52 +/–

Да вы что, серьезно? Они об этих планах еще года полтора тому назад говорили и потихоньку его реализуют.
"На этапе рассмотрения находится перевод в Secure Context функций Encrypted Media Extensions"
Почитайте баг - "The EME spec says it is only to be supported on secure contexts. Netflix are already only using EME over HTTPS in Firefox. Our intention is to make this change the Firefox release after Chrome ships this."
Ничего нового, просто приводят в соотвествие со спеками. Еще надо добавить U2F (WebAuth) - тоже только по HTTPS.
Я вам даже больше того скажу, у них есть долгиграющие планы по отказу от HTTP (без шифрования) вообще. Например тот же HTTP2 как бы в спеках имеет вариант без шифрования. Ни один браузер не реализовал этот вариант, все реализации требуют HTTPS.

Наверх | Cообщить модератору

162. Сообщение от Аноним (-), 17-Янв-18, 00:04 +/–

И на всех сайтах сообщение:
> Либо вы используете Хром, либо идёте на %¥№.

Наверх | Cообщить модератору
Ответы: #168

163. Сообщение от Аноним (-), 17-Янв-18, 00:08 +/–

-x509
           this option outputs a self signed certificate instead of a certificate request.

Наверх | Cообщить модератору
Родитель: #160 Ответы: #173

164. Сообщение от Аноним (-), 17-Янв-18, 00:10 +/–

Жаров, залогиньтесь.

Наверх | Cообщить модератору
Родитель: #136

165. Сообщение от Аноним (-), 17-Янв-18, 00:10 +/–

Нельзя.

Наверх | Cообщить модератору
Родитель: #159

166. Сообщение от Аноним (-), 17-Янв-18, 00:12 +/–

> По http отдать гораздо проще. На шифрование может и ресурсов не хватить.
Шифрование копеечное.

Наверх | Cообщить модератору
Родитель: #133 Ответы: #172, #184

167. Сообщение от пох (?), 17-Янв-18, 00:15 +/–

>>> openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem
> Можно такой домен сделать
в сертификате нет "доменов", это же x509, from the people who brought you x400. CN такой сделать, полагаю, нельзя. (ну то есть в смысле - можно туда это вписать, но вряд ли браузеры поймут)
Пока еще были живы единичные ренегаты, выдававшие честные CA-signed на ip, они это делали через extension (а CN оставался доменом), и, помнится, перестали именно из-за проблем с распознаванием его новыми-модными openssl.

Наверх | Cообщить модератору
Родитель: #159

168. Сообщение от пох (?), 17-Янв-18, 00:16 +/–

> И на всех сайтах сообщение:
>> Либо вы используете Хром, либо идёте на %¥№.
ну зачем вы так? Хром то же самое заимплементит, мазила в данном случае поет с гуглевых денег.

Наверх | Cообщить модератору
Родитель: #162 Ответы: #178

169. Сообщение от Аноним (-), 17-Янв-18, 00:34 +1 +/–

> В лог можно записать всё то же, что будет показывать снифер.
Нельзя. Это совсем другой уровень, и что там делает фронтенд с заголовками и контентом может быть тайной за семью печатями.

Наверх | Cообщить модератору
Родитель: #155

170. Сообщение от Аноним (-), 17-Янв-18, 00:38 +/–

Вы хоть примерно представляете как работает инфраструктура DNS и что такое MITM?...

Наверх | Cообщить модератору
Родитель: #156

171. Сообщение от Аноним (-), 17-Янв-18, 00:47 +/–

Какие ещё регистри? Всё давно работает безо всяких "бы" и прочих ваших фантазий, не хватает только поддержки со стороны браузеров (раньше были плагины/расширения, сейчас - хз). Почтовые сервера (exim, postfix) уже поддерживают нативно.

Наверх | Cообщить модератору
Родитель: #152 Ответы: #193

172. Сообщение от anonymous (??), 17-Янв-18, 00:53 +/–

TLS это не только шифрование.

Наверх | Cообщить модератору
Родитель: #166

173. Сообщение от anonymous (??), 17-Янв-18, 00:54 +1 +/–

>
-x509
>            this
> option outputs a self signed certificate instead of a certificate request.

Речь про браузер.

Наверх | Cообщить модератору
Родитель: #163 Ответы: #177, #188

174. Сообщение от angra (ok), 17-Янв-18, 02:49 +/–

Это был сарказм или ты не знаешь, что такое интранет?

Наверх | Cообщить модератору
Родитель: #139

175. Сообщение от angra (ok), 17-Янв-18, 04:51 +/–

> не ты решаешь, как и что защищать на твоем сайте. И не  твои пользователи. Где тут передергивание?
В подмене вопроса принадлежности вопросом о стандарте передачи данных. То, что ты вынужден пользоваться каким-то определенным протоколом, не забирает у тебя владение самим сайтом и тем более компьютером. Если уж хочется поговорить о эфемерности владения, то стоило бы говорить о регистрарах, хостерах и провайдерах, которые действительно могут в любой момент лишить тебя сайта.
> Кстати, а как же, как же https подписанный гугледоверенным сертификатом, неужели не
> выдал им честное сообщение что они зашли не на тот сайт?
> Не может быть! ;)
Ты не понимаешь разницы между API и сайтом?

Наверх | Cообщить модератору
Родитель: #151 Ответы: #179, #192, #203

176. Сообщение от Аноним (-), 17-Янв-18, 05:30 +/–

> в остальных случаях траф идёт по проводным сетям, и провайдерам всегда было пофик и они не собирали ничего.
Ха-ха. Вы доверяете провайдерам?
In the UK, a VPN is a basic requirement for internet usage, since the country's new Investigatory Powers Bill allows practically any government employee in any division to look up your internet history for the part year. That sounds like an exaggeration, but amazingly it isn't. Even if you aren't worried about what the department or employees could do with your data officially, these are humans trusted with this power: hundreds of thousands of them. Any malicious group could easily put their man into one of these departments and retrieve whatever data they want.
Even if you're not in the UK, there's no doubt there are sleeper cells from malicious groups in every ISP already. Why wouldn't there be?

Наверх | Cообщить модератору
Родитель: #127

177. Сообщение от Аноним (-), 17-Янв-18, 05:33 +/–

Речь про 192.168.16.2

Наверх | Cообщить модератору
Родитель: #173

178. Сообщение от Аноним (-), 17-Янв-18, 05:34 +/–

А вас никто не спросит. Все другие браузеры не безопасны!

Наверх | Cообщить модератору
Родитель: #168 Ответы: #194

179. Сообщение от Ю.Т. (?), 17-Янв-18, 07:02 +/–

>> не ты решаешь, как и что защищать на твоем сайте. И не  твои пользователи. Где тут передергивание?
> В подмене вопроса принадлежности вопросом о стандарте передачи данных. То, что ты
> вынужден пользоваться каким-то определенным протоколом, не забирает у тебя владение самим
> сайтом и тем более компьютером. Если уж хочется поговорить о эфемерности
> владения, то стоило бы говорить о регистрарах, хостерах и провайдерах, которые
> действительно могут в любой момент лишить тебя сайта.
Все эти движения *фактически* предоставляют "сертификаторам" *контроль* над "сайтами", даже ещё не созданными, и даже в изолированных сегментах.
Осталось понять, зачем так густо пугают проколами во всём, начиная с процессоров -- именно ради этого или ещё что-то преследуется.

Наверх | Cообщить модератору
Родитель: #175 Ответы: #182

180. Сообщение от Ю.Т. (?), 17-Янв-18, 07:07 +/–

>>Они в состоянии предложить, но это будет гипотеза. Кто вот за неё кровь будет проливать?
> У FSF куча сайтов и сервисов. Можно для начала свои перенести. И
Разговор был про отказ от веба как он есть сейчас (т.е., веб 2.0, "мы исполняем чьи-то программы").

Наверх | Cообщить модератору
Родитель: #154

181. Сообщение от Аноним (-), 17-Янв-18, 09:56 +/–

Во-первых, не понял, почему в обсуждении поминают хром - гугл ничего похожего не заявлял, по крайней мере, в новости этого нет. Во-вторых, кто мешает форкнуть?

Наверх | Cообщить модератору

182. Сообщение от angra (ok), 17-Янв-18, 10:22 +/–

И какой же именно контроль это предоставляет? В чем он выражается? Есть ли прецеденты? Какова степень его опасности в сравнении с реальными методами контроля? Не делает ли кое-кто из мухи слона?

Наверх | Cообщить модератору
Родитель: #179 Ответы: #187

184. Сообщение от Аноним (-), 17-Янв-18, 11:53 +/–

На эмбедщине - далеко не копеечное. А на сервере теряется возможность использовать sendfile/splice, что тоже совсем не копейки

Наверх | Cообщить модератору
Родитель: #166

185. Сообщение от Аноним (-), 17-Янв-18, 11:57 +/–

> HTTPS нафик не сдался ни где, кроме сайтов банков и прочих мест
> с фин транзакциями.
Только не надо думать, что один факт использования протокола https дает какие-то гарантии безопасности для банковских операций

Наверх | Cообщить модератору
Родитель: #109

186. Сообщение от Аноним (-), 17-Янв-18, 12:13 +/–

> Не, ты не понял. От подмены _по пути_. То есть врезки рекламы,
> вредоносного кода, etc. например провайдером.
ОПСОСы этим занимаются уже давно.

Наверх | Cообщить модератору
Родитель: #138 Ответы: #201

187. Сообщение от Ю.Т. (?), 17-Янв-18, 14:08 +/–

> И какой же именно контроль это предоставляет? В чем он выражается? Есть
> ли прецеденты? Какова степень его опасности в сравнении с реальными методами
> контроля? Не делает ли кое-кто из мухи слона?
Ну я не знаю, есть тут дутый драматизм или нет.
А так, что касается именно гипотетически обретаемого кем-то контроля -- на уровне ПО (почти) никто не (с)может работать без разрешения "корпорации "сертификаторов". То есть контроль от технических акторов (которые слишком неподконтрольны) перемещается на уровень человеков, что и требовалось.
А там недалеко до подкожных чипов, которые будут обеспечивать идентичность в сети, конечно же, в наших лучших интересах.
Да тут много чего можно соорудить производного, но фактор усиления контроля налицо.

Наверх | Cообщить модератору
Родитель: #182

188. Сообщение от Аноним (-), 17-Янв-18, 14:37 +/–

> Речь про браузер.
В браузере разрешишь сертификат ручками. Если надо много, сделаешь CA и добавишь корневой серт в доверенные.

Наверх | Cообщить модератору
Родитель: #173

189. Сообщение от Анестезиолог (?), 17-Янв-18, 14:54 +/–

1. subjectAltName=192.168.16.2 прекрасно работает.
2. 192.168.12.2 testhost в /etc/hosts прекрасно работает.

Наверх | Cообщить модератору
Родитель: #153

190. Сообщение от Аноним (-), 17-Янв-18, 15:09 +/–

> Да, да, да, Вы еще гуглёвому хромому это объясните, что вот ентот корневой сертификат, гуглём не признанный, но мною чесно в доверенные добавленный, он должОн считать таки доверенным, а не ругаться матом каждый раз при входе на чёй-то-там.intranet...
флаг --ignore-certificate-errors вам в помощь

Наверх | Cообщить модератору
Родитель: #97

191. Сообщение от rvs2016 (ok), 17-Янв-18, 16:01 +2 +/–

Вот же шизофреники! Обложили и достали!
Если из-за якобы проблем с безопасностью (а точнее из-за проблем с ДНК разработчиков) они вставляют палки в колёса тем, кто использует протокол http, то тогда уж пусть запретят браузеру вообще загружать страницы - они ведь могут содержать вредоносный код, из-за чего могут появляться проблемы с безопасностью.
Да и вообще надо выкинуть компьютеры все на свалку истории - тогда и не будет никаких проблем с ними!

Наверх | Cообщить модератору

192. Сообщение от пох (?), 17-Янв-18, 23:37 +/–

> То, что ты вынужден пользоваться каким-то определенным протоколом
да не протоколом, а здоровенным куском (чужих!) данных, чуть ли не намеренно сделанным таким, чтобы его вообще невозможно было обрабатывать компактным, понимаемым, не говоря уж о верифицируемым кодом. Того гляди - сам начнет что-нибудь у тебя обрабатывать. А отказаться от него ты уже не можешь. Против точно такого же куска из доверенного (мной!) источника у меня возражений гораздо меньше - там я хотя бы уверен в отсутствии злого умысла. Так что дело не (только) в протоколе, но в первую очередь в том, _как_ его заставляют использовать.
> то стоило бы говорить о регистрарах, хостерах и провайдерах, которые действительно могут в любой
> момент лишить тебя сайта.
вот как раз не могут. Ну, если это не регру, конечно. Прецеденты были, но если владелец не был в розыске, каждый раз не только откатывали назад, но и долго униженно извинялись.
Потому что могут при этом попасть на существенные деньги - владение чем-то или предоставление сервиса - это вполне юридические понятия, за них и ответить можно. А за блок двоичного мусора ответить нельзя (во всяком случае, история не знает прецедентов), и ничего кроме этого мусора тебе никакой летсшитйорсайт не обещал.
> Ты не понимаешь разницы между API и сайтом?
апи из воздуха приехал?



Наверх | Cообщить модератору
Родитель: #175

193. Сообщение от пох (?), 17-Янв-18, 23:38 +/–

> Какие ещё регистри? Всё давно работает безо всяких "бы" и прочих ваших
https тоже как бы "давно работает". Но есть один ньюанс...
так вот в dnssec этот "ньюанс" пожирнее будет.

Наверх | Cообщить модератору
Родитель: #171 Ответы: #195

194. Сообщение от пох (?), 17-Янв-18, 23:42 +/–

> А вас никто не спросит. Все другие браузеры не безопасны!
наоборот - все другие браузеры либо "безопастны", либо толком неработоспособны (а часто и то и другое разом)

Наверх | Cообщить модератору
Родитель: #178

195. Сообщение от Аноним (-), 18-Янв-18, 02:17 +/–

Посвятите же нас в ваш "ньюанс". Особенно в эти таинственные регистри...

Наверх | Cообщить модератору
Родитель: #193

196. Сообщение от Аноним (-), 18-Янв-18, 02:34 +/–

Какого черта Мозилла заботится об улучшении мироздания вместо заботы об удобстве своих пользователей?
Все их последние инициативы (кстати много лет уже как) - полное удаление возможности использовать джаву, флеш, неподписанные расширения, а теперь и http, без возможности конфигурации исключений дле нужных сайтов ничего не добавляют к моей безопасности, и СНИЖАЮТ удобство использования.
Кажется пора уходить на Хром. Дырок и щупов в Мозилле не меньше, гибкость в использовании они сознательно ограничивают уже в большей степени, а работает Хром лучше.

Наверх | Cообщить модератору
Ответы: #197

197. Сообщение от Аноним (-), 18-Янв-18, 02:35 +/–

Мозилла маст дай!

Наверх | Cообщить модератору
Родитель: #196

198. Сообщение от пох (?), 18-Янв-18, 18:19 –5 +/–

>>> А интранет-сайты?
>> а с чего ты взял, что в твоем интранете нечего красть?
> Можно я это сам решу?
можно, но тогда отучайся говорить за всех.
Не "интранет-сайты", а "две мои наколенные поделки, ненужные никому, в том числе и мне - так что даже сертификат поставить для меня нерешаемо сложная задача".
в интранетах как раз нет ни проблемы (потому что можно позволить себе быть самому-себе-CA, и не связываться со стремными впаривателями блоков непонятных байтов), ни поводов так не делать (потому что в нормальном интранете как раз есть чего беречь)
проблема есть именно в паблик-интернетах, когда беречь уже особо нечего - ты и так уже все что мог и что не мог о себе рассказал какому-то левому сайту, какая нахрен разница, кто еще по дороге мог перехватить жизненно-важную информацию что у тебя телефон нагрелся на два градуса?
Ну и с крипто-апи(которое для того вообще-то и было придумано, чтобы не гонять нешифрованные данные через хз-чей канал, даже если он весь из себя "безопаснтый") особенно правильно получилось.

Наверх | Cообщить модератору
Родитель: #17 Ответы: #199, #202

199. Сообщение от Аноним (-), 19-Янв-18, 10:50 +3 +/–

> можно, но тогда отучайся говорить за всех.
> Не "интранет-сайты", а "две мои наколенные поделки, ненужные никому, в том числе
> и мне - так что даже сертификат поставить для меня нерешаемо
> сложная задача".
Отучайся говорить за то, чего не знаешь.
Не "сложно", а "нафиг не нужно".

Наверх | Cообщить модератору
Родитель: #198

201. Сообщение от J.L. (?), 19-Янв-18, 13:18 +/–

>> Не, ты не понял. От подмены _по пути_. То есть врезки рекламы,
>> вредоносного кода, etc. например провайдером.
> ОПСОСы этим занимаются уже давно.
потому что http - и занимаются !

Наверх | Cообщить модератору
Родитель: #186

202. Сообщение от Аноним (-), 19-Янв-18, 14:22 +3 +/–

У тя дома, наверное, на каждой двери по два замка стоит - кодовый и обычный. А на двери в сортир три. Вдруг кто зайдет, а ты без штанов...

Наверх | Cообщить модератору
Родитель: #198

203. Сообщение от Аноним (-), 22-Янв-18, 11:13 +/–

> Если уж хочется поговорить о эфемерности
> владения, то стоило бы говорить о регистрарах, хостерах и провайдерах, которые
> действительно могут в любой момент лишить тебя сайта.
Регистраторы, пожалуй, тоже из этой же оперы, но хостеры и провайдеры - это не то. В любое время можно их сменить и проблемы не будет. А вот кастрированный доступ к твоему домену будет вне зависимости от твоего желания. Потому, что mozilla так решила. Иди плати бабки за сертификат и пофиг, что ты считаешь, что он тебе не нужен - твоё мнение никому не интересно.

Наверх | Cообщить модератору
Родитель: #175

204. Сообщение от Аноним (-), 22-Янв-18, 11:17 +1 +/–

> А почему ты думаешь что тебя, любителя одинаковых паролей на всех сайтах,
> должны слушать вменяемые пользователи и разработчики?
Вменяемые разработчики не должны навязывать своё мнение о безопасности всем вокруг.
А пользователи должны сами выбирать требуемый им уровень безопасности.

Наверх | Cообщить модератору
Родитель: #18

205. Сообщение от Аноним (-), 22-Янв-18, 11:25 +/–

>>> А интранет-сайты?
>> а с чего ты взял, что в твоем интранете нечего красть?
> Можно я это сам решу?
Похоже нет.
>> голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то
>> авторизация или он захочет, вдруг, что-то знать о пользователе - придется
>> озаботиться сертификатом.
> Опять-таки - можно мне в своей гoвнo-домо-сетке на 2,5 компа самому решать
> - нужна мне безопасность, или нет?
Нет. За тебя решили.
>> А вот какого органа у тебя в интранете до сих пор НЕТ
>> своего CA - действительно, удивляет.
> Он нафиг мне не нужен, имею право.
Нет никаких прав. Жри что дают и восхваляй опенсорц и свободу выбора между разными сортами гов#а.
P.S. ёб#нн#й опеннет. Модеры вы что пе#ерасты толерантные что ли? С какого слово г о в н о - нецензурная брань? Совсем ёб#улись что ли?..

Наверх | Cообщить модератору
Родитель: #17

206. Сообщение от Аноним (-), 22-Янв-18, 11:36 +/–

> Он доверяет всем подряд. Ему не важно, что каждый может перехватить или
> подменить геолокацию или хранилище. Те же люди кричали, зачем ssh если
> есть telnet, но сейчас они заткнулись и пользуются ssh. Некоторым людям
> нужно время чтобы осознать это.
Дружище, ты часом не слаб на ум?
Мне разве надо идти и платить бабки за свои ключи для ssh-доступа?
Ты не чувствуешь разницу ssh и https?

Наверх | Cообщить модератору
Родитель: #47

207. Сообщение от Аноним (-), 22-Янв-18, 12:08 +/–

> Честно говоря форсинг HTTPS немного бесит. Самую малость, но таки да. Возможно
> стоило бы и меру знать. Мне кажется вот это - слишком:
>> По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства
Согласн. Делали  бы чуть тоньше и народ сам бы потянулся. А так идёт жёсткое навязывание.
Сделали бы какой-нибудь http-заголовок, который бы включал этот жёсткий режим браузера и т.о. авторы сайтов могли бы сами решать.

Наверх | Cообщить модератору
Родитель: #36

208. Сообщение от Аноним (-), 22-Янв-18, 18:04 +/–

> В перспективе лучше забить на вэб в его современном понимании.
Согласен. Уже запарило смартфоны менять. 2GB ram для браузера на телефоне уже мало... Пипец.

Наверх | Cообщить модератору
Родитель: #134

209. Сообщение от rewwa (ok), 29-Янв-18, 23:37 +/–

> Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec
> внедрили, но они этого делать и не собираются даже...
А мне интересно, почему они этого не делают?

Наверх | Cообщить модератору
Родитель: #7

Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от A.Stahl (ok), 16-Янв-18, 11:40	+14 +/–
Есть у меня один сайтец. Две HTML странички. Никакой логики, скриптов и т.п. Никаких полей для ввода. Никакой важной или конфиденциальной информации. Заставил работать через HTTPS. А то такими темпами через полгода сайт сможет открыть только Saahriktu через Linx, да и тот испугается Юникода и убежит в Фидо или где он там обитает.
Наверх \| Cообщить модератору
Ответы: #8, #38

5. Сообщение от mimocrocodile (?), 16-Янв-18, 11:50	+6 +/–
Больше страданий для пользователей интранет сайтов!
Наверх \| Cообщить модератору
Ответы: #10, #34

7. Сообщение от Аноним (-), 16-Янв-18, 12:04	+5 +/–
Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec внедрили, но они этого делать и не собираются даже...
Наверх \| Cообщить модератору
Ответы: #15, #37, #209

8. Сообщение от Аноним (-), 16-Янв-18, 12:05	+6 +/–
Даже если на вашем сайте не нужно вводить пароль, HTTPS защитит от внедрения вредоносного кода, подмены информации и слежки за пользователем, на какие страницы он заходил. HTTPS нужен особенно любителям подключаться к чужим VPN серверам.
Наверх \| Cообщить модератору
Родитель: #1 Ответы: #42, #107

9. Сообщение от Аноним (-), 16-Янв-18, 12:08	+3 +/–
Б-ть. А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради пары станиц на голом html?
Наверх \| Cообщить модератору
Ответы: #11, #12, #139

10. Сообщение от Борщдрайвен бигдата (?), 16-Янв-18, 12:09	+4 +/–
Пользователям интранетов достаточно поставить корневой сертификат для какого-нибудь .intranet и забыть. Достаточно стандартная практика.
Наверх \| Cообщить модератору
Родитель: #5 Ответы: #61, #97

11. Сообщение от Борщдрайвен бигдата (?), 16-Янв-18, 12:10	+/–
> Б-ть. > А интранет-сайты? Как верно отметили выше, какого органа воротить центр сертификации ради > пары станиц на голом html? Пара страниц на _голом html_ не будет использовать Service Workers.
Наверх \| Cообщить модератору
Родитель: #9 Ответы: #13

12. Сообщение от пох (?), 16-Янв-18, 12:12	–1 +/–
> А интранет-сайты? а с чего ты взял, что в твоем интранете нечего красть? > Как верно отметили выше, какого органа воротить центр сертификации ради пары станиц на голом > html? голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то авторизация или он захочет, вдруг, что-то знать о пользователе - придется озаботиться сертификатом. А вот какого органа у тебя в интранете до сих пор НЕТ своего CA - действительно, удивляет.
Наверх \| Cообщить модератору
Родитель: #9 Ответы: #17

13. Сообщение от Аноним (-), 16-Янв-18, 12:14	+3 +/–
А это не суть важно, главное - тенденция. Сначала браузеры стали как резаные орать при заходе на не-https - "ой, бида-бида вашим пирсанальным данным!", потом у них начнёт отваливаться функционал, а послезавтра и вовсе скажут "нефиг", да ещё и перестанут принимать самоподписанные сертификаты...
Наверх \| Cообщить модератору
Родитель: #11 Ответы: #18

14. Сообщение от Аноним (-), 16-Янв-18, 12:16	+4 +/–
Ладно жс, но ограничить новые CSS свойства только HTTPS'ом? Они там с дуба рухнули?
Наверх \| Cообщить модератору
Ответы: #32

15. Сообщение от пох (?), 16-Янв-18, 12:16	–6 +/–
> Им забашляли центры сертификации чтоли? наоборот. Им забашляли те же, кто пихает во все дыры letsdecrypt. Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры. Во всяком случае, вы ничего не можете на них делать без блока данных, обрабатываемого гнилым, громадным и толком неверифицируемым куском кода, выдаваемых непойми кем и который вас заставляют регулярно менять (желательно - еще и исполняя непойми чьи скрипты, но это тоже дело десятое). (dnssec, если что, не решает ни одной проблемы, кроме, разьве что, отдельных (мелких) проблем в самом dns)
Наверх \| Cообщить модератору
Родитель: #7 Ответы: #21, #28

17. Сообщение от Аноним (-), 16-Янв-18, 12:17	+7 +/–
>> А интранет-сайты? > а с чего ты взял, что в твоем интранете нечего красть? Можно я это сам решу? > голый html у тебя останется. Вот когда в нем, внезапно, образуется какая-то > авторизация или он захочет, вдруг, что-то знать о пользователе - придется > озаботиться сертификатом. Опять-таки - можно мне в своей гoвнo-домо-сетке на 2,5 компа самому решать - нужна мне безопасность, или нет? > А вот какого органа у тебя в интранете до сих пор НЕТ > своего CA - действительно, удивляет. Он нафиг мне не нужен, имею право.
Наверх \| Cообщить модератору
Родитель: #12 Ответы: #22, #198, #205

18. Сообщение от Аноним (-), 16-Янв-18, 12:19	–2 +/–
А почему ты думаешь что тебя, любителя одинаковых паролей на всех сайтах, должны слушать вменяемые пользователи и разработчики?
Наверх \| Cообщить модератору
Родитель: #13 Ответы: #19, #20, #204

19. Сообщение от Аноним (-), 16-Янв-18, 12:21	+4 +/–
А почему я должен держать yпopoтых идиотов за вменяемых разработчиков?
Наверх \| Cообщить модератору
Родитель: #18 Ответы: #25

20. Сообщение от Аноним (-), 16-Янв-18, 12:22	–2 +/–
Потому что те у кого одностраничник с адресом магазина это "любитель одинаковых паролей" и страшный-опасный сайт -- это не вменяемые пользователи и адекватные разработчики, а обычные исторички.
Наверх \| Cообщить модератору
Родитель: #18

21. Сообщение от Борщдрайвен бигдата (?), 16-Янв-18, 12:23	+/–
> Теперь ваши сайты вам не принадлежат, точно так же как ваши компьютеры. Передергивание. > Во всяком случае, вы ничего не можете на них делать без блока данных Перегибаешь. > гнилым, громадным и толком неверифицируемым куском кода Некорректно. > выдаваемых непойми кем Бери у «пойми кого», делов-то. > (dnssec, если что, не решает ни одной проблемы, кроме, разьве что, отдельных (мелких) проблем в самом dns) Ложь, причем неприкрытая. На моей практике два раза было, когда клиенты жаловались на странные проблемы с API, на поверку оказавшиеся отравленным кешом DNS.
Наверх \| Cообщить модератору
Родитель: #15 Ответы: #44, #151

22. Сообщение от Аноним (-), 16-Янв-18, 12:25	–1 +/–
> Можно я это сам решу? Тоже самое разработчики мозилы говорят на критику своего браузера. Эта отмазка работает в обе стороны.
Наверх \| Cообщить модератору
Родитель: #17 Ответы: #24

23. Сообщение от Онон (?), 16-Янв-18, 12:28	+2 +/–
Покупайте SSL сертификаты за %d долларов!
Наверх \| Cообщить модератору
Ответы: #29

24. Сообщение от Аноним (-), 16-Янв-18, 12:32	+/–
>> Можно я это сам решу? > Тоже самое разработчики мозилы говорят на критику своего браузера. Эта отмазка работает > в обе стороны. Разработчики мозилы - олени с альтернативной сексуальной ориентацией, если действительно ведут себя подобным образом и считают, что это нормально - класть на мнение потребителей своего продукта.
Наверх \| Cообщить модератору
Родитель: #22 Ответы: #26

25. Сообщение от Аноним (-), 16-Янв-18, 12:37	–2 +/–
Ты имеешь в виду людей, которые прививают у хомяков привычку думать о безопасности в сети?
Наверх \| Cообщить модератору
Родитель: #19 Ответы: #30, #52

26. Сообщение от Борщдрайвен бигдата (?), 16-Янв-18, 12:42	–1 +/–
Потрясающее невежество. Ещё раз. Решения о Secure Context принимались в W3C TAG. В соотв. списках рассылок были те ещё обсуждения, какие API включать, зачем и почему. То же самое было в списке разработки FF, но больше по техчасти. Но ведь туда ты не ходил, правда?… Как правильно заметил, ты — потребитель, высравшийся токсичным комментарием на опеннете, и палец о клавиатуру не ударивший, чтобы не то, что изменить ситуацию, даже высказать свое мнение в надлежащем месте. Так что не порть себе настроение зазря.
Наверх \| Cообщить модератору
Родитель: #24 Ответы: #55, #119

27. Сообщение от Аноним (-), 16-Янв-18, 12:49	–2 +/–
История, как telnet превратился в ssh, грубо говоря. Короче, будет только https, только гемороя с сертификатами побольше.
Наверх \| Cообщить модератору
Ответы: #31, #124

28. Сообщение от Аноним (-), 16-Янв-18, 12:52	+/–
Под dnssec разумеется имелось ввиду dnssec+dane (TLSA).
Наверх \| Cообщить модератору
Родитель: #15

29. Сообщение от Админь (?), 16-Янв-18, 12:52	+1 +/–
> Покупайте SSL сертификаты за 0 долларов! Так и делаю.
Наверх \| Cообщить модератору
Родитель: #23 Ответы: #66

30. Сообщение от Аноним (-), 16-Янв-18, 12:53	+1 +/–
Я имею в виду идиотов, считающих, что только они достойны привилегии думать.
Наверх \| Cообщить модератору
Родитель: #25 Ответы: #39

31. Сообщение от Админь (?), 16-Янв-18, 12:53	+1 +/–
> История, как telnet превратился в ssh, грубо говоря. Короче, будет только https, > только гемороя с сертификатами побольше. Поставил certbot и забыл. Всё само обновляется.
Наверх \| Cообщить модератору
Родитель: #27

32. Сообщение от Аноним (-), 16-Янв-18, 12:55	–1 +/–
> так как использование данных API по незашифрованным каналам связи повышает риски, связанные с безопасностью и приватностью. Перечитай зачем так сделали.
Наверх \| Cообщить модератору
Родитель: #14 Ответы: #45, #47

34. Сообщение от Аноним (-), 16-Янв-18, 12:57	+/–
Пользователям-то чего страдать? Разработчики немножко пострадают, но таки осилят генерацию самоподписанных сертификатов для отладки.
Наверх \| Cообщить модератору
Родитель: #5 Ответы: #63

36. Сообщение от Онаним (?), 16-Янв-18, 13:05	+5 +/–
Честно говоря форсинг HTTPS немного бесит. Самую малость, но таки да. Возможно стоило бы и меру знать. Мне кажется вот это - слишком: > По возможности все новшества теперь будут привязываться к HTTPS, в том числе новые CSS-свойства
Наверх \| Cообщить модератору
Ответы: #41, #207

37. Сообщение от Аноним (-), 16-Янв-18, 13:07	+2 +/–
> Им забашляли центры сертификации чтоли? Я понимаю если бы они сначала dnssec > внедрили, но они этого делать и не собираются даже... Если бы внедрили DNSSEC, то можно было бы нормально пользоваться DANE, и CA стали бы не нужны.
Наверх \| Cообщить модератору
Родитель: #7 Ответы: #152