Сайты перейдут на HTTPS или Юзеры откажутся от Хрома

Сайты перейдут на HTTPS
7
Нейтральная
сторона
1
Юзеры откажутся от Хрома
6
если хотя бы один браузер будет отмечать HTTP-сайты как небезопасные
Прежде чем писать комментарии или выбрать сторону вы должны авторизироваться!
если он будет показывать слишком много предупреждений

15-11-2016 18:07 +1

С позиции рядового пользователя я вообще не вижу в чём проблема лишней буквы в адресной строке.
Но если это помогает лишний раз шагнуть в сторону развитого интернета, который тяжело контролировать извне - переходить нужно.

7 комментариев
opera.rulez 15-11-2016 18:12 0

Simple_Not, С точки зрения пользователя не будет проблемы, если ВСЕ сайты сразу добавят лишнюю букву.

А с точки зрения владельцев сайтов есть проблемы:
1. SSL-сертификат стоит денег. Он периодически нуждается в платном продлении (как домен).

2. Если какой-нибудь форум или блог резко перевести на HTTPS, то в нём перестанут отображаться картинки, доступные с внешних сайтов по протоколу HTTP. Чтобы картинки снова стали отображаться, нужно ждать, пока эти все внешние сайты перейдут на HTTPS, либо копировать все эти картинки на свой сервер.

3. Роскомнадзор не может блокировать конкретный URL на HTTPS-сайте из-за шифрования. HTTPS-сайт можно заблокировать только весь целиком.

opera.rulez 15-11-2016 19:05 +1

Simple_Not, Но если это помогает лишний раз шагнуть в сторону развитого интернета, который тяжело контролировать извне - переходить нужно.

Не помогает. Всякие мизулины сильно удивились, что в Твиттере нельзя заблокировать по URL профиль Правого сектора, потому что Твиттер использует HTTPS. В результате Твиттер под угрозой быть заблокированным в РФ полностью сдался и придумал «Country withheld» — это когда блокировка URL происходит не на стороне клиентского провайдера, а на стороне сервера. Ещё раньше «Живой журнал» ввёл нечто похожее — Error 451.

Контроль не только в России. Некоторые профили Твиттера сейчас недоступны в Германии. Гугл и Гитхаб стали блокировать свои материалы по запросу американских копирастов.

Резюме: шифрование никак не препятствует контролю извне, когда существует более грубая сила.

fhfh 16-11-2016 13:35 0

opera.rulez, SSL-сертификат стоит денег
не стОит. поставил себе бесплатный сертификат и не парюсь.

то в нём перестанут отображаться картинки
не перестанут. просто зелёный значок станет жёлтым.

копировать все эти картинки на свой сервер.
ну так и надо делать. иначе - это небезопасно, в чём и смысл https'а.

opera.rulez 16-11-2016 15:12 0

fhfh, Расскажи про опыт использования бесплатного сертификата, а то в интернетах видел скептическое отношение к таким.

fhfh 17-11-2016 14:44 0

opera.rulez, startcom.org
подключил. работает.
:)

opera.rulez 17-11-2016 15:36 0

fhfh,

Jotun 17-11-2016 20:54 0

opera.rulez, Есть же топовая инициатива Let's Encrypt

15-11-2016 20:44 0

Я люблю Хром, я на нем уже много лет, не слезая, я надеюсь вопрос разрешится.

33 комментария
Kiok 15-11-2016 20:47 0

Travis, Но проблема не в хроме.

Travis 15-11-2016 20:55 0

Kiok, Ок.

Kiok 15-11-2016 20:56 0

Travis, Лучше скажи, у тебя уже взбомбило от книжки Apple за 300 долларов?

opera.rulez 15-11-2016 20:58 0

Travis, Ты можешь просто прекратить обновлять Хром или игнорировать предупреждения, если они не мешают пользоваться сайтами.

Какие ты предлагаешь пути решения проблемы в глобальном масштабе?

VelikoUkr 15-11-2016 22:43 +2

Travis, Всегда хотел спросить, почему люди юзают хром, чисто эстетическое решение или есть ещё чтото?
Скорость не может быть фактором потому что я недавно запускал его и он ну совсем немного быстрее загрузился чем мой фокс, и это притом что в хроме стоит только адблок а в фуррифоксе аж 38 штук аддонов.

VelikoUkr 15-11-2016 22:46 0

VelikoUkr, 38 штук аддонов
*активных, кроме них ещё штук пять установлено но отключено, почемуто не хочу их удалять

Kiok 15-11-2016 22:48 0

VelikoUkr, Потому что некоторым нафиг не нужны 38 аддонов. Нужен простой и надежный браузер, с синхронизацией.

VelikoUkr 15-11-2016 22:59 0

Kiok, Нужен простой и надежный браузер, с синхронизацией.
Это фуррифокс тоже умеет.

Kiok 15-11-2016 23:04 0

VelikoUkr, Ну и пожалуйста. Осел тоже много чего умеет.

VelikoUkr 15-11-2016 23:09 0

Kiok, Знаю знаю, он отлично скачивает другие браузеры.

Kiok 16-11-2016 07:20 0

VelikoUkr, Например хром.

Travis 16-11-2016 20:13 0

opera.rulez, Я не знаю решения проблемы.

Egor.Leschev 16-11-2016 22:10 0

Kiok, Ага. Давно уже прогнил как браузер.

Egor.Leschev 16-11-2016 22:10 0

Kiok, Но почему именно хром? Почему не фуррифокс, почему не оперу, почему не стринги?

Kiok 16-11-2016 22:15 0

Egor.Leschev, А почему не хром? Нафига мне переходить на те другие, если хром полностью устраивает?

Egor.Leschev 16-11-2016 22:17 0

Kiok, Если устраивает, зачем всех заражать этим? Пусть каким хотят, таким и пользуются.

Kiok 16-11-2016 22:19 0

Egor.Leschev, Ёпта, ты охуел? по моему тут только на хром все и наезжают, грят пользуйтесь чем-то другим.

Travis 16-11-2016 22:26 0

Egor.Leschev, Потому что андроид.

Egor.Leschev 18-11-2016 22:40 +1

Travis, На андроиде других браузеров нет???

Travis 19-11-2016 21:08 0

Egor.Leschev, Удобная синхронизация, да и зачем когда этот уже предустановлен.

VelikoUkr 19-11-2016 21:26 +1

Travis, зачем когда этот уже предустановлен
Зачастую всё что предустановленно это полная лажа, как браузер, видео\аудиоплеер на винде.

opera.rulez 19-11-2016 21:27 0

Travis, Не у всех в Андроиде Хром предустановлен. Да, в любом устройстве на Андроиде предустановлен браузер на Webkit, но его поведение может отличаться от Хрома.

А на вопрос зачем можно найти кучу аргументов. Зачем устанавливают плееры, файловые менеджеры и т. п., когда есть предустановленные? Зачем пользуются мессенджерами, когда есть SMS?

Travis 19-11-2016 22:10 0

opera.rulez, После 4.0 вроде у всех.
Хром удобный функциональный стандартный браузер почему бы и нет.

opera.rulez 19-11-2016 22:13 0

Travis, Видел то ли 4.4, то ли 4.2 без Хрома (точно не 4.0).

Слово «удобный» субъективно. Интернет Эксплорер тоже стандартный и тоже кому-то удобен.

Travis 19-11-2016 22:20 0

opera.rulez, Странно что ты такое видел.

opera.rulez 19-11-2016 22:25 0

Travis, Странно, что видел пользователей Интернет Эксплорера или что производители из Юго-Восточной Азии перепиливают прошивку с Андроидом под себя?

P.S. И всё-таки Хром стал стандартным только в 4.4. В версиях 4.2 и 4.3 его ещё не было: en.wikipedia.org/wiki/Android_KitKat#Pla ...

Travis 19-11-2016 22:37 0

opera.rulez, Хром стал стандартным.

opera.rulez 19-11-2016 22:39 0

Travis, Ну да. А Интернет Эксплорер стал стандартным с версии 4.0, когда его включили в Windows 95 OSR2.

Travis 19-11-2016 22:43 0

Travis, Я думал 4.0.

Travis 20-11-2016 14:22 0

opera.rulez, Это наверное на самых распоследних ширпотребских ввели обязаловку. У меня на самсунге на 4м уже был хром и на ленове также.
кстати в московском метро, хром ругается на небезопасный https, логинюсь в интернет через стандартный браузер на вебкит.

opera.rulez 20-11-2016 14:43 0

Travis, Ну вот, видишь: ты вместо того, чтобы отказаться от «небезопасной» услуги, выбрал браузер, который не ругается.

Egor.Leschev 21-11-2016 19:57 0

Travis, Удобная синхронизация
В других браузерах такого нет???

opera.rulez 21-11-2016 20:31 0

Egor.Leschev, Разве хромобоги догадываются о существовании других браузеров?

15-11-2016 23:16 0

Я тут поразмышлял над заголовком вара и решил сменить сторону:
Сайты в которых https ставят иконку замочка, это создаёт впечатление что сайт защищён\проверен\безопасен, простой юзер на это поведётся и будет доверять хромовским предупреждениям, а так как сайты не захотят терять доверчивых юзеров они будут вынуждены перейти на https. Алсо скорей всего эту идею подхватят остальные браузеры и сайтам будет больше стимула поддаться стадному инстинкту.

5 комментариев
opera.rulez 15-11-2016 23:34 0

VelikoUkr, Да, очень часто бывало, что сайты шли на поводу у браузеров и, чтобы не терять клиентов, добавляли хаки, чтобы не терять функциональность в каком-то браузере. Даже стандарты иногда менялись под давлением фактической ситуации.

Но против перехода на https есть три контраргумента, которые я перечислил в комментарии к аргументу Симпла. Могу даже повторить:

1. Сертификат шифрования стоит денег. Пример: www.thawte.com/ssl/

2. На HTTPS-сайте не отображаются картинки с HTTP-сайтов (без буквы S). Т. е. придётся либо всем переходить на HTTPS одновременно, либо копировать картинки к себе.

3. Провайдер может заблокировать HTTPS-сайт только целиком. Блокировка отдельных ссылок, в отличие от HTTP, не поддерживается.

Как думаешь, легко ли владельцы сайтов перешагнут через эти барьеры?

VelikoUkr 16-11-2016 17:11 0

opera.rulez, 1- Фхфх сказал что есть халявный вариант
2- Можно тупо подождать пока хостинги картинок на это перейдут а потом и самим перейти
3- Эта проблема касается только рашки и пизданутых исламских стран которые бугуртят из-за каждого видоса где обсирают мухамеда.

Как думаешь, легко ли владельцы сайтов перешагнут через эти барьеры?
Владельцы сайтов у которых аудитория из нормальных стран перейдут без проблем, мусульмане хай молятся они это любят, жители рашкостана хай учатся юзать прокси или делать коктейли молотова.

VelikoUkr 16-11-2016 17:15 0

VelikoUkr, Кстати imgur уже на https так что о картинках можешь не беспокоиться

opera.rulez 16-11-2016 19:16 0

VelikoUkr, Эта проблема касается только рашки и пизданутых исламских стран которые бугуртят из-за каждого видоса где обсирают мухамеда.

Германия — пизданутая исламская страна?

VelikoUkr 16-11-2016 19:38 +1

opera.rulez, Германия — пизданутая исламская страна?
Почти, они к этому близко как никогда.

16-11-2016 00:06 0

Я давно уже бомбил от того, что сайты с просроченным SSL визуально в браузерах отображаются ещё более небезопасными, чем http.
Надеюсь, тотальный переход к secured протоколу осуществится в ближайшие года.

5 комментариев
opera.rulez 16-11-2016 00:07 0

Jotun, А поддержат ли этот переход правительства, которые мечтают анализировать трафик?

Jotun 16-11-2016 00:13 0

opera.rulez, а это уже меня не ебёт.

opera.rulez 16-11-2016 00:24 0

Jotun, Есть опасность, что правительства тогда узаконят MitM: провайдер будет прикидываться клиентом, а для клиента поднимать прокси. Ах, да, провайдеру придётся выдать сертификат, чтобы он мог выдавать себя за сайты. Для этого есть варианты:

1. Правительство может уговорить корневой центр сертификации выпустить липовый сертификат.

2. Правительство может выпустить свой сертификат (без подписи корневого центра) и заставить всех пользователей Интернета установить его в браузер.

Второй вариант был реализован в Казахстане, а также в публичных организациях типа библиотек в России.

Подробнее о случаях MitM тут:
habrahabr.ru/post/272207/
forums.drom.ru/it/t1151941508.html
searchengines.guru/showthread.php?t=7845 ...

P.S. Вот ещё кое-что:
habrahabr.ru/post/237855/

VelikoUkr 16-11-2016 17:20 0

opera.rulez, Второй вариант был реализован в Казахстане
Лол, а как заставление пользователей происходит?

opera.rulez 16-11-2016 19:22 0

VelikoUkr, Пытаешься зайти на какой-то https-сайт, в браузере выскакивает сообщение, что сертификат недействительным. Варианта три:

1. Уйти с этого сайта и больше не заходить (придётся отказаться от пользования всеми https-сайтами, которые на карандаше у спецслужб Казахстана).

2. Согласиться на установку нового сертификата (и потенциально на слежку за тобой провайдером и спецслужбами РК).

3. Найти VPN-туннель до страны, которая не ломает https-сайты.

16-11-2016 08:02 +1

Не понимаю почему пользователи должны уйти с хрома, если проблема не в нем, а в сайтах? Да и разве же это проблема? Автор насмотрелся фильмов, где разбивание горящей лампочки "ТРЕВОГА" решает все проблемы?

14 комментариев
Kiok 16-11-2016 08:10 0

Kiok, Ну и я пойду в нейтрал, так как всем пофиг. Все сайты не перейдут на https и юзеры не откажутся от хрома.

opera.rulez 16-11-2016 15:12 0

Kiok, А какая проблема в сайтах?

Kiok 16-11-2016 17:16 +1

opera.rulez, Написано что они небезопасные. Я теперь боюсь ибеем пользоваться, он получается тоже небезопасный. Как и ХВ!!1

cherepets 16-11-2016 17:38 0

Kiok, Посидел на хв, подхватил спид?

VelikoUkr 16-11-2016 17:40 0

Kiok, Пользуйся амазоном он безопасный.

Kiok 16-11-2016 17:51 0

cherepets, Конъюнктивит.

Kiok 16-11-2016 17:52 0

VelikoUkr, Амазон - говно.

opera.rulez 16-11-2016 19:24 0

Kiok, Смотри комментарии к аргументу Черепца на синей стороне. Явно фишинговый сайт технически можно сделать «безопасным» с точки зрения браузера.

VelikoUkr 16-11-2016 19:38 +1

Kiok, Зато защищенное!

Kiok 16-11-2016 22:07 0

VelikoUkr, И срать, ибей всё-равно в 9000 раз лучше.

opera.rulez 16-11-2016 22:51 0

Kiok, Перекатывайтесь сюда: holywars.ru/comments/17476

Kiok 16-11-2016 22:56 0

opera.rulez, Не взлетит вар (без флейма).

opera.rulez 16-11-2016 23:02 0

Kiok, Можно попытаться развести офтопик.

Egor.Leschev 22-12-2016 01:46 0

Kiok, Превью клипа

20-11-2016 21:46 0

Кстати фуррифокс тоже говорит что соединение не безопасно в http, правда чтоб его увидеть надо на "i" нажать, интересно это так и останется или в будущем они будут попап показывать.

0 комментариев
09-06-2017 16:47 +1

Сдается мне такое отпугнет много хомячков.

10 комментариев
Jotun 09-06-2017 21:27 0

VelikoUkr, почему в Торе сидишь?
Скажи честно, из-за контача перешел?

BerkutOi 09-06-2017 21:39 +1

Jotun, коноплю покупает, очевидно же

VelikoUkr 10-06-2017 13:31 0

Jotun, А зачем тор для контача, в файрфоксе можно же прописать прокси без дополнений? Можно даже только для отдельньіх сайтов типа єтого самого контача, но зачем...

who_am_i 15-06-2017 16:13 0

BerkutOi, Щас бы траву через интернет покупать.

BerkutOi 15-06-2017 16:14 0

who_am_i, ну а как еще? все торгаши уже давно через тор торгуют

who_am_i 15-06-2017 16:17 +1

BerkutOi, С рук знакомых конечно, либо знакомых знакомых... Намного дешевле выходит - вообще копейки. Как вариант вообще самому можно кустик выращивать.

VelikoUkr 15-06-2017 19:00 +1

who_am_i, Как вариант вообще самому можно кустик выращивать.
Которьій потом отберут ментьі и еще штраф впаяют.

who_am_i 16-06-2017 18:52 0

VelikoUkr, Точно, ведь менты же каждый день ко мне домой наведываются.

VelikoUkr 16-06-2017 18:58 0

who_am_i, С вашими законами, кто нибудь обязательно настучит, алсо тьі нуб потому что не знаешь что конопельке нужно солньішко дабьі она вставляла и вьіставлять ее на показ придется.

who_am_i 16-06-2017 19:05 +1

VelikoUkr, С вашими законами, кто нибудь обязательно настучит,
Чтобы кто-то настучал, он должен об этом узнать.

алсо тьі нуб потому что не знаешь что конопельке нужно солньішко дабьі она вставляла и вьіставлять ее на показ придется.
Нуб как раз ты, где ты столько солнышка возьмешь, особенно зимой? Для этого лампа нужна. 12 часов света.

30-07-2018 23:02 +1

При сабмите комментариев на ХВ уже светится треугольник небезопасного сайта в мобильном хроме.
Мб пора взять бесплатный сертификат?

5 комментариев
fhfh 31-07-2018 19:34 0

Jotun, никада ещё опера не протягивал руку за бесплатным сертификатом!

Egor.Leschev 31-07-2018 20:07 0

fhfh, Не надо. Ставь мозиллу, оперу или эдж либо тупо не обращай внимания.

opera.rulez 31-07-2018 22:42 0

fhfh, Решение о переходе на https будет принимать Восьмой, а не Опера.

Jotun 31-07-2018 22:49 0

opera.rulez, восьмой в ответ на вопрос сказал, что обсудит с оперой

fhfh 01-08-2018 10:53 0

Jotun, какие-то они оба мутные... ))

15-11-2016 18:10 +1

Вот даунство. Лишняя проблема для мелких сайтов и бизнесов.
Нужно покупать сертификат, нужен человек который может его подключить...

6 комментариев
cherepets 15-11-2016 18:16 +1

cherepets, Плюс сам подход уебанский, ибо прививает пользователям ошибочное заблуждение типо "ssl = гарантировано безопасно", а "нет ssl = очень опасно".
Естественно оба утверждения абсолютно неверны.

cherepets 15-11-2016 19:21 0

cherepets, Кстати, сейчас же популярны IoT и веб-апи. Ну так вот, если нам надо реально на много запросов очень быстро отвечать, то логичнее всего написать свой сервер, который тупо будет слушать порт, потом писать в него заголовок из константы и контент. Писать там поддержку HTTPS, которая составит 90% кода программы? Ставить популярный сервер и получать накладных расходов 50% (если программа реально простая то может и больше)? Делать раздельные апи для машин и для людей (логично, но опять же затратно по времени)?

opera.rulez 16-11-2016 00:14 0

cherepets, Кстати, есть старая фишка:
1. Приобретаешь домен типа vk2017.com.
2. Поднимаешь на нём сайт с формой логина, точно копирующей вконтактовскую.
3. Рассылаешь всем ссылку с текстом, что мол это специальный проект Вконтакте с новогодними подарками.
4. ?????
5. База паролей собрана.

Если пользователи даже не смотрят, кому принадлежит домен, и спокойно вводят свой пароль от ВК на чужом сайте, то что-то мне подсказывает, что SSL им не поможет.

cherepets 16-11-2016 10:24 +1

opera.rulez, Теперь будет vk2017.com и пользователи будут уверены что всё норм, ведь хром им рисует хороший "зеленый замочек", а не мерзкий "красный треугольник".

opera.rulez 29-05-2017 22:15 0

cherepets, Ложка дёгтя про Хром: forum.palemoon.org/viewtopic.php?t=15823...

Если я правильно понял, Хром делает запрос OCSP, но в случае неправильного ответа... как ни в чём не бывало продолжает соединение. Сайт с потенциально подделанным сертификатом открывается без предупреждения: bugs.chromium.org/p/chromium/issues/deta...

15-11-2016 18:55 0

Вспомнил анекдот. Изобретатели придумали часы, которые уходят вперёд на минуту, когда кто-то произносит матерное слово. Повесили такие часы в нескольких организациях, а через сутки пришли проверить.

В детском саду часы ушли вперёд на пять минут. В школе ушли на полчаса. Пришли на завод — а там часов нет. Спрашивают у рабочего:
— Куда делись часы, которые мы вчера повесили?
Рабочий:
— А нам мастер приказал этот грёбаный вентилятор снять нахрен.

0 комментариев
15-11-2016 19:24 0

Юзеры откажутся от хрома, этот пизданутый браузер накачает им вирусов а когда они отнесут комп в мастерскую админ удалит этот рассадник спида и поставит им чтото вменяемое.
Недавно заметил (давно не включал) что там когда нажимаешь ссылку скачать файл то поп-ап не выскакивает а браузер сам тупо начинает качать файл куда ему хочется (по дефолту видимо), а ещё там странички расширений нихрена не информативные и много из них платные.
Я оптимист и верю что юзерам хватит ума сменить это говнище на няшный фурри фокс в котором дохуильон свистоперделок всяких настроек, везде поп-апы выскакивают если захочешь и много чего ещё.

P.S. 38 аддонов полёт нормальный :)

11 комментариев
Kiok 15-11-2016 19:32 0

VelikoUkr, когда нажимаешь ссылку скачать файл то поп-ап не выскакивает а браузер сам тупо начинает качать файл куда ему хочется
Кто-то не заглядывал в настройки?

VelikoUkr 15-11-2016 19:44 0

Kiok, Но у меня раньше был попап, потом эта хуетень видимо обновилась и настройки слетели, да и вообще, такие вещи должны стоять по дефолту. Вот сам прикинь сколько бы ты накачал мусора если бы после очередного обновления настройки бы слетели и ты не заметил бы.

BerkutOi 15-11-2016 19:47 0

VelikoUkr, я качаю всё в дефолтную папку загрузки, более того, это та самая папка по-умолчанию в винде, намного проще потом нужное тебе перенести куда надо, или удалить

opera.rulez 15-11-2016 19:48 0

VelikoUkr, Меня больше всего раздражает, что в Хроме индикатор скачиваемого файла возникает прямо поверх страницы. Хочешь ты на какую-нибудь ещё ссылку кликнуть, а тут эта штука выскакивает и ты нечаянно запускаешь свежескачанный файл, хотя этого совсем не хочешь.

Удобнее всего сделано в старой Опере: там сначала выскакивает подтверждение сохранения, а потом диспетчер загрузок открывается в новой вкладке (в фоне) и не мешает.

Можно в Фуррифоксе сделать, чтобы диспетчер загрузок был не в отдельном окне, а во вкладке?

VelikoUkr 15-11-2016 19:52 0

BerkutOi, Онаж на С диске, я его пытаюсь не засорять.

BerkutOi 15-11-2016 19:58 0

VelikoUkr, а причем тут скачивание файлов к засорянию?

VelikoUkr 15-11-2016 19:58 +1

opera.rulez, Можно в Фуррифоксе сделать, чтобы диспетчер загрузок был не в отдельном окне, а во вкладке?
По дефолту незнаю у меня фокс с пятой версии стоит, тогда нельзя было и я поставил аддон, - Download Manager Tweak

VelikoUkr 15-11-2016 20:10 0

BerkutOi, Ну если большой файл скачаешь и забудешь, или каких нибудь остаточных файлов оставишь которые место резервируют сразу.

Eevee 16-11-2016 06:16 0

opera.rulez, Зачем нужен диспетчер загрузок, если есть эта маленькая штука которая вылезает из значка со стрелкой?

opera.rulez 16-11-2016 06:23 0

Eevee, Из какого значка?

Eevee 16-11-2016 06:47 +1

opera.rulez,

16-11-2016 18:08 +1

Что ХТТП, что ХТТПС. Мне пофиг, я на это не смотрю. Но предупреждение при каждом переходе на подобный сайт явно резало бы глаза.

2 комментария
VelikoUkr 16-11-2016 19:41 +1

Egor.Leschev, А я смотрю, мне нравится иконка замочка.

Egor.Leschev 16-11-2016 22:08 0

VelikoUkr, Мне тоже, но это как-то не колышит.

14-12-2016 06:06 0

Браузер Google Chrome вслед за Mozilla Firefox и Safari перестанет поддерживать SSL-сертификаты, выданные удостоверяющими центрами WoSign (Китай) и StartCom (Израиль).

Оба центра принадлежат китайской компании Qihoo 360 и известны возможностью получить бесплатный SSL-сертификат.

Изменение коснётся сертификатов, выпущенных после 21 октября 2016 года. Оно начнёт действовать в 56 версии Chrome.

Интернет-компании считают, что WoSign не соблюдает стандарты, скрывает нарушения и халатно относится к уязвимостям.

Mozilla объявила о прекращении доверия к WoSign и StartCom в сентябре 2016 года. Сертификаты будут считаться недействительными, начиная с 51 версии браузера Firefox.

В браузере Safari от Apple будут забанены промежуточные сертификаты от StartCom и Comodo.

Источник: www.searchengines.ru/sert-ssl.html

Такие дела. Бесплатный сертификат в любое время может превратиться в тыкву.

0 комментариев
16-12-2016 09:43 0

Попытался автоматически перевести изображения в холиварах на HTTPS и промахнулся. Я не проверил сертификаты, а оказалось, что некоторые хостинги картинок доступны по HTTPS, а сертификаты у них настроены неправильно.

Если обнаружите, что в каком-нибудь холиваре выдаётся предупреждение о недействительности сертификата, бросайте сюда ссылки, я верну картинку на HTTP.

0 комментариев
03-10-2017 16:26 +1

Как обычные пользователи видят предупреждения системы безопасности:

2 комментария
fhfh 05-10-2017 23:00 +3

opera.rulez, всё верно.
но. я вписал в методичку нашим менеджерам по продажам:
в вопрос "хуле я должен вам верить, может вы магазин однодневка и наебёте меня на бабло" ответ: "у нас сайт с хттпс, а это значит что 'нам можно доверять всё, даже номера кредиток' и мы гарантированно вас не наебём".
народ ведётся.

cherepets 06-10-2017 04:35 +3

fhfh, Если загрузить свои голые фотки на наш сайт, то они будут защифрованные и мы не сможем их посмотреть.
Ведь HTTPS, это про шифрование, там SSL используется 👍

06-11-2017 06:12 +2

habrahabr.ru/post/341664/

Вот к чему в итоге эти изменения привели.
Оно и не удивительно. Сменить шрифт - любой нуб с блокнотом в руках сможет.
Разобраться с настройкой и скриптами для продления let's encrypt... Ну я вот не уверен что разобрался бы. Может выделю как-то время на эксперимент...

9 комментариев
opera.rulez 06-11-2017 07:19 +1

cherepets, А мне понравилась замена type="password" на шрифт из кружочков. Это может даже оказаться лучше с точки зрения безопасности, ибо боты, перебирающие пароли, как раз ищут поле с атрибутом type="password".

Что же касается шифрования передаваемых данных, то вместо перехода сайта на HTTPS можно шифровать только передаваемые пароль и логин, просто перехватывая событие отправки формы и подменяя данные. В том же Гитхабе есть куча библиотек для шифрования на JS.

cherepets 06-11-2017 07:25 0

opera.rulez, В том же Гитхабе есть куча библиотек для шифрования на JS.

Тут есть проблема: как убедиться, что юзер получил реально тот JS что ты написал? Спрятать ключ шифрования ты в JS очевидно не сможешь, ибо прятать что-то в текстовых документах - задача нетривиальная. Хотя несколько усложнить поиск ключа ты очевидно можешь.

opera.rulez 06-11-2017 07:33 0

cherepets, Можно использовать асимметричное шифрование: передавать вместе с JS публичный ключ, которым юзер будет зашифровывать свои данные, а расшифровать сможет только владелец приватного ключа (сервер).

Вот от подмены JS это не спасёт.

cherepets 06-11-2017 07:36 +1

opera.rulez, Автор статьи, кстати, долбоеб на мой скромный взгляд. Давайте посмотрим его предложения:
www.troyhunt.com/the-6-step-happy-path-t...

Если сильно упростить, то "Регайся на Cloudflare, ставь все галки и радуйся сверх-безопасности".
Но:
- Наш оригинальный домен остался торчать наружу с http.
- CF грузит с него код по http.
- CF - это черный ящик и хз что там внутри.
- С предлагаемыми им настройками CF сам будет лезть в код страницы и менять его и я могу предположить, что не всегда корректно. Я понимаю как он пореплейсит ссылки на странице, но вот только ajax появился не вчера, да и вообще SPA в моде. Как они будут реплейсить динамически создаваемые элементы? Тут два варианта: либо никак (плохо, ибо не будет работать), инжектить свой скрипт, который подменяет результаты всех запросов (безопасность из всех щелей конечно прям прёт).

И что, после этого у нас стало типо мега-безопасно? Из ситуации когда вероятен mitm мы получили ситуацию когда у нас гарантировано есть минимум один mitm. Надо поверх еще больше сервисов с неясными схемами монетизации наебнуть, я считаю.

cherepets 06-11-2017 07:40 0

opera.rulez, Ты передаешь публичный ключ с JS по открытому каналу, злоумышленник этот JS прочитал, выдернул оттуда публичный ключ, сгенерил свой "злобский JS" и вставил в него тот же ключ.
Не вижу особого смысла.

Как по мне так идеальный вариант: для вещей требующих высокой безопасности просто не использовать браузер (и соответственно JS) 👍.

opera.rulez 06-11-2017 07:48 0

cherepets, Ты хочешь сказать о том, что злоумышленник может перехватить уже зашифрованный пароль и пользоваться им? Можно ограничить срок годности пары публичный+приватный ключ и срок годности сессии.

Jotun 06-11-2017 08:42 +1

opera.rulez, Это никак не спасает от MitMв любом случае. Если злоумышленник может подменить JS, то какой бы ты не ставил expiration, он сможет работать как прокси между твоим бекендом и клиентом, посылая ровно то, что ему нужно

cherepets 06-11-2017 09:41 0

opera.rulez, Он может заменить JS вида post(apiUrl, encrypt(password, publicKey)) на post(faceApiUrl, password) и потом со своего компьютера уже зная и password и publicKey делать вообще всё что захочет.

cherepets 06-11-2017 16:29 0

cherepets, А может я и понял о чем тот чувак говорит!
Нам не надо бояться митм и поддельных сертификатов, если мы уже сами добровольно включили митм и сертификат не наш!

Это как если мы спецназовец, а террорист удерживает заложника и угрожает его убить. Мы разносим точным выстрелом башку заложнику и всё: у него нет больше козырей!

04-07-2018 05:36 +1

Есть еще проблема устройств, подключенных к интернету, но использующих очень старые и необновляемые браузеры. Если js и css они еще как-то переваривают через полифилы, грейсфул деградейшн и прочее, то вот отсутствие поддержки https - это крест. И естественно многие сайты из-за этих зеленых плашек переходят на https-only, убивая клиентов с автонавигаторами, плеерами, фичафонами и т.п.

7 комментариев
Jotun 04-07-2018 06:31 0

cherepets, Ты ещё предложи Lynx сапортить

cherepets 04-07-2018 06:54 0

Jotun, Если твой сайт на 90% текстовый - почему бы и нет?

Jotun 04-07-2018 15:12 0

cherepets, Потому что это куча усилий, которая не стоит того, что ты получаешь на выходе?

opera.rulez 04-07-2018 15:46 0

cherepets, Да, кстати, есть две проблемы:

1. Сертификаты. Если сайт подписан сертификатом какого-нибудь нового центра сертификации (который отсутствует в базе сертификатов браузера), то браузер будет кричать о том, что не может проверить подлинность сертификата. В навигаторах, бортовых компьютерах, Smart TV, игрушках типа PSP или Wii и прочих гаджетах наверняка отсутствует обновление сертификатов.

2. Алгоритмы шифрования. Старые браузеры, например, не поддерживали эллиптическую криптографию. Чтобы охватить максимальное количество клиентов, сервер должен поддерживать и старые алгоритмы шифрования тоже. Но так делают не все.

*****

Говорят, в Казахстане интернет-провайдеры научились фильтровать HTTPS-трафик. Для этого они применяют атаку типа MITM (мужик посередине): серверу представляются браузером, расшифровывая трафик, а клиенту представляются сервером, снова зашифровывая трафик, но уже сертификатом, выданным правительством Казахстана. Чтобы в Казахстане ходить по HTTPS-сайтам, нужно в браузер вручную установить казахский сертификат.

У браузеров для Винды и для Линукса в настройках есть пункт импорта сертификатов (Хром использует сертификаты, установленные в Интернет Эксплорер). А каково пользователям мобильных телефонов?

opera.rulez 04-07-2018 15:47 0

Jotun, Размер аудитории — это не результат?

fhfh 04-07-2018 16:12 0

opera.rulez, если мы не охватим полтора человека, которые заходят на ХВ с кофеварки - ну что ж поделаешь.

cherepets 04-07-2018 16:15 0

Jotun, Поддержку любых ограниченных браузеров. Включая, например, вполне современные, но обвешанные расширениями для дополнительных ограничений.

12-07-2018 07:54 +1

Mono has it's own store. By default, it is empty (there are no default CA's that are trusted). You need to manage the entries yourself.
stackoverflow.com/questions/4926676/mono...

Допустим, одна команда разрабатывает некоторое клиентское приложение, имеет свой эмулятор сервера, доступны внутри им по http, а другая - разрабатывает реальный сервер, который потом задеплоит таким образом, чтобы он был доступен по https. В один счастливый момент они решат что пришла пора проверять интеграцию и соснуть хуйцов. В случае если вы заказчик и приняли уже приняли от первой команды клиент, после чего команда с радостью, деньгами и (в особо запущенном случае) исходниками растворилась в тумане - соснуть хуйцов придется в разы больше*

*ситуация чисто теоретическая, все совпадения случайны

0 комментариев
31-07-2018 08:20 +1

Многие сайты (включая GitHub) перестали открываться на моем телефоне с IE10. Вероятно дело в том что он не умеет в TLS 1.2.
Открываю в итоге через веб-прокси hide.me.
Кажется, опять им удалось заменить "вероятность mitm" на "гарантированное наличие mitm". Это большой успех, я считаю.

41 комментарий
Egor.Leschev 31-07-2018 12:20 0

cherepets, Что за мобила?

cherepets 31-07-2018 15:07 0

Egor.Leschev, Я с 520 сейчас хожу. Необновленной до 8.1 (потому что там плеер засрали). Я бы вообще хотел с 7.8 чё-то, но ничего хорошего не попадалось на глаза. Круче всего конечно было бы Fujitsu где-то отловить.

Egor.Leschev 31-07-2018 15:22 0

cherepets, Samsung Omnia W?

Travis 31-07-2018 15:28 0

Egor.Leschev, Рассмешил)

Egor.Leschev 31-07-2018 15:32 0

Travis, Нормальный девайс ведь. Как черепец просил, на 7.8, меньше 4" и с OLED-дисплеем.

cherepets 31-07-2018 15:34 0

Egor.Leschev, Fujitsu розовый.

Egor.Leschev 31-07-2018 15:36 0

cherepets, Ты всерьёз хочешь ходить с розовым телефонов? Фи, гомопропаганда.

Travis 31-07-2018 15:41 0

Egor.Leschev, Для своего времени нормальный, но устарел.

cherepets 31-07-2018 15:57 0

Egor.Leschev, Розовый корпус + черная тема = заебись.

Egor.Leschev 31-07-2018 16:00 0

Travis, Так в этом то и суть.

Egor.Leschev 31-07-2018 16:03 0

cherepets, Только там экран TFT, зато камера самая крутая, встроенной памяти больше всего и он водонепроницаемый. Фронталки нет, но она везде говно.

cherepets 31-07-2018 16:22 0

Egor.Leschev, А еще японские стандарты связи => все остальные симки не работают. Но это мелочи

Travis 31-07-2018 16:39 +1

cherepets,  Розовый корпус + черная тема


Превью клипа

Egor.Leschev 31-07-2018 17:25 0

cherepets, Он Quad Band, так что работать будет везде. Просто за пределы Японии не экспортировали.

Egor.Leschev 31-07-2018 17:25 0

Travis, Я наоборот делал. Чёрный корпус + розовая тема.

Egor.Leschev 31-07-2018 20:24 0

cherepets, Нашёл на японском амазоне, но надо через посредников.
www.amazon.co.jp/gp/aw/s/ref=nb_sb_noss?...

Egor.Leschev 31-07-2018 22:19 0

Egor.Leschev, Оказывается, есть доставка за пределы Японии.

Россия у них ロシア連邦

Egor.Leschev 31-07-2018 22:35 0

Egor.Leschev, Сайт можно на английский переключить оказывается.

Tro 31-07-2018 22:49 0

cherepets, Неправда. Они поменяли "вероятность mitm для любого пользователя" на "отсутствие mitm для нормальных и гарантированный mitm для тех, кто специально этого захотел, раз использует древние браузеры". Можешь собственный hide.me создать, раз уж на то пошло, или Тор какой-нибудь использовать. Да и твоя безопасность ниже никак не стала: с древними протоколами творить ерунду мог любой владелец роутера на пути между тобой и Гитхабом, в данном случае ты просто лишь добавил один узел между устройством и сервером.

opera.rulez 01-08-2018 17:07 0

cherepets, Кстати, IE и Хром используют системные криптографические библиотеки. Чтобы в них на старых ОС завести TLS 1.2, нужно скачать обновления ОС. Чтобы скачать обновления для Windows XP, нужно представиться «Windows XP Embedded POSReady», добавив одну запись в реестр. Обновления для Windows Vista же нужно качать вручную, разыскивая в каталоге обновления для Windows Server 2008 (который без R2). После этого сразу TLS 1.2 не заработает, нужно ещё раз поправить реестр.

*****

А с мобильниками полная жопа. Для многих нормального обновления прошивки не найти.

opera.rulez 01-08-2018 17:09 0

Tro, Но ведь люди не хотели mitm. Многие согласны смотреть сайты вообще без шифрования. А браузер не везде можно обновить.

Tro 01-08-2018 18:24 +1

opera.rulez, А я не согласен, тем более на сайтах, где участвую в создании контента (в том числе ХВ). Я не хочу, чтобы провайдеры собирали обо мне инфу. То есть волнует не только судьба открыто передаваемых паролей, но и адреса страниц и их контент.
Правда, странно видеть заботу об этом со стороны Гугла, который сам неплохо собирает инфу и как минимум показывает с помощью неё рекламу. Притеснение конкурентов?

opera.rulez 01-08-2018 18:34 0

Tro, Какую инфу? Лички здесь нет, весь контент индексируется поисковыми системами. Всё содержимое страниц давно в Гугле и в Яндексе.

P.S. О том, что ты был на ХВ, провайдер и так узнает (IP-адрес запрашиваемого сайта плюс домен сайта в SNI).

Jotun 01-08-2018 19:41 +1

opera.rulez, Какую инфу?
Пароль при логине. Вдруг он у меня на всех сайтах один и тот же?

Tro 01-08-2018 20:17 0

opera.rulez, Индексируемый контент к личности привязывается разве что в полноценных соцсетях. А провайдер только об адресе сайта и знает. Он, например, знает, что кто-то в моей квартире иногда бывает на Aliexpress, но не может знать, какого типа товары жителей интересуют.

cherepets 02-08-2018 04:50 0

Tro, Есть решение, которое устроит нас обоих. Ты хочешь шифрование - вводишь https, я не хочу - ввожу http. Оба в выигрыше и не ебемся с левыми сервисами.

cherepets 02-08-2018 04:54 +1

Tro, не может знать, какого типа товары жителей интересуют

Эм, когда вы закажете товары - они придут вам на почту и будут досмотрены на таможне, а при желании и в почтовом отделении.
Конечно не получится увидеть товары которые ты не купил, но кому до них есть дело?

opera.rulez 02-08-2018 11:27 0

cherepets, Ещё могут эфэсбэшники повесткой вызвать, если в посылке окажется GPS-трекер или камера для скрытого наблюдения.

Tro 02-08-2018 13:59 0

cherepets, Я не от ФСБ бегаю, а от автоматического сбора информации. Никто на таможне таким не занимается.
Сторонники HTTP, предлагаю вам в течение недели выкладывать свои вайршарковские логи на какой-нибудь хостинг. Посмотрим, приятно ли это будет)

opera.rulez 02-08-2018 15:47 0

Tro, Никто на таможне таким не занимается.
Докажи. Есть куча историй, как таможня задерживала посылки. Есть истории, как таможенники решили, что у товара не бытовое назначение, а промышленное, и с получателя посылки взяли таможенный сбор. Есть история, как судили за попытку приобретения GPS-трекера.

opera.rulez 02-08-2018 15:50 0

Tro, Кстати, каким браузером ты обычно пользуешься? Если Хромом, то Google Safe Browsing, сливающую информацию в Гугл обо всех посещённых тобой URL, отключил?

Tro 02-08-2018 19:26 0

opera.rulez, На гугл мне больше насрать (адские скандалы будут из-за сливов), чем на потенциальных звонильщиков-рекламщиков, которые будут таргетироваться исходя из статистики провайдера. Идея для стартапа, кстати!

Tro 02-08-2018 19:28 +1

opera.rulez, На единичные случаи вскрытия мне пофиг, да и из посылок всё равно ничего полезного не узнаешь. Я не понимаю, как можно бомбить из-за слива инфы в W10, но нормально относиться к HTTP. Провайдеры намного больше бы о нас знали, чем Microsoft, если бы сайты передавали всё открыто.

cherepets 03-08-2018 06:33 0

Tro, Сторонники HTTP, предлагаю вам в течение недели выкладывать свои вайршарковские логи на какой-нибудь хостинг.

Проблема минимальная на мой взгляд. Ну увидит оператор какие я комменты на гитхабе оставлял. Сейчас это и так может увидеть по сути любой кто знает логин, а логин я и так не прячу - он открыто указан в куче мест.
А список страниц на которые я зашел и ничего не написал есть у самого гитхаба и условия пользовательского соглашения наверняка не запрещают им делиться с третьими лица, а если и запрещают, то где гарантия что завтра их девопс по ошибке не закоммитит пароль от продакшн базы в амазоне?
Я не вижу смысла прятать от оператора информацию, которая и так доступна всем подряд.
И тем более я не вижу причин по которым сервис должен заставлять меня эту информацию прятать. Ты так и не ответил: что мешает иметь как http, так и https версию?

Jotun 03-08-2018 07:25 0

cherepets, Ну увидит оператор какие я комменты на гитхабе оставлял. Сейчас это и так может увидеть по сути любой кто знает логин, а логин я и так не прячу - он открыто указан в куче мест.
А приватные репы?

cherepets 03-08-2018 07:53 0

Jotun, А приватные репы все держат на битбакете 👍

В частном случае их обычно используют просто чтобы не получать никакого фидбека на код, т.к. и сам знаешь, что его качество в этом проекте было не в приоритете - надо было чтобы он просто работал и всё.
В случае если компания держит свой код на гитхабе, то зачем пусть у себя регламентно запретят заходить по http, а лучше и вообще через браузер запретить - даже https контент же может быть доступен, например, расширениям всяким и прочему говну.

opera.rulez 03-08-2018 11:50 0

Tro, Провайдер и так видит статистику:
1. Он видит IP-адреса посещаемых тобой сайтов.
2. Если у провайдера есть DPI (а в РФ сейчас DPI есть у всех провайдеров, чтобы можно было блокировать отдельные URL сайтов и отдельные домены), то даже в случае HTTPS домен сайта видно в заголовке SNI.

Кто кроме провайдера может видеть:
1. На сайтах могут быть установлены скрипты Google Analytics и Яндекс-Метрики. Если ты их явно не заблокируешь, то они много всего могут о тебе собрать вне зависимости от того, по какому протоколу отдаются страницы (хоть SPDY, хоть какой-нибудь экспериментальный) — главное, чтобы браузер поддерживал этот протокол.
2. Владелец сайта сам может сливать информацию о тебе. Цукерберга не раз на этом ловили — с него, как с гуся вода.

Jotun 03-08-2018 18:00 0

cherepets, Держу приватные репы на гитхабе и переводить не собираюсь. Битбакет позволяет делать приватные репы только на пять разных людей, тогда как в гитхабе этого ограничения нет. Плюс на гитхабе куча других плюшек типа просмотра ipynb, например.

Tro 03-08-2018 19:29 +1

opera.rulez, Я очень часто ищу что-нибудь в режиме инкогнито, чтобы службы аналитики не привязывались к моему основному режиму, аккаунтам и всему такому. Да, они могут связывать IP+разрешение экрана+ОС+поведение+многое остальное, но это такое. От провайдера он точно не поможет.
Владелец одного сайта данные слить может, но сайтов же миллионы.

Tro 03-08-2018 19:35 +1

cherepets, Выложи логи. Я вижу, у тебя не будет никакого неприятного чувства, что мне будет любопытно посмотреть на твою манеру составления поисковых запросов (больше всего ненавижу историю поисковых запросов: хоть ничего неприличного там и нет, но просто неприятно, если кто-то её видит), твои комменты на разных сайтах, твой троллинг кого-нибудь от имени 15-летней девочки, твои тайные прослушивания рэпчика. Можешь прям сейчас выложить историю своего браузера за недельку — даже адресов страниц хватит. Потом начнётся "вы всё не так поняли" и так далее.

opera.rulez 04-08-2018 09:32 0

Jotun, Просто оставлю эту ссылку здесь: habr.com/post/82317/#comment_2442366