Сайты перейдут на HTTPS или Юзеры откажутся от Хрома

Сайты перейдут на HTTPS
7
Нейтральная
сторона
1
Юзеры откажутся от Хрома
6
если хотя бы один браузер будет отмечать HTTP-сайты как небезопасные
Прежде чем писать комментарии или выбрать сторону вы должны авторизироваться!
если он будет показывать слишком много предупреждений

15-11-2016 18:07 +1

С позиции рядового пользователя я вообще не вижу в чём проблема лишней буквы в адресной строке.
Но если это помогает лишний раз шагнуть в сторону развитого интернета, который тяжело контролировать извне - переходить нужно.

7 комментариев
opera.rulez 15-11-2016 18:12 0

Simple_Not, С точки зрения пользователя не будет проблемы, если ВСЕ сайты сразу добавят лишнюю букву.

А с точки зрения владельцев сайтов есть проблемы:
1. SSL-сертификат стоит денег. Он периодически нуждается в платном продлении (как домен).

2. Если какой-нибудь форум или блог резко перевести на HTTPS, то в нём перестанут отображаться картинки, доступные с внешних сайтов по протоколу HTTP. Чтобы картинки снова стали отображаться, нужно ждать, пока эти все внешние сайты перейдут на HTTPS, либо копировать все эти картинки на свой сервер.

3. Роскомнадзор не может блокировать конкретный URL на HTTPS-сайте из-за шифрования. HTTPS-сайт можно заблокировать только весь целиком.

opera.rulez 15-11-2016 19:05 +1

Simple_Not, Но если это помогает лишний раз шагнуть в сторону развитого интернета, который тяжело контролировать извне - переходить нужно.

Не помогает. Всякие мизулины сильно удивились, что в Твиттере нельзя заблокировать по URL профиль Правого сектора, потому что Твиттер использует HTTPS. В результате Твиттер под угрозой быть заблокированным в РФ полностью сдался и придумал «Country withheld» — это когда блокировка URL происходит не на стороне клиентского провайдера, а на стороне сервера. Ещё раньше «Живой журнал» ввёл нечто похожее — Error 451.

Контроль не только в России. Некоторые профили Твиттера сейчас недоступны в Германии. Гугл и Гитхаб стали блокировать свои материалы по запросу американских копирастов.

Резюме: шифрование никак не препятствует контролю извне, когда существует более грубая сила.

fhfh 16-11-2016 13:35 0

opera.rulez, SSL-сертификат стоит денег
не стОит. поставил себе бесплатный сертификат и не парюсь.

то в нём перестанут отображаться картинки
не перестанут. просто зелёный значок станет жёлтым.

копировать все эти картинки на свой сервер.
ну так и надо делать. иначе - это небезопасно, в чём и смысл https'а.

opera.rulez 16-11-2016 15:12 0

fhfh, Расскажи про опыт использования бесплатного сертификата, а то в интернетах видел скептическое отношение к таким.

fhfh 17-11-2016 14:44 0

opera.rulez, startcom.org
подключил. работает.
:)

opera.rulez 17-11-2016 15:36 0

fhfh,

Jotun 17-11-2016 20:54 0

opera.rulez, Есть же топовая инициатива Let's Encrypt

15-11-2016 20:44 0

Я люблю Хром, я на нем уже много лет, не слезая, я надеюсь вопрос разрешится.

33 комментария
Kiok 15-11-2016 20:47 0

Travis, Но проблема не в хроме.

Travis 15-11-2016 20:55 0

Kiok, Ок.

Kiok 15-11-2016 20:56 0

Travis, Лучше скажи, у тебя уже взбомбило от книжки Apple за 300 долларов?

opera.rulez 15-11-2016 20:58 0

Travis, Ты можешь просто прекратить обновлять Хром или игнорировать предупреждения, если они не мешают пользоваться сайтами.

Какие ты предлагаешь пути решения проблемы в глобальном масштабе?

VelikoUkr 15-11-2016 22:43 +2

Travis, Всегда хотел спросить, почему люди юзают хром, чисто эстетическое решение или есть ещё чтото?
Скорость не может быть фактором потому что я недавно запускал его и он ну совсем немного быстрее загрузился чем мой фокс, и это притом что в хроме стоит только адблок а в фуррифоксе аж 38 штук аддонов.

VelikoUkr 15-11-2016 22:46 0

VelikoUkr, 38 штук аддонов
*активных, кроме них ещё штук пять установлено но отключено, почемуто не хочу их удалять

Kiok 15-11-2016 22:48 0

VelikoUkr, Потому что некоторым нафиг не нужны 38 аддонов. Нужен простой и надежный браузер, с синхронизацией.

VelikoUkr 15-11-2016 22:59 0

Kiok, Нужен простой и надежный браузер, с синхронизацией.
Это фуррифокс тоже умеет.

Kiok 15-11-2016 23:04 0

VelikoUkr, Ну и пожалуйста. Осел тоже много чего умеет.

VelikoUkr 15-11-2016 23:09 0

Kiok, Знаю знаю, он отлично скачивает другие браузеры.

Kiok 16-11-2016 07:20 0

VelikoUkr, Например хром.

Travis 16-11-2016 20:13 0

opera.rulez, Я не знаю решения проблемы.

Egor.Leschev 16-11-2016 22:10 0

Kiok, Ага. Давно уже прогнил как браузер.

Egor.Leschev 16-11-2016 22:10 0

Kiok, Но почему именно хром? Почему не фуррифокс, почему не оперу, почему не стринги?

Kiok 16-11-2016 22:15 0

Egor.Leschev, А почему не хром? Нафига мне переходить на те другие, если хром полностью устраивает?

Egor.Leschev 16-11-2016 22:17 0

Kiok, Если устраивает, зачем всех заражать этим? Пусть каким хотят, таким и пользуются.

Kiok 16-11-2016 22:19 0

Egor.Leschev, Ёпта, ты охуел? по моему тут только на хром все и наезжают, грят пользуйтесь чем-то другим.

Travis 16-11-2016 22:26 0

Egor.Leschev, Потому что андроид.

Egor.Leschev 18-11-2016 22:40 +1

Travis, На андроиде других браузеров нет???

Travis 19-11-2016 21:08 0

Egor.Leschev, Удобная синхронизация, да и зачем когда этот уже предустановлен.

VelikoUkr 19-11-2016 21:26 +1

Travis, зачем когда этот уже предустановлен
Зачастую всё что предустановленно это полная лажа, как браузер, видео\аудиоплеер на винде.

opera.rulez 19-11-2016 21:27 0

Travis, Не у всех в Андроиде Хром предустановлен. Да, в любом устройстве на Андроиде предустановлен браузер на Webkit, но его поведение может отличаться от Хрома.

А на вопрос зачем можно найти кучу аргументов. Зачем устанавливают плееры, файловые менеджеры и т. п., когда есть предустановленные? Зачем пользуются мессенджерами, когда есть SMS?

Travis 19-11-2016 22:10 0

opera.rulez, После 4.0 вроде у всех.
Хром удобный функциональный стандартный браузер почему бы и нет.

opera.rulez 19-11-2016 22:13 0

Travis, Видел то ли 4.4, то ли 4.2 без Хрома (точно не 4.0).

Слово «удобный» субъективно. Интернет Эксплорер тоже стандартный и тоже кому-то удобен.

Travis 19-11-2016 22:20 0

opera.rulez, Странно что ты такое видел.

opera.rulez 19-11-2016 22:25 0

Travis, Странно, что видел пользователей Интернет Эксплорера или что производители из Юго-Восточной Азии перепиливают прошивку с Андроидом под себя?

P.S. И всё-таки Хром стал стандартным только в 4.4. В версиях 4.2 и 4.3 его ещё не было: en.wikipedia.org/wiki/Android_KitKat#Pla ...

Travis 19-11-2016 22:37 0

opera.rulez, Хром стал стандартным.

opera.rulez 19-11-2016 22:39 0

Travis, Ну да. А Интернет Эксплорер стал стандартным с версии 4.0, когда его включили в Windows 95 OSR2.

Travis 19-11-2016 22:43 0

Travis, Я думал 4.0.

Travis 20-11-2016 14:22 0

opera.rulez, Это наверное на самых распоследних ширпотребских ввели обязаловку. У меня на самсунге на 4м уже был хром и на ленове также.
кстати в московском метро, хром ругается на небезопасный https, логинюсь в интернет через стандартный браузер на вебкит.

opera.rulez 20-11-2016 14:43 0

Travis, Ну вот, видишь: ты вместо того, чтобы отказаться от «небезопасной» услуги, выбрал браузер, который не ругается.

Egor.Leschev 21-11-2016 19:57 0

Travis, Удобная синхронизация
В других браузерах такого нет???

opera.rulez 21-11-2016 20:31 0

Egor.Leschev, Разве хромобоги догадываются о существовании других браузеров?

15-11-2016 23:16 0

Я тут поразмышлял над заголовком вара и решил сменить сторону:
Сайты в которых https ставят иконку замочка, это создаёт впечатление что сайт защищён\проверен\безопасен, простой юзер на это поведётся и будет доверять хромовским предупреждениям, а так как сайты не захотят терять доверчивых юзеров они будут вынуждены перейти на https. Алсо скорей всего эту идею подхватят остальные браузеры и сайтам будет больше стимула поддаться стадному инстинкту.

5 комментариев
opera.rulez 15-11-2016 23:34 0

VelikoUkr, Да, очень часто бывало, что сайты шли на поводу у браузеров и, чтобы не терять клиентов, добавляли хаки, чтобы не терять функциональность в каком-то браузере. Даже стандарты иногда менялись под давлением фактической ситуации.

Но против перехода на https есть три контраргумента, которые я перечислил в комментарии к аргументу Симпла. Могу даже повторить:

1. Сертификат шифрования стоит денег. Пример: www.thawte.com/ssl/

2. На HTTPS-сайте не отображаются картинки с HTTP-сайтов (без буквы S). Т. е. придётся либо всем переходить на HTTPS одновременно, либо копировать картинки к себе.

3. Провайдер может заблокировать HTTPS-сайт только целиком. Блокировка отдельных ссылок, в отличие от HTTP, не поддерживается.

Как думаешь, легко ли владельцы сайтов перешагнут через эти барьеры?

VelikoUkr 16-11-2016 17:11 0

opera.rulez, 1- Фхфх сказал что есть халявный вариант
2- Можно тупо подождать пока хостинги картинок на это перейдут а потом и самим перейти
3- Эта проблема касается только рашки и пизданутых исламских стран которые бугуртят из-за каждого видоса где обсирают мухамеда.

Как думаешь, легко ли владельцы сайтов перешагнут через эти барьеры?
Владельцы сайтов у которых аудитория из нормальных стран перейдут без проблем, мусульмане хай молятся они это любят, жители рашкостана хай учатся юзать прокси или делать коктейли молотова.

VelikoUkr 16-11-2016 17:15 0

VelikoUkr, Кстати imgur уже на https так что о картинках можешь не беспокоиться

opera.rulez 16-11-2016 19:16 0

VelikoUkr, Эта проблема касается только рашки и пизданутых исламских стран которые бугуртят из-за каждого видоса где обсирают мухамеда.

Германия — пизданутая исламская страна?

VelikoUkr 16-11-2016 19:38 +1

opera.rulez, Германия — пизданутая исламская страна?
Почти, они к этому близко как никогда.

16-11-2016 00:06 0

Я давно уже бомбил от того, что сайты с просроченным SSL визуально в браузерах отображаются ещё более небезопасными, чем http.
Надеюсь, тотальный переход к secured протоколу осуществится в ближайшие года.

5 комментариев
opera.rulez 16-11-2016 00:07 0

Jotun, А поддержат ли этот переход правительства, которые мечтают анализировать трафик?

Jotun 16-11-2016 00:13 0

opera.rulez, а это уже меня не ебёт.

opera.rulez 16-11-2016 00:24 0

Jotun, Есть опасность, что правительства тогда узаконят MitM: провайдер будет прикидываться клиентом, а для клиента поднимать прокси. Ах, да, провайдеру придётся выдать сертификат, чтобы он мог выдавать себя за сайты. Для этого есть варианты:

1. Правительство может уговорить корневой центр сертификации выпустить липовый сертификат.

2. Правительство может выпустить свой сертификат (без подписи корневого центра) и заставить всех пользователей Интернета установить его в браузер.

Второй вариант был реализован в Казахстане, а также в публичных организациях типа библиотек в России.

Подробнее о случаях MitM тут:
habrahabr.ru/post/272207/
forums.drom.ru/it/t1151941508.html
searchengines.guru/showthread.php?t=7845 ...

P.S. Вот ещё кое-что:
habrahabr.ru/post/237855/

VelikoUkr 16-11-2016 17:20 0

opera.rulez, Второй вариант был реализован в Казахстане
Лол, а как заставление пользователей происходит?

opera.rulez 16-11-2016 19:22 0

VelikoUkr, Пытаешься зайти на какой-то https-сайт, в браузере выскакивает сообщение, что сертификат недействительным. Варианта три:

1. Уйти с этого сайта и больше не заходить (придётся отказаться от пользования всеми https-сайтами, которые на карандаше у спецслужб Казахстана).

2. Согласиться на установку нового сертификата (и потенциально на слежку за тобой провайдером и спецслужбами РК).

3. Найти VPN-туннель до страны, которая не ломает https-сайты.

16-11-2016 08:02 +1

Не понимаю почему пользователи должны уйти с хрома, если проблема не в нем, а в сайтах? Да и разве же это проблема? Автор насмотрелся фильмов, где разбивание горящей лампочки "ТРЕВОГА" решает все проблемы?

14 комментариев
Kiok 16-11-2016 08:10 0

Kiok, Ну и я пойду в нейтрал, так как всем пофиг. Все сайты не перейдут на https и юзеры не откажутся от хрома.

opera.rulez 16-11-2016 15:12 0

Kiok, А какая проблема в сайтах?

Kiok 16-11-2016 17:16 +1

opera.rulez, Написано что они небезопасные. Я теперь боюсь ибеем пользоваться, он получается тоже небезопасный. Как и ХВ!!1

cherepets 16-11-2016 17:38 0

Kiok, Посидел на хв, подхватил спид?

VelikoUkr 16-11-2016 17:40 0

Kiok, Пользуйся амазоном он безопасный.

Kiok 16-11-2016 17:51 0

cherepets, Конъюнктивит.

Kiok 16-11-2016 17:52 0

VelikoUkr, Амазон - говно.

opera.rulez 16-11-2016 19:24 0

Kiok, Смотри комментарии к аргументу Черепца на синей стороне. Явно фишинговый сайт технически можно сделать «безопасным» с точки зрения браузера.

VelikoUkr 16-11-2016 19:38 +1

Kiok, Зато защищенное!

Kiok 16-11-2016 22:07 0

VelikoUkr, И срать, ибей всё-равно в 9000 раз лучше.

opera.rulez 16-11-2016 22:51 0

Kiok, Перекатывайтесь сюда: holywars.ru/comments/17476

Kiok 16-11-2016 22:56 0

opera.rulez, Не взлетит вар (без флейма).

opera.rulez 16-11-2016 23:02 0

Kiok, Можно попытаться развести офтопик.

Egor.Leschev 22-12-2016 01:46 0

Kiok, Превью клипа

20-11-2016 21:46 0

Кстати фуррифокс тоже говорит что соединение не безопасно в http, правда чтоб его увидеть надо на "i" нажать, интересно это так и останется или в будущем они будут попап показывать.

0 комментариев
09-06-2017 16:47 +1

Сдается мне такое отпугнет много хомячков.

10 комментариев
Jotun 09-06-2017 21:27 0

VelikoUkr, почему в Торе сидишь?
Скажи честно, из-за контача перешел?

BerkutOi 09-06-2017 21:39 +1

Jotun, коноплю покупает, очевидно же

VelikoUkr 10-06-2017 13:31 0

Jotun, А зачем тор для контача, в файрфоксе можно же прописать прокси без дополнений? Можно даже только для отдельньіх сайтов типа єтого самого контача, но зачем...

who_am_i 15-06-2017 16:13 0

BerkutOi, Щас бы траву через интернет покупать.

BerkutOi 15-06-2017 16:14 0

who_am_i, ну а как еще? все торгаши уже давно через тор торгуют

who_am_i 15-06-2017 16:17 +1

BerkutOi, С рук знакомых конечно, либо знакомых знакомых... Намного дешевле выходит - вообще копейки. Как вариант вообще самому можно кустик выращивать.

VelikoUkr 15-06-2017 19:00 +1

who_am_i, Как вариант вообще самому можно кустик выращивать.
Которьій потом отберут ментьі и еще штраф впаяют.

who_am_i 16-06-2017 18:52 0

VelikoUkr, Точно, ведь менты же каждый день ко мне домой наведываются.

VelikoUkr 16-06-2017 18:58 0

who_am_i, С вашими законами, кто нибудь обязательно настучит, алсо тьі нуб потому что не знаешь что конопельке нужно солньішко дабьі она вставляла и вьіставлять ее на показ придется.

who_am_i 16-06-2017 19:05 +1

VelikoUkr, С вашими законами, кто нибудь обязательно настучит,
Чтобы кто-то настучал, он должен об этом узнать.

алсо тьі нуб потому что не знаешь что конопельке нужно солньішко дабьі она вставляла и вьіставлять ее на показ придется.
Нуб как раз ты, где ты столько солнышка возьмешь, особенно зимой? Для этого лампа нужна. 12 часов света.

15-11-2016 18:10 +1

Вот даунство. Лишняя проблема для мелких сайтов и бизнесов.
Нужно покупать сертификат, нужен человек который может его подключить...

6 комментариев
cherepets 15-11-2016 18:16 +1

cherepets, Плюс сам подход уебанский, ибо прививает пользователям ошибочное заблуждение типо "ssl = гарантировано безопасно", а "нет ssl = очень опасно".
Естественно оба утверждения абсолютно неверны.

cherepets 15-11-2016 19:21 0

cherepets, Кстати, сейчас же популярны IoT и веб-апи. Ну так вот, если нам надо реально на много запросов очень быстро отвечать, то логичнее всего написать свой сервер, который тупо будет слушать порт, потом писать в него заголовок из константы и контент. Писать там поддержку HTTPS, которая составит 90% кода программы? Ставить популярный сервер и получать накладных расходов 50% (если программа реально простая то может и больше)? Делать раздельные апи для машин и для людей (логично, но опять же затратно по времени)?

opera.rulez 16-11-2016 00:14 0

cherepets, Кстати, есть старая фишка:
1. Приобретаешь домен типа vk2017.com.
2. Поднимаешь на нём сайт с формой логина, точно копирующей вконтактовскую.
3. Рассылаешь всем ссылку с текстом, что мол это специальный проект Вконтакте с новогодними подарками.
4. ?????
5. База паролей собрана.

Если пользователи даже не смотрят, кому принадлежит домен, и спокойно вводят свой пароль от ВК на чужом сайте, то что-то мне подсказывает, что SSL им не поможет.

cherepets 16-11-2016 10:24 +1

opera.rulez, Теперь будет vk2017.com и пользователи будут уверены что всё норм, ведь хром им рисует хороший "зеленый замочек", а не мерзкий "красный треугольник".

opera.rulez 29-05-2017 22:15 0

cherepets, Ложка дёгтя про Хром: forum.palemoon.org/viewtopic.php?t=15823...

Если я правильно понял, Хром делает запрос OCSP, но в случае неправильного ответа... как ни в чём не бывало продолжает соединение. Сайт с потенциально подделанным сертификатом открывается без предупреждения: bugs.chromium.org/p/chromium/issues/deta...

15-11-2016 18:55 0

Вспомнил анекдот. Изобретатели придумали часы, которые уходят вперёд на минуту, когда кто-то произносит матерное слово. Повесили такие часы в нескольких организациях, а через сутки пришли проверить.

В детском саду часы ушли вперёд на пять минут. В школе ушли на полчаса. Пришли на завод — а там часов нет. Спрашивают у рабочего:
— Куда делись часы, которые мы вчера повесили?
Рабочий:
— А нам мастер приказал этот грёбаный вентилятор снять нахрен.

0 комментариев
15-11-2016 19:24 0

Юзеры откажутся от хрома, этот пизданутый браузер накачает им вирусов а когда они отнесут комп в мастерскую админ удалит этот рассадник спида и поставит им чтото вменяемое.
Недавно заметил (давно не включал) что там когда нажимаешь ссылку скачать файл то поп-ап не выскакивает а браузер сам тупо начинает качать файл куда ему хочется (по дефолту видимо), а ещё там странички расширений нихрена не информативные и много из них платные.
Я оптимист и верю что юзерам хватит ума сменить это говнище на няшный фурри фокс в котором дохуильон свистоперделок всяких настроек, везде поп-апы выскакивают если захочешь и много чего ещё.

P.S. 38 аддонов полёт нормальный :)

11 комментариев
Kiok 15-11-2016 19:32 0

VelikoUkr, когда нажимаешь ссылку скачать файл то поп-ап не выскакивает а браузер сам тупо начинает качать файл куда ему хочется
Кто-то не заглядывал в настройки?

VelikoUkr 15-11-2016 19:44 0

Kiok, Но у меня раньше был попап, потом эта хуетень видимо обновилась и настройки слетели, да и вообще, такие вещи должны стоять по дефолту. Вот сам прикинь сколько бы ты накачал мусора если бы после очередного обновления настройки бы слетели и ты не заметил бы.

BerkutOi 15-11-2016 19:47 0

VelikoUkr, я качаю всё в дефолтную папку загрузки, более того, это та самая папка по-умолчанию в винде, намного проще потом нужное тебе перенести куда надо, или удалить

opera.rulez 15-11-2016 19:48 0

VelikoUkr, Меня больше всего раздражает, что в Хроме индикатор скачиваемого файла возникает прямо поверх страницы. Хочешь ты на какую-нибудь ещё ссылку кликнуть, а тут эта штука выскакивает и ты нечаянно запускаешь свежескачанный файл, хотя этого совсем не хочешь.

Удобнее всего сделано в старой Опере: там сначала выскакивает подтверждение сохранения, а потом диспетчер загрузок открывается в новой вкладке (в фоне) и не мешает.

Можно в Фуррифоксе сделать, чтобы диспетчер загрузок был не в отдельном окне, а во вкладке?

VelikoUkr 15-11-2016 19:52 0

BerkutOi, Онаж на С диске, я его пытаюсь не засорять.

BerkutOi 15-11-2016 19:58 0

VelikoUkr, а причем тут скачивание файлов к засорянию?

VelikoUkr 15-11-2016 19:58 +1

opera.rulez, Можно в Фуррифоксе сделать, чтобы диспетчер загрузок был не в отдельном окне, а во вкладке?
По дефолту незнаю у меня фокс с пятой версии стоит, тогда нельзя было и я поставил аддон, - Download Manager Tweak

VelikoUkr 15-11-2016 20:10 0

BerkutOi, Ну если большой файл скачаешь и забудешь, или каких нибудь остаточных файлов оставишь которые место резервируют сразу.

Eevee 16-11-2016 06:16 0

opera.rulez, Зачем нужен диспетчер загрузок, если есть эта маленькая штука которая вылезает из значка со стрелкой?

opera.rulez 16-11-2016 06:23 0

Eevee, Из какого значка?

Eevee 16-11-2016 06:47 +1

opera.rulez,

16-11-2016 18:08 +1

Что ХТТП, что ХТТПС. Мне пофиг, я на это не смотрю. Но предупреждение при каждом переходе на подобный сайт явно резало бы глаза.

2 комментария
VelikoUkr 16-11-2016 19:41 +1

Egor.Leschev, А я смотрю, мне нравится иконка замочка.

Egor.Leschev 16-11-2016 22:08 0

VelikoUkr, Мне тоже, но это как-то не колышит.

14-12-2016 06:06 0

Браузер Google Chrome вслед за Mozilla Firefox и Safari перестанет поддерживать SSL-сертификаты, выданные удостоверяющими центрами WoSign (Китай) и StartCom (Израиль).

Оба центра принадлежат китайской компании Qihoo 360 и известны возможностью получить бесплатный SSL-сертификат.

Изменение коснётся сертификатов, выпущенных после 21 октября 2016 года. Оно начнёт действовать в 56 версии Chrome.

Интернет-компании считают, что WoSign не соблюдает стандарты, скрывает нарушения и халатно относится к уязвимостям.

Mozilla объявила о прекращении доверия к WoSign и StartCom в сентябре 2016 года. Сертификаты будут считаться недействительными, начиная с 51 версии браузера Firefox.

В браузере Safari от Apple будут забанены промежуточные сертификаты от StartCom и Comodo.

Источник: www.searchengines.ru/sert-ssl.html

Такие дела. Бесплатный сертификат в любое время может превратиться в тыкву.

0 комментариев
16-12-2016 09:43 0

Попытался автоматически перевести изображения в холиварах на HTTPS и промахнулся. Я не проверил сертификаты, а оказалось, что некоторые хостинги картинок доступны по HTTPS, а сертификаты у них настроены неправильно.

Если обнаружите, что в каком-нибудь холиваре выдаётся предупреждение о недействительности сертификата, бросайте сюда ссылки, я верну картинку на HTTP.

0 комментариев
03-10-2017 16:26 +1

Как обычные пользователи видят предупреждения системы безопасности:

2 комментария
fhfh 05-10-2017 23:00 +3

opera.rulez, всё верно.
но. я вписал в методичку нашим менеджерам по продажам:
в вопрос "хуле я должен вам верить, может вы магазин однодневка и наебёте меня на бабло" ответ: "у нас сайт с хттпс, а это значит что 'нам можно доверять всё, даже номера кредиток' и мы гарантированно вас не наебём".
народ ведётся.

cherepets 06-10-2017 04:35 +3

fhfh, Если загрузить свои голые фотки на наш сайт, то они будут защифрованные и мы не сможем их посмотреть.
Ведь HTTPS, это про шифрование, там SSL используется 👍

06-11-2017 06:12 +2

habrahabr.ru/post/341664/

Вот к чему в итоге эти изменения привели.
Оно и не удивительно. Сменить шрифт - любой нуб с блокнотом в руках сможет.
Разобраться с настройкой и скриптами для продления let's encrypt... Ну я вот не уверен что разобрался бы. Может выделю как-то время на эксперимент...

9 комментариев
opera.rulez 06-11-2017 07:19 +1

cherepets, А мне понравилась замена type="password" на шрифт из кружочков. Это может даже оказаться лучше с точки зрения безопасности, ибо боты, перебирающие пароли, как раз ищут поле с атрибутом type="password".

Что же касается шифрования передаваемых данных, то вместо перехода сайта на HTTPS можно шифровать только передаваемые пароль и логин, просто перехватывая событие отправки формы и подменяя данные. В том же Гитхабе есть куча библиотек для шифрования на JS.

cherepets 06-11-2017 07:25 0

opera.rulez, В том же Гитхабе есть куча библиотек для шифрования на JS.

Тут есть проблема: как убедиться, что юзер получил реально тот JS что ты написал? Спрятать ключ шифрования ты в JS очевидно не сможешь, ибо прятать что-то в текстовых документах - задача нетривиальная. Хотя несколько усложнить поиск ключа ты очевидно можешь.

opera.rulez 06-11-2017 07:33 0

cherepets, Можно использовать асимметричное шифрование: передавать вместе с JS публичный ключ, которым юзер будет зашифровывать свои данные, а расшифровать сможет только владелец приватного ключа (сервер).

Вот от подмены JS это не спасёт.

cherepets 06-11-2017 07:36 +1

opera.rulez, Автор статьи, кстати, долбоеб на мой скромный взгляд. Давайте посмотрим его предложения:
www.troyhunt.com/the-6-step-happy-path-t...

Если сильно упростить, то "Регайся на Cloudflare, ставь все галки и радуйся сверх-безопасности".
Но:
- Наш оригинальный домен остался торчать наружу с http.
- CF грузит с него код по http.
- CF - это черный ящик и хз что там внутри.
- С предлагаемыми им настройками CF сам будет лезть в код страницы и менять его и я могу предположить, что не всегда корректно. Я понимаю как он пореплейсит ссылки на странице, но вот только ajax появился не вчера, да и вообще SPA в моде. Как они будут реплейсить динамически создаваемые элементы? Тут два варианта: либо никак (плохо, ибо не будет работать), инжектить свой скрипт, который подменяет результаты всех запросов (безопасность из всех щелей конечно прям прёт).

И что, после этого у нас стало типо мега-безопасно? Из ситуации когда вероятен mitm мы получили ситуацию когда у нас гарантировано есть минимум один mitm. Надо поверх еще больше сервисов с неясными схемами монетизации наебнуть, я считаю.

cherepets 06-11-2017 07:40 0

opera.rulez, Ты передаешь публичный ключ с JS по открытому каналу, злоумышленник этот JS прочитал, выдернул оттуда публичный ключ, сгенерил свой "злобский JS" и вставил в него тот же ключ.
Не вижу особого смысла.

Как по мне так идеальный вариант: для вещей требующих высокой безопасности просто не использовать браузер (и соответственно JS) 👍.

opera.rulez 06-11-2017 07:48 0

cherepets, Ты хочешь сказать о том, что злоумышленник может перехватить уже зашифрованный пароль и пользоваться им? Можно ограничить срок годности пары публичный+приватный ключ и срок годности сессии.

Jotun 06-11-2017 08:42 +1

opera.rulez, Это никак не спасает от MitMв любом случае. Если злоумышленник может подменить JS, то какой бы ты не ставил expiration, он сможет работать как прокси между твоим бекендом и клиентом, посылая ровно то, что ему нужно

cherepets 06-11-2017 09:41 0

opera.rulez, Он может заменить JS вида post(apiUrl, encrypt(password, publicKey)) на post(faceApiUrl, password) и потом со своего компьютера уже зная и password и publicKey делать вообще всё что захочет.

cherepets 06-11-2017 16:29 0

cherepets, А может я и понял о чем тот чувак говорит!
Нам не надо бояться митм и поддельных сертификатов, если мы уже сами добровольно включили митм и сертификат не наш!

Это как если мы спецназовец, а террорист удерживает заложника и угрожает его убить. Мы разносим точным выстрелом башку заложнику и всё: у него нет больше козырей!