SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпотажитота вкладка меню  сцылкиблогдумырецензиипоржатьфотоотчётыподдержать (12.5%)
^
Читаешь?
Интересно?
Поддержи.
SaAnVi.Ru
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотоотчёты
Don't speak Russian?В избранноеПодписка РейтингАктивностьПоддержать (12.5%)

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт (12.5%)Горячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

25.03.2024 ньюс, буря, коньки

21.03.2024 ВРПВ: Навальный, Астафьев

19.03.2024 DNS: проверяем товары тщательней

18.03.2024 HDD, Зингельшухер, Крокус

12.03.2024 Спамер-идиот

11.03.2024 проект, затычки, голосование

05.03.2024 Над ЖЖ нависла Ж?

04.03.2024 вокал, кабели, шрифт

01.03.2024 Яндекс.Дурак

29.02.2024 Фейковые мастера на Авито

весь блог ▶
популярные посты ▶

 

подпишизь

RSS новости RSS комментарии

Обсуждение статьи:
Google подкладывает всем свинью с 2017-го

 

 

 

 

1  SaAnVi
tzar
29.11.2016 06:04
Призываю в каменты Генриха. Он у нас, вроде бы, любитель хромого? А на его сайтах HTTPS отсутствует. Ща побаттхёртим. :)
2  SaAnVi
tzar
29.11.2016 06:11
Кстати, к бабке ходить не надо - сговор Google и "авторизационных центров". Разумеется, недоказуемо. Видимо, крызис докатился. :)
3  ed
свой человек
29.11.2016 07:23
Относительно недавно такая же срань была у меня на линупсе, когда chromium, google-chrome, opera отказывались пускать в mail.ru, одноглазники и рамблер. Как раз из-за путаницы в сертификатах. Потом пришло обновление и я успокоился. Вот теперь придётся почаще использовать лису (она у меня и так установлена) заместо хрома.
4  ZlydenGL
знаток
29.11.2016 10:43
> они собрались помечать сайты, которые не используют HTTPS (защищённое шифрованное соединение) специальным сообщением типа "сайт небезопасен!!11!1!".

Я так понимаю, ты щас только про Хромого говоришь? Или про выдачу в поиске?

Сам склонен предположить, что иногда в этом смысл есть. Старая-добрая атака типа фишинга: создаем страницу с веб-интерфейсом а-ля банк-клиент, создаем более-менее похожий адрес, естественно без HTTPS, и подсовываем его в спам-рассылку типа "Новогоднее предложение в Вашем личном кабинете и только для Вас". С предложенной схемой пользователь хотя бы будет предупрежден - хоть как-то! - что он пришел не совсем туда, куда надо.

> обяжут провайдеров устанавливать специальный "духовно-скрепный российский сертификат"

И что дальше? Пока этого же сертификата не будет у конечного пользователя - о MiTM атаках [ссылка, ru.wikipedia.org] можно забыть, поскольку первый запрос на установление шифрованной сессии пойдет таки на сайт, а не на маршрутизатор провайдера.

> заплатить в никуда больше тысячи рублей, чтобы...

Понимаешь, в чем фишка... Теоретически на двух разных машинах можно сгенерить ОДИНАКОВЫЕ самоподписанные сертификаты. В этом случае атака MiTM становится уже как раз той самой реальностью безо всяких "госсертификатов"... Если же за аутентичность твоего сертификата отвечает конкретный СА - тут уже MiTM обломится, что называется, с гарантией - если только сам СА, естественно, не будет потворствовать этим самым MiTM.

> Кто-то в Google подумал жопой вместо головы

На самом деле далеко не только Гугель о таком думает: очень многие сходятся на мысли, что нешифрованный протокол доживает последние если не дни, то года точно. Просто потому, что эра хомячковых сайтов уходит в прошлое... А если есть монстры, "закрывающие" 90%+ аудитории (соцсети, блог-споты и прочая), которые уже полюбому себе привинчивают https, зачастую по умолчанию - зачем хранить устаревший стандарт?
5  SaAnVi
tzar
29.11.2016 13:15
> Я так понимаю, ты щас только про Хромого говоришь? Или про выдачу в поиске?

Вроде и там и там будет.

> создаем страницу с веб-интерфейсом а-ля банк-клиент

80% моей заметки посвящено тому, что секурное соединение, по сути, только финансам и нужно (ну и инет-магазинам, работающим с финансами). Даже сраные соцсети могут обходиться без HTTPS, ибо кому надо нюхать это говно по сети.

> И что дальше? Пока этого же сертификата не будет у конечного пользователя

Ну ты угадал, прикинь! Так и действуют контролирующие системы в некоторых странах.

> многие сходятся на мысли, что нешифрованный протокол доживает последние если не дни

HTTPS никому не нужен кроме финансов (и прочей практически неиспользуемой хомячками узкой специализации). Плюс, ты забываешь про очевидную нагрузку на сервак. Если какой-то солидный развлекательный ресурс просто показывает тебе котиков с сиськами - зачем ему это делать через HTTPS?
6  ZlydenGL
знаток
29.11.2016 13:23
> только финансам и нужно

А я объяснил, в каком случае несекурный HTTP протокол может компроментировать финансовые данные ;)

Да и не только финансам это надо. Персоналку, по 152-ФЗ, только через секурные каналы гонять и надо. Опять же, для твоего хомяка это менее релевантно (хотя я имею все права объявить, что моя почта - это персоналка, а значит то, что я ее могу обновить без шифрованного протокола - де-юре нарушение), но для сайтов, которые хранят имя, ФИО, дату рождения и прочая - уже совсем другой коленкор.

> Так и действуют контролирующие системы в некоторых странах

А список стран - и желательно технологию, которая позволяет именно ТАК делать - можно в студию? :))) Потому как даже в Китае реализация "атаки" выглядит совсем не так, как описано. Точнее, не совсем так ;)

> Плюс, ты забываешь про очевидную нагрузку на сервак

Откуда там доп.нагрузка? о_О Максимум +1-2% на службу/демон. Но это для страничных серверов, или с небольшой медианагрузкой. Если там видео 4k лежит - да, прирост будет... Но все равно не такой уж и значимый по сравнению с общей нагрузкой от службы/демона ;)

> зачем ему это делать через HTTPS?

Ты рассматриваешь ОЧЕНЬ узкий спектр задач. А как же торренты? А та же персоналка? А госуслуги? А в конце концов если человек не хочет, чтобы его мысли в соцсетях "палили" те, кому мысли данные не предназначаются от слова "вообще"? Случаев масса...
7  SaAnVi
tzar
29.11.2016 13:36
> А список стран

Сходу не могу найти, кажется кто-то из СНГ даже был. Но можешь записать мой фейл с пометкой "пруф отсутствует". :)

> Откуда там доп.нагрузка?

Очевидно - перед передачей надо зашифровать, а на это тратятся ресурсы.

> в конце концов если человек не хочет, чтобы его мысли в соцсетях "палили"

То есть, просто зайти на страничку в соцсетях и "спалить" - никак нельзя? :)
8  ZlydenGL
знаток
29.11.2016 13:43
> кажется кто-то из СНГ даже был

Няа, не было :) HTTPS AFAIK щас умеет более-менее полноценно палить только Китай, и то, как говорится, с оговорками.

> перед передачей надо зашифровать

Покопай в сторону компрессии веб-страниц и для чего она в мире веба используется :) Ведь казалось бы - компрессия ведь как раз много должна жрать! Ан нет, и жрет не особо много, и профита от нее больше, чем проблем от повышения нагрузки ;)

А шифрование страниц - это тот же gzip с ключом, если что ;)

> просто зайти на страничку в соцсетях и "спалить" - никак нельзя? :)

Няа №2 :) Во-первых, надо еще доказать, что это именно твоя страница. Во-вторых, что написал именно ты. В третьих, в соцсетях ж можно вообще страницы показывать только друзьям/группе :)
9  SaAnVi
tzar
29.11.2016 13:44
> HTTPS AFAIK щас умеет более-менее полноценно палить только Китай

То был точно не Китай.

> Ан нет, и жрет не особо много, и профита от нее больше

С компрессией профит понятен - трафик. А с HTTPS - только нагрузка. :) Кстати, у меня компрессия выключена. Всё хотел поэкспериментировать да не знаю, с чего начать.
10  ZlydenGL
знаток
29.11.2016 13:46
> точно не Китай

Найдешь сырец - кинешь? Аж сам заинтересовался, а общие запросы Гуглю не возвращают значимой информации.

> с HTTPS - только нагрузка. :)

> А шифрование страниц - это тот же gzip с ключом, если что ;)
11  ZlydenGL
знаток
29.11.2016 13:49
О, вот тебе жизненный пример!

Возьми какой-нить объемный файл (для репрезентативности), можно даже видеопоток, и выполни 2 операции, засекая время:

1. Обычные копирование в другую папку (любым средством - проводником, Far, консоль - неважно)

2. Архивацию тем же 7-zip этого же файла в эту же папку с параметрами "без сжатия, установить пароль"

А затем сравни временной дифф ;)
12  SaAnVi
tzar
29.11.2016 16:32
Ну вот, какая польза от сегодняшней беседы. Теперь компрессия работает. :)))
13  ZlydenGL
знаток
29.11.2016 16:34
Вай, красавчик, позолоти ручку! Да не эту! Да не краской!!! От блин, теперь еще отмываться :)
14  SaAnVi
tzar
29.11.2016 16:34
Кстати, с обычного Ethernet-коннекта незаметно. Надеюсь, хоть с мобилок будет лучше.
15  ZlydenGL
знаток
29.11.2016 16:37
Так у тебя ж странички как в лучших домах диалапа, даже без компрессии на еже, тем паче 3G, все грузится влет :)

Кстати, о птичках: о дизайне под мобилки не думал? На таблетках сайт отображается норм, а вот на фаблет- уже приходится зумом дергать.
16  SaAnVi
tzar
29.11.2016 17:16
Да на фаблете любой информационно-насыщенный сайт придётся дёргать зумом, как ни подстраивайся.
17  CTPAHHuK
свой человек
29.11.2016 18:28
1. Как то я, по заданию работодателя, занимался технологией вставки рекламы в транзитный http-трафик. Работало. Убедил не использовать её, так как все скоро будет по секурному.
Вывод №1: не хочешь чтоб в твою страницу что-то вставляли - используй https.

2. Сейчас практически весь интернет - это магазины. А то что не магазины, то просят "Поддержать" [локальная ссылка]
А поддержать, не говоря о том чтобы купить, лучше по секурному.
Вывод №2: хочешь чтоб активней поддерживали - используй https.

Вроде уже бесплатно подписывают сертификат, требуется только подтвердить владение доменом. Лень искать пруфы в инете...
18  Садисто
свой человек
29.11.2016 19:14
Вот вроде- гугл такой, гугл сякой, а что пользовать вместо? Яндекс, у которого почти вся выдача- реклама? Или майл.ру через амиго?:)
19  SaAnVi
tzar
30.11.2016 05:37
> не хочешь чтоб в твою страницу что-то вставляли - используй https

Так это подсудное дело, не? Если докажу, что кто-то на маршруте в меня что-то вставляет. Хотя вряд ли, такие сложности нашей судебной системе недоступны, наверное, да и самому понять сложно будет, кто виноват. Только провайдера/хостера менять, ибо нет других подозреваемых в данном деле. Но в целом, такого просто не должно быть, потому что не должно быть никогда. :) Никто не должен быть волен добавлять не на свою страницу "трафиковые вставки".

> поддержать, не говоря о том чтобы купить, лучше по секурному

Интернет-магазины (как и другие подобные сервисы) в 99% используют платёжные шлюзы различных компаний (их сейчас пруд пруди). Шлюзы, разумеется, используют HTTPS буквально со своего рождения. Магазинам они, чаще всего, вообще не передают никакие данные пользователя (касаемые непосредственно платежа уж точно), за исключением каких-нибудь отфонарных идентификаторов, чтобы магазин мог идентифицировать пользователя/платёж. Я с превеликим подозрением отнесусь к магазину, который НА СВОЕЙ СТОРОНЕ (пускай хоть сто раз по HTTPS) будет спрашивать с меня платёжные данные (номер дебетки/кредитки и т.п.). И убегу от такого магазина километра за три. :)

Кстати, живой пример: алиэкспресс, который "в дёсна" зацелован с VISA/MC и позволяет себе не то, чтобы хранить данные кредиток у себя, но ещё и снимает бабки... Без 3D-Secure!!! Помню, это меня ошарашило до невозможности. Вообще не понимаю, как это магазин может проскочить стадию авторизации!!! И отношение к али у меня соответствующее - сдаю "временные" карты, на которых большие суммы не лежат.

В случае с моим донатом то же самое - пользователь перенаправляется на яндых-деньгу и там всё шоколадно. Никто и никогда не будет меня "поддерживать более лучше", включи я хоть сто HTTPS с подписанными "правильными" сертификатами прямо сейчас.

Вывод номер 0: HTTPS нужен там, где он нужен. А там, где HTTPS не нужен - он не нужен.

> гугл такой, гугл сякой, а что пользовать вместо?

Эх, больной вопрос... Да всё оно говно. :(
20  CTPAHHuK
свой человек
30.11.2016 07:53
>Если докажу, что кто-то на маршруте в меня что-то вставляет.
Автор страницы не увидит левые вставки, так как это происходит на пути к клиенту.
Проблема голого HTTP усилится тогда, когда взломанные домашние маршрутизаторы развернутся в сторону своих владельцев. Сделать левую вставку в HTTP не сложней чем превратить маршрутизатор в ддосер.
21  SaAnVi
tzar
30.11.2016 08:02
> это происходит на пути к клиенту

Пускай. На пути к клиенту много чего может произойти. У него банально в браузере может троян сидеть, который и в HTTPS-страницу вставит, что хочешь. :)

> когда взломанные домашние маршрутизаторы развернутся в сторону своих владельцев

Так они уже десять лет могут разворачиваться в какую хочешь сторону. У кого-то, может, и разворачиваются. Сломать-то всё можно, по идее. Ты предлагаешь из-за того, что кому-то на голову упала сосулька, запретить сосульки. :)

А нет! Даже не так. Кто-то стоял внизу и бил по сосульке шваброй, после чего она ему упала на голову.
22  CTPAHHuK
свой человек
30.11.2016 12:11
Сосульки не катят. :)

Ты - молочник.
Ходишь и оставляешь бидончики с молоком у двери клиентов.
В один "прекрасный" момент клиенты в молоке стали обнаруживать посторонние предметы...

Времена меняются.
Молочники с бидончиками исчезли.
Простой и несекурный telnet уступил ssh.
Простой и несекурный http уступит https.

Для меня это очевидно.
23  SaAnVi
tzar
30.11.2016 12:18
> В один "прекрасный" момент клиенты в молоке стали обнаруживать

Отчего же раньше не обнаруживали? Лет этак двадцать пять. Хотя если брать случай именно с http, то никто ничего в нём так до сих пор и не обнаруживает. ;) Случаи с прослушкой тривиальны (кстати, именно поэтому государство(а) будут до последнего препятствовать HTTPS, и с большой вероятностью победу в том или ином виде одержи(а)т).

> Простой и несекурный telnet уступил ssh

Другая песня совсем. Администраторство должно быть шифрованным, и тут вопросов не возникает.
24  SaAnVi
tzar
30.11.2016 12:22
Во, есть же прекрасная фраза "стрелять из пушки по воробьям". Как никогда применима. HTTPS к сайту с сиськами и котиками.
25  CTPAHHuK
свой человек
30.11.2016 12:23
Бесплатный SSL сертификат для сайта [ссылка, moonback.ru]

Есть уже не один верификационный центр, бесплатно выдающий сертификат на домен.
26  ZlydenGL
знаток
30.11.2016 12:26
> Отчего же раньше не обнаруживали? Лет этак двадцать пять.

Дык времена-то меняются! Раньше и вирусов под айфон /андроид не было, а сейчас они есть (хоть и рассчитаны в своей массе на уязвимость, расположенную перед экраном устройства).

Вот я привел пример фишинга. Плохо это? Плохо. Является это уявзимостью именно HTTP протокола? Является. Распространяется фишинг все больше и больше? Еще как распространяются, уже даже веб-морду Сбера "слизали".
27  SaAnVi
tzar
30.11.2016 12:30
> Вот я привел пример фишинга. Плохо это? Плохо. Является это уявзимостью именно HTTP протокола?

То есть, создать фишинговый сайт на HTTPS уаще никак? :) При чём тут HTTP вообще?
28  ZlydenGL
знаток
30.11.2016 12:32
> Бесплатный SSL сертификат для сайта

Ищем инфу по, к примеру, CACert, и на тете Вике [ссылка, en.wikipedia.org] находим шикарнейшее описание:

> CAcert.org is a community-driven certificate authority

Переводя на русский - "никто ни перед кем ничем не обязан" (в отличие от идеологии классического СА). С другой стороны, хомяковому проекту другого ИМХО и не надо :)

Во-вторых, у них свое древо СА, т.е. при попытке открыть даже их сайт та же лисичка ругается, ибо не может валидировать дерево сертификатов. StartSSL в этом плане лучше... Но это израильская контора, со всеми ее преимуществами и недостатками :)
29  SaAnVi
tzar
30.11.2016 12:35
> Есть уже не один верификационный центр, бесплатно выдающий сертификат

Тема интересная, надо глянуть.
30  ZlydenGL
знаток
30.11.2016 12:36
> создать фишинговый сайт на HTTPS уаще никак? :)

Как, но:

1. Сертификат того же домена ты никак не подсунешь. Более того, при коммерческих СА ты просто не сможешь получить сертификат на домен, к примеру, sderbank.ru (чтобы запись в адресной строке максимально походила на оригинальную сберовскую). И на sberbank.su тоже не сможешь, если только ты не владелец сертификата для sberbank.ru.

2. СА имеет возможность в любой момент отозвать сертификат, а как только информация о фишинге дойдет до абуз-службы СА - он БУДЕТ аннулирован (и процесс этот ОЧЕНЬ быстрый), т.е. пользователи опять же будут получать уведомления о "плохом" сертификате при попытке работы с фишинговым адресом.

Так что да, создать И ПОДДЕРЖИВАТЬ фишинговый сайт на HTTPS сложнее даже не в разы, а НА ПОРЯДКИ ;)

 

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 1537 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

группа ВКонтакте Яндекс.Дзен Канал YouTube
 
Яндекс.Метрика Top.Mail.Ru
EC: 1584
новостя
26.03.2024
статья: Режима показов больше нет
15.03.2024
рецензия: Кентавр
09.03.2024
рецензия: Холоп 2
03.03.2024
банная: Хата азиата
22.02.2024
рецензия: Крушение
20.02.2024
статья: ASUS System Control Interface и иже с ними
07.02.2024
фотоприкол: Рыбалка
27.01.2024
фотоприкол: Простоквашино
23.01.2024
рецензия: Поехавшая
15.01.2024
статья: Firefox: пришла пора прощаться?
все новости ▶

 

популярЪ

1. статья: Режима показов больше нет

2. статья: Тёплый ламповый звук и сферический винил в вакууме

3. статья: Firefox: пришла пора прощаться?

4. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

5. музыкальная пародия: Винда

6. статья: Отключение ненужных служб Windows

7. Хата азиата. Фото: NETDTHC.

8. музыкальная пародия: Стоят девчонки

9. рецензия: Крушение (Plane)

10. статья: ASUS System Control Interface и иже с ними

весь TOP ▶

 

крайние каменты

1. блог: HDD, Зингельшухер, Крокус

2. блог: ньюс, буря, коньки

3. статья: Режима показов больше нет

4. блог: Кинотеатрам всё-таки конец?

5. статья: Посудомойка не видит таблетированную соль

6. блог: падение, бар, bitcoin

7. блог: Искусственный интеллект, и почему он терпит поражение

8. блог: DNS: проверяем товары тщательней

9. блог: проект, затычки, голосование

10. статья: Куда пропали компьютерные вирусы

 

на сайте
гости: 2

статистика за 10 минут

юзеры ▶
изображениезакрыть
dummy