SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпотажитота вкладка меню  сцылкиблогдумырецензиипоржатьфотосеты ПОДДЕРЖАТЬ
^
Читаешь?
Интересно?
Поддержи.
SaAnVi.Ru
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотосеты
Don't speak Russian?В избранноеПодписка РейтингАктивность Поддержать

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDIПранк
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотосетыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт (0%)Горячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

30.06.2025 леса, изоспан

23.06.2025 упгрейд, реформа, гуглплей

22.06.2025 Водительский ад

16.06.2025 масло, купалово, паранойя

15.06.2025 Интернет уже не тот

09.06.2025 гмыло, мангал, время

02.06.2025 личка, гудбайдипиай, ВК

26.05.2025 вояж, директ, мразота

19.05.2025 йандыкс, куаркоды, кросивое

17.05.2025 ВРПВ: хреновости, Экс-ББ

весь блог ▶
популярные посты ▶

 

подпишизь

RSS новостиНОВОСТИ
RSS комментарииКАМЕНТЫ
ТЕЛЕГАТЕЛЕГА

Обсуждение статьи:
Google подкладывает всем свинью с 2017-го

 

 

31  SaAnVi
tzar
30.11.2016 12:37
> StartSSL в этом плане лучше... Но

Лично я для всех своих сайтов сгенерил сертификат аж года до хрен знает там какого, чтобы админством заниматься. А тут смотри за ними, когда они там через год кончаются, заменяй...
32  CTPAHHuK
свой человек
30.11.2016 12:38
> Отчего же раньше не обнаруживали? Лет этак двадцать пять.

Времена меняются.
Telnet тоже 25 лет был королем.

>кстати, именно поэтому государство(а) будут до последнего препятствовать HTTPS

Не препятствуют, а пытаются возглавить. Например, сделав ГОСТ обязательным на территории РФ.

>к сайту с сиськами и котиками.

Сиськи и котики давно уже в разных ОК и дугих ВК, в которых администрация озаботиться получением сертификатов. А мизирное количество оставшихся сайтов-хобби будут добавлены в исключения Хрома постоянными их посетителями.
33  SaAnVi
tzar
30.11.2016 12:39
> Сертификат того же домена ты никак не подсунешь

А зачем подсовывать того же? Подсунь "бесплатный", чтобы всё зеленым-зелено, если дебил не удосужился на ссылку посмотреть, будет он сертификаты там смотреть-проверять.

> СА имеет возможность в любой момент отозвать сертификат

Угу, а плохих сайтов вообще быть в интернете не должно, но их помойка, как и всяких "абузоустойчивых" хостингов, которые хрен чего закроют и т.д.

> создать И ПОДДЕРЖИВАТЬ фишинговый сайт на HTTPS сложнее даже не в разы, а НА ПОРЯДКИ

Только что бесплатный сертификат и поставить. На порядки, да.
34  SaAnVi
tzar
30.11.2016 12:41
> Не препятствуют, а пытаются возглавить

А как возглавишь без расшифровки?

> мизирное количество оставшихся сайтов-хобби

Сотни миллионов сайтов я бы "мизерным количеством" не назвал.
35  ZlydenGL
знаток
30.11.2016 12:48
> всяких "абузоустойчивых" хостингов

Абузоустойчивый хостинг и абузоустойчивый СА - вещи разные :) Последнего ИМХО никогда не будет - или его дерево будет сразу выпиливаться.

> Только что бесплатный сертификат и поставить. На порядки, да.

А ты ограничения бесплатных сертификатов видел? ;) Например при открытии стартовой страницы Сберовского банк-клиента в адресной строке в имени сертификата отображается "Sberbank of Russia (RU)". ХРЕН ты так сделаешь с бесплатным сертификатом :)))

Плюс не забывай, что у бесплатных СА тоже есть своя абуз служба. Она может реагировать не так быстро, как у коммерческих собратьев, но реагировать будет. Например, у StartSSL прямо на сайте написано:

> If you have encountered certificate or secured seal which is issued or used incorrectly, please report it to us, thanks.
36  SaAnVi
tzar
30.11.2016 12:52
> абузоустойчивый СА - вещи разные :) Последнего ИМХО никогда не будет

Угу, в интернете много чего "не есть". :)

> при открытии стартовой страницы Сберовского банк-клиента в адресной строке в имени сертификата отображается "Sberbank of Russia (RU)". ХРЕН ты так сделаешь

Повторяю: если дебил не смотрит на домен - он на имя сертификата смотреть будет? В случае с фишингом на HTTP ты говоришь - вот, фишинг, вот HTTP "виноват". Юзер не посмотрел на домен. В случае с HTTPS - юзер не посмотрел на домен, но внезапно посмотрел, что там на зелёной херне написано? :)))
37  SaAnVi
tzar
30.11.2016 12:58
А с другой стороны, ну чего я жалуюсь?

С начала 2017-го года от постоянных клиентов мне поступит куча заявок "убери нахер эту ёбань, которая всё предупреждает и предупреждает".

Заработаю.
38  CTPAHHuK
свой человек
30.11.2016 12:59
> А как возглавишь без расшифровки?

Ходят слюхи, что те шифры, что продвигают государства, имеют волшебную дверку.

> Сотни миллионов сайтов

Не верю!
Население России 130 млн. И каждый имеет свой хомячок?!
Даже в планетном масштабе не приходится говорить о сотнях миллионах хомяков.
Официальному же сайту предприятия выгоден https - труднее подделать.

Да и не переживай ты сильно об этом https. Ведь тебя никто не заставляет его внедрять, даже штрафом не грозят.
:)
39  ZlydenGL
знаток
30.11.2016 13:01
> в интернете много чего "не есть". :)

СА не из той оперы - наличие подобной шняги дискредитирует саму идеологию СА, поэтому выпилят 100%.

> он на имя сертификата смотреть будет?

Легко! Домен - он может и плохо читаться, а имя сертификата - вещь вполне user-friendly даже для бабушек-божьих-одуванчиков.

Плюс, как писал выше, фишинг с HTTPS СА просекут и отзовут сертификат на раз-два, после чего юзеру нужно будет "не заметить" не только неверное имя домена/сертификата, но и предупреждение браузера о кривом сертификате. В отличие от фишинга с HTTP, который может висеть на тех же абузоустойчивых серверах до бесконечности...
40  SaAnVi
tzar
30.11.2016 13:04
> Ходят слюхи, что те шифры, что продвигают государства, имеют волшебную дверку

Ну тогда и вся затея скомпрометирована...

> Не верю!

Я весь мир имел в виду. :) Согласно подсчётам (проверить невозможно, конечно) в мире уже миллиард сайтов. Не удивлюсь, поскольку формула 1сайт=1человек неверна. Знаю людей с сетками по 200-300 сайтов. Это говносайты, конечно, призванные продвигать другие говносайты, но - факт есть факт.

Да, нужные сайты в исключения добавят, это ясно. Хотя в Chrome так, допустим, не сделаешь (или сделаешь уже? раньше нельзя было).

> Ведь тебя никто не заставляет его внедрять

Заставляют под страхом отпугнуть потенциального посетителя.
41  SaAnVi
tzar
30.11.2016 13:05
> В отличие от фишинга с HTTP

И тем не менее, в фишинге с HTTP виноват не HTTP. :)
42  ZlydenGL
знаток
30.11.2016 13:09
> в фишинге с HTTP виноват не HTTP. :)

Естественно, а в случае ожогов виновато не пламя и не химикаты, а в случае электрического поражения виноваты не провода и тем более не подстанция :) Все перечисленное лишь реализует получение ВОЗМОЖНОСТИ того или иного урона, и уж 100% зависит от "последней мили" (в нашем случае юзера)! Но если бы пламя/химикаты не были в открытом доступе, как и оголенные провода - шансов заполучить все перечисленное было бы в разы меньше ;)
43  CTPAHHuK
свой человек
30.11.2016 13:16
> Ну тогда и вся затея скомпрометирована...

Не хочешь ГОСТ, используй другой шифр, разработанный известными криптологами.
А вдруг эти известные криптологи сговорились контролировать весь мир!
:)

> Знаю людей с сетками по 200-300

Тогда https очистит нас от этого дерьма.
Да придет HTTPS!
:)
44  SaAnVi
tzar
30.11.2016 13:59
> Но если бы пламя/химикаты не были в открытом доступе, как и оголенные провода

Ты просто сравниваешь оголённые провода, допустим, диаметром 1мм, и диаметром 10мм. И уверяешь, что от одних ёбнет, а от других - нет. :)

> Тогда https очистит нас от этого дерьма

О, как ты заблуждаешься! Какое бы благое начинание против "этого дерьма" ни начиналось, дерьмо всегда выигрывает. Это они наплодят сертификатов, что-нибудь там придумают с валидацией, заведут "абузоустойчивые сертификационные центры" - в общем, найдут способ, как ещё больше ухудшить положение. Чего стоят ничем не закончившиеся попытки поисковиков бороться со ссылконакруткой... Гугел первый это понял и по сути скрыл PR - это Гугел-то! Яндекс трепыхается, но исход немного предсказуем...
45  ZlydenGL
знаток
30.11.2016 14:39
> Ты просто сравниваешь оголённые провода

Не, в аналогии HTTP - провод оголенный, а вот HTTPS - "завернутый" в изоляцию, ну или хотя бы разведенный по коробке :)

> заведут "абузоустойчивые сертификационные центры"

Во-первых, не заведут, потому что мало сделать свой СА - надо его рутовый сертификат еще подсунуть пользователям (иначе сертификаты такого СА все равно будут триггерить сообщение "плохой сертификат" в браузерах).

Во-вторых, если вдруг действительно заведутся такие "абузоустойчивые СА" - у браузеров тут же появится черный список таких СА, и их сертификаты точно так же будут помечаться как невалидные, хоть апстену ты убейся :)

Ты просто не догоняешь, что доля абузоутойчивых хостингов на самом деле не шибко большая, поэтому поводу них мало кто кипишует. СА, особенно на коммерческом срезе - совсем другой коленкор! Поверь, ни ты, ни я, ни один владелец абузоустойчивой фигни не захочет ни разу в жизни попасть в черные списки тандемов типа THAWTE/Symantec. Слишком уж чревато.
46  SaAnVi
tzar
30.11.2016 15:36
> в аналогии HTTP - провод оголенный, а вот HTTPS - "завернутый" в изоляцию

Уточнение ожидаемо, но всё равно неясно, что заставляет человека браться за оголённый провод. И почему 25 лет никого это особенно не интересовало, а тут вдруг.
47  ZlydenGL
знаток
30.11.2016 15:43
> всё равно неясно, что заставляет человека браться за оголённый провод

Почему обязательно браться? Можно случайно задеть!

> И почему 25 лет никого это особенно не интересовало, а тут вдруг.

25 лет назад висели пара оголенных проводов на ...цать квадратных кэмэ и мало кому мешали, а в наши дни они свистают чуть ли не с каждого столба ;) Вот и озаботились.

Если шагнешь назад во времени, увидишь интервал, когда HTTP был, а HTTPS еще нет. И на момент появления HTTPS почему-то никто не говорил, что нафиг он не нужен, ибо сколько лет уже без него живем - и ничего :) То же самое было с переходами NCP -> TCP/IP, "звезда" -> доменные имена и т.д.

Сейчас "всего лишь" очередной переломный момент в структуре сети Интернет, и нельзя сказать, что этот момент однозначно плох - ровно как это нельзя (было) сказать про все предыдущие переломные моменты ;)
48  SaAnVi
tzar
30.11.2016 15:49
> И на момент появления HTTPS почему-то никто не говорил, что нафиг он не нужен

Так никто и не говорит, что он не нужен. Это опция, нужная для вполне определённых целей, и нафиг не нужная для других. Зачем мне в городской малолитражке сиденья из крокодила? Даже не так: меня собираются штрафовать ГИБДДшники за то, что в моей городской малолитражке сиденья не из крокодила.
49  ZlydenGL
знаток
30.11.2016 15:53
Скорее можно сравнить с лысой резиной (без поправки на гоночную :D) и нормальным протектором. Понятное дело, что где-то можно и на лысой ездить, и вообще, 25 лет ездили - и ничего... Но если посмотреть на ситуацию шире - 25 лет назад таких загрузок, таких дорог, таких автомобилей и таких скоростей передвижения просто не было. Поэтому сейчас тебя гиббон за лысую резину будет штрафовать, хотя раньше мог просто предупредить ;)

Но даже эта аналогия не в полной мере отражает реальность, поскольку за HTTP никто штрафовать не собирается! Речь будет идти лишь о предупреждениях.
50  SaAnVi
tzar
30.11.2016 15:55
> Скорее можно сравнить с лысой резиной

А вот и нет. Лысая резина - угроза безопасности. Какая кому угроза безопасности от отсутствия HTTPS на моём хомяке?

> Речь будет идти лишь о предупреждениях

Которые равносильны приговору. Если юзер видит "этот сайт потенциально небезопасен" - только последний идиот будет жмякать.
51  ZlydenGL
знаток
30.11.2016 16:02
> А вот и нет. Лысая резина - угроза безопасности. Какая кому угроза безопасности от отсутствия HTTPS на моём хомяке?

А какая кому угроза безопасности от лысой резины на проселке от Ново-Урюково до Старофоминска? Тоже же кажется, что безопасно, ибо "хомяки".

А если брать ГЛОБАЛЬНОЕ видение ситуации, то тут появляются и неоднократно упомянутый мной фишинг, и упомянутая Странником подмена/дополнение контента на пути, и еще чертова уйма "деталей" ;)

> Которые равносильны приговору

Насколько я понял - мы пока не знаем, что там за приговор будет :) Может это будет просто инфополоса + уточнение в поисковой выдаче, а не баннер вида "караул, по ссылке ниже виряки и трояны категории 'капец железу'" (кстати, что-то давно Лукьяненко не перечитывал) - то ни о каком приговоре речи не будет...

Ты кстати сравнивал нагрузку от шифрованного и нешифрованного канала? ;) Сколько там дельта получилась?
52  SaAnVi
tzar
30.11.2016 16:06
> А какая кому угроза

Какая кому угроза безопасности от отсутствия HTTPS на моём хомяке?

> мы пока не знаем, что там за приговор будет

Была инфа, что даже приоритет в выдаче сайтам с HTTPS будет. Что тоже бред, в общем, как и вся затея.
53  ZlydenGL
знаток
30.11.2016 16:11
Блин, это какая-то оборжака :)))

Мы обсуждаем то, что пока даже НЕ ПЛАНИРУЕТСЯ!!!

На данный момент речь идет лишь об иконке в адресной строке, и то не везде, а лишь при передаче личной информации, как пароль или номер банковской карты :)

> Beginning in January 2017 (Chrome 56), we’ll mark HTTP pages that collect passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure. [ссылка, security.googleblog.com]

Что это означает с точки зрения, к примеру, сайта саанви.ру? А ничего :) Не будет никаких предупреждений, за одним-единственным исключением - формы авторизации, которая будет снабжена какой-то формой уведомления о том, что эта самая авторизация идет не через секурный канал.

И это все. Никакой "границы на замке". Никаких штрафов. Никаких приговоров в виде баннеров на все окно браузера. Только иконка + нотификация в поле ввода пароля. Или просто нотификация в поле пароля: [ссылка, 4.bp.blogspot.com]

Вывод: ВСЕГДА нужно в первую очередь искать первоисточники :)))

Что же до long-term... А что long-term? Эти планы могут исчисляться годами и десятилетиями ;) Вполне возможно, что через такой интервал времени HTTP просто вымрет.
54  SaAnVi
tzar
30.11.2016 16:17
> Мы обсуждаем то, что пока даже НЕ ПЛАНИРУЕТСЯ!!!

В смысле? Гогел сам об этом уже год орёт, сейчас подключились хостеры, распродающие "сертификаты занедорого".

Лично я буду только рад, если весь этот сыр-бор по итогу останется лишь попыткой обобрать вебмастеров на фоне пшика.
55  SaAnVi
tzar
30.11.2016 16:21
Вот тебе первоисточник (ещё от 2014-го). [ссылка, webmasters.googleblog.com]

Ещё вопросы? :)
56  ZlydenGL
знаток
30.11.2016 16:29
Ну тут ровно два варианта: либо я все-таки что-то не нашел/упустил, либо речь все-таки ТОЛЬКО о Хромом браузере (поисковую выдачу никто трогать не будет), и даже в разрезе браузера ничего блокирующего даже на уровне UE не будет - лишь предупреждения.

А орет гугель про тот самый long-term plan to mark all HTTP sites as non-secure - только не орет, а планомерно двигает с 2014 года :) Просто до этого момента была фаза сбора статистической информации.

> Ещё вопросы? :)

А в этой статье вообще ни слова про конкретные планы какбэ :) Только предложение нового видения best-practices. Обрати внимание: ни слова про ранжирование выдачи, ни слова о "блокировочном" поведении для HTTP. Только рекомендации и обоснование, а также общие планы на ближайшее будущее ;)
57  SaAnVi
tzar
30.11.2016 16:31
> поисковую выдачу никто трогать не будет

По ссылке ясно написано - будет.
58  ZlydenGL
знаток
30.11.2016 16:33
> По ссылке ясно написано - будет.

ГДЕ?!! о_О Нету, несколько раз вверх-вниз перечитал. Ткни фейсиком ап тейбл?
59  SaAnVi
tzar
30.11.2016 16:33
> Обрати внимание: ни слова про ранжирование выдачи
We've seen positive results, so we're starting to use HTTPS as a ranking signal.
Ну, ни слова - так ни слова.
60  ZlydenGL
знаток
30.11.2016 16:35
А ты дальше прочитай:

> For now it's only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content

1%, на минуточку, это уровень статистической погрешности ;) И дальше:

> But over time, we may decide to strengthen it

Во-первых, нет определения времени (года? десятилетия), во-вторых - MAY DECIDE. Не will strengthen. Не may strengthen - MAY DECIDE.

 

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 1812 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

группа ВКонтакте Telegram Канал RuTube Яндекс.Дзен Канал YouTube
 
Яндекс.Метрика Top.Mail.Ru
EC: 1205
новостя
01.07.2025
статья: ИИ: революция с инволюционным уклоном
25.06.2025
рецензия: Кракен
19.06.2025
рецензия: Новичок
06.06.2025
банная: Круассаньё
02.06.2025
рецензия: Источник вечной молодости
20.05.2025
рецензия: Дроп
14.05.2025
рецензия: Царевна-лягушка
10.05.2025
ремикс: Садово-огородный рэп
07.05.2025
статья: SSD M.2: подвох, которого не ожидаешь
22.04.2025
статья: Компьютерные страшилки
все новости ▶

 

популярЪ

1. статья: ИИ: революция с инволюционным уклоном

2. статья: Тёплый ламповый звук и сферический винил в вакууме

3. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

4. музыкальная пародия: Винда

5. статья: Отключение ненужных служб Windows

6. музыкальная пародия: Комп налаживается

7. статья: Как удалить "Интернет Цензор" с паролем

8. А вы думали, только компьютерные мошенники используют идиотские..

9. статья: Мастеринг: Izotope Ozone

10. статья: SSD: неожиданная опасность

весь TOP ▶

 

крайние каменты

1. статья: ИИ: революция с инволюционным уклоном

2. блог: упгрейд, реформа, гуглплей

3. блог: Водительский ад

4. блог: Новый почтовый развод

5. блог: Налоги в России выше, чем в Америке

6. блог: Унитазные страсти

7. рецензия: Кракен

8. блог: Искусственный интеллект, и почему он терпит поражение

9. блог: масло, купалово, паранойя

10. блог: Интернет уже не тот

 

на сайте
гости: 3

статистика за 10 минут

юзеры ▶
изображениезакрыть
dummy