| SaAnVi.Ru - пародии - фотоприколы - банная - политота - компота |
| житота - сцылки - блог - думы - рецензии - поржать - фотоотчёты |
| SaAnVi.Ru - пародии - фотоприколы - банная - политота - компота |
| житота - сцылки - блог - думы - рецензии - поржать - фотоотчёты |
|
Обсуждение статьи:
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 31 SaAnVi | 30.11.2016 12:37 |
| > StartSSL в этом плане лучше... Но Лично я для всех своих сайтов сгенерил сертификат аж года до хрен знает там какого, чтобы админством заниматься. А тут смотри за ними, когда они там через год кончаются, заменяй... | |
| 32 CTPAHHuK | 30.11.2016 12:38 |
| > Отчего же раньше не обнаруживали? Лет этак двадцать пять. Времена меняются. Telnet тоже 25 лет был королем. >кстати, именно поэтому государство(а) будут до последнего препятствовать HTTPS Не препятствуют, а пытаются возглавить. Например, сделав ГОСТ обязательным на территории РФ. >к сайту с сиськами и котиками. Сиськи и котики давно уже в разных ОК и дугих ВК, в которых администрация озаботиться получением сертификатов. А мизирное количество оставшихся сайтов-хобби будут добавлены в исключения Хрома постоянными их посетителями. | |
| 33 SaAnVi | 30.11.2016 12:39 |
| > Сертификат того же домена ты никак не подсунешь А зачем подсовывать того же? Подсунь "бесплатный", чтобы всё зеленым-зелено, если дебил не удосужился на ссылку посмотреть, будет он сертификаты там смотреть-проверять. > СА имеет возможность в любой момент отозвать сертификат Угу, а плохих сайтов вообще быть в интернете не должно, но их помойка, как и всяких "абузоустойчивых" хостингов, которые хрен чего закроют и т.д. > создать И ПОДДЕРЖИВАТЬ фишинговый сайт на HTTPS сложнее даже не в разы, а НА ПОРЯДКИ Только что бесплатный сертификат и поставить. На порядки, да. | |
| 34 SaAnVi | 30.11.2016 12:41 |
| > Не препятствуют, а пытаются возглавить А как возглавишь без расшифровки? > мизирное количество оставшихся сайтов-хобби Сотни миллионов сайтов я бы "мизерным количеством" не назвал. | |
| 35 ZlydenGL | 30.11.2016 12:48 |
| > всяких "абузоустойчивых" хостингов Абузоустойчивый хостинг и абузоустойчивый СА - вещи разные :) Последнего ИМХО никогда не будет - или его дерево будет сразу выпиливаться. > Только что бесплатный сертификат и поставить. На порядки, да. А ты ограничения бесплатных сертификатов видел? ;) Например при открытии стартовой страницы Сберовского банк-клиента в адресной строке в имени сертификата отображается "Sberbank of Russia (RU)". ХРЕН ты так сделаешь с бесплатным сертификатом :))) Плюс не забывай, что у бесплатных СА тоже есть своя абуз служба. Она может реагировать не так быстро, как у коммерческих собратьев, но реагировать будет. Например, у StartSSL прямо на сайте написано: > If you have encountered certificate or secured seal which is issued or used incorrectly, please report it to us, thanks. | |
| 36 SaAnVi | 30.11.2016 12:52 |
| > абузоустойчивый СА - вещи разные :) Последнего ИМХО никогда не будет Угу, в интернете много чего "не есть". :) > при открытии стартовой страницы Сберовского банк-клиента в адресной строке в имени сертификата отображается "Sberbank of Russia (RU)". ХРЕН ты так сделаешь Повторяю: если дебил не смотрит на домен - он на имя сертификата смотреть будет? В случае с фишингом на HTTP ты говоришь - вот, фишинг, вот HTTP "виноват". Юзер не посмотрел на домен. В случае с HTTPS - юзер не посмотрел на домен, но внезапно посмотрел, что там на зелёной херне написано? :))) | |
| 37 SaAnVi | 30.11.2016 12:58 |
| А с другой стороны, ну чего я жалуюсь? С начала 2017-го года от постоянных клиентов мне поступит куча заявок "убери нахер эту ёбань, которая всё предупреждает и предупреждает". Заработаю. | |
| 38 CTPAHHuK | 30.11.2016 12:59 |
| > А как возглавишь без расшифровки? Ходят слюхи, что те шифры, что продвигают государства, имеют волшебную дверку. > Сотни миллионов сайтов Не верю! Население России 130 млн. И каждый имеет свой хомячок?! Даже в планетном масштабе не приходится говорить о сотнях миллионах хомяков. Официальному же сайту предприятия выгоден https - труднее подделать. Да и не переживай ты сильно об этом https. Ведь тебя никто не заставляет его внедрять, даже штрафом не грозят. :) | |
| 39 ZlydenGL | 30.11.2016 13:01 |
| > в интернете много чего "не есть". :) СА не из той оперы - наличие подобной шняги дискредитирует саму идеологию СА, поэтому выпилят 100%. > он на имя сертификата смотреть будет? Легко! Домен - он может и плохо читаться, а имя сертификата - вещь вполне user-friendly даже для бабушек-божьих-одуванчиков. Плюс, как писал выше, фишинг с HTTPS СА просекут и отзовут сертификат на раз-два, после чего юзеру нужно будет "не заметить" не только неверное имя домена/сертификата, но и предупреждение браузера о кривом сертификате. В отличие от фишинга с HTTP, который может висеть на тех же абузоустойчивых серверах до бесконечности... | |
| 40 SaAnVi | 30.11.2016 13:04 |
| > Ходят слюхи, что те шифры, что продвигают государства, имеют волшебную дверку Ну тогда и вся затея скомпрометирована... > Не верю! Я весь мир имел в виду. :) Согласно подсчётам (проверить невозможно, конечно) в мире уже миллиард сайтов. Не удивлюсь, поскольку формула 1сайт=1человек неверна. Знаю людей с сетками по 200-300 сайтов. Это говносайты, конечно, призванные продвигать другие говносайты, но - факт есть факт. Да, нужные сайты в исключения добавят, это ясно. Хотя в Chrome так, допустим, не сделаешь (или сделаешь уже? раньше нельзя было). > Ведь тебя никто не заставляет его внедрять Заставляют под страхом отпугнуть потенциального посетителя. | |
| 41 SaAnVi | 30.11.2016 13:05 |
| > В отличие от фишинга с HTTP И тем не менее, в фишинге с HTTP виноват не HTTP. :) | |
| 42 ZlydenGL | 30.11.2016 13:09 |
| > в фишинге с HTTP виноват не HTTP. :) Естественно, а в случае ожогов виновато не пламя и не химикаты, а в случае электрического поражения виноваты не провода и тем более не подстанция :) Все перечисленное лишь реализует получение ВОЗМОЖНОСТИ того или иного урона, и уж 100% зависит от "последней мили" (в нашем случае юзера)! Но если бы пламя/химикаты не были в открытом доступе, как и оголенные провода - шансов заполучить все перечисленное было бы в разы меньше ;) | |
| 43 CTPAHHuK | 30.11.2016 13:16 |
| > Ну тогда и вся затея скомпрометирована... Не хочешь ГОСТ, используй другой шифр, разработанный известными криптологами. А вдруг эти известные криптологи сговорились контролировать весь мир! :) > Знаю людей с сетками по 200-300 Тогда https очистит нас от этого дерьма. Да придет HTTPS! :) | |
| 44 SaAnVi | 30.11.2016 13:59 |
| > Но если бы пламя/химикаты не были в открытом доступе, как и оголенные провода Ты просто сравниваешь оголённые провода, допустим, диаметром 1мм, и диаметром 10мм. И уверяешь, что от одних ёбнет, а от других - нет. :) > Тогда https очистит нас от этого дерьма О, как ты заблуждаешься! Какое бы благое начинание против "этого дерьма" ни начиналось, дерьмо всегда выигрывает. Это они наплодят сертификатов, что-нибудь там придумают с валидацией, заведут "абузоустойчивые сертификационные центры" - в общем, найдут способ, как ещё больше ухудшить положение. Чего стоят ничем не закончившиеся попытки поисковиков бороться со ссылконакруткой... Гугел первый это понял и по сути скрыл PR - это Гугел-то! Яндекс трепыхается, но исход немного предсказуем... | |
| 45 ZlydenGL | 30.11.2016 14:39 |
| > Ты просто сравниваешь оголённые провода Не, в аналогии HTTP - провод оголенный, а вот HTTPS - "завернутый" в изоляцию, ну или хотя бы разведенный по коробке :) > заведут "абузоустойчивые сертификационные центры" Во-первых, не заведут, потому что мало сделать свой СА - надо его рутовый сертификат еще подсунуть пользователям (иначе сертификаты такого СА все равно будут триггерить сообщение "плохой сертификат" в браузерах). Во-вторых, если вдруг действительно заведутся такие "абузоустойчивые СА" - у браузеров тут же появится черный список таких СА, и их сертификаты точно так же будут помечаться как невалидные, хоть апстену ты убейся :) Ты просто не догоняешь, что доля абузоутойчивых хостингов на самом деле не шибко большая, поэтому поводу них мало кто кипишует. СА, особенно на коммерческом срезе - совсем другой коленкор! Поверь, ни ты, ни я, ни один владелец абузоустойчивой фигни не захочет ни разу в жизни попасть в черные списки тандемов типа THAWTE/Symantec. Слишком уж чревато. | |
| 46 SaAnVi | 30.11.2016 15:36 |
| > в аналогии HTTP - провод оголенный, а вот HTTPS - "завернутый" в изоляцию Уточнение ожидаемо, но всё равно неясно, что заставляет человека браться за оголённый провод. И почему 25 лет никого это особенно не интересовало, а тут вдруг. | |
| 47 ZlydenGL | 30.11.2016 15:43 |
| > всё равно неясно, что заставляет человека браться за оголённый провод Почему обязательно браться? Можно случайно задеть! > И почему 25 лет никого это особенно не интересовало, а тут вдруг. 25 лет назад висели пара оголенных проводов на ...цать квадратных кэмэ и мало кому мешали, а в наши дни они свистают чуть ли не с каждого столба ;) Вот и озаботились. Если шагнешь назад во времени, увидишь интервал, когда HTTP был, а HTTPS еще нет. И на момент появления HTTPS почему-то никто не говорил, что нафиг он не нужен, ибо сколько лет уже без него живем - и ничего :) То же самое было с переходами NCP -> TCP/IP, "звезда" -> доменные имена и т.д. Сейчас "всего лишь" очередной переломный момент в структуре сети Интернет, и нельзя сказать, что этот момент однозначно плох - ровно как это нельзя (было) сказать про все предыдущие переломные моменты ;) | |
| 48 SaAnVi | 30.11.2016 15:49 |
| > И на момент появления HTTPS почему-то никто не говорил, что нафиг он не нужен Так никто и не говорит, что он не нужен. Это опция, нужная для вполне определённых целей, и нафиг не нужная для других. Зачем мне в городской малолитражке сиденья из крокодила? Даже не так: меня собираются штрафовать ГИБДДшники за то, что в моей городской малолитражке сиденья не из крокодила. | |
| 49 ZlydenGL | 30.11.2016 15:53 |
| Скорее можно сравнить с лысой резиной (без поправки на гоночную :D) и нормальным протектором. Понятное дело, что где-то можно и на лысой ездить, и вообще, 25 лет ездили - и ничего... Но если посмотреть на ситуацию шире - 25 лет назад таких загрузок, таких дорог, таких автомобилей и таких скоростей передвижения просто не было. Поэтому сейчас тебя гиббон за лысую резину будет штрафовать, хотя раньше мог просто предупредить ;) Но даже эта аналогия не в полной мере отражает реальность, поскольку за HTTP никто штрафовать не собирается! Речь будет идти лишь о предупреждениях. | |
| 50 SaAnVi | 30.11.2016 15:55 |
| > Скорее можно сравнить с лысой резиной А вот и нет. Лысая резина - угроза безопасности. Какая кому угроза безопасности от отсутствия HTTPS на моём хомяке? > Речь будет идти лишь о предупреждениях Которые равносильны приговору. Если юзер видит "этот сайт потенциально небезопасен" - только последний идиот будет жмякать. | |
| 51 ZlydenGL | 30.11.2016 16:02 |
| > А вот и нет. Лысая резина - угроза безопасности. Какая кому угроза безопасности от отсутствия HTTPS на моём хомяке? А какая кому угроза безопасности от лысой резины на проселке от Ново-Урюково до Старофоминска? Тоже же кажется, что безопасно, ибо "хомяки". А если брать ГЛОБАЛЬНОЕ видение ситуации, то тут появляются и неоднократно упомянутый мной фишинг, и упомянутая Странником подмена/дополнение контента на пути, и еще чертова уйма "деталей" ;) > Которые равносильны приговору Насколько я понял - мы пока не знаем, что там за приговор будет :) Может это будет просто инфополоса + уточнение в поисковой выдаче, а не баннер вида "караул, по ссылке ниже виряки и трояны категории 'капец железу'" (кстати, что-то давно Лукьяненко не перечитывал) - то ни о каком приговоре речи не будет... Ты кстати сравнивал нагрузку от шифрованного и нешифрованного канала? ;) Сколько там дельта получилась? | |
| 52 SaAnVi | 30.11.2016 16:06 |
| > А какая кому угроза Какая кому угроза безопасности от отсутствия HTTPS на моём хомяке? > мы пока не знаем, что там за приговор будет Была инфа, что даже приоритет в выдаче сайтам с HTTPS будет. Что тоже бред, в общем, как и вся затея. | |
| 53 ZlydenGL | 30.11.2016 16:11 |
| Блин, это какая-то оборжака :))) Мы обсуждаем то, что пока даже НЕ ПЛАНИРУЕТСЯ!!! На данный момент речь идет лишь об иконке в адресной строке, и то не везде, а лишь при передаче личной информации, как пароль или номер банковской карты :) > Beginning in January 2017 (Chrome 56), we’ll mark HTTP pages that collect passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure. [ссылка, security.googleblog.com] Что это означает с точки зрения, к примеру, сайта саанви.ру? А ничего :) Не будет никаких предупреждений, за одним-единственным исключением - формы авторизации, которая будет снабжена какой-то формой уведомления о том, что эта самая авторизация идет не через секурный канал. И это все. Никакой "границы на замке". Никаких штрафов. Никаких приговоров в виде баннеров на все окно браузера. Только иконка + нотификация в поле ввода пароля. Или просто нотификация в поле пароля: [ссылка, 4.bp.blogspot.com] Вывод: ВСЕГДА нужно в первую очередь искать первоисточники :))) Что же до long-term... А что long-term? Эти планы могут исчисляться годами и десятилетиями ;) Вполне возможно, что через такой интервал времени HTTP просто вымрет. | |
| 54 SaAnVi | 30.11.2016 16:17 |
| > Мы обсуждаем то, что пока даже НЕ ПЛАНИРУЕТСЯ!!! В смысле? Гогел сам об этом уже год орёт, сейчас подключились хостеры, распродающие "сертификаты занедорого". Лично я буду только рад, если весь этот сыр-бор по итогу останется лишь попыткой обобрать вебмастеров на фоне пшика. | |
| 55 SaAnVi | 30.11.2016 16:21 |
| Вот тебе первоисточник (ещё от 2014-го). [ссылка, webmasters.googleblog.com] Ещё вопросы? :) | |
| 56 ZlydenGL | 30.11.2016 16:29 |
| Ну тут ровно два варианта: либо я все-таки что-то не нашел/упустил, либо речь все-таки ТОЛЬКО о Хромом браузере (поисковую выдачу никто трогать не будет), и даже в разрезе браузера ничего блокирующего даже на уровне UE не будет - лишь предупреждения. А орет гугель про тот самый long-term plan to mark all HTTP sites as non-secure - только не орет, а планомерно двигает с 2014 года :) Просто до этого момента была фаза сбора статистической информации. > Ещё вопросы? :) А в этой статье вообще ни слова про конкретные планы какбэ :) Только предложение нового видения best-practices. Обрати внимание: ни слова про ранжирование выдачи, ни слова о "блокировочном" поведении для HTTP. Только рекомендации и обоснование, а также общие планы на ближайшее будущее ;) | |
| 57 SaAnVi | 30.11.2016 16:31 |
| > поисковую выдачу никто трогать не будет По ссылке ясно написано - будет. | |
| 58 ZlydenGL | 30.11.2016 16:33 |
| > По ссылке ясно написано - будет. ГДЕ?!! о_О Нету, несколько раз вверх-вниз перечитал. Ткни фейсиком ап тейбл? | |
| 59 SaAnVi | 30.11.2016 16:33 |
> Обрати внимание: ни слова про ранжирование выдачи We've seen positive results, so we're starting to use HTTPS as a ranking signal.Ну, ни слова - так ни слова. | |
| 60 ZlydenGL | 30.11.2016 16:35 |
| А ты дальше прочитай: > For now it's only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content 1%, на минуточку, это уровень статистической погрешности ;) И дальше: > But over time, we may decide to strengthen it Во-первых, нет определения времени (года? десятилетия), во-вторых - MAY DECIDE. Не will strengthen. Не may strengthen - MAY DECIDE. | |
↑ к началу комментариев ↑↑ к началу страницы
Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.
Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.
| |
| 27.05.2020 | |
| рецензия: Тайлер Рейк: Операция по спасению | |
| 24.05.2020 | |
| статья: Всё, что нужно знать о тепловых насосах | |
| 18.05.2020 | |
| статья: Software_Reporter_Tool.exe: очередной "подарок" от Google Chrome | |
| 18.05.2020 | |
| статья: Нужно ли форматировать SSD | |
| 15.05.2020 | |
| музыка MODs: Fall from sky | |
| 03.05.2020 | |
| музыка MODs: Infinity | |
| 01.05.2020 | |
| статья: Firefox: что-то пошло не так | |
| 22.04.2020 | |
| статья: Как улучшить интернет на модеме 3G/4G | |
| 15.04.2020 | |
| музыка MODs: Uralvolga fine | |
| 15.04.2020 | |
| новый музыкальный раздел: MODs |
| |
|
1. статья: Тёплый ламповый звук и сферический винил в вакууме 2. статья: Всё, что нужно знать о тепловых насосах 3. рецензия: Тайлер Рейк: Операция по спасению (Эвакуация, Extraction) 4. статья: Software_Reporter_Tool.exe: очередной "подарок" от Google Chrome 6. статья: Файл подкачки на SSD 7. статья: RUCELF UPI-400-12-EL: лучше, чем ничего 8. статья: Firefox: что-то пошло не так |
| |
|
2. блог: Новый почтовый развод 3. блог: поплавок, 360TSE, Стрельцов 4. статья: Аналог vs Цифра: бой, которого не было 5. статья: Windows 10: чёрный экран и курсор 6. статья: Всё, что нужно знать о тепловых насосах 7. рецензия: Тайлер Рейк: Операция по спасению (Эвакуация, Extraction) 8. блог: Здравствуйте. Вы проживаете в Московской области?.. 9. блог: Как ВКонтакте меня за авторские права шпынял, да треки мои блочил |
| |
|
гости: 2 статистика за 10 минут |
поиск Яндекса по сайту
+0
