SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпота вкладка меню  житотасцылкиблогдумырецензиипоржатьфотоотчёты
^
SaAnVi.Ru
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотоотчёты
Don't speak Russian?В избранноеПодписка РейтингАктивностьПоддержать

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайтГорячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

29.05.2020 Святые 90-е

25.05.2020 поплавок, 360TSE, Стрельцов

21.05.2020 ВРПВ: куропатки, порядочность, Palast Orchester, умные

18.05.2020 яйцо, мотылёк, Директ

14.05.2020 Здравствуйте. Вы проживаете в Московской области?..

13.05.2020 Как ВКонтакте меня за авторские права шпынял, да треки мои блочил

12.05.2020 ВРПВ: Лэйн, чипирование, предстояние

11.05.2020 морковка, WiFi, вопрос

09.05.2020 День Победы

08.05.2020 Заимствования треков в российской музыке

весь блог >>

 

подпишизь

RSS новости RSS комментарии

Обсуждение статьи:
Google подкладывает всем свинью с 2017-го

 

 

 

 

31  SaAnVi
tzar
30.11.2016 12:37
> StartSSL в этом плане лучше... Но

Лично я для всех своих сайтов сгенерил сертификат аж года до хрен знает там какого, чтобы админством заниматься. А тут смотри за ними, когда они там через год кончаются, заменяй...
32  CTPAHHuK
свой человек
30.11.2016 12:38
> Отчего же раньше не обнаруживали? Лет этак двадцать пять.

Времена меняются.
Telnet тоже 25 лет был королем.

>кстати, именно поэтому государство(а) будут до последнего препятствовать HTTPS

Не препятствуют, а пытаются возглавить. Например, сделав ГОСТ обязательным на территории РФ.

>к сайту с сиськами и котиками.

Сиськи и котики давно уже в разных ОК и дугих ВК, в которых администрация озаботиться получением сертификатов. А мизирное количество оставшихся сайтов-хобби будут добавлены в исключения Хрома постоянными их посетителями.
33  SaAnVi
tzar
30.11.2016 12:39
> Сертификат того же домена ты никак не подсунешь

А зачем подсовывать того же? Подсунь "бесплатный", чтобы всё зеленым-зелено, если дебил не удосужился на ссылку посмотреть, будет он сертификаты там смотреть-проверять.

> СА имеет возможность в любой момент отозвать сертификат

Угу, а плохих сайтов вообще быть в интернете не должно, но их помойка, как и всяких "абузоустойчивых" хостингов, которые хрен чего закроют и т.д.

> создать И ПОДДЕРЖИВАТЬ фишинговый сайт на HTTPS сложнее даже не в разы, а НА ПОРЯДКИ

Только что бесплатный сертификат и поставить. На порядки, да.
34  SaAnVi
tzar
30.11.2016 12:41
> Не препятствуют, а пытаются возглавить

А как возглавишь без расшифровки?

> мизирное количество оставшихся сайтов-хобби

Сотни миллионов сайтов я бы "мизерным количеством" не назвал.
35  ZlydenGL
знаток
30.11.2016 12:48
> всяких "абузоустойчивых" хостингов

Абузоустойчивый хостинг и абузоустойчивый СА - вещи разные :) Последнего ИМХО никогда не будет - или его дерево будет сразу выпиливаться.

> Только что бесплатный сертификат и поставить. На порядки, да.

А ты ограничения бесплатных сертификатов видел? ;) Например при открытии стартовой страницы Сберовского банк-клиента в адресной строке в имени сертификата отображается "Sberbank of Russia (RU)". ХРЕН ты так сделаешь с бесплатным сертификатом :)))

Плюс не забывай, что у бесплатных СА тоже есть своя абуз служба. Она может реагировать не так быстро, как у коммерческих собратьев, но реагировать будет. Например, у StartSSL прямо на сайте написано:

> If you have encountered certificate or secured seal which is issued or used incorrectly, please report it to us, thanks.
36  SaAnVi
tzar
30.11.2016 12:52
> абузоустойчивый СА - вещи разные :) Последнего ИМХО никогда не будет

Угу, в интернете много чего "не есть". :)

> при открытии стартовой страницы Сберовского банк-клиента в адресной строке в имени сертификата отображается "Sberbank of Russia (RU)". ХРЕН ты так сделаешь

Повторяю: если дебил не смотрит на домен - он на имя сертификата смотреть будет? В случае с фишингом на HTTP ты говоришь - вот, фишинг, вот HTTP "виноват". Юзер не посмотрел на домен. В случае с HTTPS - юзер не посмотрел на домен, но внезапно посмотрел, что там на зелёной херне написано? :)))
37  SaAnVi
tzar
30.11.2016 12:58
А с другой стороны, ну чего я жалуюсь?

С начала 2017-го года от постоянных клиентов мне поступит куча заявок "убери нахер эту ёбань, которая всё предупреждает и предупреждает".

Заработаю.
38  CTPAHHuK
свой человек
30.11.2016 12:59
> А как возглавишь без расшифровки?

Ходят слюхи, что те шифры, что продвигают государства, имеют волшебную дверку.

> Сотни миллионов сайтов

Не верю!
Население России 130 млн. И каждый имеет свой хомячок?!
Даже в планетном масштабе не приходится говорить о сотнях миллионах хомяков.
Официальному же сайту предприятия выгоден https - труднее подделать.

Да и не переживай ты сильно об этом https. Ведь тебя никто не заставляет его внедрять, даже штрафом не грозят.
:)
39  ZlydenGL
знаток
30.11.2016 13:01
> в интернете много чего "не есть". :)

СА не из той оперы - наличие подобной шняги дискредитирует саму идеологию СА, поэтому выпилят 100%.

> он на имя сертификата смотреть будет?

Легко! Домен - он может и плохо читаться, а имя сертификата - вещь вполне user-friendly даже для бабушек-божьих-одуванчиков.

Плюс, как писал выше, фишинг с HTTPS СА просекут и отзовут сертификат на раз-два, после чего юзеру нужно будет "не заметить" не только неверное имя домена/сертификата, но и предупреждение браузера о кривом сертификате. В отличие от фишинга с HTTP, который может висеть на тех же абузоустойчивых серверах до бесконечности...
40  SaAnVi
tzar
30.11.2016 13:04
> Ходят слюхи, что те шифры, что продвигают государства, имеют волшебную дверку

Ну тогда и вся затея скомпрометирована...

> Не верю!

Я весь мир имел в виду. :) Согласно подсчётам (проверить невозможно, конечно) в мире уже миллиард сайтов. Не удивлюсь, поскольку формула 1сайт=1человек неверна. Знаю людей с сетками по 200-300 сайтов. Это говносайты, конечно, призванные продвигать другие говносайты, но - факт есть факт.

Да, нужные сайты в исключения добавят, это ясно. Хотя в Chrome так, допустим, не сделаешь (или сделаешь уже? раньше нельзя было).

> Ведь тебя никто не заставляет его внедрять

Заставляют под страхом отпугнуть потенциального посетителя.
41  SaAnVi
tzar
30.11.2016 13:05
> В отличие от фишинга с HTTP

И тем не менее, в фишинге с HTTP виноват не HTTP. :)
42  ZlydenGL
знаток
30.11.2016 13:09
> в фишинге с HTTP виноват не HTTP. :)

Естественно, а в случае ожогов виновато не пламя и не химикаты, а в случае электрического поражения виноваты не провода и тем более не подстанция :) Все перечисленное лишь реализует получение ВОЗМОЖНОСТИ того или иного урона, и уж 100% зависит от "последней мили" (в нашем случае юзера)! Но если бы пламя/химикаты не были в открытом доступе, как и оголенные провода - шансов заполучить все перечисленное было бы в разы меньше ;)
43  CTPAHHuK
свой человек
30.11.2016 13:16
> Ну тогда и вся затея скомпрометирована...

Не хочешь ГОСТ, используй другой шифр, разработанный известными криптологами.
А вдруг эти известные криптологи сговорились контролировать весь мир!
:)

> Знаю людей с сетками по 200-300

Тогда https очистит нас от этого дерьма.
Да придет HTTPS!
:)
44  SaAnVi
tzar
30.11.2016 13:59
> Но если бы пламя/химикаты не были в открытом доступе, как и оголенные провода

Ты просто сравниваешь оголённые провода, допустим, диаметром 1мм, и диаметром 10мм. И уверяешь, что от одних ёбнет, а от других - нет. :)

> Тогда https очистит нас от этого дерьма

О, как ты заблуждаешься! Какое бы благое начинание против "этого дерьма" ни начиналось, дерьмо всегда выигрывает. Это они наплодят сертификатов, что-нибудь там придумают с валидацией, заведут "абузоустойчивые сертификационные центры" - в общем, найдут способ, как ещё больше ухудшить положение. Чего стоят ничем не закончившиеся попытки поисковиков бороться со ссылконакруткой... Гугел первый это понял и по сути скрыл PR - это Гугел-то! Яндекс трепыхается, но исход немного предсказуем...
45  ZlydenGL
знаток
30.11.2016 14:39
> Ты просто сравниваешь оголённые провода

Не, в аналогии HTTP - провод оголенный, а вот HTTPS - "завернутый" в изоляцию, ну или хотя бы разведенный по коробке :)

> заведут "абузоустойчивые сертификационные центры"

Во-первых, не заведут, потому что мало сделать свой СА - надо его рутовый сертификат еще подсунуть пользователям (иначе сертификаты такого СА все равно будут триггерить сообщение "плохой сертификат" в браузерах).

Во-вторых, если вдруг действительно заведутся такие "абузоустойчивые СА" - у браузеров тут же появится черный список таких СА, и их сертификаты точно так же будут помечаться как невалидные, хоть апстену ты убейся :)

Ты просто не догоняешь, что доля абузоутойчивых хостингов на самом деле не шибко большая, поэтому поводу них мало кто кипишует. СА, особенно на коммерческом срезе - совсем другой коленкор! Поверь, ни ты, ни я, ни один владелец абузоустойчивой фигни не захочет ни разу в жизни попасть в черные списки тандемов типа THAWTE/Symantec. Слишком уж чревато.
46  SaAnVi
tzar
30.11.2016 15:36
> в аналогии HTTP - провод оголенный, а вот HTTPS - "завернутый" в изоляцию

Уточнение ожидаемо, но всё равно неясно, что заставляет человека браться за оголённый провод. И почему 25 лет никого это особенно не интересовало, а тут вдруг.
47  ZlydenGL
знаток
30.11.2016 15:43
> всё равно неясно, что заставляет человека браться за оголённый провод

Почему обязательно браться? Можно случайно задеть!

> И почему 25 лет никого это особенно не интересовало, а тут вдруг.

25 лет назад висели пара оголенных проводов на ...цать квадратных кэмэ и мало кому мешали, а в наши дни они свистают чуть ли не с каждого столба ;) Вот и озаботились.

Если шагнешь назад во времени, увидишь интервал, когда HTTP был, а HTTPS еще нет. И на момент появления HTTPS почему-то никто не говорил, что нафиг он не нужен, ибо сколько лет уже без него живем - и ничего :) То же самое было с переходами NCP -> TCP/IP, "звезда" -> доменные имена и т.д.

Сейчас "всего лишь" очередной переломный момент в структуре сети Интернет, и нельзя сказать, что этот момент однозначно плох - ровно как это нельзя (было) сказать про все предыдущие переломные моменты ;)
48  SaAnVi
tzar
30.11.2016 15:49
> И на момент появления HTTPS почему-то никто не говорил, что нафиг он не нужен

Так никто и не говорит, что он не нужен. Это опция, нужная для вполне определённых целей, и нафиг не нужная для других. Зачем мне в городской малолитражке сиденья из крокодила? Даже не так: меня собираются штрафовать ГИБДДшники за то, что в моей городской малолитражке сиденья не из крокодила.
49  ZlydenGL
знаток
30.11.2016 15:53
Скорее можно сравнить с лысой резиной (без поправки на гоночную :D) и нормальным протектором. Понятное дело, что где-то можно и на лысой ездить, и вообще, 25 лет ездили - и ничего... Но если посмотреть на ситуацию шире - 25 лет назад таких загрузок, таких дорог, таких автомобилей и таких скоростей передвижения просто не было. Поэтому сейчас тебя гиббон за лысую резину будет штрафовать, хотя раньше мог просто предупредить ;)

Но даже эта аналогия не в полной мере отражает реальность, поскольку за HTTP никто штрафовать не собирается! Речь будет идти лишь о предупреждениях.
50  SaAnVi
tzar
30.11.2016 15:55
> Скорее можно сравнить с лысой резиной

А вот и нет. Лысая резина - угроза безопасности. Какая кому угроза безопасности от отсутствия HTTPS на моём хомяке?

> Речь будет идти лишь о предупреждениях

Которые равносильны приговору. Если юзер видит "этот сайт потенциально небезопасен" - только последний идиот будет жмякать.
51  ZlydenGL
знаток
30.11.2016 16:02
> А вот и нет. Лысая резина - угроза безопасности. Какая кому угроза безопасности от отсутствия HTTPS на моём хомяке?

А какая кому угроза безопасности от лысой резины на проселке от Ново-Урюково до Старофоминска? Тоже же кажется, что безопасно, ибо "хомяки".

А если брать ГЛОБАЛЬНОЕ видение ситуации, то тут появляются и неоднократно упомянутый мной фишинг, и упомянутая Странником подмена/дополнение контента на пути, и еще чертова уйма "деталей" ;)

> Которые равносильны приговору

Насколько я понял - мы пока не знаем, что там за приговор будет :) Может это будет просто инфополоса + уточнение в поисковой выдаче, а не баннер вида "караул, по ссылке ниже виряки и трояны категории 'капец железу'" (кстати, что-то давно Лукьяненко не перечитывал) - то ни о каком приговоре речи не будет...

Ты кстати сравнивал нагрузку от шифрованного и нешифрованного канала? ;) Сколько там дельта получилась?
52  SaAnVi
tzar
30.11.2016 16:06
> А какая кому угроза

Какая кому угроза безопасности от отсутствия HTTPS на моём хомяке?

> мы пока не знаем, что там за приговор будет

Была инфа, что даже приоритет в выдаче сайтам с HTTPS будет. Что тоже бред, в общем, как и вся затея.
53  ZlydenGL
знаток
30.11.2016 16:11
Блин, это какая-то оборжака :)))

Мы обсуждаем то, что пока даже НЕ ПЛАНИРУЕТСЯ!!!

На данный момент речь идет лишь об иконке в адресной строке, и то не везде, а лишь при передаче личной информации, как пароль или номер банковской карты :)

> Beginning in January 2017 (Chrome 56), we’ll mark HTTP pages that collect passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure. [ссылка, security.googleblog.com]

Что это означает с точки зрения, к примеру, сайта саанви.ру? А ничего :) Не будет никаких предупреждений, за одним-единственным исключением - формы авторизации, которая будет снабжена какой-то формой уведомления о том, что эта самая авторизация идет не через секурный канал.

И это все. Никакой "границы на замке". Никаких штрафов. Никаких приговоров в виде баннеров на все окно браузера. Только иконка + нотификация в поле ввода пароля. Или просто нотификация в поле пароля: [ссылка, 4.bp.blogspot.com]

Вывод: ВСЕГДА нужно в первую очередь искать первоисточники :)))

Что же до long-term... А что long-term? Эти планы могут исчисляться годами и десятилетиями ;) Вполне возможно, что через такой интервал времени HTTP просто вымрет.
54  SaAnVi
tzar
30.11.2016 16:17
> Мы обсуждаем то, что пока даже НЕ ПЛАНИРУЕТСЯ!!!

В смысле? Гогел сам об этом уже год орёт, сейчас подключились хостеры, распродающие "сертификаты занедорого".

Лично я буду только рад, если весь этот сыр-бор по итогу останется лишь попыткой обобрать вебмастеров на фоне пшика.
55  SaAnVi
tzar
30.11.2016 16:21
Вот тебе первоисточник (ещё от 2014-го). [ссылка, webmasters.googleblog.com]

Ещё вопросы? :)
56  ZlydenGL
знаток
30.11.2016 16:29
Ну тут ровно два варианта: либо я все-таки что-то не нашел/упустил, либо речь все-таки ТОЛЬКО о Хромом браузере (поисковую выдачу никто трогать не будет), и даже в разрезе браузера ничего блокирующего даже на уровне UE не будет - лишь предупреждения.

А орет гугель про тот самый long-term plan to mark all HTTP sites as non-secure - только не орет, а планомерно двигает с 2014 года :) Просто до этого момента была фаза сбора статистической информации.

> Ещё вопросы? :)

А в этой статье вообще ни слова про конкретные планы какбэ :) Только предложение нового видения best-practices. Обрати внимание: ни слова про ранжирование выдачи, ни слова о "блокировочном" поведении для HTTP. Только рекомендации и обоснование, а также общие планы на ближайшее будущее ;)
57  SaAnVi
tzar
30.11.2016 16:31
> поисковую выдачу никто трогать не будет

По ссылке ясно написано - будет.
58  ZlydenGL
знаток
30.11.2016 16:33
> По ссылке ясно написано - будет.

ГДЕ?!! о_О Нету, несколько раз вверх-вниз перечитал. Ткни фейсиком ап тейбл?
59  SaAnVi
tzar
30.11.2016 16:33
> Обрати внимание: ни слова про ранжирование выдачи
We've seen positive results, so we're starting to use HTTPS as a ranking signal.
Ну, ни слова - так ни слова.
60  ZlydenGL
знаток
30.11.2016 16:35
А ты дальше прочитай:

> For now it's only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content

1%, на минуточку, это уровень статистической погрешности ;) И дальше:

> But over time, we may decide to strengthen it

Во-первых, нет определения времени (года? десятилетия), во-вторых - MAY DECIDE. Не will strengthen. Не may strengthen - MAY DECIDE.

 

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 1144 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

ВКонтакте Facebook Яндекс.Дзен Канал YouTube Soundcloud
 
Яндекс.Метрика Top.Mail.Ru
EC: 797
новостя
27.05.2020
рецензия: Тайлер Рейк: Операция по спасению
24.05.2020
статья: Всё, что нужно знать о тепловых насосах
18.05.2020
статья: Software_Reporter_Tool.exe: очередной "подарок" от Google Chrome
18.05.2020
статья: Нужно ли форматировать SSD
15.05.2020
музыка MODs: Fall from sky
03.05.2020
музыка MODs: Infinity
01.05.2020
статья: Firefox: что-то пошло не так
22.04.2020
статья: Как улучшить интернет на модеме 3G/4G
15.04.2020
музыка MODs: Uralvolga fine
15.04.2020
новый музыкальный раздел: MODs
все новости >>

 

популярЪ

1. статья: Тёплый ламповый звук и сферический винил в вакууме

2. статья: Всё, что нужно знать о тепловых насосах

3. рецензия: Тайлер Рейк: Операция по спасению (Эвакуация, Extraction)

4. статья: Software_Reporter_Tool.exe: очередной "подарок" от Google Chrome

5. музыкальная пародия: Винда

6. статья: Файл подкачки на SSD

7. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

8. статья: Firefox: что-то пошло не так

9. статья: Как удалить "Интернет Цензор" с паролем

10. статья: Отключение ненужных служб Windows

весь TOP >>

 

последния каменты

1. блог: Святые 90-е

2. блог: Новый почтовый развод

3. блог: поплавок, 360TSE, Стрельцов

4. статья: Аналог vs Цифра: бой, которого не было

5. статья: Windows 10: чёрный экран и курсор

6. статья: Всё, что нужно знать о тепловых насосах

7. рецензия: Тайлер Рейк: Операция по спасению (Эвакуация, Extraction)

8. блог: Здравствуйте. Вы проживаете в Московской области?..

9. блог: Как ВКонтакте меня за авторские права шпынял, да треки мои блочил

10. блог: яйцо, мотылёк, Директ

 

нынче на сайте
гости: 2

статистика за 10 минут
юзеры >>
изображениезакрыть
dummy