Google подкладывает всем свинью с 2017-го

опубликовано:  29.11.2016  <весь блог>

Google подкладывает вебмастерам (да и юзерам) свинью с 1-го января 2017-го года. Вебмастеров он сподвигает заплатить кучу денег (причём не самому Google), а юзерам будет мельтешить перед глазами идиотским пугающим сообщением.

Не знаю, как это будет выглядеть, но они собрались помечать сайты, которые не используют HTTPS (защищённое шифрованное соединение) специальным сообщением типа "сайт небезопасен!!11!1!".

Зачем нужен HTTPS? Как говорилось выше, для установления защищённого соединения, которое не сможет прослушать никто. Теоретически не сможет - это во-первых; а во-вторых - есть веские предположения, что на HTTPS скоро таки наедут в законодательном режиме, обяжут провайдеров устанавливать специальный "духовно-скрепный российский сертификат", и прослушивание всё же будет возможным.

Но мякотка не в этом! Зачем, например, вам нужен HTTPS на моём сайте? Ответ: абсолютно незачем! Как и на миллионах подобных информационно-развлекательных ресурсах. Он нужен только там, где действительно требуется защитить соединение. На банковских ресурсах, финансовых и т.п. Там, где действительно необходимо избегать "подглядывания". От того, что кто-нибудь "подглядит" ваш пароль к, допустим, аккаунту на моём хомячке, никому не будет ни жарко, ни холодно. А вот если кто-то "подглядит" пароль к банк-клиенту - последствия будут немного предсказуемы. Именно поэтому все ресурсы, где шифрованное соединение необходимо, давно его сделали.

Может возникнуть вопрос: а чего бы не сделать HTTPS у себя на сайте, и спать спокойно? Дело в том, что HTTPS у меня давно есть. Но, в случае с сертификатами HTTPS, кто-то придумал, что сертификат должен быть подписан неким авторизованным центром. И делается это за деньги. Подписанный, "правильный" сертификат может стоить по-разному; но в любом случае, это будут десятки евро! Мне сейчас предлагают сертификат "по очень низкой цене" всего в 16€. Только вдумайтесь: заплатить в никуда больше тысячи рублей, чтобы...

Чтобы вонючий Google не пометил мой сайт как "небезопасный"?

Если вы попробуете зайти на мой сайт через HTTPS, в большинстве браузеров вы увидите предупреждение о том, что сертификат "самоподписанный" (или "неподписанный"), и что сайт опять "может быть небезопасен". Это бред, но это так. Т.е., мой сайт в Chrome будет выдаваться по-любому "небезопасным". Без HTTPS - "небезопасен". C HTTPS - "небезопасен", потому что сертификат не подписан "авторизованным центром".

При этом, HTTPS у меня - совершенно реальный, без балды. Пользуйтесь на здоровье, если хотите. :) Нужно только добавить исключение для сертификата (в Firefox это возможно, в Chrome - нет; кто бы сомневался, вы ещё используете Chrome?)...

Я и так Google никогда не любил. Но теперь буду люто-бешено выкорчёвывать его везде, где только увижу (клиентских машин у меня много). Буду давать ссылки на этот материал. Корпорация диктует всем свои правила давно, но сейчас она переходит все границы. Кто-то в Google подумал жопой вместо головы (что неудивительно, вы знаете, о чём я :).

©2016, Анатолий Савенков

комментариев: 90

блог по годам: 2005 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024

Комментарии

страницы: 1 2 3

61  SaAnVi tzar	30.11.2016 16:36
But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS "А в остальном, прекрасный наш вебмастер"... Кстати, как они тонко завуалировали "мы просто хотим взъебать всех сайтодержателей"... :)
+0

62  ZlydenGL знаток	30.11.2016 16:38
Как бы там ни было, никакого strengthen на 2017 год, помимо вышеописанных модификаций в движке Хромого, нет и не предвидится - а значит и никакой хрюшки в наличии нету ;)
+0

63  Генрих_Лиговский tramvision.ru	30.11.2016 19:47
> Призываю в каменты Генриха. Он у нас, вроде бы, любитель хромого? А на его сайтах HTTPS отсутствует. Ща побаттхёртим. :) Ученый опять изнасиловал журналиста? Beginning in January 2017 (Chrome 56), we’ll mark HTTP pages that collect passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure.
+0

64  SaAnVi tzar	01.12.2016 04:23
> we’ll mark HTTP pages that collect passwords Тебе этого мало? У тебя тоже сайт коллектУет пассвордА. :)
+0

65  ZlydenGL знаток	01.12.2016 10:01
Толь, еще раз - помечена будет ТОЛЬКО та страница, где есть ввод пароля - или номера кредитки - если эта страница не перла через HTTPS :) Остальные - ВСЕ ОСТАЛЬНЫЕ! - страницы сайта не будут затронуты НИКАК. Может быть в 2018 году Гугель продолжит затягивать гайки, но в планах на 17 год никакого затяжения помимо цитированного мной и Генрихом просто нет ;)
+0

66  SaAnVi tzar	01.12.2016 14:20
> помечена будет ТОЛЬКО та страница Это где такое сказано?
+0

67  ZlydenGL знаток	01.12.2016 14:45
[локальная ссылка] ;) > Что это означает с точки зрения, к примеру, сайта саанви.ру? А ничего :) Не будет никаких предупреждений, за одним-единственным исключением - формы авторизации, которая будет снабжена какой-то формой уведомления о том, что эта самая авторизация идет не через секурный канал.
+0

68  SaAnVi tzar	01.12.2016 16:01
Не факт. На данный момент, никто не знает, будут ли помечены конкретные страницы или весь домен. А участие HTTPS в pagerank можно считать подтверждённым.
+0

69  ZlydenGL знаток	01.12.2016 16:06
Вообще-то знают, Толь - по ссылке из моего сообщения перейди? Там нет НИ СЛОВА о пометке домена целиком - зато прямо говорится, что помечаться будут ТОЛЬКО страницы, попадающие под критерий. А может будет помечаться даже не сама страница, а только поля ввода - как на скриншоте (который я тоже прикрепил) ;) И по поводу pagerank ты тоже бежишь впереди паровоза :)
+0

70  SaAnVi tzar	02.12.2016 10:38
> по поводу pagerank ты тоже бежишь впереди паровоза Я-то бегу впереди, поскольку понимаю, к чему дело движется. Остальные сидят в паровозе и мчатся к заветному тупику.
+0

71  ZlydenGL знаток	02.12.2016 10:58
Ну давай попробуем суммировать :) В исходной заметке ты пишешь: > они собрались помечать сайты, которые не используют HTTPS (защищённое шифрованное соединение) специальным сообщением типа "сайт небезопасен!!11!1!". Открываем планы на 2017 год [локальная ссылка] - видим, что НИ О КАКОЙ пометке САЙТОВ речи не идет, речь лишь о модификации поведения одного движка браузера и только для ОЧЕНЬ узкоспециализированных СТРАНИЦ! Тогда может быть речь идет о ДОЛГОСРОЧНЫХ планах? Но даже в долгосрочных планах речь идет лишь о том, что > In following releases, we will continue to extend HTTP warnings, for example, by labelling HTTP pages as “not secure” in Incognito mode, *where users may have higher expectations of privacy* Возможности выделения жирным не предусмотрено, выделил "интернационально" :) Суть в том, что Гугель собирается помечать СТРАНИЦЫ, а не сайты, и не все страницы, а лишь те, которые могут сказаться на утечках персональных данных пользователей. Повторюсь, с точки зрения сайта саанви.ру это означает, что отмечаться ЛЮБЫМ образом будет ТОЛЬКО ДВЕ СТРАНИЦЫ: авторизация и настройки. Все! Абсолютно все остальные страницы не будут помечены НИКАК. Далее ты пишешь, что > на HTTPS скоро таки наедут в законодательном режиме, обяжут провайдеров устанавливать специальный "духовно-скрепный российский сертификат", и прослушивание всё же будет возможным. И снова ошибаешься - одна установка "госсертификата" на стороне ПРОВАЙДЕРА НИКАК НЕ СКАЖЕТСЯ на возможностях производить атаки MiTM, а значит НИКАК НЕ СКАЖЕТСЯ на возможности "прослушки" HTTPS траффика. > Зачем, например, вам нужен HTTPS на моём сайте? Ответ: абсолютно незачем! И снова есть проблемка :) Дело в том, что аутентификацию, которая передается через HTTP, можно перехватить на любом ключевом коммутаторе. Это абсолютно нерелевантно, к примеру, для меня, поскольку у меня пароли к разным сайтам значительно разнятся, но все ли пользователи используют ту же парадигму? А ты сам, Толя? Не опасаешься, что при использовании одинаковых - или СХОЖИХ - паролей твои админки к этому/другим сайтам тупо брутфорснут? Ну с хомяка у тебя потери будет мало - а с других ресурсов? Так правда ли ты понимаешь, к чему дело движется, или сам действуешь в области заблуждений? ;)
+0

72  ZlydenGL знаток	02.12.2016 11:07
Теперь что касается поисковой выдачи - другой "страшилки" Гугля. Открываем твою же ссылку [ссылка, webmasters.googleblog.com] и читаем: > For now it's only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content Что это означает на деле? Это означает, что если в выдаче есть два СОСЕДНИХ сайта, которым ГуглоПанда присвоила почти одинаковые позиции - то в этом случае наличие HTTPS на запрашиваемых страницах одного из сайтов МОЖЕТ сказаться на порядке выдачи, и в выдаче будет сначала сайт с HTTPS страницей, а следом сайт с HTTP. А может и не сказаться, если веса индикатора "есть HTTPS" не хватит, что "пересилить" "хорошесть" сайта с HTTP :) И это все! Наличие/отсутствие HTTPS не выкинет автоматически сайт в топ поиска, и не уберет сайт на n+1 страницу. Даже номер страницы в выдаче не поменяет, за исключением каких-то уж совсем частных случаев. Кто не верит - гуглите [ссылка, www.google.com] :))) Так что опять возникает вопрос - а был ли мальчик? (с) :D
+0

73  SaAnVi tzar	02.12.2016 11:10
> с точки зрения сайта саанви.ру это означает, что отмечаться ЛЮБЫМ образом будет ТОЛЬКО ДВЕ СТРАНИЦЫ: авторизация и настройки. Все! Я очень буду рад, если это будет действительно так. > аутентификацию, которая передается через HTTP, можно перехватить на любом ключевом коммутаторе Нет важности. Сайт мой нефинансовый. Если ты используешь здесь пароль, который используешь ещё и в другом важном месте - поздравляю, Шарик, и далее по списку. Ок, я знаю, что ты таким уж точно страдать не должен. :) > А ты сам, Толя? Я прохожу авторизацию на сайт через HTTPS на самоподписанном сертификате. :)
+0

74  ZlydenGL знаток	02.12.2016 11:15
> если это будет действительно так Ну я лично навскидку не могу вспомнить значимых событий, когда Гугель противоречил сам себе, или сначала говорил одно, а потом делал другое, как минимум в части краткосрочных (до 1 года) планов. ИМХО здесь все будет так же ;) > ты таким уж точно страдать не должен. :) Воизтену :) > Я прохожу авторизацию на сайт через HTTPS Вооот, а говоришь, что на твоем сайте HTTPS не нужен ;)
+0

75  SaAnVi tzar	02.12.2016 11:23
> а говоришь, что на твоем сайте HTTPS не нужен Только мне (без вариантов) и 1% из оставшегося народу, кто особо параноит.
+0

76  ZlydenGL знаток	02.12.2016 11:34
> Только мне (без вариантов) и 1% из оставшегося народу Ну то есть ты признаешь, что ответ на вопрос > Зачем, например, вам нужен HTTPS на моём сайте? в шапке дан как минимум неполный? ;)
+0

77  SaAnVi tzar	02.12.2016 11:35
На 1% неполный. Ты ж сам говоришь: 1% - это фигня. :)
+0

78  ZlydenGL знаток	02.12.2016 11:38
Я ни разу выше не говорил, что 1% - это фигня ;) Кстати, о птичках, и академического интересу ради, а не корысти для: можешь засветить статистику использования HTTPS страниц по сравнению с HTTP в целом и для страниц авторизации/настроек? Дюже интересно :)
+0

79  SaAnVi tzar	02.12.2016 11:44
> можешь засветить статистику использования HTTPS страниц по сравнению с HTTP Хм, да я даже не знаю, где это сходу поглядеть (и вообще есть ли где). Это ж надо логи пропарсить.
+0

80  ZlydenGL знаток	02.12.2016 11:45
А в статистике LI/метрики таких пунктов щас нема?
+0

81  SaAnVi tzar	02.12.2016 11:46
А может и есть, кстати, пойду гляну.
+0

82  SaAnVi tzar	02.12.2016 11:47
Не, не нашёл.
+0

83  ZlydenGL знаток	02.12.2016 12:04
Плин, тогда точно логи :( Пичалька
+0

84  Генрих_Лиговский tramvision.ru	04.12.2016 00:05
Толь, да не будет такого, уже сто раз заявлено. Хватит уже истерики.
+0

85  SaAnVi tzar	04.12.2016 05:46
Ваши слова да пастабогу в уши. Хотя я уже потихоньку подумываю, что с интернета пора линять. В финансовом плане прежде всего.
+0

86  Генрих_Лиговский tramvision.ru	24.01.2017 05:24
Нда, ты победил этом в споре. Признаю свое поражение. Гугл всё-таки пидор. Я до последнего верил, что победит здравый смысл, а вот нихуа! Письма уже получил от Гугла? Вот это мне особенно понравилось: Long term - Use HTTPS everywhere Eventually, Chrome will show a Not Secure warning for all pages served over HTTP, regardless of whether or not the page contains sensitive input fields. То есть, без вариантов.
+0

87  SaAnVi tzar	24.01.2017 05:54
Ну видишь, а кто-то верил в лучшее. Поэтому и приходится сквозь зубы поддерживать Яндекс, потому что он всё-таки не Гугл.
+0

88  SaAnVi tzar	24.01.2017 08:47
Кстати, поглядим, начнёт ли он выкидывать не-HTTPS сайты из AdSense. Думаю, кишка будет тонка (по крайней мере, я об этом сразу узнаю). Постебёмся потом, хороший повод будет.
+0

89  Morrowind гость	26.01.2017 12:41
придется тебе смиритсяя с этим, толег. вот маты ты уже удаляешь - прогнулся. хе-хе. перейдешь на ссл, как миленький. хотя зачем тебе вообще? посещайка в минус ))
+0

90  SaAnVi tzar	26.01.2017 12:49
> вот маты ты уже удаляешь Пиздёж. > перейдешь на ссл, как миленький У меня оно и так есть. > хотя зачем тебе вообще? Дурачков вроде тебя развлекать. :)
+0

страницы: 1 2 3

↑ к началу комментариев    ↑↑ к началу страницы

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.