Comments 61
IE занимался этим ещё с 9 версии.
Cause
This message is telling you that there may be both secure and non-secure content on the page. Secure and non-secure content, or mixed content, means that a webpage is trying to display elements using both secure (HTTPS/SSL) and non-secure (HTTP) web server connections. This often happens with online stores or financial sites that display images, banners, or scripts that are coming from a server that is not secured. The risk of displaying mixed content is that a non-secure webpage or script might be able to access information from the secure content.
Resolution
Important: Internet Explorer blocks non-secure content by default and is set to prompt you when this is happening. Changing this setting may make your computer vulnerable to viral, fraudulent or malicious attacks. Microsoft does not recommend that you attempt to change this setting. Modify this setting at your own risk.
Как-же мне не нравится этот насильный перевод всех на https… Скоро будут и вовсе блокировать сайт без сертификата, под предлогом безопасности пользователя.
Например, оборудование СОРМ у некоторых провайдеров спокойно вываливало перехваченные данные на обозрение всем желающим.
Проще и надёжнее заставить всех применять шифрование, чем надеяться, что разработчик очередного веб-сервиса достаточно компетентен, чтобы грамотно оценить, где обязательно нужно шифровать, а где можно и обойтись.
В итоге как же задалбывает, когда на тот или иной ресурс не зайти из-за неправильной фазы Луны и состояния долбанных сертификатов.
И ведь даже весьма крупные ресурсы
Особенно есть учесть, что там всё словно нарочно устроено так, чтобы внедрять было как можно сложнееНастроить автоматический выпуск бесплатного сертификата и переадресацию с HTTP на HTTPS, вроде бы, несложно. Это самый минимум, никто не заставляет наворачивать key pinning и прочие фичи.
Проблемы могут возникнуть у старых операционных систем типа Windows XP, но тут пользователь ССЗБ.
о подходе «настроил один раз и забыл на 5 лет» можно вообще забыть.Я человек простой, люблю настроить один раз и забыть, пусть автоматика перевыпускает сертификат. То, что раз в N лет может сделать робот, пусть и делает робот, а себе я оставлю только то, что машина сделать не может, поскольку моё время бесценно — жизнь лишь одна. Иначе, через 5 лет окажется, что сертификат протух, а человек, ответственный за его перевыпуск, благополучно просрал все полимеры и уехал в отпуск.
А раз это делает робот, то ему пофиг, раз в 5 лет перевыпускать или раз в полгода. Он — всего лишь программа, которая делает дело и беспокоит человека только в случае ошибки, как и полагается хорошо воспитанному слуге.
Ну и плюс такая политика по принудительной «блокировке» сайтов не подходящих по требованиям может когда-нибудь начать использоваться и во зло.
Столько беготни было по перевыпуску! Мониторинг за месяц заорал, ели успели.
Он был прошит в стольких местах, и деплой каждого места это же прям процедура! Согласования, тестирование и т.д.
Сертификаты, выпускаемые на год меняются руками без проблем. Let's Encrypt вообще поставил, крон настроил и забыл.
Это аналогично ремням безопасности в автомобилях. Есть люди, которые утверждают, что ремни — зло, потому что есть единичные случаи, когда отсутствие ремня спасало жизнь. То, что намного больше случаев, когда спасает жизнь наличие ремня, они почему-то не учитывают.
Не для всех сайтов нужен https. У меня местечковый сайт, стоит на местечковом анлимитном бесплатном шаред-хостинге (предложите мне 2ТБ места и безлимит по трафику?), на нем нет авторизации или регистрации, на нем нет рекламы, он даже не в поиске гугла и не виден за пределами локальной сети, у него старый php5 и апач 2.0. Ему не нужен никакой https. Если будут смотреть трафик — пусть смотрят, те 40 посетителей в день не будут против, но доверять левому серверу сертификации и переделывать всю инфраструктуру ради галочки "безопасно" — выглядит как прохождение ТО у частников: "аптечка есть? годен!".
Больше надо опасаться взлома неправильно настроенного сервера, т.к. куча "мамкиных хакеров" на свои сайты поставили сертификаты методом "купил vds за 100р, нашел в гугле инструкцию по настройке и сделал ctrl+c -> ctrl+v", без какого-либо осознания что они вообще натворили.
Как по мне — вся идея с сертификатами это просто сужение рынка для извлечения прибыли — убийство простых шаредов и перевод на вдс, где требуется значительно большие навыки для настройки и цена ошибки выше.
Опять двадцать пять… Если оператор захочет вмешаться в мой трафик — он просто заменит файлы на шареде. Если это захочет сделать ОПСОС — он просто сделает редирект вида "Вы действительно хотите перейти на сайт?" на любое новое обращение "в мир" и ненавязчивая реклама.
Если вы хотите отдавать сайт именно в том виде, котором задумывался, то единственный способ обеспечить это — https.
Эту мантру я слышу от адептов https уже кучу лет, однако чаще всего я сталкиваюсь не с переходом от ОПСОСа (его вообще не видел), а с агрессивными рекламными сетями случайных сайтов.
Кроме того, провайдеры и спецслужбы, следя за трафиком, могут составлять портрет пользователя, и продавать рекламодателям, например, а то и вовсе подсовывать руткиты.
Пусть они это делают. Меня монополия Let's Encrypt и т.п. смущает в равной степени как монополия гугла или спеслужб.
Про руткит но не смешно. Буквально сегодня зайдя на сайт одной ТК с ссылке гугла я попал на дорвей который сразу мне предложил скачать apk и разрешить их оповещения.
Дайте мне и моим юзверям выбирать! Я подключался к всемирной СВОБОДНОЙ паутине, а мне сейчас одни навязывают чебурнет и блокировки телеги, а вторые блокировку сайта потому что он сделан не по фен-шую и не юзает CDN и https.
Если это захочет сделать ОПСОС — он просто сделает редирект вида «Вы действительно хотите перейти на сайт?» на любое новое обращение «в мир»
Это называется MITM и как раз таки благодаря https провайдер не сможет вернуть вам какую-то левую страницу вместо запрошенной.
Пусть они это делают.
Ну за себя вы. конечно, имеете право решать, но почему вы так легко решаете, что вашим пользователям наплевать, что за ними следят?
Меня монополия Let's Encrypt и т.п. смущает в равной степени как монополия гугла или спеслужб.
Монополия — это единственный поставщик, единственный (а единственный ли?) бесплатный — нет.
Дайте мне и моим юзверям выбирать
Технически необразованный юзверь, коих большинство, выбирать не умеет, выбирать нужно за него.
Владелецу ресурса с некоторой долей вероятности на подобные проблемы пользователей наплевать, и он выберет максимально простой вариант, следовательно, владельца ресурса надо подпинывать.
Сами поняли, что сказали? Оператор не может влезть зашифрованный трафик. В худшем случае сайт не откроется с предупреждающей надписью. Сертификаты для этого и придуманы, чтобы нельзя было подменить сайты банков, например.
Мой сайт на шареде. Менять шаред на ВДС для личного сайта не приносящего доход я не вижу смысла. Людей устраивает. У оператора моей сети, хостера этого шареда, есть полный доступ до всего. Может сменить в легкую. 10 лет не меняет.
Оффтоп. То что где-то что-то хреново, не повод не делать хорошо.
Вот. Золотые слова. Для меня смена шареда на ВДС и установка сертификатов и настройка ПО это хреново, я не сисадмин и делать буду по первой инструкции с интернета — будет ОЧЕНЬ хреново.
Какая монополия? Вас кто-то заставляет им пользоваться? Выбирайте любой центр, на любой вкус и цену.
Монополия гугла на показ сайта без https. Монополия центров сертификации. На мой вкус и цвет — чтоб не надо было вообще настраивать и бесплатно. Ни одного скрипта на сервере в кроне.
Так чтобы чебурнет и операторский произвол не вмешивался на ваши сайты и нужен https.
Зато я позволю гуглу диктовать мне правила ведения себя в интернете. Отлично. Тот-же самый чебурнет но от компании добра, они будут решать что я могу посещать, а что нет. Скоро все старые сайты, которые на бесплатных хостингах размещены и представляют собой огромную базу информации для таких как я — компьютерных и игровых некрофилов — превратятся в тыкву, потому как если обновить у них даже пыхапе — сайт улетит к чертям.
Это вы не даёте пользователям сайт, соответствующий современным стандартам.
Если они пользуются и не говорят что надо менять — я не буду менять ради соответствия веяниям моды. Некоторые мои внутряки живут десятки лет и все еще принимают по 20-40 человек в день. Если есть провайдеры и опсосы заменяющие контент на сайте — нужны законодательные меры для запрета данных действий — штрафы и санкции, а не вечная гонка брони и снаряда.
У оператора моей сети, хостера этого шареда, есть полный доступ до всего. Может сменить в легкую.Речь идёт не про хостинг, а про операторов любых сетей, через которые идёт трафик между вашим хостингом и конечными пользователями, и которые тоже могут сменить влёгкую.
Соответственно
10 лет не меняет.— вы не можете этого знать наверняка :)
Речь идёт не про хостинг, а про операторов любых сетей, через которые идёт трафик между вашим хостингом и конечными пользователями, и которые тоже могут сменить влёгкую.
У меня таких нет. Это внутряк. Он доступен только пользователям локалки без прохода по внешним сетям.
вы не можете этого знать наверняка :)
Знаю точно (;
Монополия гугла на показ сайта без https
Зато я позволю гуглу диктовать мне правила ведения себя в интернетеГугл хром — далеко не единственный браузер. Претензии у гуглу — голосуйте ногами!
Просто в адресной строке ваш сайт будет помечен как небезопасный и все. Вас это сильно будет напрягать?
Да. Простите с какой стати мой сайт более опасен чем средний дорвей на случайном адресе, но с сертификатом подтверждающим его домен?
Все идет к тому что мой сайт будет помечаться не как "опасный", а на него войти можно только через легкий танец с бубном "Дополнительно -> Перейти на сайт (Может быть опасно)", что точно отпугнет пользователя, а тем более тот пласт на который сайт ориентирован (пенсионеры).
Простите с какой стати мой сайт более опасен чем средний дорвей на случайном адресе, но с сертификатом подтверждающим его домен?
Потому что дорвей вам покажет то что хотел автор дорвея, а ваш сайт покажет вообще все что угодно. Или не покажет. Или накачает пользователя вирусами.
Вы не понимаете смысла дорвея. Он тоже не покажет то что надо пользователю, ато и вовсе даст вирусов скачать. Только вот дорвеи это часть интернета с которой гугл не борется, т.к. они приносят рекламный доход, а вот с обычными сайтами — ататат делает.
Эта ошибка выжившего имеет место быть. Даже у нас в городе десятки локальных ресурсов, где нет сертификата, которые имеют ОЧЕНЬ высокую посещаемость и доступны только внутри сети. У них нет и не может быть mitm атаки и шифрование даст им только дополнительную нагрузку и геморрой.
У них нет и не может быть mitm атакиДа? прямо напрямую по кабелю друг к другу соединены? или все таки через провайдера идут?
Шифрование даст им только дополнительную нагрузку и геморрой.Безусловно. Поэтому там просто будет висеть плашка что сайт небезопасен, только и всего.
Это ресурсы провайдера, предназначенные для абонентов этого провайдера. Если плохой человек решит устроить mitm в такой сети — ему надо будет физически менять коммутатор провайдера на свой для изоляции, т.к. левый dhcp-сервер сразу вызовет подозрения, отключение куста до выявления проблемы и вызов бригады. Думаю что в такой ситуации вопрос про сертификат даже не встанет на повестку дня.
Безусловно. Поэтому там просто будет висеть плашка что сайт небезопасен, только и всего.
А вот фиг там. Будет квест "дополнительно — перейти на сайт (небезопасно)", как сейчас делают для всяких narod.ru.
Это ресурсы провайдера, предназначенные для абонентов этого провайдераИ этот провайдер (билайн например) подмешает вам рекламу.
Если плохой человек решит устроить mitm в такой сети — ему надо будет физически менять коммутатор провайдера на свой для изоляцииЕсли человек — сотрудник провайдера то не придется.
ему надо будет физически менять коммутатор провайдера на свой для изоляцииЭто будет большой проблемой для скажем, обиженного бывшего сотрудника провайдера? Или рандомного приближенного (к знанию о моделях и устройстве конкретной сети) человека?
Думаю что в такой ситуации вопрос про сертификат даже не встанет на повестку дняДумаю при такой атаке никто не заметит подмены.
А вот фиг там. Будет квест «дополнительно — перейти на сайт (небезопасно)», как сейчас делают для всяких narod.ru.И отлично, пенсионеры это как раз та ЦА которая находится в зоне повышенного риска. При красной плашке — появятся вопросы. Кстати про красную плашку на narod первый раз слышу.
И этот провайдер (билайн например) подмешает вам рекламу.
Очевидная глупость. Провайдер который меня обслуживает таким никогда не занимался и не будет. Если захочет вставить рекламу на ресурсах — он ее просто возьмет и поставит в коде или попросит сделать рассылкой, однако там рекламы в принципе нет.
Если человек — сотрудник провайдера то не придется.
А вдруг китаец собирающий вашу конкретно клавиатуру решил встроить кейлоггер?
Это будет большой проблемой для скажем, обиженного бывшего сотрудника провайдера?
Да. Он сразу попадет на камеры это раз, у него нет ключей от ящиков (ящики на чердаке, так-что еще и ключи от них), это два.
Или рандомного приближенного (к знанию о моделях и устройстве конкретной сети) человека?
А рандомный или приближенный человек в лест-энкрипт вдруг захочет в автоскрипт генерирования сертификата вставить его отсылку приватного и открытого ключей на сервер АНБ.
Думаю при такой атаке никто не заметит подмены.
Может быть у вас есть сети где работают раздолбаи, у нас не так и такое нарушение будет сразу выявлено.
И отлично, пенсионеры это как раз та ЦА которая находится в зоне повышенного риска.
Сайт с mitm опасен как и хороший дорвей с вирусами. Только второй будет зелененький и пушистый всегда, а первый с красной плашкой даже когда на нем не будет опасного контента. Пенсионеры будут приучаться смотреть на "безопасно" и черт вы потом им объясните что этот сайт с зеленой галочкой — опасный.
Кстати про красную плашку на narod первый раз слышу.
Буквально недавно на parkanfans.narod.ru был фулскрин об опасности при переходе на страницу с загрузками. Насколько я знаю — контент не менялся. Меняется отношение гугла, от звезд на небе. Мой блог так пострадал (я даже знаю что точно не понравилось гуглу), потом тоже плашка пропала.
Сайт с mitm опасен как и хороший дорвей с вирусами. Только второй будет зелененький и пушистый всегда, а первый с красной плашкой даже когда на нем не будет опасного контента. Пенсионеры будут приучаться смотреть на «безопасно» и черт вы потом им объясните что этот сайт с зеленой галочкой — опасный.
Нет. Там не будет никакой зелёной галочки. Совсем. Будут обычные ресурсы (без цветного значка) и потенциально небезопасные (красный значок).
Очевидная глупость. Провайдер который меня обслуживает таким никогда не занимался и не будет. Если захочет вставить рекламу на ресурсах — он ее просто возьмет и поставит в коде или попросит сделать рассылкой, однако там рекламы в принципе нет.Пока не придет очередной эффективный менеджер или не продадутся условному билайну.
А вдруг китаец собирающий вашу конкретно клавиатуру решил встроить кейлоггер?То что некоторые провайдеры вмешиваются в траффик это давно известный факт.
А рандомный или приближенный человек в лест-энкрипт вдруг захочет в автоскрипт генерирования сертификата вставить его отсылку приватного и открытого ключей на сервер АНБ.А у них места то хватит? Startssl тоже вроде бесплатные церты выдавали.
Может быть у вас есть сети где работают раздолбаи, у нас не так и такое нарушение будет сразу выявлено.Кем? провайдером? который этим и занимается?
был фулскрин об опасности при переходе на страницу с загрузкамиЗначит кто то пожаловался на сайт как не безопасный.
Мой блог так пострадали http даже не помог?
Пока не придет очередной эффективный менеджер или не продадутся условному билайну.
Тогда и буду думать. Сейчас предпосылок к этому нет. Хотя думаю что тогда будет совсем другой разговор и условный билайн/мтс/ростелеком вовсе завернет тему с внутренним безлимитным хостингом.
То что некоторые провайдеры вмешиваются в траффик это давно известный факт.
То что китайцы следят за всеми — давно известный факт.
А у них места то хватит? Startssl тоже вроде бесплатные церты выдавали.
Ой не смешите. Ради такого куша найти место — раз плюнуть.
Кем? провайдером? который этим и занимается?
Зачем вы пользуетесь услугами провайдера который таким занимается? Голосуйте рублем, пишите претензии, оповещайте родных о такой наглости! У нас провайдер таким не занимается.
Значит кто то пожаловался на сайт как не безопасный.
Мимо. Просто были прямые ссылки на exe файлы без подписи.
и http даже не помог?
Не помог и https не поможет, но разговор сейчас про другое. Я разместил шрифты не с гугл-фонт, а со своего хостинга (т.к. быстрей в 10 раз) — красная карточка, я jQuery не с cdn беру — все, красная карточка. Не юзаю гугл-счетчики — желтая карточка и никаких плюшек. Монополия, мать ее, именно она позволяет творить такую чушь с любым сайтом.
убийство простых шаредов и перевод на вдс
На многих шаредах есть возможность в один клик подключить бесплатный сертификат от Let's Encrypt
Поэтому в 2020 году никакой смешанный контент нигде не будет загружаться.
Добро пожаловать, добро пожаловать в цифровой гулаг.
Сами вы его выбрали, или его выбрали за вас.
Жить в России в 2019 году и называть наличие шифрования гулагом — это диагноз, уж извините.
До этого была надежда, теперь её нет.
При чём тут шифрование, когда ситуация однозначна: браузер решает за тебя, что ты можешь смотреть, а что нет, под предлогом «безопасности».
Сравните:
— товарищ майор решает за тебя, что ты можешь смотреть, а что нет, под предлогом «безопасности»
— партия решает за тебя, что ты можешь смотреть, а что нет, под предлогом «безопасности»
— отдел контроля мыслепреступлений решает за тебя, что ты можешь смотреть, а что нет, под предлогом «безопасности»
1. Защищает от объективной технической угрозы, а не придуманной кем-то «нравственной». Траффик идет в открытую и с ним по пути могло произойти что угодно, это факт, как ни крути.
2. Не имеет от этого явной выгоды. Поправьте, если ошибаюсь, но в чем прибыль Гугла от блокирования http, от понижения их в выдаче (в случае выдачи актуально и для Яндекса)? Гугл не является монопольным УЦ, и в данном случае не акцентируется на каких-то конкретных сервисах, чтоб переманить пользователей на свои.
3. Легко обходится, по крайней мере для фаерфокса готов держать пари, что это будет спокойно настраиваться через about:config.
4. За посещение по Http вам даже теоретически ничего не будет.
Вот вы прямо в первом комментарии подменили тему разговора, пытаясь изобразить дело так, что я против шифрования («называть наличие шифрования гулагом — это диагноз»). В то время как проблема не в шифровании, а в том, что у людей хотят забрать право выбирать, смотреть им страницы с шифрованием или без. Причём, что ещё хуже, забрать не прямо, а через усложнение доступа («никто вам ничего не запрещал, просто поставьте старую ОС, установите на неё старый браузер и с двух до пяти каждый нечётный четверг месяца приходите за справкой»). Разговоры про то, что «это будет спокойно настраиваться» сродни разговорам про то, что сапог товарища майора в заднице раз в неделю по субботам это не так уж и страшно, особенно если с вазелином.
Или вот вы там пишете в другом комментарии «Гугл хром — далеко не единственный браузер. Претензии у гуглу — голосуйте ногами!»; но при этом прямо в статье указано, что другие браузеры собираются присоединиться к этому процессу забирания прав у пользователей.
Про прибыль уже написали ниже, но вы ухитрились соврать даже в таком очевидном вопросе.
Точно также вы врёте пытаясь рассказать, что есть «объективная техническая угроза» — конечно, всюду террористы, педофилы и западные наймиты, поэтому мы должны поставить везде рамки на вход в метро. Но эти вещи не связаны. Отдельно есть угроза — например террористическая или техническая. И отдельно есть рамки в метро или запрет на открытие сайтов без шифрования. Эта схема работает безотказно годами, потому что люди очень тупые. Им говоришь «детишечки-кровинушки страдают, поэтому давайте введём запрет интернета» — и они такие «да, да, действительно, там же есть слово поэтому, значит страдания детишечек и интернет действительно связаны, ведь иначе бы слова не было».
Но запрет для людей посещать http-сайты никак не одолеет техническую угрозу — про дорвеи уже выше написали, люди по-прежнему будут подвергаться вполне открытым и сертифицированным атакам мошенников. Эта схема просто заберёт у людей часть прав. Это как с контролем оружия — у преступников оружие всё равно всегда будет, так как преступника не беспокоят официальные разрешения или он их получит преступным путём. А все преграды придуманы для того, чтобы усложнять жизнь законопослушному гражданину. Ну и чтобы забрать права, разумеется.
Интересно, что вы в своей отчаянной защите гулага и товарища майора не можете удержаться от лжи
у людей хотят забрать право выбирать, смотреть им страницы с шифрованием или без.
Что за бред? У кого хотят забрать право смотреть сайты без шифрования? Лжец и невежда — больше никак не назвать тебя
У всех, кто не готов углубляться в техническое решение проблемы блокировках контента современными популярными браузерами. Владельцы сайта готовы показать контент без шифрования, пользователи готовы его смотреть в таком виде, но создатели браузеров вмешивается в их свободный выбор.
Уже речь не идёт о предупреждение "небезопасно", уже речь о блокировке.
но создатели браузеров вмешивается в их свободный выбор.
Какой свободный выбор? Очередной бред… Это сделано для тех кто ни черта не смыслит в безопасности. Не загруженный контент будет доступен и никуда не денется. Его можно будет посмотреть настроив браузер, либо банально вставив ссылку в адресную строку.
Уже речь не идёт о предупреждение «небезопасно», уже речь о блокировке.
Речь идёт о безопасности пользователей. Которая существует уже давно — крос ориджин к примеру
Субъективно, люди не смыслят в том, что им не интересно и(или) не нужно.
Так я и говорю, что не понимаю зачем Гугл собирается блокировать "небезопасные" сайты для людей, которых безопасность не интересует. Маразм же?
«небезопасные» сайты для людей, которых безопасность не интересует.Во первых гугл не собирается блокировать сайты — во вторых нет таких людей.
Во-первых, какой-нибудь SPA или просто очень динамический сайт, в котором только index.html отдаётся по https, а всё остальное, все js скрипті в частности, по http будет заблокирован по сути. То же по контентным сайтам типа галерей фоток.
Во-вторых, есть такие люди. Они даже пароли от банковских и подобных сервисов на публичных компьютерах сохраняют.
а всё остальное, все js скрипті в частности, по http будет заблокирован по сутиНу только дебил будет пихать крос ориджин сорсы в скрипты -_-
есть такие люди. Они даже пароли от банковских и подобных сервисов на публичных компьютерах сохраняют.Где — покажи мне хоть 1го? Скинь мне его банковские данные — и сразу же задумается о безопасности))))
2. Не имеет от этого явной выгоды. Поправьте, если ошибаюсь, но в чем прибыль Гугла от блокирования http
Попроавляю — Web Hosting for Small Business | Solutions | Google Cloud живет с продажи ресурсов.
Больше шифрования, суеты и прочего напрасного труда — больше profit.
И в этом 'благом' начинании их поддержат все без исключения хостеры и производители железа, а так же и большинство програмеров.
В том числе и за ваши деньги. :)
Если бы интернет был автомобильными дорогами:
Новость: В связи с участившимися авариями, на перекрестке между Google St. и Chrome Ave. будет установлен знак СТОП.
Комментарии: Все пропало! Надежды нет! У нас отобрали последнюю свободу пролетать этот перекресток со скоростью 100 км/ч! Добро пожаловать в дорожный гулаг.
Читая комментарии, мне кажется, что есть некоторое непонимание. А суть в том, что блокировать будут "смешанный контент". Это когда в сайт https есть ресурсы с внешнего сайта через http. И то наверное просто ресурс (например изображение) не будут качать, а страница что на https будет показана.
Сайты на чистом http как работали, так и будут работать.
Меня интересует следующий нюанс. Каким браузером я смогу зайти в админку домашнего роутера?
Ruby и Python знаю, но с вебом не работал — махните рукой в какую сторону копать
Chrome полностью заблокирует смешанный контент