Pull to refresh

Comments 158

Насколько часто среднестатистический юзер смотрит на эти индикаторы?
Это скорее как повод владельцам сайта задуматься о https, чтобы про них не подумали плохо.

Потому что, по идее, даже с http страницы можно данные отправить, закриптовав через javascript, например, довольно надежно — но только как часто такое делается? Владельцы сайтов, сам встречал, https все еще побаиваются (точнее, не видят смысла внедрять, когда и так сайт работает). Такими шагами Гугл подвигает их к мысли, что жить с http — несколько позорновато (не то чтобы 100% позор, но все же), и именно это, как я думаю, говорит их статистика: не 27% юзеров перестали ходить на http-сайты, а на некотором числе сайтов внедрили https, что дало уменьшение числа посещений http-страниц, где есть поля ввода паролей/кредиток.

Но вот с другой стороны: у меня на сайте моего домашнего провайдера поля имени-пароля передаются по http. Но мне тема кажется такой мелкой (думаю, и провайдеру так же) — т.к. даже с логином-паролем можно только просмотреть мой баланс, статистику трафика (которая даже не работает), да заказать статический IP — что вряд ли они даже на Let's Encrypt побегут, и я их особо не виню. А вот на сайте банка видеть http дело совсем другое, и может, хоть тема имиджа заденет иных горе-банкиров?
javascript для криптования может быть подменен. Нельзя без https безопасно данные передать.
Вы знаете, и с https не всегда получается, что бы там не говорили. Есть, например, российский софт Traffic Inspector, который перехватывает и читает в том числе и https-трафик. Причем делает это изящно: на каждый посещаемый вами сайт они выписывают (сами, на лету!) сертификат, который браузеру вполне нравится. Это, конечно, требуется установки на машине их корневого сертификата, но в доменной сети это не проблема.

А если вы вспомните, что крупнейшие CA ловили за руку, когда они выписывали сертификаты на домены "*." и подобные… Да, это сделают не каждому, но кому очень надо, то CA убедит.
Подменять на лету сертификаты умеет даже древний squid, но браузерам такие сертификаты не нравятся, если только их не добавить в список доверенных.
А вы мой коммент-то читали? Там было 2 способа обойти сложность указано: либо через доменные политики (или еще каким способом) добавить в список доверенных серт CA того, кто подслушивать хочет, либо добыть сертификат на уникальное сочетание имен "*.", "*.*.", "*.*.*." (что-то такое). Тут не в сквиде дело (рад, что вы про него в курсе), а в том, что https не дает 100% защиты, если кому-то уж очень хочется.

Но Гугл имеет свои цели и помимо заботы о юзерах, вы не забывайте.
либо через доменные политики (или еще каким способом) добавить в список доверенных серт CA

При таком уровне доступа можно не заморачиваясь поставить radmin.

сертификат на уникальное сочетание имен "*.", "*.*.", "*.*.*."

Было бы неплохо увидеть такой сертификат сперва. Но и для борьбы с этим есть методы — пиннинг, например.

Ну это типичный MitM организуемый административными методами. Ничего интересного.
А вот если просто писать шифрованный трафик и потом каким-то образом получить секретные ключи, то это ничего не даст, поскольку теперь Diffie-Hellman практически уже стал стандартом.
Рекомендую к ознакомлению тезисы https://dxdt.ru/2013/08/02/6066/

Это просто пинок окна Овертона в желаемую сторону. Когда все привыкнут, перестанет открывать такие сайты, а там и вовсе перестанет открывать http.

Эти индикаторы ерунда. Вот что действительно дерзко так это блокировка некоторых API(как Geo position) и запрос ресурсов с несовпадающего протокола с протоколом страницы. Вот тогда целые сайты начали не работать с версии 56. Кстати Сафари не отстает от них. Это был как удар в спину

Где вариант «нет, это вредно»?
Предупреждения должны быть по делу. А не то скоро пользователи разучатся им доверять. Глядишь, и те 23% вернуться, ибо хоть одно поле ввода есть практически на каждом сайте, а не https сайтов ещё очень много.
И будет как с мальчиком, кричащим про волков.
Ну тут вроде как не про все, а только про страницы с полями, а если есть поля, то почему и https не поднять?

Внес ваш вариант, проголосуйте, пожалуйста!
т.е. если на сайте есть поле поиска, всё теперь обязательно нужно ставить https?
Мне кажется, Гуглу можно написать напрямик, и посоветовать им, как жить. Ну, или на FF с Edge переходить, как вариант.

А что, предупреждение как-то помешает сайт использовать, если даже поле поиска оставить на http-странице? Тем более что варнинг станет виден только когда начинаешь вводить текст, а для просто чтения сайта ничего не меняется.
> А что, предупреждение как-то помешает сайт использовать

В этом плане от всех предупреждений никакого толку нет. Ну вот повесит гипотетически гугол на яндекс какое-нибудь предупреждение, например «осторожно, стучит ФСБ». Что это, остановит пользователей яндекса? Да ничуть.
UFO just landed and posted this here
Строка поиска тоже поле ввода. Присутствует практически на всех сайтах. Только из-за неё помечать сайт не безопасным?
Не безопасным помечается не сайт, а соединение с ним. Хотя да, рядовому юзеру об этом не известно.
Именно, рядовой пользователь увидит в адресной строке Insecure и просто уйдет с сайта не разобравшись, а то вдруг что.
Рядовой пользователь даже не заметит… Но это так, мысли вслух

У меня обширная база с сортировками. База общедоступная. Зачем мне https? Персональных данных я там не оставляю, сидит это все на шаред-хостинге и всех устраивает. Зачем оно мне?

Так и не делайте, если не надо.

Дык незнающего пользователя отпугнет.

UFO just landed and posted this here
Это защита пользоватлей вашего сайта от внедрения MITM.
Провайдер или владелец бесплатного фай-фая в кафе/транспорте не сможет:
— узнать куда ходит клиент(ну кроме DNS)
— мофифицировать ответ сервера, например подставить рекламу.
Скорее всего гугл боится резалок рекламы или замен его рекламы, вот и продвигает https.
Но ИМХО ему тут с обычными пользователями по пути.

Резалки рекламы как правило на стороне клиента, а не сервера и я гугл все меньше понимаю.


К тому-же от чего оно защищает кроме резалок рекламы? Тут уже десятки сообщений про https://аpple.com которые показаны как безопасные. Надо людей информировать, а не работать как роскомнадзор.

1). Резалки рекламы стоят на стороне клиента именно потому, что на большинстве сайтов с серьёзным трафиком есть https.
2). Ну, Гуглу нужна, в первую очередь, защита рекламы, а не всего остального.
Резалки рекламы стоят на стороне клиента именно потому, что на большинстве сайтов с серьёзным трафиком есть https.

Резалки рекламы были в топе до массового хайпа с https, когда даже хабр в ВК были без него.


Ну, Гуглу нужна, в первую очередь, защита рекламы, а не всего остального.

Понятное дело, но уже пахнет жаренным. Лично я начал искать альтернативу хрому в связи последними изменениями.

А у кого должны быть резалки рекламы, с другой стороны? У провайдера — вряд ли, он по лицензии должен быть трубой (что бы там себе многие современные провайдеры не думали), и уж точно не должны менять код страниц. Только клиент в конкретнный момент времени может решить, он хочет видеть страницу с рекламой или без.

Да, есть смысл в резалке рекламы в случаях, когда разговор идет об экономии канала, а админ на узле связи решил стать героем, и вырезать коды рекламы на прозрачном прокси. Но и тогда, как ни крути, проще не код страниц резать, а отдавать по URL-ам, по которым запрашивались баннеры и содержимое фреймов с рекламой, пустые (мелкие по размеру) картинки, или пустые страницы/скрипты.
Полностью согласен. у меня тоже есть такие и меня вполне устраивает то, что было и есть. Можно сгородить и самоподписанный сертификат, и установить его в хроме, и можно даже в host файле прописать имя любого домена (даже не зарегистрированного. Для корпоративного использования доже очень приемлемо. За некоторыми исключениями в Win10 доступ к host-файлу очень проблематичен… В андроде прописать сертификат — надо кучу действий сделать. А до host-файла — только с root правами… а приобретать сертификат — смысл? не те данные. Ну а кто захочет — так от терморектального метода взлома ещё смогли защиту придумать… У всех данных есть цена — а платить за защиту грошовых данных, как за гостайну нет смысла
в наше время если сайт без httpS, то это не серьезно…
Я бы, конечно, лучше бы отнесся вообще к варианту, чтобы они выводили адрес сайта как есть, без этих всяких «мы спрячем часть 'http://', но выведен 'insecure', чтобы потратить ваше место на экране, когда экономим ваше место на экране».

Safari вроде уже просто выводит название (title) страницы вместо адреса, так что фишинг становится все более простым.
Это опционально (отключаемо). Мне просто с заголовком неудобно, к примеру — безопасность тут ни при чем.
Понятно, что отключаемо. Но мода такая: вместо чем показать как надо адрес сайта (URL, включая схему) в строке адреса, и дать поискать из строки поиска, а затем показать title страницы в заголовке окна, адрес страницы — в строке адреса (желательно подсветив схему, домен и URI, до GET-параметров, разными цветами), нам предлагают (навязывают) пользоваться одним полем, которое принимает и адреса, и текст для поиска (а если текст этот начинается со слеша, то поле еще и не сработает как надо), а затем в поле этом вывести title, да еще по центру поля. А вернуть «старое-доброе», технически понятное, поведение всех полей можно через плагины.

Отсюда получаем еще меньше осведомленность юзеров о том, что происходит, а заодно утяжеление браузера лишними обвесками там, где раньше плагинов даже не нужно было.

А потом еще Мозилла, делая вид, что они сами до этого дошли, и ни у кого цельнотянуто идею не подсмотрели, начинают двигаться в сторону Хрома и Сафари. И получаем общий низкий уровень осведомленности юзеров, который потом «спецы от UI» и от безопасности пытаются порешать таким вот, как в теме поста, способом, якобы «совсем не костыльно».

Позор им за такой подход.
Отсюда получаем еще меньше осведомленность юзеров о том, что происходит

Разве не очевидно, что простому юзеру надпись "unsecure" скажет гораздо больше, чем "https"? Он знать не знает об этих ваших схемах. "Небезопасно" тут гораздо понятнее.

Wildcard SSL, не самые дешевые.
В смысле, а зачем вам wildcard? Да и в чем проблема, там цена-то долларов 50 в год, если у вас это как задача под много хостов — то не те расходы…

Let's Encrypt даст бесплатно, но там в каждый серт можно вписать штук 80-90 поддоменов, ну или по одному получать.
Апликашка настроена так что каждый клиент имеет свой поддомен.
За список спасибо, когда последний раз смотрел они минимум 200 стоили.
У этих ребят просто цены ниже. Себе меньше берут, продают тоннами серты. В остальном все то же. Помогает понять цену «серьезным» CA, и их накруткам при покупке у них напрямик.
Один раз настроить сертификат и раз в три месяца запускать скрипт для обновления с Let's Encrypt. Я думаю это не так сложно, тем более что почти все хостинги поддерживают SNI, выделенный IP не нужен.
раз в три месяца запускать скрипт для обновления с Let's Encrypt.

Один раз настроить сертификат и один раз настроить задачу в cron. :)

И купить хостинг, вы это пропустили. Затем еще научится им пользоваться, чтоб не стать частью ботнета хакера Васи.

Да даже российские хостеры бесплатно предлагаю https

У меня 50 гигабайт места для файлов и безлимитный mysql за 0р в месяц уже лет так 7. Для не коммерческого проекта без рекламы — самое оно. Подберете сходный по параметрам за ту-же цену?

Адресочком не поделитесь, чтобы 50 Гб места было на таких привлекательных условиях?

Локальный городской провайдер и старые друзья (:

Так может ваши друзья заодно, в рамках обновления ПО и прочего, прикрутят всем сайтам на своем сервере автополучаемые Let's Encrypt серты? acme.sh и вперед же (ну или куча других скриптов на эту тему — вот, ниже zerossl.com предложили).

И будет их скрипт обновлять всем клиентам серты обновлять, людям приятно, а хостинг по прежнему на одном сервере будет крутиться (изменения в конфигах минимальные же).

К сожалению для домашних страничек, для которых был придуман данный проект, никто не хочет заморачиваться. Плюсом добавим что половина людей там сидит на домене третьего уровня… в общем я пока в поисках чего-либо хорошего в пределах 300р в месяц и с хдд в пределах 20Гб (:


А к летс инкрипт, щас в меня полетят помидоры конечно, я отношусь плохо. Точнее я плохо отношусь к https, так как не вижу в нем смысла для своих проектов. Если буду ставить — скорее всего буду покупать сертификат, но тогда встает вопрос финансов — мне мои сайты денег не приносят, а тратить на хобби (мне и страйкбола и D&D хватает), я не готов.

1 ядро, 1 GB RAM, 20 GB HDD SSD, анлим траффик = 250 рублей/мес. Есть положительный опыт больше года. Если интересно, в личку маякните, дам адрес.

А какая разница, купите вы у насквозь продажных типа надежных CA, или просто возьмете бесплатный, но не генерящий варнингов сертификат от LE? Я бы, по поводу прозрачности рассуждая, больше LE, чем Symantec поверил бы, скажем.

Плюс, с LE проще те, что обновление по крону вас не заставит ходить раз во сколько-то за новым сертификатом на сайт CA и руками его куда-то устанавливать. Но, да, все равно это какая-то разница в настройке машины, «не забыть сделать и проверить».

Что же касается машин с 20 Гб диска (чаще всего даже SSD), то ценник на них небольшой, зато у вас будет своя машина (возможно, даже с прелестями типа IPv6 — захотите, так и потестируете; ну и вообще, надо же проникновение протокола усиливать в мире!), на которой, если очень надо, можно будет и тот же VPN себе поднять (особенно если машина за границей), если зачем-то нужно. В общем, за копейку денег получите больше вариантов для развития.

На Хабре много хостнг-компаний пишут, и, думаю, кто-то из них всегда поможет, особенно если вы еще и пост напишите, «как я переезжал на новую машину от компании такой-то с одновременным поднятием LE-сертификата и dual-stack IPv4 и IPv6».
А как можно поставить сертификат Let's Encrypt на хостинг у reg.ru/nic.ru?
На VDS я пробовал, а вот на таких хостингах хз как.
Как минимум в Debian Jessie certbot сам себя добавляет в cron :)
Хреновая затея с этими пугалками. Юзеры либо привыкают и начинают игнорировать абсолютно все предупреждения, либо начинают реагировать даже на фейки на сайтах, не понимая что это на самом деле. Для среднестатистического юзера нет разницы какое окно выдает картинку/текст с предупреждением.
Мне в этой инициативе не нравится уменьшение размера поля ввода. Было бы удобнее помечать такие поля иконкой или цветом фона.
По мне так поле ввода адреса не должно быть полем поиска — но юзеры, судя по всему, давно забили на то, что на сайт заходят по адресу, а не через какую-то-там-как-у-них-бабло-решит поисковую машину.
Я не про адресную строку, меня в ней поиск устраивает и, кстати, он настраивается.
А вот тратить половину поля ввода логина на предупреждение — не очень хорошо.

Там внизу не поле ввода, там адресная строка нарисована такая мелкая (:

О, ясно. Тогда не страшно, конечно же.
Лучше бы они стабильностью и оперативкой занялись. Последние версии, месяца наверно три, совершенно не адекватны в этом разрезе, хотя и до этого хром был весьма прожорлив.
«Ой, да кого это беспокоит?»

Технические метрики никогда никого не волнуют из финансового руководства. Потому что полировка браузера выхлопа им не дает.

Вечный антагонизм добра против бабла. По сути, «за» технарей и вообще «за» тех, кому важно иметь быстрый экономный браузер, никто уже давно не играет. К великому сожалению. Зато игроков за то, чтобы сделать быстро и хреново, но чтобы показать инвесторам, «а потом перепишем» (по факту — это «потом» никогда не наступает) — всегда с запасом.
По-моему, вы путаете технарей и некромантов, возящихся с древним железом.
У меня железо свежее. Но мне неприятно, что памяти хавает оно безмерно…
У меня железо трехлетней давности: 32Gb RAM, своп выключен.
За все три года я сталкивался с нехваткой оперативной памяти лишь в некоторых играх, что разбухали до 20+ гигабайт.

Я могу понять проблемы с памятью и производительностью у мобильных браузеров. Но на десктопе, как мне кажется, актуальнее удобство и безопасность.
Всё-таки 32 гига это немного нестандартный случай. У большинства 16 от силы. Про ноуты вообще промолчу.
Справедливости ради, после того, как я купил новый ноутбук с 8ГБ RAM, оперативная память почти никогда не заполняется больше чем наполовину. Так что уже при 8 ГБ бесполезное потребление памяти браузерами является чисто психологическим недостатком.
главное не смотреть на раздел подкачик, и не обращать внимание на на бедный ЖД
Файл подкачки отключён, забыл уточнить.
А зачем делать «против шерсти» ОС?
SSD, причём не новый.
Чтобы в какой-то момент не оказалось, что какое-то приложение внезапно захотело активно работать с 16GB памяти, и убило диск за несколько часов.
Если у вас много ОЗУ, и swappiness подкручен, то свопа и не будет (почти, но диск выдержит). Но диск и не убьется за пару часов, это вы зря, даже если ОЗУ небольшого размера — не такие они дохлые.

Тем более он у вас не новый — тогда делали получше сегодняшних по циклам записи.
Я сейчас сижу на машине с 2 ГБ памяти. Проблем с быстродействием хрома не наблюдаю, версия актуальная. Конечно, если сразу много вкладок открыть и попереключаться между ними, то старые вкладки начнуть грузиться заново, но у меня привычка больше 10 вкладок открытыми не держать, так что дискомфорта не испытываю.
Вот уж не думаю, что 16гигов это удел некромантов. У меня хром регулярно отдает гигов 6-10. Вот например сейчас одна вкладка утекла за 2.7гигабайта.
Да одна вкладка ГТ, со всей рекламой, тянет ой неплохо. И это ит-ный сайт, без особого флеша, но просто желающий, на первом месте, именно заработать.
Мошенники особо не напрягаясь могут инпуты заменить дивами которые будут выглядеть и вести себя точно так же.
Ну дополнят в марте 2018 года еще пометкой, что на странице подозрительные дивы. Гуглу не привыкать с ветряными мельницами бороться.

Так это просто ещё один шаг к запрету передачи любого POST методом http. Гугл роадмэп выкладывал...

Ну так будет какой-нибудь div'ный аналог input типа как в jquery-ui, с отправкой ajax через GET, какая разница то.
А как в хроме посмотреть данные сертификата? Зачем гугл их прячет?
А потому что за него уже все продумано. Гугл сказал, что secure — зачем это вам что-то там смотреть?

(Выглядит их поведение так).
sberbank.ru или cberbank.ru как в один клик проверить кому выдан сертификат? и принять решение что это валидная страница и можно вводить данные своей карты?
Ого, как запросы меняются. От «где посмотреть», до «как это сделать в один клик». Если вам почему-то так важно сделать это в один клик — AHK вам в помощь.
Мне кажется что я хочу чего-то сверхестественного, да я хочу удостовериться в сертификате и сайте, что в этом плохого?
Отлично, рецепт выше — F12 и закладка Security. Поскольку Chrome запоминает последнюю используемую вкладку в разделе «инструменты разработчика», то в дальнейшем просто F12.
Для подробностей — View Certificate. Итого — 2-3.

Кстати, если вам вдруг понадобится посмотреть сертификат в FF, то одним кликом тоже дело не обойдется: клик на «замочек», потом клик на «стрелку» — так можно увидеть лишь самый минимум, затем клик на ссылку «More information», а потом на кнопку «View Certificate». Итого — 4.

В Opera тоже понадобится минимум два клика, чтобы получить хоть какую-то информацию, а для подробностей еще один. Итого — 3.

В IE11 я вообще не нашел сколь-нибудь очевидного метода просмотра сертификата текущего сайта.
Возможно это Edge, потому как в IE11 (11.0.41) у меня «замочка» нет:
image
IE Версия: 11.1066.14393 Версия обновления: 11.0.41 — замочек есть
Весьма странно.
Lock icon removed from Address bar of sites that are protected by SHA-1 certificates in Internet Explorer 11.
Но в Geektimes sha256. Всё ли у вас в порядке?
Ещё сертификат можно посмотреть через Файл (как правило нужно нажать Alt чтобы меню появилось)\Свойства — Сертификаты. Или правой кнопкой в свободном месте страницы — Свойства — Сертификаты.
После захода на google.com замочек появился и стал отображаться в том числе и на geektimes.

Спасибо компании Microsoft за то, что не устает напоминать о превосходном качестве своих продуктов.

Но в целом, придется признать, что IE выиграл — действительно два клика.
Пользуюсь FireFox`ом. Решил посмотреть в Chrome — действительно — ГДЕ?!
справа вверху три вертинкальные точки — настройки — слева три полоски — дополнительно — конфиденциальность… — настроить сертификаты /хром 59 бета/
У меня последнее обновление хрома вообще начало выдавать NET::ERR_CERT_COMMON_NAME_INVALID на самоподписанный сертификат без возможности проигнорировать ошибку.

Т.е. я вообще не могу попасть на dev-версию своего же сайта.

Какой-то маразм у гугла пошел с этим https.

используйте lets encrypt или добавьте корневой сертификат в список доверенных

Понятно, что можно так. Но это жа маразм. Это блин самоподписанный сертификат, что за бред придумал хром :)

Причем проявляется не на всех компьютерах в одной и той же версии хрома.
На сколько я понимаю систему. Самоподписанными сертификатами могут быть только корневые. Они должны быть в базе доверенных сертификатов. Если хром встречает самоподписанный сертификат которого нет в базе доверенных он воспринимает это как атаку «человек посередине».

Самоподписанные сертификаты часто встречались раньше и люди привыкли автоматом принимать их. Видимо для того чтобы уберечь людей от таких поступков в хроме заблокировали эту возможность.
нет только при установке спрашивает и всё — дальше работает без проблем. Работает даже если первоначальное подключение идёт по http, а обмен данными по wss.
работает, не заблокированно. только сейчас есть требование должно быть заполнено поле subjectAltName. заполнишь и вперёд. можно даже выдать сертификат на Petya.vasya, главное в файле host прописать и будет работать. Для разработки очень удобно. Да и для использования… можно.
самоподписанный сертификат придумал не хром, эти сс работают и в мозиле.
С каких пор браузеры диктуют сайтам что им делать?
Приводя аналогию: это как если яйцо начнет диктовать курице что ей делать.

Да обрушится на гугл кара господня!
UFO just landed and posted this here
С каких пор браузеры диктуют сайтам что им делать?

Всегда диктовали. Где-то до сих пор жива верстка даже под IE 5.5…
С того момента как сайты посещают через браузер.
Пользователи диктуют, а браузер это инструмент пользователя. У меня стоит расширение которое форсирует шттпс, могу сказать что 95% сайтов работают нормально, примерно 5% глючат, причем обычно это крупные известные сайты, а мелкие работают нормально. Думаю через год они вообще не будут пускать на HTTP, и пользователи одобрят.
Думаю, пользователи просто сменят браузер, заодно и конкуренция между ними улучшится. Ведь миллионы сайтов без https никуда не денутся.

Какие миллионы? Даже русскоязычный top100 — 95% https

И как количество сайтов с https в «top100» влияет на количество сайтов без за его пределами?
Так, что большинство пользователей используют сайты с https, и никто ради одного левого сайта не будет менять свой браузер
Так, что большинство пользователей используют сайты с https
По такому же принципу можно оправдать 95% блокировок РКН — большинство пользователей на них не ходит, почему бы и не заблокировать
А тут сразу миллионы сайтов буквально отпадут. Ну нельзя же так
Это не блокировка сайта, это блокировка технологии, ни кто не мешает сайты перевести на https, бесплатные сертификаты — не проблема. Вечно тащить легаси за собой, оправдывая это поддержкой мелких и редких сайтов, невозможно и не рационально. Все должно рождаться и умирать, и уступать место более хорошим решениям, сайты не исключение.

Но олд фаги вполне могут сидеть с ХР из под виртуалки, с древним браузером и пускать скупые слезы.

Вы же не требуете что-бы тесла была полностью совместима с лошадью? А то овес не ест, телегу не тянет, иш как тысячи людей с телегам ущемляют!
Это не блокировка сайта, это блокировка технологии
Ну так и рутрекер в торе работает, чего все жалуются, что его заблокировали-то?
Олдфаги могут вполне сидеть в другой стране, открывать его по http и пускать скупые слезы.
Не понимаете разницу между технологией и конкретным сайтом?
Блокировка технологии приводит к фактической блокировке множества сайтов. Любой конкретный сайт из этого множества при этом ничем не отличается для юзера от точечно заблокированого РКН сайта

Предложение же сидеть с виртуалки с древним браузером равносильно в данном контексте предложению сидеть в рутрекере на их .onion адресе. И то, и другое требует специальных знаний и инструментов, а кто и как при этом заблокировал простой доступ — неважно
Да это у них общее. А принцип блокировки — совершенно разный. Блокировка по принципу устаревших технологий очевидно всех устраивает. А блокировка рутрекера это попытка государства контролировать интернет, именно эта попытка и не устраивает пользователей, на принципиальном уровне, а так да все совершенно спокойно его используют через обходные пути.

Еще раз — разница в том, куда направлен вектор. В одном случае в сторону появления контролера в интернете. В другом в сторону более безопасного интернета.
Блокировка по принципу устаревших технологий очевидно всех устраивает
Да ну нет же. Вот меня не устраивает, например

В другом в сторону более безопасного интернета.
«Безопасность https» — это вообще отдельный холивар. Но, вне зависимости от опасности и безопасности, у него есть громадная проблема — скорость. Обрежьте себе канал или устройте потерю пакетов и посмотрите, как будут работать одни и те же ресурсы через http и https. Да, большинство никогда не будет в таких условиях, но какой-нибудь доминикане или южной корее такой ход вообще обрубит гипертекстовые интернеты до какой-нибудь европы
Под всеми я имел в виду большинство таргет группы браузера и сайтов, форсирующих переход на новый стандарт.

Очевидно и Вы и «какая-нибудь Доминикана» не входит в таргет группу.
Тем не менее, это не значит не будет браузеров специально под них, а сайта таргетированные на них, могут иметь http версию. Общество не едино, разные группы имеют разные потребности, люди с нормальным интернетом не обязаны страдать на старых стандартах, из-за людей с медленным интернетом.
Под всеми я имел в виду большинство таргет группы браузера и сайтов
То есть люди в разных странах не являются таргет-группой? Надо тогда уж сразу национальные протоколы делать.

люди с нормальным интернетом не обязаны страдать на старых стандартах, из-за людей с медленным интернетом
Вот уж страдание, http использовать

На самом деле все просто — никто не форсирует переход на новый стандарт. Форсируют его использование там, где это нужно, но никто в здравом уме пока еще не предлагал отказаться от http полностью в пользу его младшего брата с s на конце, обрубив всю поддержку
Тем не менее дополнения к хрому, которые форсируют https уже есть и набирают обороты. Посмотрим что будет дальше. Я лично перешел на https на постоянной основе и сложностей не испытываю.
Сложности с ним провайдеры испытывают. Их кеш прокси становится бесполезен с ним. Нужна другая система кеширования.
Какая система кеширования у провайдеров, простите? Кешировать https бесполезно, да (если кеш не MITM, а это уже логически губит всю идею защиты).
А зачем мне поощрять кеширование на стороне провайдера? Я вот вообще не хочу чтоб провайдер мой трафик перехватывал. И ДНСы провайдерские я ни когда не использую. Их дело следить за состоянием кабеля и маршрутизацией на уровне IP.
Научатся обманывать браузер. Будут патчи накладывать или проксик ставить по дороге. Или просто форкнут.
Да не будет никто этим заниматься, ту следующий шаг — http2 — а он только при https возможен.
И что вы хотите этим сказать? И второй вопрос — уверены?
Голосовалка специально в лучших традициях современных выборов: 1 вариант «за» и 5 «против»?
Ну тогда и на использование contenteditable должно быть ограничение. Иначе любой div можно в поле ввода превратить.
превратить можно через F12, только это не поможет…
Просто Google давно надо сделать простую вещь — переместить из выдачи все не https сайты на вторую или третью страницу, особенно, если они представляют из себя коммерческие проекты.
Пока владельцы сайтов не начнут терять трафик, они не зашевелятся.
Ну одни в гугле зуб давали так и сделать, а другие в гугле решили, что нефиг — вот и тянется история.
Сливать хакерам формы по хттп небезопасно, а по хттпс безопасно. Сливать гуглу персональные данные и каждый чих пользователя под разной степени благовидности предлогами — безопасно, автообновляться без спроса — безопасно, локально хранить полмира, включая пароли и многолетние кукисы — безопасно, включать webrtc по умолчанию и светить локальный ip — безопасно. Подлючий браузер, как по мне.
UFO just landed and posted this here
Гугл в паре с центрами сертификации просто выжимают для себя бабло.
При том, что Гугл значится в партнерах у Let's Encrypt, который раздает бесплатные сертификаты. Не стыкуется.
можно и не платить, но задолбает отслеживать время действия сертификата.
Зачем отслеживать? Они сами присылают уведомления на почту когда срок подходит.
дак это и есть — «отслеживание» — если это раз в год, ещё как бы ну, а раз в три месяца… это ж не просто галочку поставить — продлить и всё… а три месяца пролетают быстро. для большинства задач выше крыши самоподписанные сертификаты, но есть проблемы с их установкой. особенно на мобильные устройства
Так cron же есть? Сервер сам себе обновляет сарты. Это очень приятнее, чем раз в год вспоминать, где там что надо обновлть с сертами, которые за деньги — там-то чаще всего серт надо скачать из личного кабинета, защищенного маниакальной «защитой» и пр.

Чем больше денег, тем больше цирка с получением, и цирк отвлекает от простой мысли, что серт — это всего лишь набор цифр.
а если не секрет — как это через cron? и возможно ли получит сертификат на ip.
Зачем сертификационный центр? Поставь https с собственным сертификатом.
это и есть самоподписанный… только как его в андроид поставить?
Зачем ставить? Любой нормальный браузер разрешает посещать сайты с недоверенным сертификатом после предупреждения.
хром не даст, мозила спрашивает
В хроме нажать «дополнительно» и там будет переход игнорируя недоверенность сертификата.
никто из простых пользователей это читать не станет. для подавляющего числа моих знакомых есть вконтакте. больше они ничего не знаю а что интереснее не хотят знать
Странное решение. Лично я часто не обращаю внимание на значок в углу слева, уверен, многие тоже. Вот в firefox решение больше нравится — сообщение вылазит прямо под формой ввода, просмотреть невозможно
image

https://support.mozilla.org/en-US/kb/insecure-password-warning-firefox
только это скорее всего надо показывать разработчкам, а не пользователям. особенно если это в корпоративных сетях.
но можно избежать такого если хром запускать через ярлык с таким ключиком --app=«http://сайт.сайт»
но только тут ещё гайку добавили, счас не получается открыть новую страницу в таком режиме…
есть идеи как с открытием новой страницы в новом окне разобраться (при ключике --app)?
если, кому интересно, в добавок к --app=«http://сайт.сайт» добавить -incognito — вот в таком случае не будет возможности открыват новое окно из кода js.
Пользователю как раз есть смысл прямо показывать, т.к. он может не знать о назначении этого зеленого замочка либо не догадываться о его существовании
Чтото они в ограничение и в spyware ударились (гуглевцы). RTC в виндах (в хроме) уже не отключить, на часть сайтов не пускает из-за времени или неправильного сертификата, а теперь еще и это.
А они и не обещали не ударяться. Контора большая, куда потянет ее, так и делает, а отвечать никто не отвечает за итог.
Sign up to leave a comment.

Articles