Comments 7
Прошлым летом, когда я захотела воспользоваться сайтом Quora, я зашла на страничку авторизации и увидела, что она сделана на основе простого HTML, что уже плохо. Кроме того, HTML открыт для воздействия инструментов злоумышленников и передаёт Ваши пароли в виде открытого текста.
И что же они предлагают использовать вместо html?
Особенно если не дай бог у тебя что-то аяксом подтягивается с субдомена или своей CDN
Надо только на видном месте написать, что статья трёхлетней давности, и некоторые вещи уже устарели (например вопрос про wildcard сертификаты)
— Можно ли использовать Ваш клиент для проверки доменов типа .local?
Питер:
Я думаю, что не имеет смысла использовать TLS в этом случае.
Ага, отличная идея. Особенно при необходимости протестировать https-ный сайт в CI или запустить его в докер-контейнере на машине разработчика, с целью убедиться что https/HSTS/secure cookies/etc. реализованы корректно. Получается, они рекомендуют делать две версии сайта — одну с https/HSTS/secure cookies и вторую без всего этого чтобы можно было удобно тестировать и разрабатывать сайт? Мало того, что это лишняя работа и лишние баги, так ещё и всегда остаётся вероятность нечаянно запустить в продакшне версию без, например, secure cookie.
Идея сделать для компании/проекта свой CA и подписывать им сертификаты для .local тоже очень так себе. Если в CI ещё можно поставить сертификат своего CA как доверенный, то в браузере разработчика это делать уже не хочется, ибо открывает возможность для злоупотреблений и использования этого CA для выдачи сертификата для сайтов вроде gmail.com и использования компанией MiTM-атак. Особенно для фрилансеров, которые работают с кучей компаний и не имеют оснований доверять им настолько, чтобы позволить им всем ставить сертификаты собственных CA в браузер фрилансера "для тестирования проекта".
DEFCON 23. «Let'sEncrypt: чеканка бесплатных сертификатов шифрования для Интернет». Ян Жу, Питер Эккерсли, Джеймс Кастен