Комментарии

Прошлым летом, когда я захотела воспользоваться сайтом Quora, я зашла на страничку авторизации и увидела, что она сделана на основе простого HTML, что уже плохо. Кроме того, HTML открыт для воздействия инструментов злоумышленников и передаёт Ваши пароли в виде открытого текста.


И что же они предлагают использовать вместо html?

В оригинале вродь говорится что «страница логина передается по http» (а не в зашифрованном виде, по https). Автор перевода почему то взял html и начал вокруг этого сочинять перевод.
Забыли описать Content Security Policy — та еще заноза…
Особенно если не дай бог у тебя что-то аяксом подтягивается с субдомена или своей CDN

Надо только на видном месте написать, что статья трёхлетней давности, и некоторые вещи уже устарели (например вопрос про wildcard сертификаты)

— Можно ли использовать Ваш клиент для проверки доменов типа .local?
Питер:
Я думаю, что не имеет смысла использовать TLS в этом случае.

Ага, отличная идея. Особенно при необходимости протестировать https-ный сайт в CI или запустить его в докер-контейнере на машине разработчика, с целью убедиться что https/HSTS/secure cookies/etc. реализованы корректно. Получается, они рекомендуют делать две версии сайта — одну с https/HSTS/secure cookies и вторую без всего этого чтобы можно было удобно тестировать и разрабатывать сайт? Мало того, что это лишняя работа и лишние баги, так ещё и всегда остаётся вероятность нечаянно запустить в продакшне версию без, например, secure cookie.


Идея сделать для компании/проекта свой CA и подписывать им сертификаты для .local тоже очень так себе. Если в CI ещё можно поставить сертификат своего CA как доверенный, то в браузере разработчика это делать уже не хочется, ибо открывает возможность для злоупотреблений и использования этого CA для выдачи сертификата для сайтов вроде gmail.com и использования компанией MiTM-атак. Особенно для фрилансеров, которые работают с кучей компаний и не имеют оснований доверять им настолько, чтобы позволить им всем ставить сертификаты собственных CA в браузер фрилансера "для тестирования проекта".

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.