Автор |
Сообщение |
Maximus ®
Вольный стрелок Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5097
Ratio: 25.179
Поблагодарили: 13237
100%
|
В Chrome постепенно будут вноситься изменения, которые в итоге приведут к полной блокировке загрузки контента по HTTP. Начиная со следующего года, Google изменит свое отношение к сайтам, полностью не перешедшим на HTTPS и продолжающим загружать некоторые ресурсы страниц (например, видео, аудио, изображения и скрипты) по HTTP. Загружаемые сайтами ресурсы по HTTPS и по HTTP называются «смешанным контентом» и представляют собой проблему с самого первого дня внедрения HTTPS. В течение нескольких лет браузеры игнорировали проблему «смешанного контента», для них было важно лишь, чтобы главный домен загружался по HTTPS. Тем не менее, в последнее время компании Google и Mozilla, каждая по своему, активно продвигают HTTPS. Mozilla и ее партнеры запустили сервис Let's Encrypt, предоставляющий бесплатные, простые в развертывании TLS-сертификаты. В свою очередь, Google Chrome стал обозначать загружаемые по HTTP сайты как небезопасные (Not Secure). Теперь же Google намерена пойти еще дальше и заставить сайты полностью перейти на HTTPS. Начиная с версии Chrome 79, в браузер постепенно будут вноситься изменения, которые в итоге приведут к полной блокировке «смешанного контента» по умолчанию. Уже в Chrome 80 «смешанные» аудио и видео будут автоматически обновляться до HTTPS. В случае невозможности загрузки контента по HTTPS, он будет блокироваться. В Chrome 81 этот подход будет также применяться к «смешанным» изображениям. SecurityLab- HTTPS не является отдельным протоколом. Это обычный HTTP, дополненный механизмами шифрования SSL и TLS в целях повышения безопасности.
- HTTPS защищает канал передачи данных между браузером и веб-сайтом, предотвращая разного рода атаки — от снифферских атак и атак типа man-in-the-middle.
|
_________________ «Если ты ненавидишь, значит тебя победили» – Конфуций
|
|
|
TroILComandor
Стаж: 13 лет 1 мес.
Сообщений: 981
Ratio: 3.469
Поблагодарили: 329
100%
|
Ну круто, чо. Для крупняков - как два пальца об асфальт, для мелочевки в виде сайтиков локальных городских магазинчиков/мастерских/ресторанчиков - дополнительные расходы на приобретение SSL-сертификатов. |
|
|
|
Tambourine
Стаж: 14 лет 1 мес.
Сообщений: 34
Ratio: 38.991
100%
|
TroILComandor вы статью читали? Вам дают бесплатные сертификаты для любого сайта. |
|
|
|
TroILComandor
Стаж: 13 лет 1 мес.
Сообщений: 981
Ratio: 3.469
Поблагодарили: 329
100%
|
Tambourine писал(а): | TroILComandor вы статью читали? Вам дают бесплатные сертификаты для любого сайта. |
Хром дает бесплатные SSL? Где это написано? Написано, что он будет блочить сайты и все. |
|
|
|
makey161
Стаж: 13 лет 10 мес.
Сообщений: 270
Ratio: 20.606
Раздал: 6.532 TB
100%
Откуда: СПб
|
samchuk Вы действительно считаете, что данный косяк - довод против HTTPS как такового?
Добавлено спустя 5 минут 46 секунд:
TroILComandor Если сайт работает с данными клиентов, то он обязан иметь SSL. В противном случае, можно с транспарантом где написаны эти самые данные выйти в центр города - результат одинаков. А вот индивидуальные бложики - страданут, это да. Но кому до них есть дело? Если они более-менее раскручены, то сам хозяин прикрутит туда SSL ради своей же безопасности. Если, конечно, хост - не стоит у него под кроватью. |
|
|
|
TroILComandor
Стаж: 13 лет 1 мес.
Сообщений: 981
Ratio: 3.469
Поблагодарили: 329
100%
|
makey161 писал(а): | Если сайт работает с данными клиентов, то он обязан
|
А если не работает? Кому и чем он обязан? |
|
|
|
makey161
Стаж: 13 лет 10 мес.
Сообщений: 270
Ratio: 20.606
Раздал: 6.532 TB
100%
Откуда: СПб
|
Tambourine И да, тут вы передергиваете. Google никому никакие бесплатные сертификаты не выдает. Написано, что Mozilla помогает с приобретением копеечных сертификатов. Ну и, насколько я знаю, Emer в доменной зоне EmerDNS и OpenNIC - выдает бесплатные.
Добавлено спустя 7 минут 40 секунд:
TroILComandor Если на нем размещены только контакты фирмы - то он все равно обязан клиентам и самому себе. MITM, логин-пароль админа, и клиенты звонят уже не в офис компании, а неизвестному Васе, который просит внести залог. Если же сайт не выполняет даже таких функций, то зачем он в принципе нужен? Теневой ресурс? Пускай идет в луковую среду или в OpenNIC. Там сертификаты бесплатны. Не молотите воду в ступе. HTTPS нужная и весьма полезная фича. Но я бы хотел, чтобы людей этого не понимающих - было больше. Они - хлеб для людей чуть поумней. А умным - жить. |
|
|
|
balarava
Стаж: 9 лет 3 мес.
Сообщений: 684
Ratio: 3.18
100%
|
получается в перспективе это приведет к тому что станет проще блокировать неугодные сайты ? то есть вместо того чтобы давить на провайдера или хостинг достаточно будет надавить только на организацию которая выдала TLS-сертификат чтобы та его отозвала ? |
|
|
|
pazik
Стаж: 16 лет 3 мес.
Сообщений: 94
Ratio: 857.646
100%
Откуда: 404
|
Https безопасен? Ню, ню... А кто будет сторожить сторожей (с)? А именно тех, кто выпускает сертификаты и чьи корневые сертификаты установлены в ОС или в браузерах? Кто поручится (желательно головой или ещё чем ) за то, что эти конторы не под колпаком у "сами знаете кого"? |
_________________ Гололёд на земле, гололёд...
|
|
|
TroILComandor
Стаж: 13 лет 1 мес.
Сообщений: 981
Ratio: 3.469
Поблагодарили: 329
100%
|
makey161 писал(а): | Если на нем размещены только контакты фирмы - то он все равно обязан клиентам и самому себе. MITM, логин-пароль админа, и клиенты звонят уже не в офис компании, а неизвестному Васе, который просит внести залог.
|
Пугалки а-ля "тебя прослушивает фбр". Все сайты мелких компаний нафиг не нужны всевозможным "Васям", просящим залог. Придумайте аргумент повесомей, ибо лично для меня вся эта шумиха с https поднялась явно не с целью "обезопасить". Как-то же работали все сайтики мира все это время без него, ага? Ну а что "Вася" там решит украсть чего-то - так он и ворует, плюя на ваш любимый https у всяких фейсбуков, сбербанков и прочих "защищенных со всех сторон" компаний. makey161 писал(а): | Но я бы хотел, чтобы людей этого не понимающих - было больше. Они - хлеб для людей чуть поумней. А умным - жить.
|
Ну-ну, потешьте свое чсв, вдруг да полегчает. |
|
|
|
makey161
Стаж: 13 лет 10 мес.
Сообщений: 270
Ratio: 20.606
Раздал: 6.532 TB
100%
Откуда: СПб
|
balaravaНачнем с того, что фирм, выдающих сертификаты - не мало, и не все они Российские/Американские. Есть компании/организации сами для себя выпускающие сертификаты(ага ). Ну и плюс ко всему, уже давно существует безопасная среда для "неугодных" сайтов. Кто ищет - тот найдет. Весь секрет этого вопроса в том, что людям несколько развитым - эта затея несет только пользу, у людей поглупее - вызывает жжение. Человек не осознающий всего полезного функционала SSL не знает и путей обхода той проблемы, что несет в себе принудительный порядок их внедрения. Так что, все просто, - развивайтесь люди, и будет вам счастье. А лучше - не развивайтесь. Вспоминаю Хаксли, который приводил пример острова, где все были умны, сильны и характерны. Не взлетело. Дурак - всегда должен быть. |
|
|
|
Xamjiit
Стаж: 13 лет 6 мес.
Сообщений: 99
Ratio: 13.101
Раздал: 10.25 TB
100%
Откуда: Taraz
|
почитал комменты, прикольно но я думаю если кому то что то нужно знать о нас то они и так все уже знают. про кино онлайн я не соглашусь так как не смотрю камрипы! о безопасности в сети забочусь как могу хотя и не знаю и не могу пока еще знать всех тонкостей. а то что люди с фбр или какого нибудь фсб или ми6 получат ссылки на то что я смотрю в сети википедию или ходячих мертвецов так пожалста чего там таить то?! на компе кроме мп3 и пары сотен фоток и пиратских игр тоже взять нечего так что как то так |
_________________ GIGABYTE B760DS3-H DDR4, 32GB RAM, INTEL CORE I5-12400F, GIGABYTE WINDFORCE 12G 4070-RTX, 512GB M.2 SSD, 4TB HDD, PS 800W.
|
|
|
Volt88
Стаж: 12 лет 4 мес.
Сообщений: 95
Ratio: 46.354
Раздал: 11.36 TB
Поблагодарили: 1523
100%
|
mmsh. писал(а): | Цитата: | от снифферских атак |
Ни к селу, ни к городу... : Тем не менее - Telerik.com = Fiddler.exe - отличный сниффер https )) |
Только для дешифровки https трафика вам необходимо будет добавить сертификат в корневое хранилище, без этого трафик не расшифровать. |
|
|
|
makey161
Стаж: 13 лет 10 мес.
Сообщений: 270
Ratio: 20.606
Раздал: 6.532 TB
100%
Откуда: СПб
|
TroILComandorПогуглите слово "сниффер". И вообще, походите по профильным форумам, почитайте что люди пишут, какие схемы в тренде были, какие есть сейчас. Или не знаете как их найти, эти самые форумы? Ведь их нет в открытом доступе, и сертификаты им не требуются... Ая-яй... Тогда, простите, мы с вами из разных миров, нам незачем общаться. Добавлено спустя 1 минуту 57 секунд:Volt88А сертификат получить можно, только если присосаться до начала сессии? |
|
|
|
TroILComandor
Стаж: 13 лет 1 мес.
Сообщений: 981
Ratio: 3.469
Поблагодарили: 329
100%
|
makey161 писал(а): | Погуглите слово "сниффер". И вообще, походите по профильным форумам, почитайте что люди пишут, какие схемы в тренде были, какие есть сейчас. Или не знаете как их найти, эти самые форумы? Ведь их нет в открытом доступе, и сертификаты им не требуются... Ая-яй... Тогда, простите, мы с вами из разных миров, нам незачем общаться.
|
Ну вот вы и съехали с темы и ушли в отказ. Опустите свой задранный до небес носик и прочитайте еще раз мои слова про громкие пугалки об ужасных кулхацкерах. Повторю на всякий случай, а то вдруг до умного человека не доходит: Мелкие фирмы все это время существовали прекрасно и без шифрования. Крупные фирмы прекрасно ломались и с шифрованием. Ваша агитация напоминает рекламу невзламываемых дверных замков. |
|
|
|
balarava
Стаж: 9 лет 3 мес.
Сообщений: 684
Ratio: 3.18
100%
|
makey161 писал(а): | Начнем с того, что фирм, выдающих сертификаты - не мало, и не все они Российские/Американские. Есть компании/организации сами для себя выпускающие сертификаты(ага :mrgreen: ). |
ну я так понимаю их существенно меньше чем хостингов, а судя по wiki крупных игроков не так уж и много, да и получить аккредитацию WebTrust это тот еще гемор раз этих центров так мало. makey161 писал(а): | Ну и плюс ко всему, уже давно существует безопасная среда для "неугодных" сайтов. Кто ищет - тот найдет. Весь секрет этого вопроса в том, что людям несколько развитым - эта затея несет только пользу, у людей поглупее - вызывает жжение. Человек не осознающий всего полезного функционала SSL не знает и путей обхода той проблемы, что несет в себе принудительный порядок их внедрения. Так что, все просто, - развивайтесь люди, и будет вам счастье. :wink:
|
а я думал что умные всегда приветствуют выбор, а не как сказала партия. |
|
|
|
|
|
|