| Автор |
Сообщение |
Maximus ®
Вольный стрелок
Uploader 100+
Стаж: 17 лет 6 мес.
Сообщений: 5092
Ratio: 25.179
Поблагодарили: 13237
100%
|
В Chrome постепенно будут вноситься изменения, которые в итоге приведут к полной блокировке загрузки контента по HTTP. Начиная со следующего года, Google изменит свое отношение к сайтам, полностью не перешедшим на HTTPS и продолжающим загружать некоторые ресурсы страниц (например, видео, аудио, изображения и скрипты) по HTTP. Загружаемые сайтами ресурсы по HTTPS и по HTTP называются «смешанным контентом» и представляют собой проблему с самого первого дня внедрения HTTPS. В течение нескольких лет браузеры игнорировали проблему «смешанного контента», для них было важно лишь, чтобы главный домен загружался по HTTPS. Тем не менее, в последнее время компании Google и Mozilla, каждая по своему, активно продвигают HTTPS. Mozilla и ее партнеры запустили сервис Let's Encrypt, предоставляющий бесплатные, простые в развертывании TLS-сертификаты. В свою очередь, Google Chrome стал обозначать загружаемые по HTTP сайты как небезопасные (Not Secure). Теперь же Google намерена пойти еще дальше и заставить сайты полностью перейти на HTTPS. Начиная с версии Chrome 79, в браузер постепенно будут вноситься изменения, которые в итоге приведут к полной блокировке «смешанного контента» по умолчанию. Уже в Chrome 80 «смешанные» аудио и видео будут автоматически обновляться до HTTPS. В случае невозможности загрузки контента по HTTPS, он будет блокироваться. В Chrome 81 этот подход будет также применяться к «смешанным» изображениям. SecurityLab- HTTPS не является отдельным протоколом. Это обычный HTTP, дополненный механизмами шифрования SSL и TLS в целях повышения безопасности.
- HTTPS защищает канал передачи данных между браузером и веб-сайтом, предотвращая разного рода атаки — от снифферских атак и атак типа man-in-the-middle.
|
_________________
«Если ты ненавидишь, значит тебя победили» – Конфуций
|
|
 |
makey161
Стаж: 13 лет 10 мес.
Сообщений: 270
Ratio: 20.523
Раздал: 6.504 TB
100%
Откуда: СПб
|
TroILComandor
Для MITM не надо быть хакером. Можно быть простым Васей. Скам - не кодинг, там мозгов не много надо, но таки - надо.
И вы что, статистику ведете? Или лично свечку держите над каждым сайтом "мелкой" фирмы, и знаете, бывали ли у них проблемы из-за потери админки или кражи данных пользователей? Кстати, почти все фирмы, даже самые мелкие, уже давно имеют SSL. Это уже как "отче наш" для людей, которые не хотят сливать свои деньги во всемирный фонд фрода. "Если на сайте, предоставляющем услуги нет зеленого замочка - валить оттуда, сайт левый". И если вы незнакомы с подобным, то предлагаю ознакомится. Нос следом за мной для этого задирать не нужно и серфить теневые форумы - тоже. Есть такой ресурс - habr. Сойдет для начала.
И да, стоит заметить, что это вы меня не читаете. Я уже писал, что HTTPS - не панацея. Но несет в себе плюсов больше, чем минусов.
Добавлено спустя 6 минут 35 секунд:
balarava
Ну, об этом я там-же и сказал. Умный выбирает тем, что знает сколько и какие есть путя. |
|
|
|
|
aiwalev
Стаж: 12 лет 2 мес.
Сообщений: 9425
Ratio: 3793.793
36.29%
|
makey161 писал(а):  |
Ну, об этом я там-же и сказал. Умный выбирает тем, что знает сколько и какие есть путя.
|
Зачем выбирать то, что и даром не тарахтело? Если мелкая фирма или частное лицо имеют сайт сугубо информационного назначения, зачем им дополнительные телодвижения, принуждаемые извне? Update. Имхо, появятся ветки на основе Хрома, которые будут устранять эту добрую и умную инициативу. |
|
|
|
|
Volt88
Стаж: 12 лет 4 мес.
Сообщений: 95
Ratio: 46.354
Раздал: 11.36 TB
Поблагодарили: 1523
100%
|
| makey161 писал(а): | Volt88А сертификат получить можно, только если присосаться до начала сессии?  |
Да. Возможность расшифровки появляется на этапе создания туннеля, т.е. CONNECT запроса. Если тунель уже создан - данные в нем не перехватить. |
|
|
|
|
TroILComandor
Стаж: 13 лет 1 мес.
Сообщений: 981
Ratio: 3.469
Поблагодарили: 329
100%
|
| makey161 писал(а): | TroILComandor
И да, стоит заметить, что это вы меня не читаете. Я уже писал, что HTTPS - не панацея. Но несет в себе плюсов больше, чем минусов.
|
Я понимаю, что у него есть плюсы, как и свои, особенные, минусы (та же настройка, например). Но лично меня возмущает то, что возмущает всех, особенно когда речь заходит про все возможные свободы. Все же не любят блокировки сайтов и жутко по этому поводу бугуртят, прадва? Так вот: меня возмущает именно обязаловка. Гугл планирует блочить. Яндекс режет в поисковой. Казалось бы, какое дело мегакорпорациям до потери данных всякой мелочи? Сайт Феди-слесаря может подвергнуться перехвату трафика? И гугол по этому поводу переживает? Какой резон устраивать этот переполох? |
|
|
|
|
monkdt
Стаж: 4 года 10 мес.
Сообщений: 1589
Ratio: 1.088
100%
|
Volt88
действительно работает ) Почему то браузер не видит корневой сертификат в /etc в линухе, но если импортировать вручную в браузере то правда можно прочитать например весь гет и ответы. Теперь блин не успокоюсь пока не пойму почему системные root сертификаты не сработали. Вы не в курсе случайно? |
|
|
|
|
Volt88
Стаж: 12 лет 4 мес.
Сообщений: 95
Ratio: 46.354
Раздал: 11.36 TB
Поблагодарили: 1523
100%
|
| monkdt писал(а): | Volt88
действительно работает ) Почему то браузер не видит корневой сертификат в /etc в линухе, но если импортировать вручную в браузере то правда можно прочитать например весь гет и ответы. Теперь блин не успокоюсь пока не пойму почему системные root сертификаты не сработали. Вы не в курсе случайно? |
Зависит от браузера. Хром доверяет корневым сертификатам системы, а вот у Мозиллы вроде бы свое собственное хранилище. |
|
|
|
|
MaxKorsak
Стаж: 11 лет 1 мес.
Сообщений: 4
Ratio: 115.378
100%
|
Кажется мне, что это путь к двустороннему шифрованию, а следовательно, в интернет скоро будут продавать билеты (ну, или сертификаты). Под лозунгом ОНИ ЖЕ дети (точнее пользователи), а следовательно беззащитны против ломщиков, будет введён тотальный контроль. |
|
|
|
|
aiwalev
Стаж: 12 лет 2 мес.
Сообщений: 9425
Ratio: 3793.793
36.29%
|
| TroILComandor писал(а): |
Какой резон устраивать этот переполох?
|
Пока напрашивается только одно: контроль или соучастие в процессе сертификации. |
|
|
|
|
balarava
Стаж: 9 лет 3 мес.
Сообщений: 676
Ratio: 3.18
100%
|
| makey161 писал(а): | Ну, об этом я там-же и сказал. Умный выбирает тем, что знает сколько и какие есть путя. |
добровольно забиться в какую-то дыру это не путя, вернее путя но в некуда тотальное навязывание https которое завязано на сертификаты, которые выдаются дяденьками в белых халатах которых акредитует какой-то WebTrust | Цитата: | Quis custodiet ipsos custodes? Или, если, спросить по-нашему, кто наблюдает за наблюдателями? Каждому крупному центру сертификации необходимо пройти довольно обширную аудиторскую проверку, которая называется AICPA/CICA WebTrust Program for Certification Authorities. Этот WebTrust аудит проводится специальными компаниями и аудиторами, получившими лицензию Американского института сертификации бухгалтеров (AICPA) или Канадского института сертификации бухгалтеров (CICA). Microsoft выбрал WebTrust для центров сертификации в рамках программы для СА, которые желают распространять свои корневые сертификаты для программного обеспечения Microsoft. |
то есть выходит что американские и канадские бухгалтера правят миром, - шутка. не спорю, возможность использовать https полезно но не как глобальная фича, а только там где оно действительно нужно |
|
|
|
|
TroILComandor
Стаж: 13 лет 1 мес.
Сообщений: 981
Ratio: 3.469
Поблагодарили: 329
100%
|
| aiwalev писал(а): | | TroILComandor писал(а): |
Какой резон устраивать этот переполох?
|
Пока напрашивается только одно: контроль или соучастие в процессе сертификации. |
Ха! В яблочко! Но только т-ссс, это секретная информация только для неумных. Умные люди свято верят в серый тырнет, волшебные фичи шифрования и всеобщее благо для всех от корпораций. |
|
|
|
|
Abay1961
Стаж: 7 лет 5 мес.
Сообщений: 133
Ratio: 34.124
Раздал: 4.04 TB
100%
|
Браузер сранный мозгов хавает, как автокад уже... С вот-такенной подложкой от изыскателя!
И это, по-определению, неправильно |
|
|
|
|
fontan16
Стаж: 8 лет 3 мес.
Сообщений: 1192
Ratio: 4.101
24.18%
Откуда: Бостон
|
Народ здесь в основной массе путает понятие шифрованного трафика с наличием сертификата от Certificate authority.
Для того чтобы снифер не смог читать пакеты достаточно зашифровать трафик путём использования https протокола, а сертификат можно сгенирировать самому.
Наличие сертификата от Certificate authority нужно для того чтобы сервер мог доказать, что он является именно тем за кого себя выдаёт и больше ничего. Для того чтобы предотвратить так называемую атаку человека посредине ( man on middle attack ).
Это происходит в момент установления сессии.
Пользоваться снифером и читать незащищённый трафик может каждый, а вот для организации атаки нужен набор знаний и как минимум, большое желание этим заниматься.
Поэтому использование защищённого протокола с самодельным сертификатом в большинстве случаев достаточно для безопасности соединений. |
|
|
|
|
makey161
Стаж: 13 лет 10 мес.
Сообщений: 270
Ratio: 20.523
Раздал: 6.504 TB
100%
Откуда: СПб
|
balaravaЧеловек комментарием выше (fontan16) донес мне, почему вы меня не понимаете. Мы с вами о разных вещах говорили. Я вижу шифрование, вы - очередную официозу.  Добавлено спустя 11 минут 6 секунд:TroILComandorТак-то, во фринете уже давно нет ничего опального, и в то же время - серьезного. Для меня, лично, это не суть большая проблема. Я знаю где искать то, что и до этого ни в каких результатах поиска ни одного поисковика не выдавалось. Минусы, для меня, - нивелированы, а плюсы есть. Потому, я - сторонник этой затеи. Обязаловка - это плохо. Но когда на вполне себе официальном сайте нет никакой защиты от прослушивания соединения - еще хуже. Говорить, что у официальной белой фирмы нет денег на сертификат, все равно что сказать что у нее нет денег на установку датчиков пожарной безопасности. Даже если эта фирма занимается шитьем одежды из асбеста и на все предприятие из всех горючих материалов - только тушки работающих там человеков. Оно просто должно быть. А все неофициальное или уж тем более запрещенное уже давно существует независимо от "хочу" поисковиков, провайдеров, властей в совершенно иных местах. |
|
|
|
|
aiwalev
Стаж: 12 лет 2 мес.
Сообщений: 9425
Ratio: 3793.793
36.29%
|
| makey161 писал(а): | Говорить, что у официальной белой фирмы нет денег на сертификат, все равно что сказать что у нее нет денег на установку датчиков пожарной безопасности. Даже если эта фирма занимается шитьем одежды из асбеста и на все предприятие из всех горючих материалов - только тушки работающих там человеков. Оно просто должно быть. |
Если фирма, к примеру, занимается изготовлением мебели со штатом в полста человек, то там его не только нет, и не должно быть, но пока и не планируется. Не стоит давить на жалость к французским детям. |
|
|
|
|
monkdt
Стаж: 4 года 10 мес.
Сообщений: 1589
Ratio: 1.088
100%
|
fontan16 | Цитата: | что он является именно тем за кого себя выдаёт и больше ничего. |
что значит больше ничего? А где содержится открытый ключ? |
|
|
|
|
|
|
|
