Разработчики Firefox представили (https://groups.google.com/forum/#!msg/mozilla.dev.platform/R...) план перехода Firefox к пометке всех страниц, открытых по HTTP, индикатором небезопасного соединения. Изменение планируется применить в выпуске Firefox 70, намеченном на 22 октября. В Chrome вывод индикатора, предупреждающего об установке небезопасного соединения, для открытых по HTTP страниц выводится начиная с выпуска
Chrome 68 (https://www.opennet.ru/opennews/art.shtml?num=48040), предложенного в июле прошлого года.В Firefox 70 также планируется (https://bugzilla.mozilla.org/show_bug.cgi?id=1562881) убрать кнопку "(i)" из адресной строки, ограничившись постоянным размещением индикатора уровня безопасности соединения, который также позволяет оценить состояние режимов блокировки кода для отслеживания перемещений. Для HTTP будет явно показан значок проблем с безопасностью, который также будет выводиться для FTP и в случаях проблем с сертификатами:
Предполагается, что отображения индикатора небезопасного соединения будет стимулировать владельцев сайтов переходить по умолчанию на HTTPS. По статистике (https://letsencrypt.org/stats/) сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 78.6%
(год назад 70.3%, два года назад 59.7%), а в США - 87.6%. Некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификаты безвозмездно всем желающим, выдано 106 млн сертификатов, охватывающих около 174 млн доменов (год назад было охвачено 80 млн доменов).
Переход к пометке HTTP небезопасным является продолжением ранее предпринятых попыток форсирования перехода на HTTPS в Firefox. Например, начиная с выпуска Firefox 51 (https://www.opennet.ru/opennews/art.shtml?num=45909) в браузере был добавлен индикатор проблем с безопасностью, отображаемый в случае обращения без использования HTTPS к страницам, содержащим форму ввода пароля. Также началось (https://www.opennet.ru/opennews/art.shtml?num=47913) ограничение (https://www.opennet.ru/opennews/art.shtml?num=50647) доступа к новым Web API - в Firefox 67 (https://www.opennet.ru/opennews/art.shtml?num=50717) для страниц, открытых вне защищённого контекста, запрещён вывод системных уведомлений через API Notifications, а в Firefox 68 (https://www.opennet.ru/opennews/art.shtml?num=51061) при незащищённых обращениях блокируются запросы к вызову getUserMedia() для получения доступа к источникам мультимедийных данных (например, камере и микрофону).
URL: https://groups.google.com/forum/#!msg/mozilla.dev.platform/R...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51109
Можно ещё небезопасными помечать ssl-соединения заверенные любыми публичные CA. Оно же тоже небезопасно.
А непубличные CA это какие? Подконтрольные спецслужбам?
Свой собственный
Предлагаю сообщать о небезопасности пользователи который только включил компьютер
И кому твой собственный кроме тебя самого интересен? Добавишь свой собственный в список доверенных в твоей собственной установке Firefox, и он будет доверять твоим собственным сайтам.
Есть разница между "провайдер МОЖЕТ" подслушать и "провайдер ТОЧНО подслушает". В случае публичныъх провайдер может получит доступ к трафику и сохранит данные в логах, а может нет. Без сертификата точно да.
Если бы не долбаный гугл, то можно было бы делать Certificate PinningА так для гугла надо исключение...
Расчёсывают под одну гребёнку. Свой сайт не создать. Нужно одобрение дяди сверху.
Создавайте, только смотреть никому нельзя, потому что интернет принадлежит... Ну пока ещё делят, делят между собой...
Значок в адресной строке браузера мешает тебе создать сайт?
значок звезды давида на лацкане мешает тебе жить?
Таки помогает!
А ты не очень хорошо знаешь историю, да? Почитай, когда и где так людей "помечали".
> значок звезды давида на лацкане мешает тебе жить?первое время - пару лет даже, кажется - многим совершенно не мешал. Потом мешал, но не так чтоб очень. Потом - время военное, вот после победы заживем!
Лягушку главное ж варить - медленно. Был один хорошо (само)задокументированный прецедент, до лагеря чуть-чуть не доехал, жена-немка пинками отправила на запад в уже самый последний момент.
Вы забвваете чтов отдаленной перспективе разработчики ФФ хотя вообще отказаться от поддержки HTTP без шифрования. Скажет тот же режим HTTP2 без TLS в фф отказались реализовывать.
Медленно но верно выдавливают. И да, убирание i из строки адреса сдлеает сложнее выявление чьим сертификатом подписан сайт.
Вы ведь знаете как это делается, сначала они убирают это из строки адреса в page info, а через год говорят "по статистике никто там это не смотрит, выбрасываем".
Откуда инфа про поддержку?
Кнопка i и замок в текущих версиях - лдна и та же кнопка. Резонно предположить что нажатие на замок покажет то же окошко, что i а текущих версиях, но до этого конечно довольно трудно догадаться
> Откуда инфа про поддержку?
> Кнопка i и замок в текущих версиях - лдна и та же
> кнопка. Резонно предположить что нажатие на замок покажет то же окошко,
> что i а текущих версиях, но до этого конечно довольно трудно
> догадатьсяОни даже в своем блоге об этом заявляли - https://blog.mozilla.org/security/2015/04/30/deprecating-non.../
С тех пор ничего не поменялось и политика такая, что все (именно все, а не те для которых это важно) новые "вкусные" фичи должны работать только в Secure Context (https или localhost). "Старые" фичи убирать пока не собираются, но кто его знает что будет потом.
Что до замка и кнопки i, то "пожуем увидим", вот внесут это изменение в ночнушку тогда будет ясно. А то вот скажем в процессе переделки индикаторов уже пропала панель с настройками блокировки всяких трекеров - https://bugzilla.mozilla.org/show_bug.cgi?id=1565849
в следующей версии удалят возможность открывать
Создавай сколько влезет. Только знай что пользователю если и не скажут прямо то точно намекнут о том как он к нему конектится
Let's Encrypt
Который не работает с дешёвыми хостингами и становится единой точкой отказа?
Говорилось о сайте, для меня домашняя страничка с фотками кота на дешевом хостинге не входит в это понятие.Но давайте поставим вопрос иначе. В 2к19 году вообще имеет смысл создавать сайт без сертификата? Не знаю как вы, а я на такие по дефолту не захожу. Провайдеру незачем знать по каким страницам я шарюсь. С этой т. з. инициатива Mozilla очень даже похвальная - подталкивают к тому, чтобы шифрованного трафика в интернете было больше и анбшникам жить было сложнее.
DNS? DPI? ХАХАХА
DNS over HTTPS, DPI не помогает против TLS/SSL, тут нужен полный MITM с подменой сертификатов и или внедрение своего корневого или кража чужого закрытого ключа/сотрудничество с существующими центрами не имеющими но и против этого есть https://transparencyreport.google.com/https/certificates?hl=en
> Но давайте поставим вопрос иначе. В 2к19 году вообще имеет" Первое правило 2к19-клуба всегда и всем рассказывай про как вообще оно надо в 2к19ом году. "
Ты забыл про ipmi. Если авторы firefox продолжат развивать этот театр безопасности, то всякие встраиваемые http морды, на безопасность которых всем в общем-то плевать, придется снабжать сертификатами внутри конторы. И никакого letsencrypt, руками рассовывать придется.
> Ты забыл про ipmi. Если авторы firefox продолжат развивать этот театр безопасности,
> то всякие встраиваемые http морды, на безопасность которых всем в общем-то
> плевать, придется снабжать сертификатами внутри конторы. И никакого letsencrypt, руками
> рассовывать придется.Вы будете таки смеяться. Видео тут недавно сетевую камеру от TP-Link. Так вот, в ней сделан TLS 1.0 (о котором кстати ФФ верещит что через год его поддержку уберут) - потому что там так реализоано вещание LiveView с камеры в её админке что без HTTPS оно не заводится.
> Говорилось о сайте, для меня домашняя страничка с фотками кота на дешевом
> хостинге не входит в это понятие.правильно, должен остаться только пейсбук!
Ты, кстати, у них на зарплате, или пока так, на добровольных началах FUD распространяешь?> Но давайте поставим вопрос иначе. В 2к19 году вообще имеет смысл создавать сайт без сертификата?
да. Например, чтобы не сливать информацию о всех мимо пробегавших твоему работодателю.
> Провайдеру незачем знать по каким страницам я шарюсь.
провайдер там ниже в треде чота ржот.
А вот людям, открывшим громадный honeypot летсшиткрипта - данные где ты ходишь так легко не даются, им вот приходится напрягаться.
> С этой т. з. инициатива Mozilla очень даже похвальная - подталкивают к тому, чтобы шифрованного
> трафика в интернете было больше иникаких котиков на личных сайтах не было - только под бережным но внимательным присмотром большого братца. Лучше, конечно, чтоб вообще никакого интернета не было - только гугль, мордокнига и немножечко еще яндексов с тентаклем. К этому, в общем, все и идет.
Поправил, не благодари.
>> В 2к19 году вообще имеет смысл создавать сайт без сертификата?
> да. Например, чтобы не сливать информацию о всех мимо пробегавших твоему работодателю.
> сайт без сертификата
> чтобы не сливатьРазверни мысль.
>>> В 2к19 году вообще имеет смысл создавать сайт без сертификата?
>> да. Например, чтобы не сливать информацию о всех мимо пробегавших твоему работодателю.
>> сайт без сертификата
>> чтобы не сливать
> Разверни мысль.лень на тебя время терять. Если тебе эта мысль непонятна - значит ты вообще не знаком с деталями технологии, которую всем навязывает мурзила и гугль. Но радостно верещишь что "сайт без сертификата очень опастно".
При том что "во-первых, об этом, разумеется, уже знаю я, во-вторых, конечно же будет знать сам китаец"...
>> Разверни мысль.
> лень на тебя время терять. Если тебе эта мысль непонятна - значит
> ты вообще не знаком с деталями технологии, которую всем навязывает
> мурзила и гугль. Но радостно верещишь что "сайт без сертификата очень
> опастно".Я-то лично как раз не верещу, а ещё и не успеваю следить за загнивающим вебом. HPKP какие-то, OCSP, HSTS, отменяют чего-то ещё потом... Вот мне и интересно, что за шпиёнов ты нашёл в сертификатах, которые я на личный сайт ставлю в первую очередь потому, что билайны с мегафонами вечно норовят подсунуть свои полноэкранные рекламные блоки и непрошенные тулбары в plaintext-трафик. (Городить целые випиены ради аж двух пользователей и полутора десятков полудинамичных страниц тут всё же мне видится оверкиллом.)
> Я-то лично как раз не верещу, а ещё и не успеваю следить за загнивающим вебом.блин, ну нельзя же ТАК тормозить?!
записывай вкратце: hpkp отменил гугель. То есть можно считать что его нет, при их-то 75%. Нет, для себя и друзей - оставил, то есть телеметрию перехватить ты не сможешь, а вот сайты - пожалуйста.
Причиной была названа, ну конечно же ж, забота о дорогих пользователях - владельцах сайтов, которые все время теряли ключи от прибитых гвоздем сертификатов, и потом не могли зайти на свой сайт и очень плакали.ocsp - это ответ гугля и мазилы на отмену crl - который был просто списком отмененных сертификатов, и его скачивание ничуть не раскрывало, к какому именно сайту ты обращаешься, поэтому было объявлено, что они загружаются ну ооооочень долго, пользователь не может ждать - вот тормозить при каждом новом обращении к шифрованному сайту (потому что помимо сессии с ним устанавливается еще и невидимая тебе сессия с ocsp - и пока не установится, хэшдшейк не пройдет) - это норм. Теперь уже конкретный сертификат браузер предоставляет на рассмотрение цензору, на предмет одобрения его использования в каждом конкретном случае.
Попутно при этом владелец ocsp-сервера узнает, в хорошем случае (веб-сервер на который ты зашел, снабжен вредной и опасной функциональностью ocsp stapling) - о факте посещения аноном конкретного сайта, в плохом (владелец сервера решил что гори ты синим пламенем, но сервер подставлять под лишние уязвимости, баги, глюки и лишнюю нагрузку он не будет) - еще и твой фингерпринт получает для коллекции.Этой прекрасной технологии немного мешал тот факт, что в браузере зачем-то было установлено стопиццот CA, каждый из которых мог иметь собственный ocsp-сервер, а отдельные ретрограды в количестве over 60% вообще не использовали https.
Поэтому проблему решили традиционным способом, объявив раздачу бесплатного сыра, разумеется, ради заботы о безопастносте. Пытавшихся раздавать неправильный сыр или продавать по демпинговым ценам - объявили предателями и врагами нации, и их сертификаты объявили недостоверными. Одни поняли все правильно (wosign, их разблокировали без шума, пыли и лишних анонсов), другие не поняли, и решили что претензия была к их инфраструктуре. Построили новую с нуля (недешево, она физическую безопасность должна обеспечивать, помимо цифровой), занесли _снова_ два вагона денег мафии за согласования и подтверждения достойности, и пошли лесом, поскольку не усекли главного - бесплатный сыр может быть только в одной мышеловке, а не у каждого китайца.А за 60 евро в год (минимум, и без гарантий что не подорожает) или за 120 - ты, наверное, и сам не захочешь.
Ох!> блин, ну нельзя же ТАК тормозить?!
Если б я так не тормозил, то, например, на моей бы клавиатуре давно бы выросла вот такая кнопка: https://pbs.twimg.com/media/DCIF7-2W0AEAv9c.jpg
> ocsp-сервера узнает, в хорошем случае (веб-сервер на который ты зашел, снабжен вредной и опасной функциональностью ocsp stapling) - о факте посещения аноном конкретного сайта
Хм, а какой толк в случае ocsp stapling этому ocsp-серверу собирать факт того, что сайтик, на который выдан серт, посетил *кто-то*? Какие бабки можно извлечь из знания, что выданным сертификатом никто не удосужился воспользоваться? Чот не могу я тут разглядеть товар.
> В 2к19 году вообще имеет смысл создавать сайт без сертификата?Веб интерфейс управления чем-либо локальным, например
> В 2к19 году вообще имеет смысл создавать сайт без сертификата? Не знаю как вы, а я на такие по дефолту не захожу. Провайдеру незачем знать по каким страницам я шарюсь.Еще приватное окно открой, тогда провайдер точно не узнает (сарказм).
> становится единой точкой отказа?Это в смысле, заломав Let's Encrypt, можно подделать любой сертификат, выпущенный Let's Encrypt? Так проблема гораздо глубже. Заломав какой-нибудь Comodo, тоже можно подделать любой сертификат, выпущенный Let's Encrypt. Любой CA может выпустить сертификат для любого сайта. Так что, увы, точка отказа далеко не едина.
Цены на VPS начинаются от $1 в месяц, куда уж дешевле?
И каждый владелец сайта или даже веб-разработчик — непременно одновременно ещё и админ, угу.
Вот и выросло поколение.
людей, умеющих ценить свое время и не тратить его на выполнение скучной неинтересной работы, только ради счастия держать сайтик с котиками? Ну да.Они еще, гады такие, и деньги тратить на хостинг с поддержкой всех приседаний с летсшиткриптой и ее однодневками-сертификатами не хотят, видимо, потому что деньги тоже давно не мамины.
Что за бред, какие приседания? Один раз установить certbot и забыть о продлении навсегда — это «приседания»?
> Что за бред, какие приседания? Один раз установить certbot и забыть о
> продлении навсегда — это «приседания»?А мониторинг этого «навсегда» кто организовывать будет? Видели мы, как этот бот по-человечески забывает порой сделать service nginx reload.
Всмысле не работает? На любую впс за 5 баксов можно поставить.
А пользоваться типичными российскими ограниченными конструкторами, где нет полноценного доступа к процессам и поддержка только пхп это пережиток прошлого и деньги на ветер.
Нет, это дешёвые хостинги с ним не работают. А многие "бесплатные" специально сидят на древних версиях софта с формулировкой "хотите нового - меняйте тарифный план" и любые мало-мальски стоящие сайты переводят на платные планы принудительно. there is ain't no thing as free lunch
there ain't no thing as free lunch
Let's Encrypt по барабану какой у тебя хостинг, от слова "совсем"!
Если на вашем дешманском хостинге нет возможности работы с Let's Encrypt, тогда стучите в службу поддержки угрожая уходом от них. Но я так понимаю ваш "дешманский" совсем бесплатный то тут вам никто ничего не должен, сейчас полно дешёвых хостингов с поддержкой Let's Encrypt.
И да, вы всегда можете запустить свой веб сервер с поддержкой Let's Encrypt, могу посоветовать вам certbot для легкой работы с ним.
Скажете свой хост дорого? для вашего бложика хватит и старенького ноутбука на ssd с быстрым стабильным интернетом, закидываете это на чердак, далее linux-nginx-php-mysql и дорога в рай. Это не сложно.
К примеру у меня никогда нет обрывов связи с провайдером совершенно по оптике, электричество тоже непомню сколько лет не пропадало уже, но если и пропадёт то на ноуте есть своя батарейка, а можно к ноуту ещё и акумулятор прикрутить от автомобиля через инвертор, и зарядку на этот акум бросить через контроллер и будет вам счастье автономное) но последнее это уж совсем для таких как я) Гггг
Например, Зенон Н.С.П. не поддерживает Let’s Encrypt на «устаревших» тарифах, предшествовавших линейке «Зенон-xxx».
> Например, Зенон Н.С.П. не поддерживает Let’s Encrypt на «устаревших»
> тарифах, предшествовавших линейке «Зенон-xxx».Ну так смени хостера
Не знаю о каких хостингах речь, но хостинг который я юзаю не поддерживает Let's Encrypt.
Однако в acme.sh (юзаю вместо certbot) можно добавлять свои команды (хуки) которые выполняются при установке сертификата.
На хостинге используется CPanel и у него есть API для залива сертификатов. Добавил в хук вызов этого метода API и готово!
в смысле "не работает"?
>Свой сайт не создать.Легче и дешевле чем когда бы то ни было.
100% бесплатно и легко.
>Свой сайт не создать.Свой сайт?
В Хроме и клонах уже давно нельзя без лишней мороки зайти на вебинтерфейс роутера или какого-нибудь демона в локалке.
И зачем ты врешь?
Все заходит и никаких проблем нет, а главное я не могу придумать какие бы могли быть.
>а главное я не могу придумать какие бы могли бытьНу вот и подумай, прежде чем незнакомым людям хамить.
Ну судя по всему это проблема конкретно твоего браузера.
У меня тоже никаких проблем не наблюдается
> Ну судя по всему это проблема конкретно твоего браузера.
> У меня тоже никаких проблем не наблюдаетсяОк, беспроблемный ты наш, как в Хроме/Хромиуме добавить в исключения https ресурс, если браузеру не нравится (пусть даже по вполне объективным причинам) сертификат?
Certificate -> Export + certutil
> Certificate -> Export + certutilБез мороки.
> Certificate -> Export + certutilэто если хромой соизволит, после долгих уговоров, сайт вообще открыть. А он может вообще не открыть - и нет, кнопки "продолжить" тоже нету - только невразумительное название макроса ошибки, вернувшегося openssl'ем, не выводить же ж человекочитаемые описания, действительно. Ну и да, просили без геморроя.
Очень важно чтобы ни одно фото котика не осталось незашифрованным при передаче. :)
речь не о фото, а о ваших паролях и данных кредитных карт, или о другой важной информации которую вы отправляете или принимаете.
а что с шифрованием нельзя отправить?
> речь не о фото, а о ваших паролях и данных кредитных карт, или о другой важной информации которую вы отправляете или принимаете.Именно поэтому нужно зашифровать абсолютно все соединения в интернете. Даже на тех сайтах где нет никаких паролей и кредитных карт. Это же так удобно - всех под одну гребенку, всех в одно Прокрустово ложе. Проходили уже все это, неоднократно. История, как известно, учит нас лишь тому что история никого и ничему не учит.
Зато сразу всем жизненно необходима становится аппаратная поддержка шифрования. Смотришь ты фильм через интернет - ну нет там никаких паролей и кредитных карто - а для его просмотра уже не годится дешевый процессор без аппаратной поддержки шифрования - добро пожаловать в магазин за новым процессором. Опять же очень удобно - периодически меняется алгоритм шифрования и все вдруг "встает колом" - все "дружным стадом" опять в магазин за новыми процессорами, с аппаратным ускорением нового алгоритма шифрования. Очень удобно. Ведь медленную передачу зашифрованного пароля или данных кредитки можно и "потерпеть", а кадры видео то нужно расшифровать в реальном времени.
и как раньше интернет существовал-то, небезопасный?.. 25 лет в страшной опасности
Как галактика что ли?
"Давным-давно в далёкой-далёкой галактике ..." (с)
Комфортно существовал, пока был наводнен айтишниками. Как только полез бизнес, биг дата, толпы хомяков и прочий мусор - стало небезопасно.
> Как только полез бизнесКрах доткомов - 2000й год.
> толпы хомяковМайспейс - 2003й. Одноклассники - 2006й.
Я же не виноват, что ты не застал более ранние времена.
Ни к селу, ни к городу рассказать о своей олдовости, ага.
Я же не виноват, что чтобы понять написанное выше, тебе надо хотя бы закончить школу.
Да как же тебя понять, коли ты херню городишь? (с)
Объясню: в 90-х он и был относительно безопасным. В начале-середине нулевых перестал. В 2013 году Сноуден уже всем рассказал как давно спецслужбы всех прослушивают. К чему ты привел даты, которые начались с нулевых - после того как интернет перестал быть безопасным?
С чего вдруг он стал небезопасным в начале нулевых? При чём здесь айтишники, бизнес и "хомяки"?
Ладно, разверну мысль.Защищённый протокол продаётся не как защита от спецслужб, а как защита от мошенников. При этом "На 17 июля 2017 года, 22,67 % сайтов из списка «Alexa top 1,000,000» используют протокол HTTPS по умолчанию" Т.е. два года назад (не говоря о двухтысячных), три четверти интернета (на самом деле больше) прекрасно существовали без "безопасности". И каких-то массовых эпидемий обмана не случалось.
Интернет был (и остаётся) относительно безопасным по сей день, намного позже появления в нём хомячков, безниса и прочих страшных для айтишников явлений.
> Защищённый протокол продаётся не как защита от спецслужбЭтого я не утверждал, но в сегодняшних реалиях это самое очевидное его преимущество.
> При этом "На 17 июля 2017 года, 22,67 % сайтов из списка «Alexa top 1,000,000» используют протокол HTTPS по умолчанию" Т.е. два года назад (не говоря о двухтысячных), три четверти интернета (на самом деле больше) прекрасно существовали без "безопасности".
С точки зрения прослушки - отнюдь не "прекрасно".
> Интернет был (и остаётся) относительно безопасным по сей день, намного позже появления в нём хомячков, безниса и прочих страшных для айтишников явлений.
То, что мои данные уходят всяким товарищам майорам, перемалывются алгоритмами гугла и тому подобное - я совершенно не считаю безопасным. Рядовому пользователю эти вопросы побоку, мне - нет. Также я не считаю безопасным, когда провайдер в том же метро по http подсовывает мне невидимый баннер по которому я тапаю и подписываюсь на какую-то платную ерунду.
> То, что мои данные уходят всяким товарищам майорам, перемалывются алгоритмами гугла и тому
> подобное - я совершенно не считаю безопасным.тогда у меня для тебя очень хреновая новость: http://isrg.trustid.ocsp.identrust.com палит практически каждый твой "секьюрно-безопастный" заход на впопеннет.
Ну а чо, действительно - должны же ж ребята из трендмикро (слышал о таких?) тоже получать свою долю nsa'шных бюджетов! И ладно бы только они, но у них же в руках ничего не держится...
А все прочие гуглоанал-итики и всякие там demdex'ы собирают информацию о тебе правильным и верным образом, по правосл...простите, признанному лучшими британскими учоными безопастным протоколу https!
Ну о 100% безопасности при доступе по https я речи не вел. Но вот жизнь любителям подсмотреть за мной - усложняется. Я доволен.
> Ну о 100% безопасности при доступе по https я речи не вел.
> Но вот жизнь любителям подсмотреть за мной - усложняется. Я доволен.каким? Вот этим, из трендмикры - упрощается, раньше они вообще о тебе ничего не знали и не узнали бы, но с помощью модных современных ненужнотехнологий - пожалте (да, их все еще кое-как можно отключить, или нивелировать на стороне сервера, добавив тому работы и уязвимости - но это - пока)
а провайдеру за тобой подсматривать не особенно и интересно - в отличие от торгашей твоей информацией, у него есть другие источники дохода, причем прямо привязанные к твоему личному интересу этим провайдером пользоваться.
> а провайдеру за тобой подсматривать не особенно и интересноМожет и не интересно, но подсматривать всё же обязан. Пакетик яровой же.
пока не реализован. И если и будет - очень вероятно, что реализуют его так, что хранить всю эту бредятину заставят в сертифицированном хранилище, доступа к которому ни у кого кроме товарищмайора не будет - как это сейчас сделано с сормом.
А альтернативные хранилища (с альтернативными сормами у некоторых получилось) - на какие шиши?
> доступа к которому ни у кого кроме товарищмайора не будет - как это сейчас сделано с сормом.Ты так говоришь, как будто товарищмайор - единственный, кому ты по-настоящему доверяешь свои данные.
>> доступа к которому ни у кого кроме товарищмайора не будет - как это сейчас сделано с сормом.
> Ты так говоришь, как будто товарищмайор - единственный, кому ты по-настоящему доверяешь
> свои данные.у него в кармане имеются очень убедительные аргументы. То есть ему не доверять не получится, если только не уходить совсем в серую зону - которая сама по себе палево :-(
Не забудьте еще передать спасибо изобретателям ненужно-sni по дороге.Остается надеяться, что ему, на самом-то деле, не очень и интересно.
А. Прозрачной занавесочкой отгородился?
На все вопросы - ну так, прозрачная же... Ответ - ну так ширмочка же. И доволен.
Тут, скорее, не о безопасности. А о том, что сотовые (и не очень) провы всё ещё продолжают подсовывать всякое в транзитный траффик, а это прям фу. https (пока) от этого поможет. но, как там ниже заметили, это не решение, а так, обходной манёвр.
> Тут, скорее, не о безопасности. А о том, что сотовые (и не
> очень) провы всё ещё продолжают подсовывать всякое в транзитный траффик, аты вот правда думаешь, что мурзилу беспокоят полтора сотовых монополиста в одной отдельно взятой РФ и она ради них старается?
> что мурзилу беспокоят полтора сотовых монополистаДа ваще не. Зачем проталкивают https мы все знаем. Кто не знает, тому не надо.)
Чувство собственной важности не жмёт?
Пару лет назад был в Индии, их сайты напомнили мне начало нулевых. Например, было непривычно сабмитить хтмл форму через незащищенный HTTP.
На развлекательных и новостных сайтах - абсурд. Любые статические сайты тоже.
Да правильно они все делают. Вам не предлагается не открывать, просто будет информация что это не безопасно
Сейчас он развлекательный, а через минуту хоп, и в комментах поперло что-то не то. Зачем это надо?
Никто никого не сжигает. Просто пока вешают на вас бирку.
Если какая-то бабка обозвала вас ведьмой, это же не значит, что сразу на костёр. Можно же и понасиловать для разнообразия.
Это выглядело абсурдом до того, как большинство сотовых операторов не начало подставлять в HTTP-трафик свои виджеты и рекламу. Про подставновку вредоносного кода в локальной сети при хаке шлюза и говорить нечего (устанавливаемые клиентам беспроводные точки доступа и модемы поголовно дырявые и их уже сотнями тысяч автоматизированно ломают). Проблема не в том, что кто-то подсмотрит, что вы читайте, а в том, что теперь массово в транзитные запросы HTTP подставляют разную гадость.
> Это выглядело абсурдом до того, как большинство сотовых операторов не начало подставлять
> в HTTP-трафик свои виджеты и рекламу.Вообще-то это должно решаться уровнем повыше – законодательном.
Иначе это просто костыль, в надежде, что провайдеры не придумают возможность обхода.> Про подставновку вредоносного кода в локальной сети при хаке шлюза и говорить нечего (устанавливаемые клиентам беспроводные точки доступа и модемы поголовно дырявые и их уже сотнями тысяч
> автоматизированно ломают). Проблема не в том, что кто-то подсмотрит, что вы
> читайте, а в том, что теперь массово в транзитные запросы HTTP подставляют разную гадость.Проблема HTTPS в том, что его используют в качестве костыля и "решения" везде где можно и нельзя (но очень-очень хочется, а значит можно) – например, вместо придумывания и реализации современных методов авторизации в браузерах и сайтах, просто оборачивают канал в HTTPS и бодро пересылают пароли в открытом виде – ну а че, канал-то зашифрован.
А потом начинается: "Ой, пароли 33 млн пользователей утекли в открытом виде!" или "Ай! Злоумышленники устроили MitM-атаку на компанию XXX, захватив её домен! В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому порталу компании, включая обращения по HTTPS."
Обход шифрования? Запили, может нобелевку получишь.
> Обход шифрования? Запили, может нобелевку получишь.MITM? Принудительное проксирование? Отказ в доступе к магазину, если магазин не поделился с провайдером?
Перенаправление всех нерасшифровываемых(или просто не загрузивших рекламу) на
"Чтобы получить доступ к сети, скачай и установи приложение по ссылке: <добавляльщик провайдера к root CA> или <плагин для браузера, скачивающий и показывающий рекламу> или <придумать свое>"
с возможностью свободного выбора: установить или сидеть без интернета, потому что провайдер единственный на сотню км вокруг или потому что все провайдеры между собой договорились и оно везде теперь так, ведь четко прописанные обязанности, полномочия и запреты для провайдеров "НИНУЖНА, есть HTTPS!"?Не, не слышали …
Все кроме "договориться с владельцем сайта" работает плохо. Спасибо гуглу и Android.
И это, наверное, первый случай, когда я публично благодарю Google за изменения в Android.
То ли с Android 6 (API 23) то ли с Android 7 (API 24) приложения будут доверять подсунутому пользователем сертификату только если в коде приложения это явно разрешено.
Из способов обхода только изменение приложения, либо изменение вшитых в ОС сертификатов.
Все кроме "договориться с владельцем сайта" работает плохо. Спасибо гуглу и Android.
Из способов обхода ... изменение вшитых в ОС сертификатов.
---
На ноль поделил.
> Android 6 (API 23) то ли с Android 7 (API 24) приложения будутВы из какого года пишите. У нас на дворе 2019 и Андроид 9.
Ну да, законодательство то намного сильнее криптографии
А какие у тебя еще есть интересные способы гонять пароли по сети, которые не эквивалентны оборачиванию в тлс? (не говоря о способе хранения в базе)
> Ну да, законодательство то намного сильнее криптографииУгу, будете слать шифрованые пакеты по RFC 2549, если провайдер решит, что подсоединять вас вооон к тому магазину, отказавшемуся занести долю, ему неохота.
Или охота, но со скоростью 3½bps.
Или вообще никаких соединений, которые не расшифровываются на его оборудовании. Разве что до VK, мордокниги и ютуба, чтобы основная масса пользоватлей не жаловалась.
Для всего остального – вот вам страничка провайдерского прокси в браузере, с закосом под хром, задайте любой URL!
https://unblockweb.online/Unblocker.php?q=y6ympKielWHUoJmmpp...
Тут даже двойной https (до прокси и оттуда до опеннета), а значит и двойная секурность!
> А какие у тебя еще есть интересные способы гонять пароли по сети,
> которые не эквивалентны оборачиванию в тлс? (не говоря о способе хранения в базе)Например, вообще их не гонять?
Попробуй поймать пароли от старого доброго WPA2-PSK у соседа.
Пароль этот, кстати, совсем не обязательно хранить в исходном виде на клиенте (man wpa_passphrase).Еще можно подумать, а так ли нужен пароль в целом ряде случаев? Например, если цель всех телодвижений – опубликовать сообщение (тем более, доступное на чтение всем), то есть такая штука, как подписи.
Их может проверить как сервер, так и клиенты.
В тех же списках рассылок уже не один десяток лет обходятся совсем без паролей.Ну и далее, можно открыть для себя чудные, древние
https://tools.ietf.org/html/rfc2069
> January 1997
> An Extension to HTTP : Digest Access Authenticationhttps://tools.ietf.org/html/rfc2617
> June 1999
> HTTP Authentication: Basic and Digest Access AuthenticationПоинтересоваться ассиметричным шифрованием, дойти до augmented PAKE/SRP - Secure Remote Password protocol, цель которых как раз не гонять пароли или даже не хранить их на сервере.
О как от тлса шагнули до вайтлистов сразу. То есть, по твоему, раз законодательство не работает, надобно еще заодно и криптогоафию не использовать, все равно же бесполезно
С впа, конечно, отличный пример. Жалко только что у впа стоит задача о обмене ключами, и только в следствии этого - аутентификации. В интернете же обычно стоит задача максимально прочто обеспечить только аутентификацию. И зачем, значит, тебе надо было так нагло подменять контекст?
> О как от тлса шагнули до вайтлистов сразу.Нет, это ты решил почему-то, что сотовые операторы встраивают свою рекламу исключительно из пакостных побуждений и потому что могут, а не ради денег. И сделал странный вывод: что тлс спасет тебя от любого вмешательства в траффик, ведь оно спасает от злостного встраивания рекламы. Кто же виноват, что реальность не соответствует твоим представлениям?
Почитай на досуге о network neutrality (сетевом нейтралитете) провайдеров и почему об этом было столько срача всего пару лет назад.> То есть, по твоему, раз законодательство не работает, надобно еще заодно и криптогоафию не использовать, все равно же бесполезно
То есть, по моему, раз законодательство не работает, надобно его чинить, а не пытаться строить из себя бойца цифрового сопротивления. Потому что способов подгадить у провайдера все равно больше будет.
Но додумывать и гордо опровергать додуманное ты мастак.> С впа, конечно, отличный пример. Жалко только что у впа стоит задача
> о обмене ключами, и только в следствии этого - аутентификации.
> В интернете же обычно стоит задача максимально прочто обеспечить только аутентификацию.
> И зачем, значит, тебе надо было так нагло подменять контекст?Т.е. дальше ты не читал? Зато придумал "задачу всея интернета", которая на самом деле обычно сводится к "всегда так делали, традиция!"
И давай я тебя ткну насчет "простоты" еще раз:
https://www.opennet.ru/opennews/art.shtml?num=47764
> Злоумышленники устроили MitM-атаку на компанию Fox-IT, захватив её домен
> 19.12.2017 09:33
> В течение примерно 10 часов атакующие полностью контролировали трафик к клиентскому
> порталу компании, включая обращения по HTTPS.https://www.opennet.ru/opennews/art.shtml?num=51083
> Сведения об утечке паролей 33 млн пользователей Livejournal.com
> База включает сведения об имени пользователя, email и пароле. При этом пароли представлены без хэширования, в открытом виде.https://www.opennet.ru/opennews/art.shtml?num=49711
> Взлом инфраструктуры Quora привёл к утечке хэшей паролей 100 млн пользователей
> 04.12.2018 10:08
> В результате взлома в руки атакующих попали параметры учётных записей приблизительно 100 млн пользователей, а также приватная переписка, неопубликованные заметки и данные экспортированные из других социальных сетей (адресные книги).https://www.opennet.ru/opennews/art.shtml?num=47321
> Взлом 2013 года привёл к утечке учётных записей 3 миллиардов пользователей Yahoo
> 04.10.2017 08:21
> Компания Verizon, которая теперь владеет Yahoo, раскрыла информацию о взломе 2013 года. По новым данным взлом затронул всех пользователей Yahoo и привёл к утечке более 3 миллиардов учётных записей, включающих ФИО, email, номер телефона, дату рождения, MD5-хэш пароля,
>
все худщее копируют с гугла. а ведь могли бы своим путем идти.
на каком-нибудь простом одноплатнике статический сайт уже не похостишь. шифрование будет сжирать проц.время, которого там и так нехватает.
В AArch64 вроде бы AES/Sha-1 инструкции в стандарте?
Насколько я помню, за криптографические функции ARMу надо заносить отдельно, так как в основной поставке дизайна процессора их нет. Так что у каких-нибудь полуподвальных китайских одноплатников могут появиться проблемы.
risc-v походу надо
И ведь снова вранье. На Orange Pi Zero проблем нет, сайт работает и не жужжит. Объясни мне зачем ты врешь? Понятно, что ты за то, что бы товарищ майор мог читать чужой трафик, но зачем так явно врешь?
> И ведь снова вранье. На Orange Pi Zero проблем нет, сайт работаетне у всех сайты с полутора посетителями в год (или как у тебя, с единственным), и не все любят кипятильники типа orange pi.
> и не жужжит. Объясни мне зачем ты врешь? Понятно, что ты
> за то, что бы товарищ майор мог читать чужой трафик, нону вот он это прочитает, и что? Премию, думаешь, мне выпишет? Или себе, хотя бы?
или с горя застрелится, что приходится иметь дело с таким феноменально глупым населением?
как раз на Опеннете и проверим
> как раз на Опеннете и проверимhttp://wiki.opennet.ru/ForumHelp#FAQ
Почему до сих пор для всего сайта не сделан принудительный проброс на HTTPS?
Принудительного редиректа любого запроса на HTTPS не будет, так как у пользователей должна быть возможность выбора и посетители вправе сами принимать решение использовать шифрование или нет. Кроме того, остаётся актуален вопрос сохранения совместимости - ранее уже была попытка принудительного использования HTTPS для mobile.opennet.ru так как некоторые сотовые операторы подсовывают свою рекламу в транзитный HTTP-трафик, но сразу стали поступать жалобы о том, что старые смартфоны не поддерживают сертификаты Let's Encrypt. Так же возникают ситуации, когда HTTPS блокируется, не установлены необходимые библиотеки при запросе через curl, wget и т.п. или сайт читается консольными браузерами. По возможности внешние ссылки и переходы, связанные с аутентификацией/форумом делаются на HTTPS.
переходной период закончился, уже старых телефонов нет, можно делать принудительный переход на https.
я так сделал 2 года назад и трафик совершенно не изменился на сайте, кажись даже быстрее подниматься начал)
> уже старых телефонов нетНет есть.
Есть, нерабочие на свалке. У меня есть и рабочий, в коробке на шкафу.
Скажите, кто сейчас пользуется интернетом на старом телефоне?
Сейчас у всех сенсорные телефоны, планшеты, современные версии браузеров которые спокойно работают с https.
Тот контингент который использует древние аппараты явно не сидит с них в интернете. Но я вас конечно переубеждать не буду, вам же в окно лучше видно.
> Принудительного редиректа любого запроса на HTTPS не будет, так как у пользователей должна быть возможность выбораТребую сделать поддержку первой Nokia, которая без WiFi. Сайт посылать через SMS,
а лучше на дом в печатном виде! Не у Всех есть телефоны и электричество!P.S. Боже! Откуда столько идиотов... В каком веке они живут? В какой стране они живут и так понятно...
давно подумываю а что если у себя на роутере http трафик вообще запретить, оставить только https?
> Переход к пометке HTTP небезопасным является продолжением ранее предпринятых попыток форсирования переходаИзвилинам читающего угрозу вижу я здесь...
Кстати, об Опеннете. У меня браузер помнит его еще HTTP-шным, и сам сайт, открытый так, выдает в углу зачеркнутую надпись HTTPS. Кто-нибудь может объяснить логику, по которой эта надпись ведет в личный кабинет, а не на HTTPS-адрес открытой страницы?
То есть на этой-то странице она ведет правильно, а вот при заходе тупо на http://opennet.ru ссылка указывает на https://www.opennet.ru/cgi-bin/opennet/rb2?login_js
Похоже, поправили уже.
> То есть на этой-то странице она ведет правильно, а вот при заходе
> тупо на http://opennet.ru ссылка указывает на https://www.opennet.ru/cgi-bin/opennet/rb2?login_jsЭто баг из-за вызова через JavaScript. Исправил.
> Это баг из-за вызова через JavaScript. Исправил.Тогда уж задам очевидный вопрос: а что не просто редирект? Кто-то обращается к сайту не из браузеров?
Моя позиция в том, что сайт не должен принуждать к использованию других технологий, выбор должен осознанно делать пользователь. Существуют обстоятельства, когда достаточно доступа по HTTP. Например, когда провайдер и инфраструктура заслуживают доверия, и не используется аутентифицированный вход на сайт, для просмотра в режиме только для чтения шифрование не обязательно. Жесткая же привязка к HTTPS ставит сайт в зависимость от дополнительных сущностей, таких как удостоверяющий центр, код проверки сертификатов в браузере, списки отзыва сертификатов, код своевременного обновления сертификатов и т.п. Случаев когда сайт превращался в тыкву из-за необдуманного применения PKP/HSTS или потери контроля за хостингом полно.Предупреждение, что не используется HTTPS выводится в шапке на каждой странице OpenNet, этого вполне достаточно. Для мобильный устройств была попытка жесткой привязки к HTTPS, но сразу посыпались жалобы о несовместимости с сертификатом Let's Encrypt. Была идея использования HSTS только при изначальном заходе по HTTPS, но я пока не решаюсь её реализовать.
Если уж на то пошло, задача перекидывания на HTTPS браузера, а не сайта. В Firefox 70 сделают метку небезопасного соединения для HTTP, но почему-то до сих пор если набрать site.com без http:// и https:// по умолчанию открывается http://. Здесь нужно менять в первую очередь поведение по умолчанию и добавлять в настройки опцию, которая позволяет если хоть раз зашёл по https, в дальнейшем автоматически перекидывать на https.
У вас на страницах довольно много ссылок, которые ведут на http. Лучше их сделать относительными.
С чего Вы решили, что Вы один понимаете суть?Т.е. Google сути не понимает, а Вася, простите Максим Чирков понимает?
Так Вы объясните суть, которая отличается от общепринятой.Когда человек делает что-то нестандартное (не значит плохое) то это его
обязанность объяснять почему!Факты, упрямая вещь, говорят против Вас.
Мало того Вы сами эти факты цитируете:"почему-то до сих пор если набрать site.com без http:// и https:// по умолчанию открывается http://."
Это такой стандарт. Плох он или хорош не нам решать. Если Вы вбиваете имя хоста
то открывается именно http, а не ftp как ни странно...Это не задача браузера делать переадресацию! Это нарушение стандарта.
Представьте себе мне нужно зайти на некий сайт именно по протоколу http,
а браузер меня перебрасывает на https, а там например ничего нет.Как ни странно но такое происходит именно с Firefox, по этому я им не пользуюсь!
Мало того он иногда на буквальный запрос http://something выдает https://something
и там например ничего нет... Это страшно раздражает.Ответ браузера обязан быть предсказуемым и адекватным, даже если он кому-то не нравится.
Если по такому адресу ничего нет, то надо выдавать ничего, а не пробрасывать куда-то!Это задача именно сайта. Только автор или администратор сайта в курсе что именно он
представляет и по какому протоколу. Пользователь только потребитель и не знает что ему ожидать.Очевидно, что opennet работает и по http и по https.
Я например не хочу, чтобы провадер знал что именно я тут пишу и что читаю - имею право,
но каждый раз делать восход солнца вручную меня злит. В большинстве случаев я забываю.
Другие 99% даже не обращают на это внимание.Представим себе кто-то разместил тут некий комментарий, который не понравился кому-то из Москвы.
По логам провайдера в свете последних законов этот человек будет найден и может сесть,
коли в России можно сесть за лайки. Т.е. Вы подводите своих собственных пользователей.Вам это надо? Вы на чем экономите? На ресурсах моего компьютера или телефона?
Я Вас об этом не просил. Представить себе сейчас устройство через которое нельзя прочитать
Ваш сайт через https невозможно!Даже если такие устройства есть, то надо отдавать себе отчет, что это сайт не справка об очереди на получение хлеба по карточкам. Никто на свете не умрет, если его не прочтет на допотомном устройстве. В данном случае скорее важнее работает или google или facebook.
И то как было сказано они работают адекватно и не делают подобные допущения.Как мне кажется моя и наверно не только моя позиция достаточно разумна и я потратил
много букв, чтобы ее объяснить.Возможно не стоит это сразу удалять, даже если Вам не нравится.
P.S. Несмотря на несогласие по данному вопросу я восторгаюсь смелостью авторов сайта,
которые допускают комментарии без регистрации и без "паспорта".Хотелось бы понять механизм как это работает, может быть получится сделать что-то аналогичное
на моем сайте.Спасибо, и прошу без обид. Я был неправ, когда оскорбил Вас.
> Это не задача браузера делать переадресацию! Это нарушение стандарта.
> Представьте себе мне нужно зайти на некий сайт именно по протоколу http,Это не перадресация, а возможность поменять в настройках протокол по умолчанию, когда в адресной строке сайт набирают без явного указания протокола. Т.е. если набирать "site.com", а не "http://site.com" или "https://site.com", сейчас браузер подставляет по умолчанию "http://". Моё предложение сводится к тому, что должна быть опция, при включении которой по умолчанию начнёт подставлять "https://".
Читаю коменты, вижу кое-что понимать начали. А то полгода назад при подобной новости сплошной кипучий восторг по поводу того, что "все становится бизапасне". От провайдера конечно защитят, как и от всего остального - того что хочешь и не очень.
Функция ориентирована на массового потребителя. Если у тебя какая-то своя малинка стоит в локалке и работает по http никаких проблем, игнорируй сообщение о безопасности и продолжай. Ты сам все прекрасно понимаешь.
Тут функция для домохозяйки.
А если они http рубанут вообще. Как ты запоёшь интересно?
не рубонут, с чего такие мысли?
на такой шаг они не пойдут я уверен. слушком много коричневой жижи упадёт на головы разработчиков браузеров, да я сам их за такие вещи добавил бы в спам рассылку
> с чего такие мысли? на такой шаг они не пойдут я уверенПрям Operation Unthinkable, ага.
> для домохозяйкино зачем?
у домохозяйки уже есть chrome
кстати, обратите внимание - wosign тихой сапой разблокировали - стоило только тем отказаться от идеи раздавать сертификаты забеслатно. хотите торговать dv за 488юаней + 388 за каждый дополнительный altName? Пожалуйста! А вот с бизнесом startssl конкурировать не смейте, это - кого надо нога!
Спасибо за инфу, пойду забаню у себя в браузере все китайские корневые серты.
шнур еще из розетки выдернуть не забудь!А то шапочка из фольги не поможет.
P.S. тебя ждет много интересных и занимательных приключений, поскольку современный браузер _ничего_ тебе не покажет, если таким сертификатом будет закрыта не корневая страница сайта, а аякс/банальный css/картинки/скрипты. Просто _молча_ их проигнорирует.
Последним браузером, который еще мог работать, доверяя конкретным сертификатам, а не у6людочной идее "CA", была мазила 3.6
И что теперь мне, например, делать? У меня на баше на одноплатнике крутится простой сервак с минимальным статичным контентом, который парочка клиентов заходит глянуть (там, типа, индикаторы "у вас все ок, можно не звонить")?Есть какие-то демоны, которые прозрачно пробросят https<->http на локальной машине, и так, чтобы все ресурсы на это не ушли? Ось - линь.
Что тебе мешает не делать ничего?
паника клиентов, которые будут задалбывать вопросами "у вас там вирусы , да?"
И ты этой паре клиентов по чесноку всё объяснить не сможешь что ли? Ну офигеть теперь.
Это клиенты, а не друзья.
И если браузер большими красными буквами им будет писать "АЗАЗА, ЗДЕСЬ ТРОЯН", они каждый раз будут меня доставать по телефону "а проверьте, пожалуйста, что там у вас сломано"; плюс будет страдать репутация "он по полгода не исправляет опасных вещей".В общем поднагадили мне эти фурри...
Если это клиенты, то они должны приносить деньги. Соответственно отношение к веб-сервису должно быть как к инструменту. Текущий инструмент перестал удовлетворять бизнес / клиентов - инвестируй в апгрейд / новый инструмент.Если клиенты денег НЕ приносят, то может ну его, таких клиентов? Или такой "бизнес"?
Вот обожаю интернетовские обсуждения. Специалисты от батонов до контрацептивов.
> Текущий инструмент перестал удовлетворять бизнес / клиентов - инвестируй в апгрейд / новый инструмент.Прямо сто советов как стать миллионером. Без тебя не догадались бы. Правда на вопросы - за чей счет сей банкетец-то? Глазки в сторону отводят. И главное поставить телегу впереди лошади. Задаться вопросом - а зачем поголовный хттпс - да ни в жизнь. Лучше коучером на опеннете поработать.
nginx же
?
он умеет так делать? спасибо, пойду гляну.
какой веб сервер используете?
это можно сделать легко и совершенно не скажется на потреблении памяти
bashтипа https://habr.com/ru/post/37245/ но понятнее
По ссылке не баш, а nc
Сама командная оболочка не умеет прослушивать TCP-порты.
> У меня на баше на одноплатнике крутится простой сервак с минимальным статичным контентом, который парочка клиентов заходит глянуть (там, типа, индикаторы "у вас все ок, можно не звонить")?Парочка клиентов? Это в смысле 2 запроса в сутки? Или в минуту? Но в любом случае твой одноплатник не заметит нагрузки на шифрование, просто поставь nginx в режиме reverse proxy и всё будет норм.
А как ты в железяку собрался сертификат добавлять?
Я никак не собрался. Идея держать сайт на одноплатнике -- это хорошая идея, мне нравится, но это связано с проблемой поиска достаточно хорошего соединения с сетью, поэтому нафиг.Но если ты хочешь это сделать, и не знаешь как, то я бы предложил воспользоваться ssh. Я с малинкой именно по ssh и общаюсь, самый удобный способ.
Спасибо.
Выше тоже порекомендовали - уже ушел смотреть.
>Есть какие-то демоны, которые прозрачно пробросят https<->http на локальной машине, и так, чтобы все ресурсы на это не ушли?Например, https://github.com/varnish/hitch
А вообще гугли ssl termination
Спасибо!
> И что теперь мне, например, делать?арендуешь vps (с однодолларовыми, правда, нынче напряженка, добрые итальянцы прикрыли халяву)
ставишь на ней прекрасный апач с встроенным троянцем acme (поэтому - апач, а не nginx) и mod_proxy, забываешь о ней навсегда.
клиентам подсовываешь новый ip. Объявляешь что это для их безопастности и удобства (чем ты хуже вот мазилы, она тоже так врет)Все довольны - клиенты видят зелененький замочек, им не надо ничего у себя перенастраивать или включать голову, траффик как ходил нешифрованным так и ходит, хорошие ребята подглядывают за клиентами и немного за тобой, кто-то получил твои три евро.
> Есть какие-то демоны, которые прозрачно пробросят https<->http на локальной машине, и так,
есть, но их надо обслуживать и держать либо сложную, либо дырявую инфраструктуру для бесконечного обновления сертификата летшиткрипты, или платить за нормальные - двухлетние начинаются, помнится, от $150.
> чтобы все ресурсы на это не ушли? Ось - линь.
ресурсы-то может все и не уйдут, вот своего времени на это ненужно будет жаль
> арендуешь vpsИ заодно вставляешь себе в задницу очередной анальный зонд. Нет, спасибо - у меня нет желания делиться с поставщиком услуги и, заодно, проходящими рядом взломшиками секретными данными клиентов.
> И заодно вставляешь себе в задницу очередной анальный зонд. Нет, спасибо -
> у меня нет желания делиться с поставщиком услуги и, заодно, проходящими
> рядом взломшиками секретными данными клиентов.секретные данные клиентов, ходивших на одноплатник по http ради странички "система работает/у системы плановые выходные, звонить в техподдержку не надо" ? Ню-ню.
А анальный зонд тебе присунут без твоего желания, других браузеров и других поставщиков сертификатов у нас уже нет.
> Некоммерческим удостоверяющим центром Let’s Encrypt, контролируемым сообществом и предоставляющим сертификатыПосле 'сообщества' пропущено уточнение и перечисление:
корпораций Cisco, Google, Facebook, Akamai, OVH
честнейше заверяющих, что и Vasyan, Johnny и Hans-Peter имеют возможность контроля :)Board of Directors
Josh Aas (ISRG)
Richard Barnes (Cisco)
Aanchal Gupta (Facebook)
Pascal Jaillon (OVH)
Stephen Ludin (Akamai)
Laura Thomson (Mozilla)
Странно, что гугла в списке нет.
мы знаем, кто нас ужинает, не переживайте.
нафиг они гуглю, они нагнули весь интернет чтоб он был через HTTPS под видом беспокйства о нас грешных, но по факту - у них certificate transparency хостится не только от летскрипта, а также от всех других CA.User ->https://site
User<-htpps://site/public-cert
User->OSCP(if (htpps://site/public-cert) isValid)Result = юзверь засветил на OSCP свой IP и сайт куда он ходил(как часто и т.д. и т.п.)
просто еще один механизм иследовать поведение и преференсы хомоНоНеСапиенс
> у них certificate transparency хостится не только от летскрипта, а такжеcertificate transparency - это не ocsp. Это совершенно отдельная мулька, предназначенная для шантажа и планомерного истребления уцелевших независимых CA (и вот после этого - будете пользоваться единственно-верным с его единственно-верным ocsp, ага).
Браузеры к нему не обращаются, зачем, и что делать пользователю с этой информацией?> просто еще один механизм иследовать поведение и преференсы хомоНоНеСапиенс
и управлять им - никто ведь не обещал что неправильный сертификат неправильного домена нельзя внезапно поменять, ничего ни в какую транспаренсию при этом не отправляя? Для этого, если что, всего-то и нужен закрытый ключик CA.
Ну или просто объявить отозванным из соображений мира и демократии.
> Браузеры к нему не обращаются, зачем, и что делать пользователю с этой
> информацией?а вдруг какой CA сломают и наподписывают левых certs?
Это-ж все забота о юзерах и безопасности, их ведь эти CA каждый день ломают, и народ сидит и мониторит CT, чтоб котиков по MITM не просматривали, а бедные браузеры, ну никак не могут отозвать хакнутый CA, у них же телеметрия только в одну сторону строчит (Т-с-с-c, мы не слышали как будто, как они удаленно могут обновлятся)> Ну или просто объявить отозванным из соображений мира и демократии.
автоматом получать список активных доменов - вот IMHO и есть основное назначение CT log-a, ну и прибить непокорных CA в случае чего, если не будут сливать подписанные сerts
> а бедные браузеры, ну никак не могут отозвать хакнутый CAони даже хакнутый серт отозвать не могут - потому что "загрузка crl'ов выполнялась слишком долго" (а...ть, дайте два! браузер при запуске загружает мильен всякого мусора, включая вон модный disprotect.me - но на crl'ы мощности, ну конечно же, не хватило) и эту вредную фичу отключили насовсем.
А дальше да - народ "сидит и мониторит", угу, тыщи глаз.
Но с CT не все так просто - помимо прочих бредовых требований (половина которых - заплатить денег мафии) выдвинутых когда-то Честному Ахмеду, теперь добавилось еще одно - ты _обязан_ регистрировать все что выдал в этих CT. Аж, кажется, разом в трех!
А они-то - вот сюрприз, да? - вовсе и не обязаны регистрировать сертификаты от каждого желающего добавиться в trusted store. И за деньги не обязаны, и даже за очень большие - тоже не обязаны. Хотят - дружат с тобой, а не хотят - хрен тебе а не CA. А еще можно деньги взять, а потом под благовидным предлогом послать тебя.Так что это далеко не одна только собиралка инфы о том, кто еще вообще жив и перевыпускает серты, а кого можно уже забыть и простить.
грустно это все, от того что правда ... но пока люди не перестанут верить в чудеса и обезяничать по любoму поводу, то так оно всегда и будет - пастухи и бараны. (Не баран, нет? ничего страшного, толпа баранов все равно затопчит, когда побежит за новой халявушкой от пастуха)
Лучше бы этой мозиле добавить проверку используемых корневых сертификатов:https://www.opennet.ru/openforum/vsluhforumID10/5494.html
Пользы для безопасности будет больше.
тупо глобальный развод на бабки покупать сертификаты...
могли бы хоть для локальной сети разрешить убрать надписи недоверенного шифрования для https или так можно ?
Половина интернета под контролем Let's Encrypt никого не смущает? Децентрализованная сеть, ага.
Shipple удивительно хорошо предсказуем:халява = сыр в мышеловке
даже если смартные это понимают, они ничего не изменят, толпа халавщиков банально сомнет
Я вижу несколько другую перспективу: подпись сертификата практически не требует никаких затрат, кроме (право сказать, ничтожного) процессорного времени на непосредственно подпись сертификата. Это - не халява, а, напротив, вполне успешная попытка не торговать воздухом.
> Это - не халява, а, напротив, вполне успешная попытка не
> торговать воздухом.Бесплатно - это не халява ?
Правда верите в чудо, что такие монстры как facebook, cisco, ovh, google просто из любви к человечеству отстегивают бабло на существование letsencrypt ? (а содержать это добро для человечества не так уж и дешево)
коммунизм даже при союзе не получилось построить, а уж ожидать такой щедрости от капитализма, я извиняюсь, но это очень наивно.
Ну я стало быть на халяву вдыхаю воздух на улице. Так метафора яснее?
Я не берусь строить конспирологических теорий, я хочу лишь отметить что это именно тот путь, который выглядит более здоровым, в противовес продаже цертов
> Ну я стало быть на халяву вдыхаю воздух на улице.воздух пока еще не производит конгломерат из циски, шиттитраста и гуглезилы, причем запретив это делать всем остальным под высосанными из пальца предлогами, так доходит?
А когда начнет, потому что уличный "случайно" окажется загажен так, что им дышать невозможно - еще как ты эту халяву начнешь им отрабатывать.> Я не берусь строить конспирологических теорий, я хочу лишь отметить что это именно тот путь,
> который выглядит более здоровым,да-да, уничтожение всех бесплатных сертификатов кроме единственно-верного CA с идиотской политикой, исключающей любой способ пининга - безусловно более здоровый.
Санитары, блин, вы где?!
> Ну я стало быть на халяву вдыхаю воздух на улице. Так метафора
> яснее?Вот если бы ваш собственный self-signed certificate принимался бы браузерами без воя, тогда метафора годится. В случае же с летсэнкриптом - нет. Cодержать дата центр, с оборудованием и инжинерами, верифицурующим ownership, обслуживающими пол мира - это далеко НЕ free ВОЗДУХ, это очень затратно, значит бухгалтерский баланс как то должен сбиваться. Дальше как в физике - энергия не появляется из ничего и не изчезает в небытие. Если вам дали халяву, значит есть выгода, которая покроет расходы на летсэнкрипт и еще на икорку останется. И отгадайте, кто в итоге косвенно покроет все затраты...
> Я не берусь строить конспирологических теорий, я хочу лишь отметить что это
> именно тот путь, который выглядит более здоровым, в противовес продаже цертовпродажa цертов - это сервис, гарантирущий что сертификат действительно принадлежит хозяину, а это работа по верификации документов(которая должна оплачиваться), плюс гарантийная выплата довольно большой страховки в случае если CA лохануся с верификацией.
Много страховки вам выплатит letsencrypt в случaе, если сайт хакнут и автоматом нагенерят сертификатов на имя хозяина домена?
> продажa цертов - это сервис, гарантирущий что сертификат действительно принадлежит хозяину,
> а это работа по верификации документов(которая должна оплачиваться), плюс гарантийная выплатая бы как раз это оставил на желание и кошелек клиента.
Меня вполне устраивает сертификат с "this website does not supplied ownership information" (владелец не обязан светиться перед всеми) и возможность выбора, нужна мне такая страховка или нет. Для сайта, не обрабатывающего чьи-то платежи - очевидно, это лишние расходы на малонужную деятельность.
Ну и отдельно непонятно, как быть со страховкой, если сертификат выпущен потому, что товарищмайор очень-очень попросили (что случалось, причем это были intermediate).
> я бы как раз это оставил на желание и кошелек клиента.
> Меня вполне устраивает сертификат с "this website does not supplied ownership information"100 пудово согласен... должны быть разные уровени сертификации, кому то нужнa просто шифровка и чтоб браузеры не гавкали, а вот банки к примеру или гаверменты я считаю обязаны сертифицировать ownership...
Помнится при жизни StartSSL, в начале они даже для "this website does not supplied ownership information" покупных сертификатов они требовали скан паспорта, article of organization, телефонные счета... и еще кучу доков если народ хотел гарантию в 100 кусков зелени.
С одной стороны было oчень занудно, с другой стороны знаешь, что других шерстят также, в чем вообже-то и был смысл сертификации, в отличие от того что сейчас, начиная от обезличенного letsencrypt-a и кончая супер дупер проверкой по емайлу или платежной карты
> Ну и отдельно непонятно, как быть со страховкой, если сертификат выпущен потому,
> что товарищмайор очень-очень попросили (что случалось, причем это были intermediate).Не, сильных мира сего, все эти сертификаты-мертификаты вообще не касаются... кролики конечно верят во всеобщую человечность и честность, но не догоняют что это просто механизмы контроля, и на самом деле нет ничего святого...
То, что HTTPS и вообще вся система доверия в сети построена не пойми на чём, не делает использование HTTP без реализации шифрования поверх HTTP в публичных сетях сколько-нибудь благоразумным.
ISP, подставляющие рекламу и вредоносный JS только вершина всего телеком позорища.
Вы сами поняли, что написали? - похоже что нет.
Тут, в комментах, невероятное количество людей, которое увидело в этом нововведении непреодолимое препятствие от хостинга своих сайтов на одноплатниках и плохих хостингах. Господа, а чем вам вообще мешает этот замочек? Как он препятствует использованию сайта?
Это пока замочек. Потом будет предупреждение, а потом на части устройств вообще открываться не будет.
И сертификат не получишь так просто, нужно будет пройти верификацию на отсутствие неправомерного контента...
А еще война начнется, ух, страшно
> Это пока замочек. Потом будет предупреждение, а потом на части устройств вообще
> открываться не будет.
> И сертификат не получишь так просто,как минимум, ты не можешь получить сертификат на ip (тем более из приватных диапазонов) или на не-публичный dns name. Каждому холодильнику и каждому ipmi в закрытой и изолированной air-gap сети - по публичному имени! И менять сертификат два раза в день, а то ж "пользователи же ж тyпые! они же ключи теряют без конца, нельзя давать им долгосрочные сертификаты, никак нельзя!"
надо бы еще self-signed запретить окончательно, и вообще перестать допускать юзера манипулировать сертификат стором, по крайней мере пока не перекинет двадцать скрытых преференсов в пяти недокументированных файлах.
И что мешает получению сертификата? - Отсутствие знаний? - Тогда наймите человека или фирму и Вам сделают сертификат
Вы точно думаете, что это нормально - предлагать человеку платить деньги, чтобы всё работало, как раньше, и радоваться?
Вообще в этом безумии с браузерами есть последовательность, возможно это во мне проблема, но от подобной фигни я начинаю верить в ZOG.
Все эти иногда довольно мелкие изменения призванные сделать так, чтобы браузер был в том числе как можно менее контролируемой платформой.
Самое интересное, что и лиса и хром проводят здесь одинаковую политику. Если прочитать все изменения в браузерах за последнее время, то они просто складываются в линию и хитрый план.Можно мне галоперидолу?
> Вообще в этом безумии с браузерами есть последовательность, возможно это во мне
> проблема, но от подобной фигни я начинаю верить в ZOG.newer attribute to malice that which is adequately explained by stupidity, к сожалению.
Главаря ЗОГ можно скормить пираньям в собственном пруду, отправить из собственной пушки на луну, уговорить превратиться в мышь и сожрать с особым цинизмом - см. телевизор, там много способов демонстрируют.Со стадами же баранов, возглавляемых овцой - сделать ничего уже нельзя, жги, Господи!
> Все эти иногда довольно мелкие изменения призванные сделать так, чтобы браузер был
> в том числе как можно менее контролируемой платформой."пользователь - тyпой! Ему нельзя ничего доверить контролировать!" (поэтому я не верю что предупреждением в новом-модном баре, где уже не осталось места для url, все и ограничится, это только первый шажок).
Разработчики гуглезилы и их копчоные менеджеры искренне в эту идею верят, потому что, сюрприз - сами они именно такие, умение кое-как ляпать гуанокод закрывая таски - не делает человека умным.
А умных и в других местах неплохо кормят, где не надо вежливо улыбаться на code review 3-2рaсам, интересующимся, нет ли в твоем коде случайно харрасмента.> Самое интересное, что и лиса и хром проводят здесь одинаковую политику. Если
индусы у них если и не из одной деревни, то из соседних, чего тебя удивляет?
> Можно мне галоперидолу?
только по рецепту, вот вам талончик в очередь на получение талончика на запись к специалисту по направлениям к специалистам, примерное время вашей очереди - через 200 лет, не забудьте отмечаться каждые два часа.
Давно пора!
У меня уже давно на серверах 80-ый порт даже не прослушивается.
запрети ещё запуск JS, вход с помощью Хрома и Яндекса
> запрети ещё запуск JS, вход с помощью Хрома и ЯндексаВы сами поняли что ляпнули?
1 Как можно запретить с сервера JS, а главное зачем?
2 запретить != не поддерживатьP.S. Между прочим, после удаления 80-ого порта, у меня вместе с ним и отпало как минимум 99% вредоносного трафика от всяких ботнетов!
Лог стал намного приятнее!
Двоечник.Нормальный обычный человек вбивает сайт точка tld. 99.99% никогда не вбивают htpps
по умолчанию попадая на 80й порт, который у Вас закрыт.Это называется сам себе злобный буратино без знаний о мат части.
Наймите специалиста, если сами не умеете.
> Двоечник.
> Нормальный обычный человек вбивает сайт точка tld. 99.99% никогда не вбивают htpps
> по умолчанию попадая на 80й порт, который у Вас закрыт.
> Это называется сам себе злобный буратино без знаний о мат части.
> Наймите специалиста, если сами не умеете.1 Люди уже давно ничего не вбивают, а переходят по ссылкам из гула или ещё откуда-то.
2 Левша к доске! Рассказывайте что такое HSTS?
Я не знаю, учитель. :-(
Садитесь Левша! Два!
> 1 Люди уже давно ничего не вбивают, а переходят по ссылкам из гула или ещё откуда-то.Да, ладно. А зачем браузеры хранят историю URL-ов.
Я лично постоянно вбиваю по 2-5 букв. Обычно на 2-3ей появляется нужный сайт.Чтобы зайти сюда через гугл - нужно сначала вбить гугл, а потом вбить название сайта
и только потом перейти по ссылке через внутренний счетчик гугла...Это выглядит как клинический маразм дедушки, которому внучки объяснили как работает интернет.
И это доказывает, что Вы совсем не понимаете как работает интернет!!!Зря Вы так прилюдно в лужу садитесь.
> 2 Левша к доске! Рассказывайте что такое HSTS?Лучше и не продолжайте, а то снова опозоритесь...
>> 1 Люди уже давно ничего не вбивают, а переходят по ссылкам из гула или ещё откуда-то.
> Да, ладно. А зачем браузеры хранят историю URL-ов.Как это противоречит тому что я написал?
> Я лично постоянно вбиваю по 2-5 букв. Обычно на 2-3ей появляется нужный сайт.То есть переходите Вы по ссылке сохранённой браузером, а не потому что Вы вбили?
> Чтобы зайти сюда через гугл - нужно сначала вбить гугл, а потом...Чтобы зайти сюда можно просто в строке написать "опенет" на русском и с ошибкой, и гугл Вас поймёт
> Это выглядит как клинический маразм дедушки,Действительно, ведь Опера давным давно придумала вкладки, которыми уже все браузеры используют.
> И это доказывает, что Вы совсем не понимаете как работает интернет!!!Да-да-да, пациент, конечно продолжайте. :-)
> Зря Вы так прилюдно в лужу садитесь.
> Лучше и не продолжайте, а то снова опозоритесь...Вот именно, если не меня, то послушайте хотя бы себя!
P.S. До меня только что дошло, если Вы не знаете про HSTS то как Вы собирались предложить админу сайта (Максу) перенаправлять на https, через ,htaccess что ли? XD
> Как это противоречит тому что я написал?Тем что я не перехожу по ссылке от Гугла. И о ужас
иногда вбиваю название сайта целиком. Потому как
далеко не всегда в браузерах сохранены ссылки на те сайты,
которе я хожу!Искать известный сайт через гугл это двойная работа.
Через гугл, а точнее через duckduckgo я ищу то чего НЕ знаю.
И явно это не относится к этому сайту.
> Чтобы зайти сюда можно просто в строке написать "опенет" на русском и с ошибкойя не печатаю такие вещи на русском.
специально вбил "опенет" и ни одной ссылки сюда не получил.
Причем ни в duckduckgo ни в google.
> P.S. До меня только что дошло, если Вы не знаете про HSTS то как Вы собирались предложить админу сайта (Максу) перенаправлять на https, через ,htaccess что ли? XDСэр, я уже понял, что Вы и интернет две вещи не совместимые. Боже откуда тут такие люди беруться???
Для школьников объясняю.
server {
прочая фигня
return 301 https://www.domain.com$request_uri;
}Теперь Вы передо мной должны КУ делать 3 раза и колокольчик одевать на нос.
P.S. Я все не могу поверить. Это такой тупой троллинг или Вы действительно не в курсе дела?
Но тогда зачем позорится прилюдно?
> P.S. До меня только что дошло, если Вы не знаете про HSTS то как Вы собирались предложить админу сайта (Максу) перенаправлять на https, через ,htaccess что ли? XDНе могу не отметить выше цитированный бред отдельно.
1. HSTS не имеет ничего общего с permanent forward http to https (301)!
Поскольку достаточно много сайтов включая этот предлагают свое содержание
через http, то у меня стоит заглушка на рекламу которая работает паралельно
и через http и https и никакого upgrade соединения разумеется не происходит.
Потому что его никто не просит для данного случая.Т.е. Вы по не знанию путаете теплое с мягким. И этот человек пытается тут кого-то учить!!!
2. HSTS как впрочем и STARTTLS, который Вы по незнанию в Долгопрудном используете
можно понизить уровень защиты до http, только если сервер предоставляет такую возможность.
Если же сервер отвечает только на защищенном соединении то смысла в такой якобы защите нет никакой. Перехватить открытый трафик можно всегда, как это делают например в Китае, а вот понизить защиту соединения по защищенному протоколу невозможно, так как сервер не будет
выдавать информацию, а будет сообщать о невозможности соединения по незащищенному каналу.Поэтому лучше вместо 587 порта и STARTTLS использовать 465 и 993 порты соотвественно.
На этом прекращаю дискуссию.
> запрети ещё запуск JS, вход с помощью Хрома и Яндексаеще надо обязательно перекусить сетевой кабель - я слышал, что без этого даже полный запрет 80го порта небезопастен! Пользователи все равно могут зайти на этот ненужно сайт, и потом жалеть о потерянном времени.
Нужно вообще запретить открывать все сайты за пределами тора.
На всех хостингах установить тор и фринет.
> Нужно вообще запретить открывать все сайты за пределами тора.у вас в слове facebook восемь опечаток.
Перед этим делом пусть придумают, как нормально создавать сертификаты для локальных продуктов.
Делается wildcard сертификат и на этом все.
Остальное автоматом.
Когда уже opennet.ru перестанет давать http страницу по умолчанию.
Бред какой-то неужели не состоянии сделать переброс на https???
> Когда уже opennet.ru перестанет давать http страницу по умолчанию.
> Бред какой-то неужели не состоянии сделать переброс на https???Спросил тот, кто ранее сказал что глупо прослушивать только 443 порт.
Мне Вашу логику действительно не понять.
> Спросил тот, кто ранее сказал что глупо прослушивать только 443 порт.
> Мне Вашу логику действительно не понять.Мда... Оказывается все гораздо хуже чем я думал.
Хорошо хоть Вы признались, что Вам не понять...
Это первый шаг на пути просветления. Теперь осталось взять в руки книги
или ссылки и читать читать читать...Подсказка.
1. www.domain.com - на сегодня автоматически попадает в http://www.domain.com
Есть разные плагины это изменить, но пока это так!2. Вы не можете создать https соединения, если у Вас нет сертификата.
Вы не получите сертификат например через letsencrypt если у них не будет
доступа к /.well-known/acme-challenge/ где будет создан файл и прочитан
CA через ТАДАМ... http доступ, так как другого на тот момент времени нет.
https еще не работает!Есть правда другие способы получения сертификата, но этот тоже очень важный.
Возможно в последствии можно отказаться от http, но пока веб сервер должен отвечать
на данном порту и перебрасывать клиента на https соедниение.Так делают все!!! адекватные админы. Пример Гугла уже приводился.
Но если тут кто-то считает, что он умнее, то он ошибается.
> Мда... Оказывается все гораздо хуже чем я думал.Согласен, Вы, пациент, меня не перестаёте удивлять.
> 1. www.domain.com - на сегодня автоматически попадает в http://www.domain.com
> Есть разные плагины это изменить, но пока это так!Попробуйте перейти на один из моих сайтов сайтов gricargo.com или даже так http://gricargo.com
Прослушивается у меня только 443-ий порт, и доложите о результатах.
Только не думайте что это магия - это HSTS!> 2. Вы не можете создать https соединения, если у Вас нет сертификата.
> Вы не получите сертификат например через letsencrypt если у них не будет
> доступа к /.well-known/acme-challenge/ где будет создан файл и прочитан
> CA через ТАДАМ... http доступ, так как другого на тот момент времени
> нет.
> https еще не работает!Так Левша к доске! На этот раз Вы хоть выучили?
Какие Вы знает поддерживаемые методы подписи сертификата у LE?HTTP
И всё, а ещё 2?
Я не знаю. :-(
Садитесь Левша! Снова Два!
Учите матчасть!
TLS-ALPN и DNS
