Комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры Интернет, опубликовал RFC 8996, официально переводящих протоколы TLS 1.0 и 1.1 в разряд устаревших технологий...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54818
О клиентах никто не подумал?
о тех кто до сих пор в Windows XP или в Android 4? это удобрения а не клиенты
Или на старой Java.
Полностью согласен с термином "удобрение".
вами бы двумя что-нибудь удобрить, хоть на что-нибудь сгодились, но нет же, подвох в том, что мусором ничего не удобрить
может тебе будет проще найти себе новое увлечение, раз IT (и сопутствующее движение вперёд с выкидыванием устарелых технологий и стандартов) тебе столь явно не нравится? попробуй газеты-сигареты продавать у входа в метро - там всё стабильно и никаких тебе подвохов
> вами бы двумя что-нибудь удобрить, хоть на что-нибудь сгодились, но нет же,
> подвох в том, что мусором ничего не удобритьВ случае TLS это, таки, суровые реалии. А вы можете шифровать конекцию теплым, ламповым 40-битным шифрованием. Только не обижайтесь когда это любой ламер за полчаса на GPU крякнет.
Пропатч сам, исходники есть.
Сборка от васяна с трояном, зато бесплатно и без СМС.
каких? Магнита? автосервиса?
Почему же "никто"?> Соединения по TLS 1.1 допускают 77.4% HTTPS-сайтов, а TLS 1.0 - 68%. Примерно 21% из первых 100
> тысяч сайтов, отражённых в рейтинге Alexa, до сих пор не используют HTTPS.Т.е, нормальные люди совершенно не торопятся попереломать доступ к собственным сервисам.
А если вы про разжиревших чинуш из IETF, так их "клиент" - гугль. Он им платит, он и танцует как хочет, они о нем - вот, думают.
>Т.е, нормальные люди совершенно не торопятся попереломать доступ к собственным сервисам.Это пока Хром и Файрфокс на такие сайты дружно не стали не выводить жёлтое окно с целью шантажа владельцев таких сайтов.
Ну, дык - они уже. Поэтому выбираем ту технологию, где окно не выводится.Внезапно, сейчас это http!
То есть я для себя - других вариантов вообще не вижу. У меня куча всякого барахла подгружается из внешних источников. Которые либо вообще не имеют защищенной версии, потому что очень старые, либо немодный tls, либо мои собственные сайты, с сертификатами от Snake Oil и tls1.1. Раньше у посетителя был выбор - либо ходить на "защищенный" сайт, добавляя https вручную, и самому разбираться почему шибкомодный браузер перестал нормально его показывать, либо нет.
В свете последних веяний - https придется убрать вообще, иначе даже при явном запросе без него, откроется https версия, и выведет большое-пустое-окно-с-неведомой херней вместо сайта.Ну что поделать... $1 за айпишник у меня, к счастью, еще есть.
> В свете последних веяний - https придется убрать вообще, иначе даже при
> явном запросе без него, откроется https версия, и выведет большое-пустое-окно-с-неведомой
> херней вместо сайта.Без него ваш сайт тоже может внезапно превратиться в неведомо что, при чём в самый неподходящий или наоборот подходящий кому-то но не вам момент...
Впрочем, "загрузка из внешних источников" имеет приблизительно тот же эффект. И вот он уже у поха проявляется хотя и в самом безобидном виде -- пока что сайт превращается в "пустое окно". А ведь это сайт поха, надо сказать, и пох ответственен за его "превращения". И заложенную "загрузку из внешних источников".
> Ну что поделать... $1 за айпишник у меня, к счастью, еще есть.Пох всегда подскажет где и почем купить правильные патроны, дабы прострелить себе себе пятку максимально эффективно.
А клиенты не подумали что стандарт устарел? Если они на гужевых телегах до сих пор ездят это их личные проблемы, пусть идут в магаз и покупают машины.
Твоя машина - устарела. Всем пох на твой евро-5, у нас евро-99 с сегодняшнего утра "новый стандарт". Сдавай свою телегу в металлолом, не забудь оплатить еще и за утилизацию этого антиэкологичного мусора, и бегом в очередь за кредитом на новую.Сразу как только ты ее оплатишь - мы тебе подкинем евро-998. Чтоб тебе жизнь медом не казалась.
Причем никакой пользы лично тебе от использования этих наимоднейших стандартов - разумеется, не будет.
И email свой выкини. В 2021 стандартом де факто является клабхаус и тикток.
>> клабхаус и тиктокЭто что за наборы символов?
плюсую.. тикток порносеть вроде, мне где-то на сайте с еплей попадалось
Вы не путайте железяку и софт. Если изначально сервак был настроен более менее адекватно и легко может перейти на иной протокол чего угодно, то это будет дешёво. Если же всё было сделано через жопу и на костылях, которые зависят от того, какое хэширование, например, используется, то тут обсуждать нечего — параметр безопасности уже не обеспечишь этим стандартом, можете начинать использовать голый HTTP.
То что в данном случае твой труд (в отличие от новой тачилы) ничего не стоит, совершенно не меняет того факта, что это нахрен ненужное "нововведение", обеспечивающее нахрен ненужную видимость деятельности (вместо работы).А если бы ты на самом деле что понимал в настройках, а не умел только копипастить со стека, то знал бы, что мифические увизгвимости в никем до запятой не соблюдаемых стандартах никому не грозят, поскольку ничего не сломается от того что ты не поддерживаешь шифрование NONE.
> можете начинать использовать голый HTTP.
без сопливых разберемся.
Впрочем, гугль его, полагаю, скоро запретит, поскольку контролировать каналы у него не получилось, а другим способом следить за владельцами немодных-немолодежных сайтов, не оставляющих о себе записей в ненужно-transparency-логах гугля, гугля и гугля - получается ненадежно и неэффективно.
Раз кто-то за устаревшие технологии, то может быть он просто не будет обновляться на то, что не поддерживает эти самые технологии? Зачем всех грязью поливать? Пользуетесь старьём - пользуйтесь по полной - тем, что поддерживает это старьё. А от новых технологий не требуйте поддержки старья, это тормозит прогресс.
> Раз кто-то за устаревшие технологии, то может быть он просто не будетездить по дорогам? Оставаясь в рамках придуманной аналогии. Ну да.
У себя на даче по участку - да, можешь гонять на своей немодной евро-998 тачиле. А за забор ни смей, там у всех уже 999+ (на просто 999 еще можно, но уже deprecated)! Новые дороги несовместимы с устаревшим хламом!
> это тормозит прогресс.
утипусеньки.
Сторонник прогресса в треде, несите подгузник и слюнявчик!
Какова лично ТВОЯ польза от этого "прогресса" - ну кроме получения денег за создание видимости деятельности, когда для людей ты ничерта не делаешь, но весь в работе с утра до ночи, переделывая 999 на 999+ ?
Некоторые м-ки тут уже вон нихрена и не стесняются, наоборот, очень горды.
> У себя на даче по участку - да, можешь гонять на своей
> немодной евро-998 тачиле.Только пока такой идиот 1 на планету. А если их окажется миллиард, придется им выхлопные трубы добровольно-принудительно забетонировать. Возможно с конфискацией рыдвана и диким штрафом - атмосфера на планете одна на всех, так что церемониться при перспективе дышать вашим выхлопом никто не будет. Это даже до "слуг народа" допирает - от смога они крючатся так же как все остальные, а в скафандре со своим кислородом ходить - очень неудобно.
Вам сс..т в уши а вы и рады. Реклама на вас не действует, вы сами решили убить всю энергетику и перейти на зеленку. Ага. Попутно рассказывая за миллиарды людей. Правильно всё-таки вас изводят. Зеленка, еда из таракашек и червей - вы все этого достойны.
> Причем никакой пользы лично тебе от использования этих наимоднейших стандартов - разумеется,
> не будет.Ну почему не будет... По крайней мере увидев заявление ТАСС на сайте ТАСС о том, что в Багдаде всё спокойно, можно знать, что ТАСС был уполномочен заявить именно это и то, что там под окнами американская военная полиция и морские котики кого-то куда-то волокут -- элемент спокойствия...
Ну HTTP (совсем без шифрования) таки работает еще, а вот сайты с TLS 1.0 и 1.1 уже как бы и не открыть (будет). Л - логика.
По сути - вендор-лок (потому, что сертификаты выдают "это нога, кого надо нога").
Там их не просто так выдают, а под запись. Которая палит много ненужного о тебе.
Ну, в смысле, тебе и твоим пользователям ненужного, а гуглю-то как раз очень даже.
И, что интересно, Борода молчит. Он высказывает своё никому не нужное мнение о якобы свободных лицензиях, зато там, где всех ставят под контроль и решают где ороший сертификат, а где нет (пример игнора сертификата Казахстана красноречив) — этот «гуру» не высказывается. Ибо кураторы в спецслужбах не велят что-то говорить.
> И, что интересно, Борода молчит.А он-то тут причем? Может, он и засорившийся канализационный стояк в твоем доме должен официально осудить?
Это вообще не по его части, это по части EFF - а те, последнее время, что-то уже даже и неясно, за белых, за красных, или просто так, для себя банки грабят.
> Ну HTTP (совсем без шифрования) таки работает ещеэто, кстати, тоже ненадолго. Тем 21% - насторожиться.
Завтра либо скрипты с cdn не загрузятся, либо видео с ютрупа нельзя будет показывать, только ссылку на ютруп.
Ещё два года назад подумали, отключив на всех сервисах <1.2. На днях оставим только TLS1.3.
приятная новость!TLSv1.3 координально лучше своих предшественников.
отказаться от TLSv1.2 конечно тоже хотелось бы -- но нельзя же так быстро его списать. (но хочется!)
о да, коородинальный ты наш
Когда нет аргументов, докопаться до грамматики лучшая тактика анона.
Таких тут 90% процентов. Остальные 9% - нужно обязательно свое мнение высказать, даже если оно не сходится с реальностью никак.
Жаль что Opera 12.18 с поддержкой новой версии вышла только для Windows.Какая там у меня версия Qt в данный момент? 5.9 + OpenSSL 0.9.8. Пора осваивать сборку с репозиторием sle11-security-module, там все новые библиотеки есть. Печально что Python 2.6 так и не получил поддержку OpenSSL 1 (надо минимум 2.7), а то у меня питоно-модули теперь в интернет заходить не могут.
> OpenSSL 0.9.8Дядь, тебе нормально?
> ZeniturА, ну да.
столько боли и страдания от ещё одного админа локалхоста что уже лет 5 не желает обновляться
А что, на SLE 11 обновления уж ене приходят?
а что, покойная бабушка уже 5 лет тебе выкручивает руки не разрешая обновиться до 12 или 15? ты на неё заявление напиши
xxx> Убунта теперь выпускает обновления по 12 лет
yyy> Правильной дорогой идут товарищи! Ух, держитесь, RHEL со SLES! Теперь убунта дотягивается до вашего уровня, теперь она вам вам ровня!
xxx> А тут у зенитура SLES старая
yyy> Да кому нужны эти дистры с долгосрочными обновлениями!nuff said
Там системда и нет третьекед.
> Там системда и нет третьекед.тогда, как говорят в народе, горбатого могила исправит
Верно, системду только могила исправит.
ничего личного, но уверен, systemd и миллионы пользователей Linux-дистрибутивов на его основе, переживут твоё недовольство. более того - даже не заметят. а ты можешь дальше портянки на Bash править на свой вкус, раз не имеешь чем заняться. выбор есть всегда
"Миллионы" пользователей Systemd с радостью перейдут на что-нибудь другое, если оно будет установлено "из коробки". Им будет не интересно, "а что там под капотом?"
> А что, на SLE 11 обновления уже не приходят?На мою нет - для меня поддержка уже закончилась. Осталась только локальная копия репозиториев SLE_11_SP4:Update и SLE11-Security-Module по состоянию на 2019 год. С последним сейчас экспериментирую, пытаясь собрать с ним что-нибудь (для пробы выбрал hostapd). К вечеру думаю собрать Qt 5.15. Предыдущую версию вот собрал:
https://download.opensuse.org/repositories/home:/linux4human.../
Это у тебя подстольный отлон для торрентов надеюсь?
Иначе озвучь контору где так срут на ПО, чтоб случайно не вляпаться
Какие 5, это Зенитур. Он и лет 10 назад примерно также действовал)
Я тебе больше скажу эта новость имеет целью борьбу с такими как ты.
В соседней новости ты говорил "ура, убунта теперь 12 лет поддерживается, зашибись!", а в этой "с такими, как ты, надо бороться". Ты бы определился.
и продвигать насильно новые, пробэкдоренные версии...
Много уже бекдоров лично ты нашел?
UEFI Secure Boot, Intel ME, AMD PSP, браузеры с невыключаемой телеметрией, systemd.
systemd - хреновая вещь, а бекбор спрятан у нее подкапотом: контроль доступа polkitd для dbus поддерживает правила на JS.В связке systemd - dbus - polkitd
БЕКДОР - polkitd.
> UEFI Secure BootА если с UEFI Secure Boot удальть чужие ключи и установить ТОЛЬКО свои?
> А если с UEFI Secure Boot удальть чужие ключи и установить ТОЛЬКО свои?Еще не забудь опенсорсное фирмваре с алгоритмами которые проверить можно, а не так что джентльменам мутноблоба верят на слово. А, простите, специально от таких бутгад сделан - и если его ключ уже вшит OEMом, тогда настоящий хозяин этой штуки - это вот он, а вы так, в гостях. ЧСХ заранее вам этого никто не скажет, сперва купите, потом узнаете за кого вас держали.
Нет, есть конечно девайсы где это *точно* не прописано с фабы. Но это в основном одноплатники на ARM, и то не всех производителей... а в х86 это вообще лотерея.
> UEFI Secure BootВообще никак не задняя дверь. Это против её предназначения могут быть специальные "задние двери". И, да, поднятая истерия... Даже с вырезанием (вместо хотя бы исправления, если оно нуждалось) её из компъютеров во имя свободы ПО, инициированная под руководством одного мэна...
она давно уже не поддерживается и криво отображает сайты
Зато она тру. Удачи ребятам, пилящим форк
Ну вот и всё
Причиной отказа от использования TLS 1.0 и 1.1 является отсутствие поддержки современных шифров (например ECDHE и AEAD) и наличие в спецификации требования по поддержке старых шифров, надёжность которых на современном этапе развития вычислительной техники поставлена под сомнение (например, требуется поддержка TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, для проверки целостности и аутентификации используется MD5 и SHA-1).
а блин, исправили уже
на мой взгляд, такие вот новости, в любой вообще социальной среде регулярно позволяют обнаружить кучку ретроградов что противятся... нет-нет, не научно-техническому прогрессу и даже не собственному развитию. противятся они направлению движения времени (из прошлого в будущее) и необратимости событий. попросту мы наблюдаем группу шизофреников, что крайне недовольны настоящим (низкая самооценка и социальная позиция) и панически боятся будущего (страх совершить ошибку и нежелание её исправлять), потому держатся за прошлое, аргументируя свою такую привязанность самым нелепым и смешным образом. таким персонам, на мой взгляд, давно уже стоит переехать жить поближе к кладбищу, к земле, к истине. позабыв весь многовековой опыт человечества, сплошь состоящий из череды бесконечных проб, ошибок и исправлений
Если бы не "ретрограды", то "череда ошибок" была бы куда более разрушительная.
От миллениалов, изобретающих "гель для душа в бруске" иногда смешно, но чаще волосы дыбом становятся... К при виде беспечного ребенка, разгуливающего по краю крыши или под носом у дикого льва.
Честно говоря, если бы все эти любители обмазывания наисвежайшим разом навернулись с крыши или покормили собой львов - никто бы особо и не плакал.Проблема ж что они всех хотят заставить так ходить, тротуары ж устарели и немодно, а решетки вокруг льва - неинклюзивны.
благодаря ретроградам выжили пещерные троглодиты? ретрограды предотвратили чуму? инквизицию католической церкви? революцию 17-го? две мировых войны? хиросиму, чернобыль и фукусиму? они остановили постоянный и непрхохдящий экономический кризис по всему миру? изобрели вакцину от covid, лекарства от рака и вич? они противились захоронению химического оружия в балтийском море и радиоактивных отходов в тихом океане? они изобрели новый и безвредный источник энергии? ты юрист или социолог по образованию и твоя партия имеет программу с предложением как защитить этих детей или запретить навязчивую рекламу граничащую с пропагандой не нарушая при этом свободу слова и кучу других законов и закончиков? знаю наперед что ответ на все мои вопросы будет "нет". тогда о чём ты чирикаешь? занимайся своим делом. понадобишься - к тебе обратятся. живёшь в спичечном коробке и фыркаешь на пролетающие мимо тебя галактики
Ты НЕ МОЖЕШЬ точно знать, какую роль в этих всех событиях сыграли ретрограды. И никто никогда не узнает, чего _удалось_ избежать человечеству. Это ваш словесный понос, ни коим образом не компрометирующий ретроградов как таковых.
Миляга, детям (включая тебя) нужно не законами запрещать в пасть зверю лезть, а УЧИТЬ. Учить думать.
И прежде всего, учить продолжать думать даже после осознания того, что "я могу это сделать".
> Ты НЕ МОЖЕШЬ точно знать, какую роль в этих всех событиях сыграли
> ретрограды. И никто никогда не узнает, чего _удалось_ избежать человечеству. Это
> ваш словесный понос, ни коим образом не компрометирующий ретроградов как таковых.
> Миляга, детям (включая тебя) нужно не законами запрещать в пасть зверю лезть,
> а УЧИТЬ. Учить думать.
> И прежде всего, учить продолжать думать даже после осознания того, что "я
> могу это сделать".ты точно так-же не можешь знать обратное, но лезешь спорить и даже встаёшь в позу. дедуля, давай к помойке прогуляйся - там кто-то досок выкинул, тебе скоро пригодятся
> благодаря ретроградам выжили пещерные троглодиты? ретрограды предотвратили чуму? инквизицию
> католической церкви? революцию 17-го? две мировых войны? хиросиму, чернобыль и фукусиму?Врачи тоже не предотвратили. Чуму.
А Эпоха Возрождения -- это Эпоха Возрождения. Не очередного наиновейшего обновления...
> Врачи тоже не предотвратили. Чуму.Во времена чумы врачи были, эхм, так себе прямо скажем. Молитвы и то лучше помогали.
А вот почему современные врачи со всей своей наукой не смогли предотвратить эпидемию коровавируса - это гораздо более интересный вопрос.
Гугли кто такая была Агния Морова, она предвидела.
Не нужно путать др*чку на циферки версий и работу. Работать можно и под Windows 98 с девятым FineReader, обрабатывая негативы в седьмом Фотошопе. Ну ладно, в Win2k, чтобы не было спонтанных зависаний. И которому не требуются SSD и 10 гигабайт памяти.Вместо работы ты предлагаешь наслаждаться тем, что у тебя всё новое и свежее.
Похоже я знаю, зачем регулярно в линуксе что-то отламывают и заменяют на полу-рабочий прототип. "Не развивается!" же.
это-ж на каком чудесном ламповом и расписаном под хохлому железе ты будешь запускать свой Win2k, чтоб не было спонтанных зависаний? там и 1 гигабайт памяти зачастую некуда вставить, а ты про 10 говоришь. да и SSD с PATA-интерфейсом тебе придётся поискать. ну а в камере (негативы которой ты собрался обрабатывать), я так понимаю, флопик? извини, барин, не признал!
Двух- и четырёхядерные Атлоны из 2009 года вполне годятся. У AMD даже есть драйвер под Win2k/XP, потому что система работает с ним, как с многопроцессорным, а надо как с многоядерным.Если нужна SATA на компьютере, на котором только PATA, то нужна дискретная карточка PCI. У нас таких на складе много - от VIA, NEC и Silicon Image - видать, было востребовано в своё время. А может и для AGP есть контроллеры - можно было бы и SATA 3 )
> А может и для AGP есть контроллерыфантазёр! чего только не придумаешь, лишь бы не выносить мусор. сидишь себе в тепле, отапливая свою хрущовку примусом и раскалёнными кирпичами что разогрел в духовке, в комфортно поскрипывающем кресле-качалке, глядя "Штепселя и Торопуньку" на шикарном ламповом телевизоре, экран которого чуть больше блюдца. хоть с головой обмажься карточками PCI 32/33, легче то стало? ну слава богу, неотложку не будем обременять
Да, и текстовым редактором надо пользоваться, который влезает 8000 байт. Это вместо современного IDE, который жрёт сотни метров на старте.
Видать, подстветка синтаксиса требует те самые сотни метров.
> Видать, подстветка синтаксиса требует те самые сотни метров.Угу. И возможности рефакторинга. Вывода типов, чтобы подсказывать программисту, какой вариант перегруженного virtual метода здесь вызывается. Чтобы подсвечивать синтаксические ошибки. Варнинги статических анализаторов выводить. Карту сорца в уменьшенном виде. Сворачивание кусков кода, дабы они глаза не мозолили. Чтобы рефакторинг проводить. Чтобы плугины поддерживать, меняющие отображение кода или добавляющие инструменты работы с ним. Чтобы рисовать иерархии типов, чтобы находить определение нужного варианта функции, с учётом типа аргументов, исследовать историю сорца при помощи vcs, и так далее. Да, не так уж и много, не тянет на сотни метров, совсем. Ах да, я ж совсем забыл, это ж ещё с гуём, тот на 8k текстовый редактор работал, скорее всего, поверх текстового терминала. И, кстати, ничего кроме ascii не тянул. Наверное, гуй во всём виноват, да?
только вот здешним анонимусам, что в жизни не написали ничего кроме "hello world" всё это ни к чему
>Наверное, гуй во всём виноват, да?А это вы влезли в то, что в современном мире называют НАСЛЕДОВАНИЕ РЕАЛИЗАЦИИ, и это что-то плохое, вот да.
Сворачивание кода (в GUI) было ещё в начале нулевых и прекрасно работало без всякой большой оперативы. MinGW studio программа называлась.Это теперь Notepad++ текёт как не в себя.
> Сворачивание кода (в GUI) было ещё в начале нулевых и прекрасно работало
> без всякой большой оперативы. MinGW studio программа называлась.А сейчас типа нет? MinGW Studio больше не работает? Или ты архивы с сорцами/бинарями потерял?
> Это теперь Notepad++ текёт как не в себя.
Он же какая-то хрень по типу блокнота, но с подсветкой синтаксиса? И зачем он нужен такой? Какой-нибудь скрипт на ~500 строк налабать наверное сойдёт, но всё остальное... не спасибо, я лучше пешком постою.
> Сворачивание
> кусков кода, дабы они глаза не мозолили.:-)))
Как же это мягко говоря по-дурацки... Хотя мягко говорить тут нельзя.Когда "мозолящий" код просто не виден, но наличествует... >:-)
>> Сворачивание
>> кусков кода, дабы они глаза не мозолили.
> :-)))
> Как же это мягко говоря по-дурацки... Хотя мягко говорить тут нельзя.
> Когда "мозолящий" код просто не виден, но наличествует... >:-)Не, ты не стесняйся, уж. Выскажись. Выскажись твёрдо и жёстко, по-мужски, а не ходи вокруг да около, как красна девица.
> Видать, подстветка синтаксиса требует те самые сотни метров.подсветка синтаксиса была у borland pascal в 1992м году.
В тех самых 640k.
Предоставляем вам уникальную возможность побыть бета-тестером и early adopter'ом вакцин от коронавируса!
Фраксипаринчик - вкололи, пентоксифилинчиком закусили, нпвс заполировали - и уперед тестировать астрозенеку . Безумству храбрых поем мы пестни !
Всего лишь пометили стандарт как "потенциально можно взломать", а в комментах такая паника, как будто кто-то насильно придёт и отключит. Компьютеры развиваются, криптография устаревает, это естественно.
С политикой современных браузеров они могут насильно придти и отключить. У людей возможно усталость от этого, усталость от навязывания безопасности, они могут ждать, что их резко будут заставлять.
у дураков всегда кто-то виноват
Вот ты сейчас серьёзно?
Почти всем будет абсолютно фиолетово, когда в браузерах TLS 1.0/1.1 выключат.
Очень мало кто заметит.
Ну сайты же отвалятся, наверное.
Какие сайты?
Я лично на сайты без ссл вообще не захожу
Если я не этом сайте не логинюсь и только читаю, то мне пофиг, есть ли там шифрование.
А логинюсь я только там, где мне это реально зачем-то нужно.
> Я лично на сайты без ссл вообще не захожуМы все очень рады за ваш выбор и все такое. Только не надо это навязывать окружающим.
mail.ru на ведроиде.
Шта.
Выкинь уже фенольное поделие на 4 ведре
Если за ними никто уже давно не следит - возможно и отвалятся. Туда и дорога.
А везде, где следят - уже давно TLS 1.2/1.3 поддерживается.
> Если за ними никто уже давно не следит - возможно и отвалятся.Ну я слежу. Но сделать уже ничего не могу. Только отключить https уже нахрен, унеся на другой домен - видимо, так и придется сделать.
> Туда и дорога.
твое васняское мнение с твоими никому не нужными васянскими сайтами очень важно для нас. А 1/5 сайтов из алексиной 100000 тебя слушать не собирается. И это прекрасно, что бы ты там со своей привычкой воровать данные клиентов не верещал.
> А везде, где следят - уже давно TLS 1.2/1.3 поддерживается.
п-ди больше.
Они поддерживаются только там, где это ничего не стоило. То есть где весь сайт - одна страничка с номером телефона "позвоните для заказа нашего ненужна!"
Твой шитхостинг, вестимо, такими и набит, откуда у тебя быть чему полезному-то для людей. Ты ж для них и не делаешь ничего.Ну и у гугля, который сам для решения _своих_ проблем нам всем 1.3 и придумал, вместе с ненужно-quick.
Как бы там ни было, а везде будет 1.2. Потом 1.3.
И можете пищать дальше :D
> Как бы там ни было, а везде будет 1.2. Потом 1.3.У меня будет plain http
> И можете пищать дальше :Dможете воровать траффик дальше - авось пользователи задумаются о vpn в какую-нибудь более порядочную страну.
Прям вот таки OpenSSL с поддержкой 1.2 не собрать?
Да не верю (с)
Или там IIS?
> Прям вот таки OpenSSL с поддержкой 1.2 не собрать?Не поможет. Это ж нормальный сайт эпохи гипертекстового интернета-не-для-выжимания-денег. С кучей внешнего контента - и, разумеется, прорва линков http, причем что откроется если шибкоумная мурзила подменит протокол - один ктулху ведает. К тому же сейчас и вовсе кусок скрипта подгружается с другого сайта, потому что тот моя экспериментальная площадка, а этот раритет лишний раз лучше не трогать вообще. Там есть https, да вот сертификат - snakeoil. Угадай что покажет новый модный 60й хромоног, если пользователь, по привычке, наберет домен без протокола в адресной строке (мои пользователи, да, такие, не ищут его в однокласниках, найдя те в яндексе)?
И ты,кстати, хорошо представляешь себе, что будет, если его таки собрать в системе, в которой штатный э... libopenssl0_9_8 ?
Полагаю, нет, тебе никогда это в голову ведь не приходило?После ребута ты даже и не зайдешь туда. Хорошо если до успеешь сообразить, почему.
Поэтому единственный оставшийся вариант - secure.site.dom (чтоб гугль его все же индексировал, хотя кому оно надо, уже и не знаю - новое поколение все равно умеет искать только вконтакте, старое см выше) с неработающими внешними элементами, и tcp reject на 443м порту основного, чтобы те, кто пришли хромоногом или телеметрозилой без указания протокола, попали все же куда хотели, а не куда гугль прикажет.
Когда и это доломают - ну, повешу вместо сайта табличку "best viewed by mozilla 3.18, downgrade now".
> И ты,кстати, хорошо представляешь себе, что будет, если его таки собрать в системе, в которой штатный э... libopenssl0_9_8 ?Отлично представляю, потому как делал и так, и наоборот.
Собираешь в /opt допустим, с ним эксплицитно собираешь исключительно вебсервер или что там у тебя. Всё.
Именно что "всё". Потому что у тебя кое-как работает вебсервер, но не работает от curl до того же самого php (и включая git на гитхап. Впрочем, s/https*/git/ - уп-с, белки-истерички поборолись за безопастность только в браузере)И это никак не спасет в моем случае, поскольку сайт, повторяю, старый. Картинки, видео, куча всякого барахла цепляются банально линками из внешних источников. Таких же старых, поэтому если попытаться безмозгло заменить протокол - откроется либо вообще другой сайт, либо пустое место.
Или как у меня самого - вообще ничего не откроется, потому что да, у сайта есть https версия, но с самодельным сертификатом, чужие там не ходят. А поскольку модальные диалоги запретили - браузеру некуда сказать что тут вообще-то были скрипты, но загружать их он не будет, потому что сертификат не от тех васянов. И принудительно по http не будет, это ж небезопастно!
Причем пользователю вообще ничего и нигде об этом не сообщит - просто не работает.
Ну не нужен гуглезиле никакой веб, кроме гугля, гугля, гугля и еще может быть фейсбука. Все старое нужно сломать, чтобы люди напрочь отучились туда ходить.Поэтому нужно просто отключить https к чертям, вместе с "безопастностью". Все равно я вижу, каких котиков ты там посмотрел.
Да понятно это всё :)
То что ты видишь - не страшно, тебе как владельцу сайта можно, и риски с этим связанные понятны.
У нас на том же хостинге допустим есть поддержка легаси PHP 5.2 для суперстарых клиентов - и их прилично, несмотря на то, что это уже оно мамонта.Под CentOS'ом 8 ныне, угумс. PHP 5.2 с распоследними OpenSSL 1.1.x банально не дружит, и патчить его под таковые практичным не представляется, даже при том, что он не обновляется уже.
В итоге просто собрана отдельная ветка OpenSSL 1.0.2 для legacy, и этот самый PHP 5.2 банально собирается с ней, и тащит за собой нужный ему вариант отдельными библиотеками в отдельном RPM.
Для вебсерверов есть самое простое решение: утащить говновебсервер на другой порт, и втулить например haproxy. Который внезапно умеет свежий TLS, HTTPS/HTTP2 на фронте, и может выдавать при этом голый HTTP на бэкенде. У нас так накрыта часть древних IIS, которые и не проапгрейдить уже - сломается долбаный aspx.
(и собирается он быстро, это если нет желания сам вебсервер с новым openssl перебирать)
> и может выдавать при этом голый HTTP на бэкенде.бебебебезопастность, как она есть.
На бэкенде контролируемая сеть, в которую случайный васян с 8 этажа, зацепивший розеточки на кабели, не влезет уже.А так да цепочка доверия заканчивается именно на хостерах и владельцах сайтов. Очевидным образом.
Если ты имеешь в виду ретроградов с Win2K, то тут тоже ничего особо страшного.
У них уже давно много чего отвалилось, потому что многие 1.0/1.1 уже поотключали.
У ретроградов нет прокси и патчей для новых стандартов?
> У ретроградов нет прокси и патчей для новых стандартов?Эти тоже не заметят, так что речь не о них.
> Если ты имеешь в виду ретроградов с Win2K, то тут тоже ничего
> особо страшного.
> У них уже давно много чего отвалилось, потому что многие 1.0/1.1 уже
> поотключали.возможно твои васянские сайты не так чтоб кому и нужны?
Примерно 21% из первых 100 тысяч сайтов, отражённых в рейтинге Alexa, до сих пор не используют HTTPS.
Представляешь - ВАААЩЕ вот не используют! Каждый пятый сайт, содержащий какую-то информацию для людей, а не рекламный мусор. УЖОС! Провайдеры, тырящие траффик, могут его тырить! (зачем ими пользуются пользователи и почему не хотят САМИ решать свои проблемы - неведомо. Ну, может им похер что ты подглядываешь. Зато гуглеанал у них не работает, он-то модный-современный-tls1.4...хотя, опачки...не...так они, оказывается, не договаривались)
Стесняюсь спросить - твой хоть один в эти 100000 попал?
> Примерно 21% из первых 100 тысяч сайтов, отражённых в рейтинге Alexa, до
> сих пор не используют HTTPS.Эти 21% возможно настолько интересны, что о них слышало в районе 0.00021% населения планеты.
Соответственно представляешь - от того, их не станет, ничего существенно не изменится.
> Эти 21% возможно настолько интересны, что о них слышало в районе 0.00021%поинтересуйся как-нибудь на досуге, что такое рейтинг алексы и как туда попадают.
Они может и "не слышали" - но заходят, никуда не денутся.
Но скорее всего всё гораздо банальнее.
Не буду утверждать, но скорее не "не используют HTTPS", а "не используют HTTPS по умолчанию".
И тогда всем точно фиолетово.
При этом никто не заметил, что даже последние версии Fx и Chrome для WindowsXP и те поддерживают TLSv1.2Отключение TLSv1.0 и TLSv1.1 на веб-сервере не вызывает ВООБЩЕ проблем у клиентов. Проверено на сайте у которого какой-то экстрим в статистике и пользователей с WinXP в районе 5% до сих пор
> При этом никто не заметил, что даже последние версии Fx и Chrome
> для WindowsXP и те поддерживают TLSv1.2пользующиеся до сих пор XP, внезапно, могут не иметь возможности запустить "пашледнюю" версию чроме - она без sse4 не работает. Вообще-то и с ним тоже не работает, если ядер у процессора меньше сорока.
К тому же их и предпоследняя устраивает.
> Отключение TLSv1.0 и TLSv1.1 на веб-сервере не вызывает ВООБЩЕ проблем у клиентов.
"по данным телеметрии этих клиентов".
> Проверено на сайте у которого какой-то экстрим в статистике и пользователей
> с WinXP в районе 5% до сих поругу, они ж не могут больше зайти на этот сайт, и рассказать тебе об этом.
(гораздо больше проблем у владельцев немодных мобилок, но твой сайт им вряд ли интересен, это специфический контингент, с владельцами xp почти не имеет общих точек)
> "пашледнюю" версию чромеПоследняя для XP не равна последней вообще
На остальной понос от человека не знающего ситуации даже отвечать не стану
>В самих протоколах TLS 1.0/1.1 отсутствуют критические уязвимости, которые можно использовать для осуществления практических атак.Отключаем ради того чтобы отключить.
возьми на себя труд и поддерживай самостоятельно раз так в этом нуждаешься
Ты разве не слышал, нуждаться - запрещено. Каждый обязан работать на благо государства и корпораций.
выбор есть у всех, просто кому-то больше нравится в древнем барахле ковыряться (Windows XP, TLS 1.0, и т.д.)
Выбор есть у всех: работаешь на благо государство и корпораций, покупаешь на зряплату шпионские телефоны регулярно - есть доступ к интернету, не работаешь на благо государства и корпораций, не тратишь деньги на шпионское китайское дерьмо регулярно - не имеешь доступа к интернету.
ну и как оно жить в землянке с керосиновой лампой? в интернете за тебя бот комментарии строчит?
Вот ты отчёт и напишешь, после того как так поживёшь в целях перевоспитания. А то легко людей на свалку выбрасывать, там не пожив предварительно.
прекрати идти на поводу у корпораций (ты же знаешь что они в заговоре с рептилоидами!), выключи себе интернет и иди спать. там всё-равно все тебя лишь обижают и не хотят с тобой общаться по TLS 1.0
Не,только с юзером "бублички".
корпорации и государства меня, как специалиста, кормят, поят и одевают. да, дерут налоги и пытаются промывать мозги, но есть разные возможности это если не обойти целиком, то минимизировать и потихоньку жить в настоящем, а не в прошлом
>корпорации и государства меня, как специалиста, кормят, поят и одеваюткорова в коровнике и свинья в свинарнике тоже могла бы так сказать, если бы говорить умела.
не вижу связи, ровно никакой вообще. ты ещё давай задвинь про параллельную вселенную где все твои мечты уже осуществлены. всё на что указываешь оторвано от реальности и не имеет отношения, к тому "сейчас", где вот взяли и не спросив тебя, выкинули отовсюду TLS 1.0 и 1.1, о чём кстати предупреждали более 5 лет
>>корпорации и государства меня, как специалиста, кормят, поят и одевают
> корова в коровнике и свинья в свинарнике тоже могла бы так сказать,Да ну, бросьте вы эту конспирологию, никто все равно не поверит что эти заботливые люди нас хотят съесть!
Ну что за бред...
Они там совсем уху ели? На мой "калькулятор" поддержку TLS 1.3 не завезли!
Как и 1.2, но уже много где 1.3-only.
Так обнови свой бульбулятор.
1.2-то завезли? Если да - можешь спать спокойно.
> 1.2-то завезли? Если да - можешь спать спокойно.недели две, или сколько там по новым правилам требуется чтоб поменять версию чрому? Угу, может.
И да, мущина, проснитесь, ваш 1.2 - обоср...ся!го все пересобирать прямщас, пока не поломали.
Да не. X509_V_FLAG_X509_STRICT - вообще херня и не интересно.
А вот краш на ClientHello - да, неприятственно, надо будет перебрать, пока кидди не активировались.
К счастью займёт этот процесс вместе с деплоем минут 15.
А если апстрим успеет RPM подогнать - то и меньше, потому что тесты гонять не надо.
Ха блджад, там патч в одну строчку (инициализация переменной), можно выкатывать без всяких тестов.
А мне вот - не надо. У меня нет вообще этого куска кода.Иногда бесконечная погоня за морковкой таки оборачивается другим концом морковки.
Насаются с этими своими безопасностями, которые часто приносят даже вред (как в браузерах, которые явные хттп-запросы нагло перебрасывают на хттпс-варианты) и только через годы к ним приходит понимание того, что не надо эту шизофрению всем навязвать и пытаться огнём и мечём (понижением в результатах поиска, например) насаждать. Кому нравится бояться - пусть защищают себя добровольно. А то такая принудительная "защита" становится хуже опасности от её отсутствия. :-)
Браузер не сам по себе на https перекидывает, а только если на сервере hsts включен. Голый http там оставлен только для всяких курлов, которые его игнорят и микроволновок, которые о нём понятия не имеют