https://slinkov.ru/openforum/vsluhforumID4/575.html Доброго времени суток!<br><br>Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по http, не по https. С какой целью это сделано и будет ли исправлено?<br> https://slinkov.ru/openforum/vsluhforumID4/575.html#5 Wed, 25 Sep 2019 16:43:49 GMT &gt; я вот в очередной раз наткнулся на это - ссылка из rss <br>&gt; открывается автоматом по http. а это значит что утекают сессии в <br>&gt; открытый интернет. это плохо. очень очень плохо.<br><br>Проверил, если RSS забирается по http, то и ссылки выставлялись с http://, если по https то https://. Сейчас поправлю и сделаю ссылки только на https, независимо от метода забора.<br> https://slinkov.ru/openforum/vsluhforumID4/575.html#4 Wed, 25 Sep 2019 10:53:36 GMT &gt;&gt; Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по <br>&gt;&gt; http, не по https. С какой целью это сделано и будет <br>&gt;&gt; ли исправлено?<br>&gt; Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания. <br>&gt; При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу <br>&gt; по HTTPS.<br>&gt; Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ <br><br>я вот в очередной раз наткнулся на это - ссылка из rss открывается автоматом по http. а это значит что утекают сессии в открытый интернет. это плохо. очень очень плохо.<br> https://slinkov.ru/openforum/vsluhforumID4/575.html#3 Mon, 16 Sep 2019 19:34:47 GMT &gt; А есть какой-то deadline окончания такого поведения? Потому что это очевидная уязвимость <br>&gt; на любимом сайте.<br><br>Думаю, что перелом наступит когда браузеры по умолчанию начнут пробрасывать на https:// при вводе в адресной строке хоста без указания протокола. <br><br>При входе по внешним ссылкам на http:// можно автопроброс на https:// попробовать сделать уже сейчас. Также предлагали выставлять заголовок Strict-Transport-Security в случае изначального открытия сайта по https://.<br><br>&gt; Тот же аргумент про LE - с моей точки зрения он не <br>&gt; состоятелен, т.к. в 2019 году лишь показывает что установлена не пропатченная ОС. <br><br>Тем не менее люди пользуются старыми смартфонами. Когда нужно лишь читать контент на opennet, ничего страшного в HTTP нет, если не через какой-нибудь открытый WiFi или левую сеть заходят.<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID4/575.html#2 Sun, 15 Sep 2019 21:34:21 GMT &gt;&gt; Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по <br>&gt;&gt; http, не по https. С какой целью это сделано и будет <br>&gt;&gt; ли исправлено?<br>&gt; Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания. <br>&gt; При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу <br>&gt; по HTTPS.<br>&gt; Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ <br><br>А есть какой-то deadline окончания такого поведения? Потому что это очевидная уязвимость на любимом сайте.<br><br>Тот же аргумент про LE - с моей точки зрения он не состоятелен, т.к. в 2019 году лишь показывает что установлена не пропатченная ОС. Конечно не дело opennet учить людей надо ли им содержать своё устройство "в чистоте", однако мы все пользуемся одной Сетью и наличие таких устройств бьёт по всем нам.<br> https://slinkov.ru/openforum/vsluhforumID4/575.html#1 Sun, 15 Sep 2019 16:07:34 GMT &gt; Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по <br>&gt; http, не по https. С какой целью это сделано и будет <br>&gt; ли исправлено?<br><br>Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.<br>При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу по HTTPS.<br>Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ<br><br>