Доброго времени суток!

Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по http, не по https. С какой целью это сделано и будет ли исправлено?

• HTTPS by default на opennet.ru,Maxim Chirkov, 19:07 , 15-Сен-19
  • HTTPS by default на opennet.ru,aim, 00:34 , 16-Сен-19
    • HTTPS by default на opennet.ru,Maxim Chirkov, 22:34 , 16-Сен-19
  • HTTPS by default на opennet.ru,aim, 13:53 , 25-Сен-19
    • HTTPS by default на opennet.ru,Maxim Chirkov, 19:43 , 25-Сен-19

> Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по
> http, не по https. С какой целью это сделано и будет
> ли исправлено?

Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.
При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу по HTTPS.
Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ

>> Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по
>> http, не по https. С какой целью это сделано и будет
>> ли исправлено?
> Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.
> При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу
> по HTTPS.
> Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ

А есть какой-то deadline окончания такого поведения? Потому что это очевидная уязвимость на любимом сайте.

Тот же аргумент про LE - с моей точки зрения он не состоятелен, т.к. в 2019 году лишь показывает что установлена не пропатченная ОС. Конечно не дело opennet учить людей надо ли им содержать своё устройство "в чистоте", однако мы все пользуемся одной Сетью и наличие таких устройств бьёт по всем нам.

> А есть какой-то deadline окончания такого поведения? Потому что это очевидная уязвимость
> на любимом сайте.

Думаю, что перелом наступит когда браузеры по умолчанию начнут пробрасывать на https:// при вводе в адресной строке хоста без указания протокола.

При входе по внешним ссылкам на http:// можно автопроброс на https:// попробовать сделать уже сейчас. Также предлагали выставлять заголовок  Strict-Transport-Security в случае изначального открытия сайта по https://.

> Тот же аргумент про LE - с моей точки зрения он не
> состоятелен, т.к. в 2019 году лишь показывает что установлена не пропатченная ОС.

Тем не менее люди пользуются старыми смартфонами. Когда нужно лишь читать контент на opennet, ничего страшного в HTTP нет, если не через  какой-нибудь открытый WiFi или левую сеть заходят.

>> Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по
>> http, не по https. С какой целью это сделано и будет
>> ли исправлено?
> Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.
> При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу
> по HTTPS.
> Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ

я вот в очередной раз наткнулся на это - ссылка из rss открывается автоматом по http. а это значит что утекают сессии в открытый интернет. это плохо. очень очень плохо.

> я вот в очередной раз наткнулся на это - ссылка из rss
> открывается автоматом по http. а это значит что утекают сессии в
> открытый интернет. это плохо. очень очень плохо.

Проверил, если RSS забирается по http, то и ссылки выставлялись с http://, если по https то https://. Сейчас поправлю и сделаю ссылки только на https, независимо от метода забора.