Доброго времени суток!Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по http, не по https. С какой целью это сделано и будет ли исправлено?
> Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по
> http, не по https. С какой целью это сделано и будет
> ли исправлено?Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.
При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу по HTTPS.
Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ
>> Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по
>> http, не по https. С какой целью это сделано и будет
>> ли исправлено?
> Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.
> При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу
> по HTTPS.
> Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQА есть какой-то deadline окончания такого поведения? Потому что это очевидная уязвимость на любимом сайте.
Тот же аргумент про LE - с моей точки зрения он не состоятелен, т.к. в 2019 году лишь показывает что установлена не пропатченная ОС. Конечно не дело opennet учить людей надо ли им содержать своё устройство "в чистоте", однако мы все пользуемся одной Сетью и наличие таких устройств бьёт по всем нам.
> А есть какой-то deadline окончания такого поведения? Потому что это очевидная уязвимость
> на любимом сайте.Думаю, что перелом наступит когда браузеры по умолчанию начнут пробрасывать на https:// при вводе в адресной строке хоста без указания протокола.
При входе по внешним ссылкам на http:// можно автопроброс на https:// попробовать сделать уже сейчас. Также предлагали выставлять заголовок Strict-Transport-Security в случае изначального открытия сайта по https://.
> Тот же аргумент про LE - с моей точки зрения он не
> состоятелен, т.к. в 2019 году лишь показывает что установлена не пропатченная ОС.Тем не менее люди пользуются старыми смартфонами. Когда нужно лишь читать контент на opennet, ничего страшного в HTTP нет, если не через какой-нибудь открытый WiFi или левую сеть заходят.
>> Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по
>> http, не по https. С какой целью это сделано и будет
>> ли исправлено?
> Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.
> При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу
> по HTTPS.
> Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQя вот в очередной раз наткнулся на это - ссылка из rss открывается автоматом по http. а это значит что утекают сессии в открытый интернет. это плохо. очень очень плохо.
> я вот в очередной раз наткнулся на это - ссылка из rss
> открывается автоматом по http. а это значит что утекают сессии в
> открытый интернет. это плохо. очень очень плохо.Проверил, если RSS забирается по http, то и ссылки выставлялись с http://, если по https то https://. Сейчас поправлю и сделаю ссылки только на https, независимо от метода забора.