Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Темы

Http всё

Связанные с индикаторами изменения войдут в состав выпуска Firefox 70, намеченного на 22 октября. Наконец-то, заждались, уже несколько пару лет нас завтраками кормят.


Вкратце: теперь все http и ftp страницы будут в строке помечаться не безопасными, вот так:

Что хорошо: обычные доменные сертификаты теперь просто серые (о, и EV теперь без плашки, проглядел), чуть-чуть бизнес у фишинговых и прочих мошенников поломается (чуть-чуть, ведь «лох не мамонт, лох не вымрет»).


Для ftp вообще посрать, его скоро выкинут (запамятовал с какого выпуска). А вот с http ждем кучу нытья и ложных репортов у ретроградов.


стырено с опеннета


P.S. Сам я давно уже вешаю на статичные html-странички сертификаты, спасибо Let’s Encrypt.

P.S.S. Кстати, что там у гугла и остальных на хромиуме? Тоже давно планируют, но я за ними так не слежу.

Firefox Http Https Безопасность
66

GNU/Linux

1.2K постов15.6K подписчиков

Добавить пост

Правила сообщества

Все дистрибутивы хороши.

Будьте людьми.
Вы смотрите срез комментариев. Показать все
4
DELETED
Автор поста оценил этот комментарий

@mandalala вы явно не понимаете целей этого перехода

Посрать всем заинтересованным на безопасность

Сертификаты новое средство выколачивать деньги

Хостинг из-за конкуренции подешевел но рынок сертификатов практически монополен

Думаете летсекрипту дадут демпинговать?

Атака на него началась ещё несколько лет назад и не надо быть вангой чтобы предсказать что браузеры перестанут принимать любые бесплатные сертификаты уже в ближайшие годы.

Но можете продолжать медленно варится как лягушка и квакать в поддержку нагревающих воду

раскрыть ветку (7)
0
Аватар пользователя freebsdun freebsdun
Автор поста оценил этот комментарий

Это контроль за статистикой, то на чем зарабатывает гугл. По http можно собирать её в любой точке. По https уже не то, только домен второго уровня.


Let’s Encrypt на открытом и свободном протоколе, его даже в RFC -- бери да реализуй конкурнта. В разработке там участвует толпа компаний и корпорация, в том числе и мозилла с гуглом -- понятно почему они топят за сертифик "в каждый дом" и на халяву.


А простым юзерам? Им хоть провайдер перестанет рекламу подсовывать, когда все таки перейдут на https.

раскрыть ветку (6)
3
DELETED
Автор поста оценил этот комментарий

Это можно реализовать и без центров сертификации

Поголовно забугорных центров к слову

Интересно задумывались ли об этом проектировщики "автономного интернета".

Вообще весь современный интернет стек нужно выбросить на помойку потому что достигнута критическая концентрация костылей и Легаси.

Но это никому кроме пользователей не выгодно и поэтому маловероятно

раскрыть ветку (5)
1
Аватар пользователя merops.bird merops.bird
Автор поста оценил этот комментарий

весь современный интернет стек нужно выбросить на помойку

Не будет этого. Я-то за, но это слишком затратно будет для всех. Это как если бы все сейчас перешли на International Fixed Calendar.

Вон даже единый протокол для мессенджеров создать не могут - сколько их расплодилось (статья вспомнилась https://habr.com/en/post/272937/ ).

раскрыть ветку (1)
3
DELETED
Автор поста оценил этот комментарий

в том то и проблема

что других способов навести порядок нет

если бы мне пришлось решать эту проблему я бы начал с выпуска комплекта софта вообще не совместимого с существующим вебом.

тоесть своя база данных,свой сервер

свои аналоги html,css,js в своем браузере и понемногу вытеснял бы традиционный веб

обычные браузеры наверняка запилили бы поддержку но сама их архитектура заточенная под современный веб не позволит им работать эффективно.

Аватар пользователя freebsdun freebsdun
Автор поста оценил этот комментарий

Интересно задумывались ли об этом проектировщики "автономного интернета".

Уверен что нет. Но у нас есть специальные сборки лисы для госструктур с интегрированным гостовским шифрованием. Так что не принципиальная проблема. Да и на хромиуме собрать не долго, плюс есть карманные яндекс и мейлру. Раньше кто лису пересобирал, кстати, пытались пиариться, пока их отовсюду ссаными тряпками не выгнали (площадки типа опеннета, лора, хабра), лиса свободное, но они товарную марку использовали без разрешения. Лиссисофт вроде или типа как-то так, забыл уже.

раскрыть ветку (2)
0
Аватар пользователя BrainFury BrainFury
Не подарок
Автор поста оценил этот комментарий

Так суть https не только в шифровании, еще и в верификации узла. Гост будет, трафик будет шифроваться. А как проверить подлинность сайта?

раскрыть ветку (1)
Аватар пользователя freebsdun freebsdun
Автор поста оценил этот комментарий

В чебурашке в форке от чекистов? Ни как, т.к. вшитые открытые ключи корневых могут быть подменены, а OCSP остался за бугром (кстати, клиенты его и сейчас игнорируют при проблемах, так что если атакующий в вашей локалке и дропнет запрос, то всё плохо)

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку

Темы

Политика

Теги

Популярные авторы

Сообщества

18+

Теги

Популярные авторы

Сообщества

Игры

Теги

Популярные авторы

Сообщества

Юмор

Теги

Популярные авторы

Сообщества

Отношения

Теги

Популярные авторы

Сообщества

Здоровье

Теги

Популярные авторы

Сообщества

Путешествия

Теги

Популярные авторы

Сообщества

Спорт

Теги

Популярные авторы

Сообщества

Хобби

Теги

Популярные авторы

Сообщества

Сервис

Теги

Популярные авторы

Сообщества

Природа

Теги

Популярные авторы

Сообщества

Бизнес

Теги

Популярные авторы

Сообщества

Транспорт

Теги

Популярные авторы

Сообщества

Общение

Теги

Популярные авторы

Сообщества

Юриспруденция

Теги

Популярные авторы

Сообщества

Наука

Теги

Популярные авторы

Сообщества

IT

Теги

Популярные авторы

Сообщества

Животные

Теги

Популярные авторы

Сообщества

Кино и сериалы

Теги

Популярные авторы

Сообщества

Экономика

Теги

Популярные авторы

Сообщества

Кулинария

Теги

Популярные авторы

Сообщества

История

Теги

Популярные авторы

Сообщества