Http всё⁠⁠

Связанные с индикаторами изменения войдут в состав выпуска Firefox 70, намеченного на 22 октября. Наконец-то, заждались, уже несколько пару лет нас завтраками кормят.

Вкратце: теперь все http и ftp страницы будут в строке помечаться не безопасными, вот так:

Что хорошо: обычные доменные сертификаты теперь просто серые (о, и EV теперь без плашки, проглядел), чуть-чуть бизнес у фишинговых и прочих мошенников поломается (чуть-чуть, ведь «лох не мамонт, лох не вымрет»).

Для ftp вообще посрать, его скоро выкинут (запамятовал с какого выпуска). А вот с http ждем кучу нытья и ложных репортов у ретроградов.

стырено с опеннета

P.S. Сам я давно уже вешаю на статичные html-странички сертификаты, спасибо Let’s Encrypt.

P.S.S. Кстати, что там у гугла и остальных на хромиуме? Тоже давно планируют, но я за ними так не слежу.

GNU/Linux

1.2K постов15.6K подписчиков

Добавить пост

Правила сообщества

Все дистрибутивы хороши.

Будьте людьми.

Вы смотрите срез комментариев. Показать все

ivanbardov

6 лет назад

Хотя все мои сайты на https, я не могу поддержать вот это безудержное стремление всех загнать в пользователи SSL/TLS.

Во-первых, это усложняет процесс настройки и добавляет дополнительную точку с проблемами. Если раньше эта цепочка была домен-днс-хостинг, то теперь туда ещё и сертификат влезает.

Нужно следить и регулярно мониторить ресурс, либо вешать сервис с оповещалкой (та же Я.Метрика). И хотя это делается легко, но это усложнение, а не упрощение.

Плюс, сертификаты могут отозвать и ресурс перестанет работать.

Во-вторых, если мы не говорим про бесплатные сертификаты, то они стоят денег. Да, недорого (500р/год), но это лишние расходы. Let'sEncrypt ничего и даже wildcard есть, но если провайдер его не поддерживает, то установка будет проблемная.

В-третьих, это возможное замедление скорости сайта. Да, сейчас есть TLS 1.3 - пошустрее будет, но его поддерживают не все. Ряд пользователей, включая меня, провайдера тикетами многие месяцы бомбили, прежде чем оно было включено и заработало, и это не самый отсталый хостинг (Бегет). Если не использовать TLS 1.3 и http/2 (а об этих вещах ещё знать надо), то загрузка сайта будет чуть медленнее. Немного, но это точно не плюс.

В итоге получается, что нужно иметь нетухлый уровень понимания, чтобы это сделать и оно работало хорошо. А у большинства не-айтишников такого понимания нет, и блог на вордпрессе, а то и блогоплатформе - предел, на который они готовы пойти. И винить их в этом не за что - кто-то админит / программирует, а кто-то пишет охрененные статьи или делает контент.

По сути выходит, что независимые сайты, standalone-блоги и прочие мелкие ресурсы (которым может быть и 20 лет) отодвигают от аудитории таким методом - кто-то может увидеть предупреждение о "небезопасном соединении" и сразу уйдёт. При этом есть много старых сайтов с годным контентом, а есть ещё и неподдерживаемые сайты, где контент не теряет актуальности с годами - вот они и будут задвигаться глубже в ж*** выдачи, теперь ещё и с помощью браузеров, отгоняющих пользователей (привет, поведенческие).

раскрыть ветку (29)

DELETED

6 лет назад

В целом согласен, http не надо убивать. Но этого никто и не делает. Такие сайты помечаются как небезопасные. Но они и есть небезопасные, любое твое действие потенциально слушается кем-то, это надо осознавать, и пользоваться сайтом с учетом этого - не кормить ему данные своей кредитки или пароли и все вот это.

раскрыть ветку (13)

852054778

6 лет назад

Далеко не все сайты требуют кредитки и пароли

раскрыть ветку (12)

freebsdun

6 лет назад

Банальный фишинг тоже малоприятен. Как вы думаете, как угоняют аккаунты в мессенжерах и соцсетях?

раскрыть ветку (11)

DELETED

6 лет назад

https едва ли защитит от фишинга. Отправлять юзера на http://facebook.com, подменять трафик на свой и угонять так аккаунт - слишком геморно, и как где-то тут уже давали ссылку на исследование, 85% пользователей не заметят подмены, если в заголовке сайта будет не mail.google.com, а mail.google.com.someshit.com. Так что зачем заморачиваться? Отправляешь на вообще левый домен, там контент маскируется под реальный сайт, даже с https, что даже недавно отображалось браузерами как зеленый замочек и внушало ложное чувство безопасности.

Плюс это не сработает на нормальных сайтах из-за включенного HSTS, если в этом браузере этот сайт хоть раз открывали.

раскрыть ветку (6)

freebsdun

6 лет назад

HTST ни как от левых ссылок не защитит, тут про перехват больше и как его недопустить, т.е. от подставного домена-клона -- эта атака на порядки сложнее (но проще MITM), надо перенаправить трафик, а не просто наивно обмануть пользователя.

Вся эта пляска с индикацией https серым, а не зеленым -- чтоб убрать именно ложное чувство безопасности (ссылку на исследования я давал, кстати). Может быть не 85% поведутся, а 50% -- уже хорошо.

раскрыть ветку (5)

DELETED

6 лет назад

Хм... я был уверен, что на сайте с HSTS браузер запретит впредь открывать эту же страницу с HTTP. Но, кажется, это не так. Наверно с чем-то путаю.

раскрыть ветку (4)

freebsdun

6 лет назад

Да, так и есть. Но самый распространенный фишинг (который в исследовании) -- это просто подделка содержимого страницы, а адрес у неё хоть и похожий , но другой.

HTST защитит, когда я в файле hosts на ноуте жены пропишу адрес вконтактика и поставлю IP на свой сервер. А так как MITM мне лень городить, то поддельный сайт я сделаю на голом http. Вот тут то я и обломаюсь. (пример с правкой hosts самый простой, можно перехватывать трафик и в сети, но это уже совсем другая история).

раскрыть ветку (3)

DELETED

6 лет назад

Вот что интересно, сделал именно это, в /etc/hosts прописал 127.0.0.1 и там фласковый сервер запустил, и браузер на http://googl.com мне открыл мой сайтик!

А потом почитал вики по HSTS (Вы неоднократно написали HTST, кстати), и там "The initial request remains unprotected from active attacks if it uses an insecure protocol such as plain HTTP or if the URI for the initial request was obtained over an insecure channel."

Так что контекст этой фичи - именно ограничить загрузку всяких ресурсов самим сайтом уже. Сайт говорит, что, например, все хостит на своих серверах и все должно идти через HTTPS, и при рендере страницы браузер проигнорирует весь незащищенный контент.

раскрыть ветку (1)

freebsdun

6 лет назад

Вы неоднократно написали HTST, кстати

И постоянно пишу htpp или hhtp, хрен знает почему. Тупая опечатка.

DELETED

6 лет назад

О смотри что пишут https://www.chromium.org/hsts
Если ты открыл сайт с HSTS один раз, то браузер это и правда запомнит. В следующий раз, если ты напишешь domain.com - он отправит тебя по умолчанию на https://

От фишинга это не очень поможет.

852054778

6 лет назад

Не задумывался, честно говоря. Где бы просветиться на эту тему?

раскрыть ветку (3)

freebsdun

6 лет назад

Это очень объемная тема, но можно разделить на социальную составляющую и техническую (хотя они неразрывно связаны). Я бы начал на вашем месте с техничеcкой стороны: почитайте про сам фишинг (англ. phishing -- хоть с википедии начать https://ru.wikipedia.org/wiki/%D0%A4%D0%B8%D1%88%D0%B8%D0%BD...), про https, htst (дебри протокола не нужны, просто сам принцип), удостоверяющие центры (CA), типы сертификатов (DV, EV - как раз тема поста про их индикацию для пользователя), MITM -- это уже атаки, а не просто наивная маскировка, OCSP, CRL. (вот статейка https://habr.com/ru/post/332730/ правда по конкретной проблеме, но по тегам можете пройтись, там есть и для общего развития). Можно почитать новости на опеннете тоже (ссылка в посте и там дальше по ссылкам в самой новости).

раскрыть ветку (2)

852054778

6 лет назад

Большое спасибо!

раскрыть ветку (1)

freebsdun

6 лет назад

Вот еще пример, используется невнимательность пользователя:

https://www.opennet.ru/opennews/art.shtml?num=51704

Конечно тут троянец главный, но для его распространения используется классический фишинг.

Elaugaste

6 лет назад

Что значит "провайдер не поддерживает", le кто угодно может поставить. За автопродлением следит certbot, а мониторинг в любом случае нужен, ещё один пункт ничего не усложнит. Платные сертификаты от бесплатных отличаются примерно ничем, шифрование от платности не зависит, а срок действия будут сокращать в будущем.

раскрыть ветку (2)

ivanbardov

6 лет назад

"Кто угодно может " != "кто угодно будет".

Именно потому на сайте LE и написано:

If your hosting provider does not support Let’s Encrypt, you can contact them to request support. We do our best to make it very easy to add Let’s Encrypt support, and providers are often happy to hear suggestions from customers!

If your hosting provider doesn’t want to integrate Let’s Encrypt, but does support uploading custom certificates, you can install Certbot on your own computer and use it in manual mode. In manual mode, you upload a specific file to your website to prove your control. Certbot will then retrieve a certificate that you can upload to your hosting provider. We don’t recommend this option because it is time-consuming and you will need to repeat it several times per year as your certificate expires. For most people it is better to request Let’s Encrypt support from your hosting provider, or switch providers if they do not plan to implement it.

Внезапно, подразумевается, что не все поддерживают и не все хотят интегрировать софтину от LE. И потому остаётся ручной метод - с которым ещё не каждый разберётся. Так или иначе, это дополнительные сложности.

Представьте себе, пенсионер - спец в своём деле, но не сильно прошаренный в компах и сетях, (например, электрик, музыкант, столяр, повар и т.п. - с многолетним стажем) тоже может хотеть иметь сайт и делиться там (нередко полезной и уникальной) инфой.

А мошеннику, который промышленно клепает вредоносы или сайты-мусорки, дорвеи и прочие ГСы - это никоим образом не помеха, у него всё проскриптовано и делается на раз-два.

раскрыть ветку (1)

Elaugaste

6 лет назад

идет к специалистам и ему делают "песдато"

DELETED

6 лет назад

Все перечисленные минусы, прямо скажем, несущественны.

раскрыть ветку (11)

ivanbardov

6 лет назад

Ну, если неработоспособность сайта из-за криво настроенного (или отозванного) сертификата - несущественная причина, то я не знаю, что тогда "существенная причина" в такой вселенной.

раскрыть ветку (10)

DELETED

6 лет назад

Во-первых, ошибки сертификатов не ведут к неработоспособности сайтов, во всяком случае когда речь идёт о личных бложиках и одностраничниках; во-вторых, с каких пор рукожопие людей стало проблемой технологий?

раскрыть ветку (9)

ivanbardov

6 лет назад

Недоступность сайта из-за ошибки в сертификате = его неработоспособность для посетителя.

с каких пор рукожопие людей стало проблемой технологий?

Вот этот околоайтишный снобизм очень вреден.

Никто не обязан разбираться в технологиях кроме тех, кто с этим работает.

Далеко не каждый молодой обладатель сайта разберётся, а пожилых создателей контента тоже много - не нужно ставить им палки в колёса. То, что человек не шарит в IT, не значит, что его знания бесполезны и не нужны человечеству (как бы айти-снобам обратное не казалось).

А для сайта без авторизации (рецепты, советы, бложик) и каких-то оплат на сайте https вообще особо не нужен ради этих целей псевдобезопасности (про изменение трафика провайдером и http/2 не говорим).

раскрыть ветку (8)

DELETED

6 лет назад

Недоступность сайта из-за ошибки в сертификате = его неработоспособность для посетителя.

Нет. С чего вдруг?

Браузеры не блокируют доступ намертво, и сайт доступен по двум кликам мыши.

Вот этот околоайтишный снобизм очень вреден.

Ммм, а вы пустили бы руководить операцией на своём мозге случайного человека с улицы, а не опытного нейрохирурга? Не думаю.

кроме тех, кто с этим работает
каждый обладатель сайта

Вам не кажется, что это одни и те же люди?

а пожилых создателей контента тоже много - не нужно ставить им палки в колёса. То, что человек не шарит в IT, не значит, что его знания бесполезны и не нужны человечеству (как бы айти-снобам обратное не казалось).

Для них есть специализированные платформы, которые всю техническую часть за них сделают. В чём проблема?

А для сайта без авторизации (рецепты, советы, бложик) и каких-то оплат на сайте https вообще особо не нужен ради этих целей псевдобезопасности (про изменение трафика провайдером и http/2 не говорим).

А изменение трафика провайдером не является вопросом безопасности, простите?

раскрыть ветку (4)

ivanbardov

6 лет назад

Браузеры не блокируют доступ намертво, и сайт доступен по двум кликам мыши.

Два клика, которые абсолютное большинство делать не будет, и, получив предупреждение от браузера, просто закроет страницу, если только:

а) он знает, что на этом сайте есть важная инфа;

б) он не закрывает всё подозрительное в панике.

Тотальное большинство просто уйдёт на другой сайт сразу же.

Ммм, а вы пустили бы руководить операцией на своём мозге случайного человека с улицы, а не опытного нейрохирурга? Не думаю.

Неуместное сравнение. Вам чтобы ногти подстричь или волосы на лице сбрить тоже нейрохирург нужен? Или как-нить сами справитесь?

Или Вы кого-то (может и себя?), освоившего установку Let's Encrypt по пошагово расписанным инструкциям it-нейрохирургом считаете?

Для них есть специализированные платформы, которые всю техническую часть за них сделают. В чём проблема?

А Вы не знаете, что куча сайтов была создана ещё до появления блогоплатформ? Или Вы не понимаете разницу разве в множестве ограничений на платформе и в свободе на своём сайте?

Раз уж начались аналогии, то вот попроще аналогия: вводится запрет на авто без какой-нибудь приблуды, а все несогласные могут ездить на маршрутках. Перечень маршрутов и график прилагается. В чём проблема?

А изменение трафика провайдером не является вопросом безопасности, простите?

Внедрение рекламы - проблема в наименьшей степени, поэтому и выносится за скобки.

Вы сейчас вместе с автором усиленно топите за то, что всех загоняли в принудительные пользователи https и делали так, как кому-то хочется, попутно нападая на тех, кто этому сопротивляется.

Это не "прогрессивизм" или стремление к безопасной сети, это желание создать иллюзию безопасности.

раскрыть ветку (3)

DELETED

6 лет назад

Тотальное большинство просто уйдёт на другой сайт сразу же.

Who cares? Тем, кому надо найти нечто "уникальное" - разберутся. Остальным это и так не нужно.

Неуместное сравнение.

Вполне уместное.

Вам чтобы ногти подстричь или волосы на лице сбрить тоже нейрохирург нужен?

А вот это - неуместное.

Или Вы кого-то (может и себя?), освоившего установку Let's Encrypt по пошагово расписанным инструкциям it-нейрохирургом считаете?

Уважаемый, зачем человеку, который ДАЖЕ ЭТО освоить не может - свой сайт? Ещё один островок мусора в мировой инфосвалке? Окей, пускай. Только зачем на этот островок ориентироваться и подстраиваться под него?

А Вы не знаете, что куча сайтов была создана ещё до появления блогоплатформ?

То есть мы признаём, что весь этот хлам - древнее легаси. Осталось признать, что далеко не всё легаси имеет смысл поддерживать, и дело с концом.

Или Вы не понимаете разницу разве в множестве ограничений на платформе и в свободе на своём сайте?

Наличие приблуд, требующих нечто "особенное", чего не предоставляют платформы, означает и наличие понимания вопроса, а значит настройка и поддержка такой простой вещи, как https, не должна доставить никаких проблем. Благо, со времён ныне сдувшегося StartSSL, это ещё и бесплатно.

Раз уж начались аналогии, то вот попроще аналогия: вводится запрет на авто без какой-нибудь приблуды, а все несогласные могут ездить на маршрутках. Перечень маршрутов и график прилагается. В чём проблема?

И кто же вам запрещает сидеть на http, болезный? Сидите.

Внедрение рекламы - проблема в наименьшей степени, поэтому и выносится за скобки.

Возможность подмены трафика - это далеко не только возможность всунуть рекламу, но и, к примеру, возможность всунуть вредоносный js-код. Учитывая сколько людей нынче пользуется различными прокси и vpn (спасибо партии за это) - заниматься подменой трафика могут далеко не только интернет-провайдеры, которых можно считать условно-доверенной стороной, но и владельцы этих самых шлюзов, доверять которым я бы лично не стал от слова "совсем".

Вы сейчас вместе с автором усиленно топите за то, что всех загоняли в принудительные пользователи https и делали так, как кому-то хочется, попутно нападая на тех, кто этому сопротивляется.

Глобальный переход на https всем в целом несёт больше пользы, чем поддержка луддитов вроде Вас, болезный.

Это не "прогрессивизм" или стремление к безопасной сети, это желание создать иллюзию безопасности.

Безопасность состоит из множества мелочей, каждая из которых в отдельности не в состоянии повысить уровень безопасности ни на йоту, но все вместе эти мелочи затрудняют работу злоумышленникам. https - одна из таких мелочей. Переход на https, при всём при этом, никого не ущемляет, как бы Вы тут ни распинались.

раскрыть ветку (2)

ivanbardov

6 лет назад

Глобальный переход на https всем в целом несёт больше пользы, чем поддержка луддитов вроде Вас, болезный.

Вот и переход на личности подъехал.

Для неумеющих читать / не в состоянии освоить - я в первой же фразе первого коммента этой ветки, на который Вы отвечали, указал:

Хотя все мои сайты на https, я не могу поддержать вот это безудержное стремление всех загнать в пользователи SSL/TLS.

#comment_152249083

Я даже выделил жирным специально, как самым маленьким, чтобы понятно было.

Остальное комментировать нет ни времени, ни желания, да и смысла нет, плюс, часть из этого уже обсуждалась и переходить на второй круг в стиле "no u" не стоит. Да и упёртость, переходящая в упоротость и нежелание понимать чужую точку зрения вкупе с нескрываемым пафосом, раз уж пошёл переход на личности, как бы намекают на то, что я трачу время впустую - а мне за это не платят и удовольствия это не приносит.

Продолжайте считать себя самым прогрессивным, а всех остальных ретроградами, да, а я пока закину в игнор. Возможно, когда-нибудь к Вам придёт способность культурно спорить и навык чтения, а я тратить время впустую больше не хочу.

раскрыть ветку (1)

DELETED

6 лет назад

Доктора, срочно, луддиту плохо... а хотя хрен с ним.

freebsdun

6 лет назад

Ну уйдут клиенты от слоу-хостеров к тем, у которых из коропки будут выкатываться сертификаты. В чем проблема то для условной домохозяйки и её личного бложика с рецептами? Хотя проблема надумана, домохозяйки сидят в инстаграмме, а остальные потратят $5 на фрилансера лишний раз.

раскрыть ветку (2)

ivanbardov

6 лет назад

Перенос сайта = сложности.

Поиск фрилансера = сложности.

Зачем эти сложности, если от сертификата конкретный ресурс особо ничего не выиграет?

Ещё раз, далеко не каждый человек готов в этом разбираться. Каждое усложнение - это ещё одна ступень, где человек подумает "а нужно оно мне или нет", и чем больше шагов - тем больше шансов, что он решит, что не нужно ему.

При всём этом, в который раз обозначу очевидный тезис, если человек не шарит в сетях, не значит, что он ничего полезного и уникального дать не может - очень даже наоборот.

Бложику с рецептами не нужна секьюрность. Сайту, посвящённому экранированию музыкальных инструментов - тоже. Блогу по обработке дерева - тоже https без необходимости. Да даже сайту-каталогу манов и прочего https не требуется.

Проблема не надумана, нужно просто посещать не только Опеннет с ЛОРом^W^W^Wразные крупные коммерческие сайты и соцсети, а хотя бы иногда гуглить инфу по непопулярным запросам и видеть тысячи старых некоммерческих сайтов, единственная "поддержка" которых - это оплата домена / хостинга сайтовладельцем, где, тем не менее, часто находится уникальная и полезная инфа.

И да, это ЛОРовско-токсичное "домохозяйки" не отражает реального положения. Между домохозяйками, ни в чём не разбирающимися, и админами нелокалхоста есть ещё десятки миллионов людей с самым разным опытом и знаниями, которого у этих самых админов нет. Что очевидно.

раскрыть ветку (1)

DELETED

6 лет назад

и чем больше шагов - тем больше шансов, что он решит, что не нужно ему.

Я не понимаю почему Вы считаете это проблемой.

если человек не шарит в сетях, не значит, что он ничего полезного и уникального дать не может - очень даже наоборот.

Конечно не значит, только зачем такому человеку создавать свой собственный сайт и самому заниматься его поддержкой?

Разобраться с https не сложнее, чем купить домен, сделать сайт-одностраничник на html и разместить его на хостинге.

Бложику с рецептами не нужна секьюрность. Сайту, посвящённому экранированию музыкальных инструментов - тоже. Блогу по обработке дерева - тоже https без необходимости. Да даже сайту-каталогу манов и прочего https не требуется.

Она нужна посетителям этих сайтов, даже если они об этом не догадываются. Ботнеты, в конце концов, вредят всем.

Проблема не надумана, нужно просто посещать не только Опеннет с ЛОРом^W^W^Wразные крупные коммерческие сайты и соцсети, а хотя бы иногда гуглить инфу по непопулярным запросам и видеть тысячи старых некоммерческих сайтов, единственная "поддержка" которых - это оплата домена / хостинга сайтовладельцем, где, тем не менее, часто находится уникальная и полезная инфа.

Невозможно подстраиваться под хотелки единиц.

токсичное

Сделайте одолжение, забудьте это левацко-дегенеративное слово.

Между домохозяйками, ни в чём не разбирающимися, и админами нелокалхоста есть ещё десятки миллионов людей с самым разным опытом и знаниями, которого у этих самых админов нет. Что очевидно.

Все эти десятки миллионов обитают на фейсбуках и в инстаграмах, им не нужны никакие админы.

ещё комментарии

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку

Правила сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества