Неправильный SSL-сертификат на сайте

0

0

Сейчас, когда заходишь на https://www.linux.org.ru/ появляется предупреждение о неправильном сертификате, выданном localhost.localdomain.

Может, установите нормальный сертификат?

Ссылка

←	feature request: экспорт сообщений пользователя

Исправление опечатки

→

А смысл, если потом идет редирект на http://linuxhacker.ru?

$ curl -k https://linux.org.ru/
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<html>
<head>
<meta http-equiv="REFRESH" content="0;url=http://linuxhacker.ru/d/"></HEAD>
<BODY>
Redirecting <a href="http://linuxhacker.ru/d/">here</a>
</BODY>
</HTML>

edigaryev ★★★★★
(10.01.10 18:28:16 MSK)

Вообще ЛОРу бы имхо не помешал HTTPS, хотя бы для логина.

nnz ★★★★
(10.01.10 18:43:13 MSK)

Ответ на: комментарий от edigaryev 10.01.10 18:28:16 MSK

>А смысл, если потом идет редирект на http://linuxhacker.ru?

А что это вообще за уютный бложек о вкусной и здоровой пище ?

«Здесь живем мы - пара любителей Аниме.
Олег и Ксюша.»

Это макском так стебётся ???

Renso ★★
(10.01.10 18:46:51 MSK)

Ответ на: комментарий от Renso 10.01.10 18:46:51 MSK

http://www.linux.org.ru/whois.jsp?nick=green

https:// это тоже его, лор дальше http:// не живет

Sylvia ★★★★★
(10.01.10 18:48:27 MSK)

Ответ на: комментарий от Sylvia 10.01.10 18:48:27 MSK

>http://www.linux.org.ru/whois.jsp?nick=green

Пользуется служебным положением значить )

Renso ★★
(10.01.10 18:50:12 MSK)

Ответ на: комментарий от Renso 10.01.10 18:50:12 MSK

Проект реализован и развивается исключительно в свободное время авторов. ### Олег Дрокин (green) — администрирование сервера, железо

ClanMax ★
(10.01.10 18:53:43 MSK)

Ответ на: комментарий от nnz 10.01.10 18:43:13 MSK

зачем для логина HTTPS если пароль все равно хранится в открытом виде, а модераторы его даже и посмотреть могут ?
Ну вот зачем https:// ?

Sylvia ★★★★★
(10.01.10 18:54:35 MSK)

Ответ на: комментарий от Sylvia 10.01.10 18:54:35 MSK

Одно дело модераторы, а другое дело — злые дяди, поставившие сниффер на шлюзе. Мне очень часто приходится работать в чужих сетях, так что вопрос безопасности очень актуален. Традиционно я решаю его при помощи openvpn-туннеля на свой домашний сервер, но переключение прокси каждый раз слегка напрягает :)

если пароль все равно хранится в открытом виде, а модераторы его даже и посмотреть могут ?

А это реально бардак. И требует принятия мер.

nnz ★★★★
(10.01.10 18:58:57 MSK)

Ответ на: комментарий от ClanMax 10.01.10 18:53:43 MSK

>### Олег Дрокин (green) — администрирование сервера, железо

Я в курсе, но как-то неожиданно )

Renso ★★
(10.01.10 18:59:43 MSK)

Ссылка

Ответ на: комментарий от nnz 10.01.10 18:58:57 MSK

Я вот не припомню, случаи увода аккаунта были за 12 лет ?

Renso ★★
(10.01.10 19:01:14 MSK)

Ответ на: комментарий от Renso 10.01.10 19:01:14 MSK

кому они ,ваши аккаунты, вообще нужны кроме вас ?) в чем смысл увода?)

Sylvia ★★★★★
(10.01.10 19:03:12 MSK)

Ответ на: комментарий от Sylvia 10.01.10 19:03:12 MSK

>кому они ,ваши аккаунты, вообще нужны кроме вас ?) в чем смысл увода?)

Ну не знаю, видишь человек волнуется )

Renso ★★
(10.01.10 19:08:10 MSK)

Ссылка

типа я тоже не понимаю нахрена https

kto_tama ★★★★★
(10.01.10 19:40:27 MSK)

Ссылка

Ответ на: комментарий от Sylvia 10.01.10 19:03:12 MSK

>кому они ,ваши аккаунты, вообще нужны кроме вас ?) в чем смысл увода?)

Все-таки это неправильная постановка вопроса :)
Специалист по безопасности должен прежде всего задумываться о том, _как_ что-то можно взломать и _как противостоять_ взлому. О том, _кто_ и _зачем_ будет ломать, стоит подумать уже во вторую очередь.

Лично мне даже теоретическая возможность взлома очень не нравится. Что я — фряш^Wвиндузятник какой-то, чтобы у меня пароли воровали?

nnz ★★★★
(10.01.10 20:02:31 MSK)

Ссылка

Ответ на: комментарий от Renso 10.01.10 19:01:14 MSK

>Я вот не припомню, случаи увода аккаунта были за 12 лет ?

http://www.linux.org.ru/view-message.jsp?msgid=3961700
http://www.youtube.com/watch?v=BHpA1uWQh6w&fmt=22

Это навскидку.

nnz ★★★★
(10.01.10 20:10:42 MSK)

Ответ на: комментарий от Renso 10.01.10 19:01:14 MSK

>Я вот не припомню, случаи увода аккаунта были за 12 лет ?

И вообще, одна из наиболее типичных ошибок дилетанта — «если чего-то никогда не случалось, значит, это никогда не случится».

Например, как мог бы сказать кто-нибудь в 40-х годах прошлого века: «если человек никогда не летал в космос, значит, он никогда туда не полетит».

nnz ★★★★
(10.01.10 20:14:27 MSK)

Ссылка

Ответ на: комментарий от nnz 10.01.10 20:10:42 MSK

По первой ссылке, с учетом ссылки, на которую она ведет — ССЗБ (по крайней мере, с виду)

dexpl ★★★★★
(10.01.10 22:39:41 MSK)

Ответ на: комментарий от dexpl 10.01.10 22:39:41 MSK

>По первой ссылке, с учетом ссылки, на которую она ведет — ССЗБ (по крайней мере, с виду)

Товарищ просил случаи увода аккаунтов — я ему дал примеры, что такое бывает. Независимо от метода.

nnz ★★★★
(10.01.10 22:47:38 MSK)

Ответ на: комментарий от nnz 10.01.10 22:47:38 MSK

Товарищ просил случаи увода аккаунтов — я ему дал примеры, что такое бывает

OK, твоя правда :) Однако от такого «метода» никакой https не спасет, я считаю.

BTW, прошу пояснения для Ъ ко второй ссылке

dexpl ★★★★★
(10.01.10 22:56:45 MSK)

Ответ на: комментарий от Sylvia 10.01.10 19:03:12 MSK

> кому они ,ваши аккаунты, вообще нужны кроме вас ?) в чем смысл увода?)

Странная постановка вопроса. Зачем рисковать? А ведь логин через SSL сделать не очень трудно.

Vit ★★★★★
(10.01.10 23:00:50 MSK)

Ссылка

Ответ на: комментарий от dexpl 10.01.10 22:56:45 MSK

>Однако от такого «метода» никакой https не спасет, я считаю.

Само собой :) Но зато спасет от некоторых других.

BTW, прошу пояснения для Ъ ко второй ссылке

Один лоровец скинул другому в чатике ссылку на лор, в которую затесался параметр JSESSIONID. Другой прописал его себе в куки и перевоплотился в первого. Классический лоровский хак :)
Подробности этой истории здесь: http://www.linux.org.ru/view-message.jsp?msgid=4127457

Из свежих примеров: http://www.linux.org.ru/jump-message.jsp?msgid=4406028&cid=4406124

nnz ★★★★
(10.01.10 23:03:36 MSK)