LINUX.ORG.RU
ФорумTalks

Почему https не нужон если владелец сайта не банк и не террорист

 , , ,


1

3

Потому что в случае с https доступность сайта целиком зависит от кривых ручонок чужого дяди, получающего деньги за продажи воздуха и не несущего никакой ответственности, а использование https в свою очередь предполагает доверие к этому левому дяде у владельца сайта.

Ъ: из-за криворукости GlobalSign сайты Wikipedia, Dropbox, Financial Times и другие будут недоступны в Safari, Chrome и IE11 в течении 4-х дней.

★☆

Последнее исправление: h578b1bde (всего исправлений: 5)
Ответ на: комментарий от Harald

это уже другой случай, к проблеме топика не относится

Суть одна и та же — необходимость пользователю доказывать что он не верблюд. Всё остальное — детали.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от h578b1bde

Уязвимость на сервере - проблема владельца сервера. Уязвимость трафика к подмене и прослушиванию - проблема обоих, пользователя и владельца сервера

Harald ★★★★★
()
Ответ на: комментарий от Harald

Государство не может влиять на все остальные государства, где серверы отдают контент по HTTPS

Но может влиять на местных провайдеров.

Почему https не нужон если владелец сайта не банк и не террорист

В этом случае ты точно будешь знать, что государство смотрит твой трафик

И зачем им информация о породе котиков, которых я смотрю?

h578b1bde ★☆
() автор топика
Ответ на: комментарий от h578b1bde

И зачем им информация о породе котиков, которых я смотрю?

Когда ты смотришь котиков через HTTP, а ЦП, покупаешь вещества и обсуждаешь планы по свержению строя через HTTPS, государству легче отделить один вид трафик от другого и проанализировать, сопоставить временные метки пакетов и т.д.

Когда и котики, и всё остальное зашифровано, анализировать трафик и выделять интересующую информацию по метаданным сложнее.

Harald ★★★★★
()
Ответ на: комментарий от Harald

Уязвимость на сервере - проблема владельца сервера

Но если об этой уязвимости ещё неизвестно — доказывать всё равно придётся пользователю.

Уязвимость трафика к подмене и прослушиванию - проблема обоих, пользователя и владельца сервера

В случае отсутствия в трафике между сервером и пользователем конфиденциальных данных — нет, это проблема пользователя и его провайдера.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от Harald

ЦП, покупаешь вещества и обсуждаешь планы по свержению строя

То такому пользователю нужен VPN и это не проблема владельца легального ресурса.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от h578b1bde

Ну я ведь написал. Если сейчас данных нет, откуда ты знаешь, что их не будет. Вот я сейчас тут выложу адресные данные, номер паспорта и телефон. Все - уже конфиденциалка. Так кстати органы подрабатывают.

dmxrand
()
Ответ на: комментарий от h578b1bde

То такому пользователю нужен VPN и это не проблема владельца легального ресурса.

в таком случае всех немногочисленных пользователей VPN можно считать педофилами и террористами

когда условным VPN-ом пользуются все, в том числе для просмотра котиков, так сделать уже не получится

Harald ★★★★★
()
Ответ на: комментарий от h578b1bde

Защиты от кого? Если в данные лезет провайдер — нужно голосовать рублём и менять провайдера.

Кого на кого менять. Этих провайдеров собственно 4. TTK - госконтора, Ростелеком - госконтора. МТС и Билайн покупают каналы Ростелекома....

Все будущее где всем правят КОРПОРАЦИИ наступило (только не так, как в книжках написано)

dmxrand
()
Ответ на: комментарий от dmxrand

Вот я сейчас тут выложу адресные данные, номер паспорта и телефон. Все - уже конфиденциалка.

От этого https тоже не защищает.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от Harald

в таком случае всех немногочисленных пользователей VPN можно считать педофилами и террористами

Можно. Опять же, неадекватность государства пользователя не проблема владельца ресурса.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от h578b1bde

Именно - только если такое не ловят СОРМОМ. А вот если у тебя HTTPS уже тебе легче.

А так разговор как про «неуловимого джо». Если у тебя нет таких данных, то конечно HTTPS тебе не нужен.

dmxrand
()
Ответ на: комментарий от h578b1bde

Опять же, неадекватность государства пользователя не проблема владельца ресурса.

Хренасе. А если я владелец магазина и траффик из России 90%, а благодаря неадекватности государства я его потерял????

dmxrand
()
Ответ на: комментарий от h578b1bde

Опять же, неадекватность государства пользователя не проблема владельца ресурса.

Зато адекватные владельцы ресурсов беспокоятся об удобстве своих пользователей, не все из которых живут в странах с торжеством демократии и прав человека

Harald ★★★★★
()
Ответ на: комментарий от dmxrand

Именно - только если такое не ловят СОРМОМ. А вот если у тебя HTTPS уже тебе легче.

Легче пользователю, мне вообще пофиг, я в другой стране.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от Harald

Зато адекватные владельцы ресурсов беспокоятся об удобстве своих пользователей, не все из которых живут в странах с торжеством демократии и прав человека

И каким образом адекватные владельцы ресурсов смогут обеспечить „удобство” своих пользователей в неадекватных странах в случае обязаловки установки самоподписанного сертификата?

h578b1bde ★☆
() автор топика
Ответ на: комментарий от dmxrand

Хренасе. А если я владелец магазина и траффик из России 90%, а благодаря неадекватности государства я его потерял????

Нужно просчитывать риски и диверсифицировать рынки, очевидно же.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от h578b1bde

Когда они пришли за коммунистами, я молчал — я не был коммунистом.
Когда они пришли за социал-демократами, я молчал — я не был социал-демократом.
Когда они пришли за профсоюзными активистами, я молчал — я не был членом профсоюза.
Когда они пришли за мной — уже некому было заступиться за меня.

dmxrand
()
Ответ на: комментарий от snaf

Можно поподробнее про криворукого провайдера?

Если в трафик между пользователем и сервером могут вмешиваться левые люди — очевидно проблема в трубе.

h578b1bde ★☆
() автор топика

Зато без HTTPS - какой-нибудь условный пчелайн пихает в твой сайт свои банеры и «панели управления», которые мало того что не отключаются, так ещё и не всегда нормально интегрируются.

Так что, я лично за текущую схему сертификации. Если кто-нибудь придумает лучше - буду агитировать за неё.

DawnCaster ★★
()
Ответ на: комментарий от DawnCaster

Это проблемы пользователей билайна, которые занимают позицию терпилы вместо подачи жалобы в роспотребнадзор.

leave ★★★★★
()
Ответ на: комментарий от leave

Это проблемы пользователей билайна, которые занимают позицию терпилы вместо подачи жалобы в роспотребнадзор.

Вы всё правильно говорите, только в нашей стране эти механизмы не действуют от слова совсем. Административное решение проблемы не работает, пока она не станет совсем уж очевидной, так что вой поднимают по центральным каналам. А в случае с опсосами даже это может не помочь, сколько раз уже тот-же ФАС, например, с ними бодались - уже и не перечесть.

Так что HTTPS нужен. Пока операторы не являются «трубой», просто обычным каналом связи, и не гарантируют аутентичность переданных данных, механизмы вроде https - нужны, однозначно. Разумеется не везде, но утверждение «https не нужон если владелец сайта не банк и не террорист» - в корне неверное.

DawnCaster ★★
()

TLS нужен, например, чтобы оператор не инжектил свои рекламные скрипты. Так, на вскидку.

Shaman007 ★★★★★
()

Кстати, тред годен показательной попыткой отстоять своё мнение дилетанта, который даже не пытается понять область, о которой говорит, но мнение имеет. И считает его ценным.

Shaman007 ★★★★★
()

Т.е. если я не использую https, то доступность моего сайта не зависит от кривых ручонок провайдера, хостера, dns и т.п.?

zgen ★★★★★
()
Ответ на: комментарий от dmxrand

Вся эта история с замком на квартире ненужна. Однажды я забыл ключи на работе и не смог попасть в квартиру, а она у меня новая и там кроме матраца ничего нет и я ничего ценного покупать не собираюсь....

лорчую

TheAnonymous ★★★★★
()

Интересно, откуда вдруг появились противники TLS?
Сейчас шифрование вообще практически бесплатное, по производительности AES-NI есть даже в самых поганых атомах.

На савушкина пришло указание, чтобы готовили аудиторию к скорому запрету всего шифрованного трафика?

TheAnonymous ★★★★★
()
Ответ на: комментарий от svr4

хм, может попросим спуфа свой поднять? не гоже на лор ходить с сертификатом от непонятно кого

der_looser ★★
()
Ответ на: комментарий от Deleted

Как ты будешь проверять, что при обращении к википедии ты попал действительно на википедию?

cvs-255 ★★★★★
()
Ответ на: комментарий от Shaman007

Хорошо что такие как он законы не принимают... Хотя... Oh Shi...

DawnCaster ★★
()
Ответ на: комментарий от TheAnonymous

На савушкина пришло указание, чтобы готовили аудиторию к скорому запрету всего шифрованного трафика?

присоединяюсь к вопросу

cvs-255 ★★★★★
()

Кстати, например, Google AMP вообще только по HTTPS работает.

Miguel ★★★★★
()
Ответ на: комментарий от zgen

Т.е. если я не использую https, то доступность моего сайта не зависит от кривых ручонок провайдера, хостера, dns и т.п.?

Зависит, но это необходимое зло. Зачем сюда добавлять ещё одну точку отказа?

h578b1bde ★☆
() автор топика
Ответ на: комментарий от TheAnonymous

На савушкина пришло указание, чтобы готовили аудиторию к скорому запрету всего шифрованного трафика?

А как вы догадались?

h578b1bde ★☆
() автор топика
Ответ на: комментарий от unt1tled

Самоподписанные серты? Не, не слышал.

И как же сделать чтобы браузер, увидев самоподписанный сертификат, не ругался пользователю большими буквами на красном фоне что он ВОПАСНОСТЕ?

h578b1bde ★☆
() автор топика
Ответ на: комментарий от Shaman007

Кстати, тред годен показательной попыткой отстоять своё мнение дилетанта, который даже не пытается понять область, о которой говорит, но мнение имеет. И считает его ценным.

У людей не открывается википедия и дропбокс, а дилетант почему-то я.

h578b1bde ★☆
() автор топика
Ответ на: комментарий от shahid

надоел тормозной http. Какие у тебя цифирки выходят тут и тут?

[user@localhost ~]$ time curl http://www.httpvshttps.com/ -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--100 37729    0 37729    0     0  70261      0 --:--:-- --:--:-- --:--:-- 70389

real    0m0.578s
user    0m0.020s
sys     0m0.027s
[user@localhost ~]$ time curl https://www.httpvshttps.com/ -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--100 37729    0 37729    0     0  28180      0 --:--:--  0:00:01 --:--:-- 28198

real    0m1.377s
user    0m0.142s
sys     0m0.122s

И?

Pythagoras ★★
()
Ответ на: комментарий от h578b1bde

Действительно, почему? А! Наверное потому, что ты не потрудился разобраться почему возникли проблемы! Но мнение имеешь. Это называется дилетантизмом .

Shaman007 ★★★★★
()
Ответ на: комментарий от Shaman007

А теперь ответь на вопрос «что именно было измерено?».

Время загрузки документа по http против времени загрузки того же документа по https. Всякие хендшейки и криптование ожидаемо замедлили загрузку, никакой магии не произошло.

Pythagoras ★★
()
Ответ на: комментарий от dmxrand

Вся эта история с замком на квартире ненужна. Однажды я забыл ключи на работе и не смог попасть в квартиру, а она у меня новая и там кроме матраца ничего нет и я ничего ценного покупать не собираюсь....

В случае с большинством сайтов речь идет о замке на деревенском сортире. И да, он не нужен.

Neurotizer
()

С какой стати вообще корневые сертификаты контроллируются какими-то левыми коммерческими компаниями? Пусть бы их лучше генерировала специальная международная организация.

Deleted
()
Ответ на: комментарий от h578b1bde

У людей не открывается википедия и дропбокс, а дилетант почему-то я.

Это временно и это не трагедия

Harald ★★★★★
()
Ответ на: комментарий от Neurotizer

на деревенском сортире

Это речь не о сайтах в интернете, а о локальных сервисах. Да, например, на веб-интерфейсы роутера https не делают

TheAnonymous ★★★★★
()
Ответ на: комментарий от Harald

У людей не открывается википедия и дропбокс, а дилетант почему-то я.

Это временно и это не трагедия

это называется «публично обосраться» с причинением убытков и порчей репутации. хотя, конечно, не трагедия.

tcler
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.