http всё

А не появилось там где-то в настройках галки: «использовать https по умолчанию»?

Такая галка есть в HTTPS Everywhere.

Не очень меня радуют плагины с таким набором разрешений. Как минимум чейнджлоги у них надобно читать.

Есть попроще https://addons.mozilla.org/ru/firefox/addon/httptohttps/ (тестировать лень, везде htst, это надо чистить или в новый профиль идти).

Хотя потыкал во второй, он не автомат, надо кнопку жать.

Посмотрел аналоги, все требуют к данным. Хз, я в потрохах WE не понимаю ни чего. Вот этот чувак говорит о 20 строках кода всего:

https://addons.mozilla.org/ru/firefox/addon/https-already/ (этот автоматом меняет все http на https)

20 строк может и имеет смысл вкурить когда нибудь, в крайнем случае - форкнуть. Унёс пока во входящие, спасибо.

Наверное, если на сайте есть https, владелец сам позаботится перенаправить посетителя. Иначе можно попасть на какой-нибудь древний забытый isplite, что не очень хорошо, мне кажется.

Есть несколько дополнений которые при неудаче по https стучат обратно по http сразу и даже сами пишут список исключений при удаче по http (при удаче, т.к. там может и сайта-то нет давно). Естественно там разрешений много и они серьезные.

Сейчас мы искали автоматический с минимальными разрешениями (все автоматические требуют доступ к данным сайта). Это же дополнение кнопкой придется отключить при фейле. Есть с доступом только к вкладкам, но там нужно нажимать кнопку руками каждый раз, а это ни рыба, ни мясо.

владелец сам позаботится перенаправить посетителя

htst не всегда включен, возможен случайный переход по незащищенной ссылке. Не всегда обратишь внимание на индикацию, сейчас вот не только всплывающая ругалка будет (если есть поля ввода, уже давно идет ругань при http), но и красная индикация. Но все равно, лишняя страховка не помешает.

А вот с http ждем кучу нытья и ложных репортов у ретроградов.

Вообще-то в Chrom{e,ium} уже давно Not Secure на всех HTTP-сайтах. Разве была куча нытья? Не заметно. А учитывая количество пользователей Firefox, можно вообще об этом не беспокоиться.

Ну и дурачки. Firefox стал ещё ненужнее, если через него нельзя будет вскоре даже снапшоты скачать и пару файлов: http://distfiles.gentoo.org

Я за хромом не слежу. В лисе ранее было только предупреждение на полях ввода по http.

Нытье будет у лисоводов: ныли про многопроцессовость, про WE, про новый формат профиля, да про что только не ныли… Хромые рабы гугла, им зонд не жмет.

Firefox не доверяет этому сайту, потому что он использует сертификат, недействительный для distfiles.gentoo.org. Сертификат действителен только для следующих доменов: *.osuosl.org, osuosl.org

Лол. Я бы постремался скачивать с такого сайта что-то, вот честно.

Внезапно! Оно там хостится: Oregon State University Open Source Lab.

Там и другие зеркала есть.

Да мне пофиг где оно хостится. Если админ не может или не хочет прикрутить валидный сертификат (я не знаю что там у них нагорожено, но в общем случае это не архисложно даже в запущенных случаях), то это многое говорит о его квалификации и/или мотивации. Может там уже весь контент напичкали зловредами (мы же про загрузку каких то файлов на мой уютный локалхост) с таким отношением, мало ли что он еще не хочет или не может.

Сертификат для http? Зачем?

Он там не нужен, т.к. с него в основном с помощью wget качают. Сертификат тебя никак не спасёт от подмены информации на самом сервере.

Зачем тогда включили https для этого домена? Криворукость она и есть криворукость.

Я ссылку на http дал, то что у тебя браузер на https переключил при переходе на зеркало - его проблемы. А конкретно зеркалу https не упёрся. Самому osuosl.org то он не помешает.

То есть криворукость разработчиков firefox и есть криворукость.

Не, это мое расширение форсировало, лиса пока так не упоролась. (если бы не расширение, я бы руками вбил всё равно).

Вообще это классическая херня при непонимании как устанавливается https-соединение, потому вдвойне не понятно, всё разжевано.

Да, это не зеркало, это просто другой порт на том же веб-сервере.

Вот osuosl.org сертификат нужен - там блоги, админка наверняка и прочие удовольствия. Зеркалам, которые там хостится сертификаты не нужны, так как с них качаются пакеты посредством wget разных дистрибутивов. Ну не защищено соединение и ладно, никакие данные авторизации не передаются. Контрольные суммы пакетов проверяются после скачивания пакетным менеджером.

Ошибка частая эта, и вроде не серьезная сама по себе, но «блин, как так то, вроде не дети». (хотел расписать тут про соединения, хттпс и прочее, как заткнуть её, да получается тех.пост, ну его нафик в толксах).

Контрольные суммы пакетов проверяются после скачивания пакетным менеджером.

Ну это ты говоришь про http. Я не против прям http, я тут до столба докопался обратил внимание, что вместо корректного поведения присутствует ошибка конфигурации веб-сервера для https (точнее его недоконфигурировали).

Контрольные суммы пакетов проверяются после скачивания пакетным менеджером.

Если пойти дальше, что мешает при подмене файла подменить и контрольную сумму, если оно по http?

Пакеты должны быть заверены ЭП, тогда на транспорт будет пофигу.

Контрольные суммы пакетов проверяются после скачивания пакетным менеджером.

А берутся они..? Может все-таки подписи?

щас глянул историю браузера за последние 7 дней - все сайты что посещал в https.

реквестирую расширение которое блокирует открытие сайтов в http

Кто ж тебе запрещает качать, лол. Наверное религия?

С HTTPS хоть и лучше, чем без него, но он сломан по своей природе, как и DNS вообще.

Лучше бы .onion-сайты так рекламировали.

Всё правильно делают ©

Гм... правда, нужно будет добавить, что к твоему трафику имеют доступ трое: ты, сервер и дядя, выдающий серверу сертификат.

Во-первых, трое — это сильно меньше 7 миллиардов, которые имеют доступ к http. Во-вторых нет, дядя не имеет. В-третьих, не существует безопасности самой по себе, о безопасности можно говорить только в контексте модели угроз защищаемым данным, а таковых для https пока нет. И last but not least конспирология — удел идиотов.

HTTPS Already – дешево и сердито.

Во-первых, трое — это сильно меньше 7 миллиардов, которые имеют доступ к http.

Да кто бы спорил.

Во-вторых нет, дядя не имеет.

Прикалываешься что ли? Мне тебе про MITM рассказать?

В-третьих, не существует безопасности самой по себе, о безопасности можно говорить только в контексте модели угроз защищаемым данным, а таковых для https пока нет.

Ват?

И last but not least конспирология — удел идиотов.

А кто про конспирологию-то говорит?

А дерево ебилдов и подписывается, как раз недавно проверку подписи по дефолту включили

https://gentoo.osuosl.org/ - здесь всё нормально, distfiles.gentoo.org просто резолвится на тот же ip (но не только туда, и там не все серверы поддерживают https вообще, так что настраивать сертификат смысла никакого)

Ну да, для хоста distfiles.gentoo.org нет настройки по 443, вот он и суёт дефолт. Не критично, но не красиво же!

но не только туда

Надо проксирование нормально делать, ага, а не просто ляпать.

для хоста distfiles.gentoo.org нет настройки по 443, вот он и суёт дефолт. Не критично, но не красиво же!

А какая разница? Потом distfiles.gentoo.org будет резолвиться не на osuosl, а куда-то ещё, где нет поддержки https вообще, и толку от сертификата на сервере osuosl?
http://gentoo-distfiles.mirrors.tds.net/ например

и толку от сертификата на сервере osuosl?

Для красоты же! По сути я выше писал: не спалось мне, вот я до столба и докопался.

Возрадуемся!

Ретрограды для меня выглядят как антивакцинщики и плоскоземельщики

Пакеты должны быть заверены ЭП.

Уже, но инфраструктура PGP ключей слабоватая и нередко тормозит, и иногда даже лежит.

Странное сравнение. Чем именно тебя напрягает отсутствие хттпс на, скажем, сайтике с даташитами на народ.ру? Я прекрасно понимаю, зачем нужна секьюрность в полях ввода, но секьюрность на бложеках с котиками? - для меня это загадка.

Вставят тебе туда рекламу дилдо хакеры.

А если серьезно – https это не только шифрование, но и подтверждение, что васян.ру это васян.ру и ты видишь то, что Вася хочет тебе показать, а не нечто иное.

Целостность и приватность.

Нарушение права общаться с тем сайтом с которым ты общаешься. Поток могут изменить (например рекламой, как сказали выше) на любом уровне.

Плюс, privacy. Я зашел на /porn?preferences=fatblackasians и об этом узнал не только мой браузер (который я могу контроллировать) и сам сайт (нарушение приватности неизбежно без Tor/I2P), а еще вообще кто угодно по дороге. Сам IP к которому я подключаюсь - вероятно в облаке, где не порн не отличается от православие.ру. DNS запросы нынче тоже шифруют, а компании предоставляющие DNS услуги проходят многоуровневый аудит от всяких делоитов, показывая код, инфраструктуру, плюс есть легальные проблемы с нарушением обещаний не хранить логи.

лорчую. ненужный выпендрёж и сертификаты превращаются в ещё один зонд, тихо и незаметно. раньше можно было держать сервер и ни от кого не зависеть, а теперь все вдруг стали рабами кучки CA. всё это очень нехорошо пахнет.

нет. ты видишь то, что CA сказал, что это васян. но васян ли это - можно определить только по подписанным самим васяном файлам. а случаи с не очень ответственными CA уже были и дальше будет хуже.

Да, это не серебрянная пуля, кто ж спорит.

да я бы сказала, что пуля из говна. всегда надо понимать, что зависимости от внешних источников опасны. для хомячковых сайтов пофигу, а вот для безопасности - только подписывание своими ключами.

Ну вот как раз тут убрали зеленинькие замочки и красивые зеленые плашки. Всё серое, нет ложного чувства безопасности у обычных людей. Уже дело, хоть что-то.

я ничего не имею против зелёных замочков. но всегда надо понимать, что нарисованный замочек (или ненарисованный) не означает безопасность. если сам юзер не понимает, что он качает и откуда - это его личные проблемы. а учитывая активные попытки разных политиканов лезть в айтишную кухню я бы поостереглась сильно полагаться на каких-то добрых и честных CA. и дело тут не в намерениях отдельных компаний. хотя и в них тоже.

тут недавно какой-то хрен с горы вещал про депонирование ключей.

и да, надо помнить, что любое шифрование - это просто степень сложности расшифровки. а в эпоху проектируемых квантовых компьютеров это какбэ довольно шаткая конструкция. не хочется думать о шифро-армагеддоне, но он вполне может наступить ещё при нашей жизни.

речь о котиках

Ну ты представь только себе: няшные котики и рядом Большие Чёёёрные Дилдаки! Бррр…

Прикалываешься что ли? Мне тебе про MITM рассказать?

Ага, один раз сделать MiTM и потерять свой сервер сертификации вообще. Certificate Transparency сейчас уже обязателен для сертификатов если владелец хочет чтобы они работали с Chrome.