LINUX.ORG.RU
ФорумTalks

http всё

 , , , ,


2

2

Связанные с индикаторами изменения войдут в состав выпуска Firefox 70, намеченного на 22 октября.

Вкратце: теперь все http и ftp страницы будут в строке помечаться не безопасными, вот так:

https://www.opennet.ru/opennews/pics_base/0_1571296734.png

https://www.opennet.ru/opennews/pics_base/0_1565685794.png

Что хорошо: обычные доменные сертификаты теперь просто серые (о, и EV теперь без плашки, проглядел), чуть-чуть бизнес у фишинговых и прочих мошенников поломается (чуть-чуть, ведь «лох не мамонт, лох не вымрет»).

Для ftp вообще посрать, его скоро выкинут (запамятовал с какого выпуска). А вот с http ждем кучу нытья и ложных репортов у ретроградов.

стырено с опеннета

P.S. Сам я давно уже вешаю на статичные html-странички сертификаты, спасибо Let’s Encrypt.

★★★★★

Последнее исправление: mandala (всего исправлений: 2)
Ответ на: комментарий от grem

Он там не нужен, т.к. с него в основном с помощью wget качают.

https нужен всегда, иначе тебе в тарболл который ты скачаешь своим wget’ом запросто подпихнут трояна.

slovazap ★★★★★
()
Ответ на: комментарий от kirk_johnson

Разве?

А то. Для всех сертификатов выпущенных после Мая 2018 вроде как, иначе будет NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED. Я честно не знаю как оно в Firefox но в хромоноге так.

o-
()
Ответ на: комментарий от eR

В плане провести аудит кода – да. В плане фич – нет. Это компромисс с «не давать разрешения всяким дополнениям к данным любого сайта».

mandala ★★★★★
() автор топика
Ответ на: комментарий от slovazap

И много дистрибутивов качает по https?

Кто мешает подменить тарбол на сайте? Так обычно и делают.

grem ★★★★★
()
Ответ на: комментарий от mandala

Это до тех пор, пока дома провайдер не подменяет сертификат или этим не занимается СБ на работе.

grem ★★★★★
()

Это что теперь, запуск отлаживаемого веб-приложения на localhost:5000 будет небезопасным считаться?

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 2)
Ответ на: комментарий от cvs-255

По идее не должен, должно быть вшито белым списком.

mandala ★★★★★
() автор топика

R.I.P. http://www.lenna.org/len_std.jpg

Связанные с индикаторами изменения войдут в состав выпуска Firefox 70, намеченного на 22 октября.

Вкратце: теперь все http и ftp страницы будут в строке помечаться не безопасными, вот так:

Полумеры. Надо как в Chrome - перестать грузить картинки по HTTP

Wanted to let everyone know that Google Chrome is making some changes over the coming months which will impact this site’s ability for images to show up properly. Previously, it was possible to have an image whose URL starts with http:// to be embedded on a https:// page. However, in a few months, that will no longer work. This means that any images embedded with the [img] tag that are using a http:// URL (no s at the end) will not load, unless you explicitly allow it, and at some point the possibility to override the setting will go away altogether.

What you can do: On all future posts, make sure to use https:// links/URLs instead of http://. Imgur supports https, as well as many other websites. I will be making a future post once it is decided how we want to handle user avatars, however in the meantime you should make sure those use https:// links as well for it to load properly.

Детали - https://www.howtogeek.com/443032/what-is-mixed-content-and-why-is-chrome-blocking-it/

atsym ★★★★★
()

Насчёт последнего они зря. EV-сертификаты должны как-то выделяться в браузере, см. казахстанский кейс.

Wizard_ ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.