LINUX.ORG.RU

есть ли смысл переводить сайт на https?

 ,


0

2

Я понимаю, конечно, когда есть финансовая информация, но сейчас я смотрю, вообще все сайты переходят, например вот этот. Какой в этом смысл вообще? Это из-за боязни того, что у Васи Пупкина есть какая то инфа по поводу того, что он в тайне от жены ест манную кашу по утрам? И человек посередине охотится за этим компроматом? Ведь нет же никакой важной инфы. Значит что, дело в другом? Зачем переводят? Вот, википедия тоже на нем, там тоже вроде никто ничего не хранит.

И заодно еще вопрос. Я так понимаю, что сайты по https работают в целом медленнее, ведь нужно время на шифрование и расшифровку? Или это несущественно?

ЗЫ да, и я так понимаю, в связи с пакетом яровой с шифрованием появляется дополнительный гемор, по поводу хранения и предоставления ключей?



Последнее исправление: currency2017 (всего исправлений: 2)

например вот этот. Какой в этом смысл вообще?

чтоб сосед-хакер не украл самое ценное, что может быть у ЛОРовца - пароль к его аккаунту

Harald ★★★★★
()

Этот сайт уже лет 5. Сейчас https стало бесплатно и при этом обеспечивает пользователю значительный прирост защищённости. Открою тебе секрет: каждый раз когда ты пользуешься публичным вайфаем, тебя прослушивают криминальные элементы. Я конечно понимаю,ч то у тебя нет денег и тебе совершенно нечего терять в жизни, но увы не все достигли такого уровня.

anonymous
()
Ответ на: комментарий от currency2017

сосед может пассивно слушать открытый вайфай либо создать свою точку доступа и обманом подключить тебя к ней (назначить тот же SSID, что и у тебя). Либо это может быть сотрудник провайдера, да

ещё можно врезаться в витую пару в подъезде и тоже просматривать трафик

Harald ★★★★★
()

Потому что на многих сайтах есть авторизация. И у юзера могут спереть пароль, пока он будет сидеть через незапароленный макдаковский Wi-Fi. Просто приходишь в макдак, достаёшь ноутбук со спецсофтом (или даже смартфон, чтобы не привлекать внимание) и тыришь.

KivApple ★★★★★
()

Потому что инъекции. В том числе JS-инъекции.
Кроме шифрования тут ничего не поможет, а шифрование тут поможет от всего.

время на шифрование и расшифровку

14.07.2016

Тебе на три порядка больше времени понадобится на движение импульса по зрительному нерву. Единственная задержка в https может быть при первом посещении в случае удостоверяющего центра в каком-нибудь китае. И задержка эта в районе пары секунд в худшем случае, а тормоза меньше четырёх секунд на отток траффика не влияют.

в связи с пакетом яровой

А хер её знает. Оно пока только на бумаге, процедуры ещё даже не начали разрабатывать, к следующему году посмотрим что будет. Но вангую что русеянам жопа будет вместо шифрования.

Goury ★★★★★
()
Ответ на: комментарий от currency2017

Ну выложи тут пароль свой, раз ничего страшного

Goury ★★★★★
()
Ответ на: комментарий от KivApple

Авторизация тут не столько важна, сколько важно исключение возможности инъекции. Ибо тебя могут не только прослушивать, но и могут подсунуть в траффик то, что нужно злоумышленнику.

Goury ★★★★★
()

При ранжировании Google отдаёт предпочтение сайтам, использующим протокол HTTPS.

Deathstalker ★★★★★
()
Ответ на: комментарий от Goury

Потому что инъекции. В том числе JS-инъекции

можно поподробней? злоумышленник внедряет код в трафик, который потом исполняется на стороне клиента? Ну, а дальше то что? Если важной инфы на данном домене нет, куда эта инекция может еще залезть?

currency2017
() автор топика
Ответ на: комментарий от currency2017

А в установке HTTPS тоже ничего страшного нету, это просто и для пряморукого человека ненапряжно

Harald ★★★★★
()

Отсутствие доступа по https это по нынешнем временам как минимум неправильно - подвергаешь риску себя и своих пользователей, например открытая передача по публичной сети паролей, регистрационных данных, подмена/увод cookies, упрощение идентификации и т.п.

Словом безопасность никакая.

anonymous
()
Ответ на: комментарий от anonymous

Но она и не нужна на большинстве сайтов. Что за цирк. Полтреда о какой то безопасности трет, бред сивой кабылы. Речь не идет о сайтаx, где есть конфиденциальная инфа, когда компрометация имеет сколько-нибудь значимые последствия

currency2017
() автор топика
Ответ на: комментарий от currency2017

Она может помешать получить неважную инфу и просто нагадить.

Вот сделаешь ты http сайт про то что «линукс это круто», а злоумышленник возьмёт и подменит слово «круто» на «говно». Мелочь, а неприятно. А панацея от этой мелочи и от всех остальных проблем в мире стоит ноль денег и занимает всего час на настройку и пару килобайт траффика и пару тактов процессора.

Goury ★★★★★
()
Последнее исправление: Goury (всего исправлений: 1)
Ответ на: комментарий от currency2017

В идеальном мире - никуда больше. А в реальном мире в браузерах и их плагинах есть куча уязвимостей. Инжектим эксплойт в код страницы (не обязательно JavaScript, можно вставить какой-нибудь Flash-объект или Java-апплет) и получаем доступ уже к чему угодно, к чему имеет доступ процесс браузера.

И да, большинство пользователей не заморачивается с запуском браузера из-под отдельного пользователя, настройкой seLinux и т. д. Так что выполнение эксплойта в браузере = компрометации всех данных на компьютере (а там уже могут быть и данные кредиток и что угодно).

При чём самое главное, что не обязательно иметь доступ к роутеру (хотя его тоже можно взломать, ибо многие производители выпускают весьма кривые прошивки, а админы не заморачиваются с настройками). Есть способы внести некоторые изменения даже будучи другим рядовым клиентом публичного Wi-Fi (разумеется, от этого есть варианты защиты, но это надо уметь правильно готовить роутер).

Пришёл в макдональс, достал смартфон со спецсофтом - все клиенты получили трояны. Пошёл в следующий макдональс. Конечно, потребуются некоторые вложения (покупка эксплойтов, разработка софта), но это вполне может окупиться.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 2)
Ответ на: комментарий от currency2017

Поднять ssl на сайте - дело минутное, бесплатное, не требующее включения головы. Мы поняли, что для тебя это слишком сложно и ты ищешь любые предлоги, чтобы не делать этого. Не делай, разрешаю. Какого ответа ты ждешь?

anonymous
()

Я понимаю, конечно, когда есть финансовая информация, но сейчас я смотрю, вообще все сайты переходят, например вот этот. Какой в этом смысл вообще?

1. Уважение к пользователю. Например оператор не сможет сувать свои баннеры в HTTPS-трафик.

2. Общее устаревание протокола HTTP. В недалёком будущем заход на HTTP-сайт в популярных браузерах будет выводить разные предупреждения о том, что это небезопасно и тд.

3. HTTP/2 в популярных браузерах работает только через HTTPS, при этом он предоставляет много плюсов для пользователя.

Вот, википедия тоже на нем, там тоже вроде никто ничего не хранит.

Для википедии это особенно важно. Используя HTTPS ты сможешь читать статьи без опасения за свою свободу и жизнь. А если за тобой будет следить государство, оно, например, может посчитать нездоровым твоё увлечение понями и упрятать тебя в застенки.

И заодно еще вопрос. Я так понимаю, что сайты по https работают в целом медленнее, ведь нужно время на шифрование и расшифровку? Или это несущественно?

Время на шифрования и расшифровку несущественно. А использование HTTP/2 даст значительное ускорение загрузки сайтов, особенно с плохой связью.

ЗЫ да, и я так понимаю, в связи с пакетом яровой с шифрованием появляется дополнительный гемор, по поводу хранения и предоставления ключей?

Нет.

Legioner ★★★★★
()
Ответ на: комментарий от currency2017

Ну можно вафлю поснифать (далеко не все производители и пользователи обновляют очень уязвимые роутеры), но т-с-с, никому не слова.

peregrine ★★★★★
()
Ответ на: комментарий от currency2017

Могут просто использовать твои вычислительные мощности. Могут показывать рекламу, напоминать оплатить интернет. Или если ты в интернете через опсоса, то он уже всё приготовил, для оплаты без паролей и SMS.

anonymous
()

Пользователю HTTP-сайта, может быть, и всё равно. Но владельцу и самому сайту как отличить, тот ли это самый пользователь вернулся, введя свои логин-пароль, или это какой-нибудь MitM, подсмотревший их где-то в открытом трафике? А если не отличать, тогда, например, ваш «Пакет» выполняться не будет, со всеми вытекающими.

blexey ★★★★★
()

Пришло время HTTP/2, а без https оно не будет работать. Остальное долго объяснять.

th3m3 ★★★★★
()
Ответ на: комментарий от currency2017

А чо,пароль для юзера твоего на ЛОРе уникальный? Больше нигде его не используешь? Молодец. А у 90% людей один и тот же пароль для всех аккаунтов. Узнал логин к ЛОРу,получил доступ к почте, а оттуда ко всем имеющимся аккам.

BobiKK
()

1. Если есть аккаунт с логином и паролем то естественно нужен https. Пусть даже на сайте ничего секретного нет, но все же. Зачем мне тратить время на перерегистрацию, если мой аакаунт вдруг угонят, из-за незащищенности логина и пароля?
2. Википедия. Была информация, что в некоторой стране блокировали «нежелательные» страницы из Википедии, когда она была на http. Информация должна быть свободной и доступной, https помогает этому.

rumgot ★★★★★
()
Ответ на: комментарий от rumgot

Была информация, что в некоторой стране блокировали «нежелательные» страницы из Википедии, когда она была на http. Информация должна быть свободной и доступной, https помогает этому.

на https весь домен блокировали в некоторой стране

currency2017
() автор топика
Ответ на: комментарий от currency2017

Естественно, если пошла грубая блокировка всего подряд, то ничего не попишешь. Но от быдло-адиинов-кулхацкеров, вводящих запреты на отдельные страницы или вообще подменяющих их, https спасет.

rumgot ★★★★★
()
Ответ на: комментарий от TDrive

Сначала говорили, что не будут блокировать. Теперь вот ключи от интернета хотят и весь трафик.

Может я и сгущаю краски, но из-за последних событий вера в невозможность безумных планов всё слабее.

Radjah ★★★★★
()
Ответ на: комментарий от rumgot

ни про каких админов речь не шла. Если https, нет технической возможности блокировать страницы с незаконным контентом, поэтому блокируют весь ресурс.

currency2017
() автор топика
Ответ на: комментарий от currency2017

Что-то херню городишь, эта возможность у всех, абсолютно всех провайдеров и используется уже лет 5. Пиши жалобу на них.

anonymous
()
Ответ на: комментарий от Radjah

Ну пока что ничего нового они не придумали. Сайты любят блокировать практически везде, в том числе и в США но в их случае они блокируют доступ к сайтам для других, например какого то хрена заблакировали SourceForge.net для крымчан, мета информацию хранят то же много где, чужие электронные письма вообще читают все кому не лень, на счет записи всего трафика не знаю но от хранения мета информации и чтения писем юридически не сильно отличается.

TDrive ★★★★★
()
Ответ на: комментарий от anonymous

Что-то херню городишь, эта возможность у всех, абсолютно всех провайдеров и используется уже лет 5. Пиши жалобу на них.

То есть уже 5 лет все провайдеры занимаются подменой сертификатов и дешифруют https трафик?

TDrive ★★★★★
()
Последнее исправление: TDrive (всего исправлений: 1)
Ответ на: комментарий от TDrive

Именно. Но правда у нас не Китай и пропихнуть в доверенные MITM сертификат пока не удалось. Так что если не соглашаться на левый сертификат, просто не пустит на сайт по https.

anonymous
()
Ответ на: комментарий от anonymous

*пристально посмотрел на Яндекс-Браузер.

anonymous
()
Ответ на: комментарий от anonymous

Во первых я ни разу не видел что бы мне предлагали левый сертификат, во вторых я знаком с парой админов в инет провайдерах и у них ничего подобного нету. Есть факты подтверждающие твои слова?

TDrive ★★★★★
()
Ответ на: комментарий от TDrive

знаком с парой админов

о да, это аргумент. Склоняюсь перед тобой и твоими связями. Ещё скажи что в DNS-трафик не вмешиваются. Какие тебе нужны подтверждения? Чебурашка уже давно на дворе. Зайди на https://www.sankakucomplex.com/

Хотя как погляжу сейчас и правда блокируют https, но это вовсе не потому что не могут в MITM. Может быть несколько затратно это просто.

anonymous
()
Ответ на: комментарий от anonymous

Ну вариант что https временно не работает. У меня нет возможности проверить. Сейчас больше примеров не скажу.

anonymous
()
Ответ на: комментарий от anonymous

Ещё скажи что в DNS-трафик не вмешиваются

DNS не шифруется, зачем ты его сюда приплел.

Зайди на https://www.sankakucomplex.com/

Ничего не блокирует и не подменяет сертификат.

но это вовсе не потому что не могут в MITM

Расскажи как это делать не подменяя абоненту браузер и не заставляя его установить свой сертификат.

anonymous
()
Ответ на: комментарий от anonymous

не подменяя абоненту браузер и не заставляя его установить свой сертифика

как ты это представляешь?

Ничего не блокирует и не подменяет сертификат

ты шифруешь трафик что ли? Из какой ты страны? Напиши жалобу на провайдера.

DNS не шифруется

затем, что провайдер вмешивается в совершенно левый трафик, что он там делает со своим личным DNS меня не беспокоит.

anonymous
()
Ответ на: комментарий от anonymous

как ты это представляешь?

Никак значит. Тоже мне MITM - «позвольте вас прослушать, вот вам инструкция как нам в этом помочь»

ты шифруешь трафик что ли? Из какой ты страны? Напиши жалобу на провайдера.

В реестре http-страницы, https-страниц там нет, зачем их банить.

меня не беспокоит

Тогда зачем ты упомянул DNS, просто фигура речи?

anonymous
()
Ответ на: комментарий от anonymous

https-страниц там нет, зачем их банить

ой ли? Что это ещё за фантазии?

позвольте вас прослушать

соглашаешься и вот тебе пожалуйста https, но мы будем смотреть куда ты ходишь и что пишешь. Осталось незаметно доставить левую херню в доверенные сертификаты пользователю или заиметь сертификат доверенного удостоверяющего центра (привет леново, делл, и вообще Китай — тут вообще никаких затрат).

anonymous
()
Ответ на: комментарий от anonymous

Я не зря упомянул Китай, крупные тамошние центры в этом замечены.

anonymous
()
Ответ на: комментарий от anonymous

Это странный и не полный список блокируемых страниц. Ну и по твоей же ссылке:

104.25.220.15 | 104.25.221.15 | 104.27.205.93 | 104.27.206.93 | 141.101.120.74 | 141.101.120.75 | 162.159.241.235 | 162.159.242.235 | 190.93.252.29 | 190.93.253.29
Доменов, заблокированных за компанию:
3

anonymous
()

есть ли смысл переводить сайт на https?

да, если тебя волнует приватность для твоих пользователей

umren ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.