LINUX.ORG.RU

Mozilla объявляет устаревшим незащищенный протокол HTTP

 , , ,


4

3

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

  • Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
  • Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

★★★★★

Проверено: maxcom ()
Последнее исправление: Infra_HDC (всего исправлений: 3)

Оукей, значит куча железок, в том числе слабых, которые и так работают в домашней сети защищенной WPA2 должны будут тащить SSL. Не то чтобы это проблемно - даже на esp8266 это можно поднять, но все же будет тормозно.

ncrmnt ★★★★★
()

И сколько мегатонн CO2 лишнего в атмосферу попадет от электростанций, производящих энергию на ненужное шифрование ненужного говна?

anonymous
()
Ответ на: комментарий от anc

И правда и нет, по моей практике большая часть это дармоеды, но за них «пашет» маленький процент действительно работающих людей.

А вот про малый средний бизнес вы все правильно написали, там нет возможности (точнее даже желания) держать «троглодитов».

Ну ясно, что не целыми отделами бумажками переплёвываются с утра до вечера. Что-то, как-то, где-то умеют делать. Вопрос в качестве и отношения затраченных усилий и времени к полученному результату.

anonymous
()
Ответ на: комментарий от fornlr

что-то уже надоели эти новости про отказы фурифокса от всяких вещей...

Они чувствуют свою власть.

Wizard_ ★★★★★
()
Ответ на: комментарий от kas501

Порнуху (для примера) на моём локалхосте тоже шифровать?

Даже обязательно. А вдруг у вас там голые цветные маленькие лошади сношаются :)

anc ★★★★★
()
Ответ на: комментарий от dk-

Не разошлись, а пошли сайты жечь на интернетах

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

И да, куда мне прописать сертификат в вебморде роутера, если по http перестанет работать?

будешь на роутер через links ходить :) а вообще уверен на 100%, что будет галочка «я ссзб, мне наплевать на безопасность, пустите меня энивей» и если ты доверяешь, то нажмешь, тебе не проблема, а Марьванна пароль свой не прокакает на фишерском сайте, по незнанию.

Loki13 ★★★★★
()

нафига козе баян? насильно мил не будешь

anonymous
()
Ответ на: комментарий от Ghostwolf

А потом решать продолжу тебе сертификат или нет. А иначе вместо твоей страницы окошко - небезопастный ресурс.

Бесплатный сыр только в мышеловке.

Вот недавно с Яндексом веселую тему увидел. У них есть беслатные модули для разных cms для поддержки систнемы - так кроме того что пользовтель ожидает они ставят еще и звонилки свои, мало-того что во фронт, так еще и в админку суют, и выключить их кроме как в коде нельзя(.

Также гугл аналитика, отключи ее и твой сайт в дупле, если нету сообщества. А это что звонилка, и нафига теперь спрашивается https?

Какая на%%% безопастность? Благие дела?

Гляньте что с зоной org.ua случилось - она стала стоить дороже чем com.ua - вопрос с какого бока?

webmak ★★
()
Последнее исправление: webmak (всего исправлений: 1)
Ответ на: комментарий от Loki13

ага, только Марьванна позвонит сначала тебе, ты ей найдешь эту самую галочку, а потом она спокойно «про..бет» свой пароль, который и так написан у неё на бумажке под клавиатурой. Похоже на лечение от кровотечения из носа путём наложения жгута на шею.

anonymous
()
Ответ на: комментарий от Ghostwolf

да потому что сам сертификат это фигня, а важна сама инфраструктура и поддержка инфраструктуры сертификатов. А это всё-таки стоит денег.

anonymous
()
Ответ на: комментарий от cvs-255

тут нужны сертификаты от конкретной конторы? нет - просто протокол. А с https что? мы доверяем(принимаем) сертификатам только от этого списка контор!

webmak ★★
()
Последнее исправление: webmak (всего исправлений: 2)
Ответ на: комментарий от Ghostwolf

я не о том, а о точ, что счас бесплатно - а потом опят подляна. Кто сказал что их сертификат хуже моего?

webmak ★★
()
Ответ на: комментарий от Loki13

а вообще уверен на 100%, что будет галочка «я ссзб, мне наплевать на безопасность, пустите меня энивей» и если ты доверяешь, то нажмешь, тебе не проблема, а Марьванна пароль свой не прокакает на фишерском сайте, по незнанию.

Скорее наоборот, ты по Знанию, Не «прокакаеш» а вот мариванна один фиг жмякнет не глядя.

anc ★★★★★
()
Ответ на: комментарий от Ghostwolf

С какой стати сертификат вообще должен быть платным?

А почему нет? Корневые центры должны же на что-то жить. Ваш вопрос аналогичен «почему я должен платить за доменное имя?» Другой вопрос в том что «зажрались» с такими расценками (это я и про днс и про сертификаты)

anc ★★★★★
()
Ответ на: комментарий от webmak

Ну так если хочешь, чтобы пользователь имел возможность убедиться, что ты это ты, и заодно зашифровать соединение, то получаешь сертификат. Если потом выяснилось, что ты гадости делал, то сертификат отзовут.

Если без разницы, то используешь http.

А теперь хотят всех заставить пройти проверку, не оставив возможности не использовать сертификат.

Почему-то инициативы всех заставить сдавать отпечатки пальцев при получении паспорта встречают недовольство, а инициатива заставить всех получать сертификат многим по душе.

cvs-255 ★★★★★
()
Ответ на: комментарий от anc

Ваш вопрос аналогичен «почему я должен платить за доменное имя?»

Вполне резонный вопрос. К нему прилагается ещё третий: «почему я должен платить за интернет?» Ведь технически реализуема инфраструктура с распределёнными днс, сертификатами и отчасти интернетом.

vurdalak ★★★★★
()

вообще, основное мое недовольство обязательным https является то, что система CA делает интернет еще менее децентрализованным.

cvs-255 ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Нет, только у тех, кто разрешил недоверненный сертификат, или у тех, кому твой корневой сертификат внедрили в браузер.

Ну проголосуют все депутаты (даже те что сейчас сидят, у нас это нормально), что без сертификата от Бастыркина ты педофил и террорист и будет у всех этот сертификат. Думаешь закон о DPI они вводили для того, чтобы умники на https перешли? Три раза «ха»
А через два года его закрытую часть можно будет скачать с черного рынка. И начнётся цирк с конями и жонглёрами. Скажешь невероятный сценарий?

anonymoos ★★★★★
()
Ответ на: комментарий от kas501

Я не зоофил/понифаг.

все вы так говорите

anonymous
()

Бред же. Зачем моему бложику на домашнем сервере https, если в нем даже админки нет??! (страницы генерятся из markdown, дата берется из даты изменения файла).

Deleted
()
Ответ на: комментарий от cvs-255

Ну раньше же таких запросов не было. А теперь сделают простой https прокси для локалхоста с установкой в пару кликов и все. Или вообще расширение для файрфокса.

AVL2 ★★★★★
()
Ответ на: комментарий от cvs-255

По https тоже не пустит, как уже делает сейчас со некоторыми impi, скажет сертификат недостоверный уходим отсюда. Прикол в том что при этом он частенько не предлагает добавить исключения. Уходим отсюда и точка.

TEX ★★★
()
Ответ на: комментарий от Infra_HDC

Почему же? А вебадминки принт-серверов и роутеров? Но им тоже предстоит переход.

Попытался зайти на свой роутер (Fritz!Box) по HTTPS и... Oh, shi~~~, у него есть самоподписанный сертификат на IP до 2038 года (который был выдан вчера. wtf?)!

X-Pilot ★★★★★
()
Ответ на: комментарий от Loki13

Марьванна пароль свой не прокакает на фишерском сайте, по незнанию.

На фишероском сайте тоже поставят хттпс, делов то

WindowsXP ★★
()
Ответ на: комментарий от anc

У платных доменных имен есть альтернатива в виде бесплатных, а вот с сертификатами все сложнее - полторы конторы выдают их. А если сделаешь сам, то ни одна домохозяйка не попадет на твой сайт.

Ghostwolf ★★★★★
()

Представляю, как ФСБшники сидят и локти кусают с их СОРМами.... :)

slamd64 ★★★★★
()
Ответ на: комментарий от X-Pilot

«был выдан вчера» - скорее всего, разница во времени.

slamd64 ★★★★★
()

Сделал собственный сертификат, после установки его в андроид он попытался запретить мне продолжать разблокировать экран без пароля, и теперь при каждом включении сообщает мне, что за мной следят, намекая на этот мой сертификат. А если его убрать, то браузер начинает материться при заводе в админку роутера.

Гугл, создавая искусственные неудобства, против https?

Pythagoras ★★
()
Ответ на: комментарий от X-Pilot

Ты вчера перезагружал роутер, и он его сгенерировал, в чём проблема? OpenWRT давно такое умеет.

Pythagoras ★★
()

Какая-то странная логика - объявить устаревшим незазищённый протокол...

Как бы получается что всё что не защищено - устаревшее?

Получается по этой логике, если например пробрасывается ssh-туннель 80-го порта, то это считается устаревшим?

swwwfactory ★★
()
Последнее исправление: swwwfactory (всего исправлений: 1)

А меня в мурзилке достает вот такой бред:

Firefox has detected that the server is redirecting the request for this address in a way that will never complete.

This problem can sometimes be caused by disabling or refusing to accept cookies.

Karapuz ★★★★★
()
Ответ на: комментарий от swwwfactory

Какая-то странная логика - объявить устаревшим незазищённый протокол...

да не в логике дело, просто США не хочет фрагментации интернета на много-много маленьких суверенных кусочков. вот и цепляются за технические огорожения

Karapuz ★★★★★
()
Ответ на: комментарий от anonymous

ага, только Марьванна позвонит сначала тебе, ты ей найдешь эту самую галочку

Я ей скажу «Марьванна, прекратите ходить на этот небезопасный сайт.», а вообще я не одмин и на одминопроблемы(хотя это скорее эникеепроблемы) мне пофиг.

Loki13 ★★★★★
()
Ответ на: комментарий от Ghostwolf

У платных доменных имен есть альтернатива в виде бесплатных, а вот с сертификатами все сложнее - полторы конторы выдают их. А если сделаешь сам, то ни одна домохозяйка не попадет на твой сайт.

Если у тебя нет денег(sic!) на сертификат, то тебе и домохозяйки на сайте не нужны. Там где домохозяйки - там прибыль, а где прибыль и сертификат не проблема приобрести.

Loki13 ★★★★★
()
Ответ на: комментарий от Ghostwolf

Нет.

А зачем оно тогда такое нужно? Если даже реклама прибыли не приносит. Сколько там сертификат стоит? 400р. в год, можно наверное дешевле найти. да хостинг паршивой впс'ки столько в месяц стоит.

Loki13 ★★★★★
()
Ответ на: комментарий от Loki13

А зачем оно тогда такое нужно?

Даже не знаю, как тебе ответить. Не все же в интернете создается с целью получить прибыль.

Ghostwolf ★★★★★
()
Ответ на: комментарий от Ghostwolf

Даже не знаю, как тебе ответить. Не все же в интернете создается с целью получить прибыль.

Я под прибылью самоокупаемость имел скорее ввиду. Пара баннеров на домохозяйкофоруме с вероятностью близкой к 100% окупит его существование вместе с сертификатом.

//Приведи пример сайта который себя не окупает и при этом наполнено домохозяйками и ценной информацией. Мне даже не вспомнить такого.

Loki13 ★★★★★
()
Последнее исправление: Loki13 (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.