LINUX.ORG.RU

Mozilla объявляет устаревшим незащищенный протокол HTTP

 , , ,


4

3

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

  • Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
  • Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

★★★★★

Проверено: maxcom ()
Последнее исправление: Infra_HDC (всего исправлений: 3)
Ответ на: комментарий от tazhate

А с легаси системами что делать?

Не нужно!

mandala ★★★★★
()
Ответ на: комментарий от zenden

Гугл первый был за безопасность и за хттпс. Не надо!

mandala ★★★★★
()

ага, все проблемы с https не решили - уже подумывают о укорачивании рук. Похоже, Mozilla скатывается в стиле gnome

Вспоминается ситуация с ipv6. Оно-то вроде и надо, и хорошо, но всё никак.

reprimand ★★★★★
()
Ответ на: комментарий от alozovskoy

Кто мне объяснит, зачем https какому-нибудь башоргу? Почему его пытаются пропихнуть всюду, а не только там, где это нужно?

Потому что нет никаких причин не использовать его. Даже там, где шифрование не обязательно, они не создаёт проблем, зато нет риска, что внезапно окажешься на http, когда шифрование будет нужно.

Это помимо очевидных выгод, в виде защиты от шакалов-провайдеров, которые уже сейчас любят подмешивать свои скрипты и баннеры в ваш трафик.

atrus ★★★★★
()
Ответ на: комментарий от cvs-255

И периодически ставить новый сертификат, т.к. старый истек, тоже не хочу.

И за хостинг платить и за домен. А то, что за дела, каждый год продлевать!

atrus ★★★★★
()

Сколь же идиотов! Сертификаты вам уже просто так раздают. Без всяких КГБ. А у них интернет отняли! И правильно сделали, что отняли. Еще лет десять, и будет все в шоколаде!

mandala ★★★★★
()
Ответ на: комментарий от Ghostwolf

startssl просит денег при отзыве сертификата, так что бесплатный он условно.

Еще есть бесплатный китайский WoSign, но я сам не пробовал.

surefire ★★★
()
Ответ на: комментарий от int13h

Как решать задачу для сайтов-локалхостов?

Если для отладки, то самоподписанный сертификат делается и устанавливается за пару минут. Если для домашних страничек Васи Пупкина, то бесплатные сертификаты будут.

atrus ★★★★★
()
Ответ на: комментарий от anonymous

Давай по делу. Я верю, что анонимус не измельчал.

mandala ★★★★★
()
Ответ на: комментарий от surefire

У WoSign довольно сложная процедура, которую без пачки скриншотов с указаниями не пройдешь. К тому же я так и не смог подружить их сертификат с FF. В общем, не готово для массового использования.

А StartSSL не зря назвал чрезвычайно скучным по функционалу.

Ghostwolf ★★★★★
()

Мне, вот, интересно, когда же Firefox победит тиринг при проигрываниии флэш на страничках? В Google Chrome тиринга нет. Ребят, кто не устанавливал Adobe Flash Player, как там с тирингом при проигрывании видюшек при поддержке HTML5? Подозреваю, что это просто сборка флэша для Firefox такая кривая. Хотя, визуально, Chrome работает шустрее, чем Firefox(.

Desmond_Hume ★★★★★
()

А ничего, что соединение https в разы медленнее устанавливается? Латентность и так очень далека от идеала.

anonymous
()
Ответ на: комментарий от mandala

Сертификаты вам уже просто так раздают.

А мы им доверяем, этим мозилловцам?

И да, куда мне прописать сертификат в вебморде роутера, если по http перестанет работать?

cvs-255 ★★★★★
()
Ответ на: комментарий от alozovskoy

Ъ, что ли? Специально для тебя — паста из FAQ:

Better use of security would prevent:

· Comcast injecting ads into their customers’ web traffic​;
· AT&T tracking their users’ browsing habits​; and
· The “Great Cannon of China” knocking Github offline​.

In other words, as long as your site is not secure, it can be used as a weapon against your users and against other web sites.

Замечу, что охват у такой непрошеной рекламы куда больше, чем от той, что вставляют всякие тулбары, заботливо собранные с до сих пор популярных варез-порталов.

thriller ★★
()
Ответ на: комментарий от mandala

Ты за доменное имя платишь?

нет.

по особым условиям.

раньше никаких «особых условий» не требовалось. Сфигали теперь я кому-то чего-то должен?

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)

IPv6 Detected!

anonymous
()
Ответ на: комментарий от tazhate

А легасям новые функции только во вред

Goury ★★★★★
()
Ответ на: комментарий от anonymous

И? Раньше любой хикки мог держать апач с http, и те, кому хотелось, могли зайти на него. А теперь этот хикки с чего-то вдруг оказался должен что-то там получать.

cvs-255 ★★★★★
()

ну и да, я надеюсь, Mozilla уже приготовила миллионы бесплатных сертификатов на несколько лет?

reprimand ★★★★★
()

Во теперь торговцы воздухом на сертификатах озолотятся. Бесплатные все сплошь и рядом некоммерческие, а мелким коммерческим конторам в дополнение к жалким 10 баксам в месяц на vps придётся отдавать ещё столько же за сертификат, или бежать к cloudflare какому-нибудь, вся концепция которого является добровольным mitm-ом, забивающим на прайваси.

risenshnobel ★★★
()
Ответ на: комментарий от cvs-255

За домен не плачу. Хостинг на антресоли.

Интернет - от соседского wifi, электричество от педального генератора?

atrus ★★★★★
()

Может для начала стоит всё же выкинуть из доверенных CA любителей плодить mitm'ы и имплементировать rfc6091?

L29Ah
()
Ответ на: комментарий от cvs-255

Сиди в локальной сети тебе подконтрольной и не жжужи. Интернет не твой. Я не защищаю ни кого, так устроен мир.

mandala ★★★★★
()
Ответ на: комментарий от cvs-255

Раньше любой хикки мог держать апач с http

А хикки выбирают почти исключительно ADSL, что ли, чтобы вот так просто быть доступными по велению пятки левой ноги?

thriller ★★
()
Ответ на: комментарий от BattleCoder

Безпасность с доверием не коррелирует. Доверие безопасности противопоказано.

Goury ★★★★★
()
Ответ на: комментарий от mandala

Мозги мозилловцев так устроены. Хочешь шифровать, берешь сертификат, не хочешь - не берешь. А теперь я с чего-то вдруг должен брать вовсе не необходимую для меня вещь.

cvs-255 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.