LINUX.ORG.RU

Mozilla объявляет устаревшим незащищенный протокол HTTP

 , , ,


4

3

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

  • Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
  • Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

★★★★★

Проверено: maxcom ()
Последнее исправление: Infra_HDC (всего исправлений: 3)
Ответ на: комментарий от Ghostwolf

Лол, ты явно винишь в своих проблемах или Мозиллу и Восайн.
А проблема наверняка в кривых руках.

Goury ★★★★★
()
Ответ на: комментарий от anonymoos

У меня на ЛОРе

sha256: AC:4A:CA:94:09:27:23:A3:AB:0F:7A:46:32:5B:D8:1F:34:4F:FA:49:79:B4:13:8E:E7:8F:E3:5E:9A:95:CB:F0

А у вас?

Кстати, а какой правильный?

cvs-255 ★★★★★
()

Откуда массовая истерия, тут вам не хромонога, в которой все так как решает хухл и не иначе. Это-же Firefox, все негодные плюшки можно отключить в about:config, а еще есть palemoon и seamonkey на gecko, авторы которые более вменяемы и консервативны. Это все не считая десятка дополнений которые непременно появятся после выхода негодного обновления.

anonymous
()
Ответ на: комментарий от alozovskoy

Кто мне объяснит, зачем https какому-нибудь башоргу?

Потому что в http можно легко заинклудить любой код, чем пользуются хотспоты, и даже опсосы. А это уже самый настоящий MitM.

Вот, свежий пример: Билайн автоматически добавляет тулбар с поиском Mail.Ru.

Chaser_Andrey ★★★★★
()

То есть мылом ebanat-com с фаерфокса уже не попользуешься?

bubblecore ★★★★
()

Подставой пахнет, хорошую вещь правительство пендостана поддерживать не будет.

haku ★★★★★
()
Ответ на: комментарий от Ghostwolf

Просто сейчас бесплатно есть только startssl

Я пытался попробовать, у них личный кабинет не работал. Пришлось у комоды взять.

Wizard_ ★★★★★
()

Если речь идет только о шифровании трафа, не проще ли тупо всем браузерам прекратить ругаться на самопальные сертификаты?

deep-purple ★★★★★
()
Ответ на: комментарий от Ghostwolf

Когда будут массово раздавать бесплатные сертификаты без всяких ограничений - тогда пускай и вводят подобное. А так не нужно.

Любитель зондов и неосилятор самоподписанных сертификатов?

anonymous
()
Ответ на: комментарий от zenden

Еще один? Среди прочих хромоногих клонов он просто затеряется и будет интересен только разработчикам и то до первых месячных у товарищей из гугля.

anonymous
()
Ответ на: комментарий от GblGbl

А у многих есть деньги на полноценный сертификат?

даже платный сертификат - это 5% от стоимости имени/хостинга (а для http://www.provider.ru/~username сертификат не нужен), и бесплатные даёт отнюдь не только Мозилла, к тому-же по мере увеличения количества доменов стоимость имён упала в разы - думаю, с сертификатами будет также(будут прилагаться к хостингу в 99% случаев).

Anonymous ★★★★★
()
Ответ на: комментарий от anonymous

И как оно работает? Включаю тест тиринга, он присутствует.

Desmond_Hume ★★★★★
()
Ответ на: комментарий от PolarFox

Самоподписанный серт: страшная ругань красными буквами на красном фоне.

Какой закон физики мешает тебе создать собственный корневой сертификат и положить его на все системы, с которыми ты работаешь? Как дети, ей-богу.

anonymous
()
Ответ на: комментарий от cvs-255

Короче. Ты в праведном гневе забрызгал лор слюной. А что по сути? Будешь как то бороться? Агитировать других?

Подумай, чем ты отличаешься от кухонных критиканов политики.

dk-
()
Ответ на: комментарий от cvs-255

И да, куда мне прописать сертификат в вебморде роутера, если по http перестанет работать?

Роутеров бывает два вида:

1. Для соображающих админов, с доступом по SSH и serial. 2. Для хомяков, которым роутер настраивает провайдер.

Поскольку ты из второй категории, можешь не волноваться, это проблемы провайдера.

anonymous
()
Ответ на: комментарий от fornlr

Помню, как всё это начиналось: со старых версий glibc, что мол не будем поддерживать ваши протухшие дистры.

Infra_HDC ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Есть третьи роутеры, типа dir-300, которые покупают, когда провайдер предоставляет ethernet шнурок, а потом хочется вайфай.

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)
Ответ на: комментарий от zink

Вообще лучше бы DNSSEC вводили нормальный, куча проблем решается именно этим.

Ну что за детсад? Вводили? Кто? Дядя пришёл и тебе ввёл? Берёшь и сам, в порядке личной инициативы, читаешь пару-тройку мануалов по поднятию DNSSEC и вперёд. Занимает с нуля две недели, не больше. Повальный DNSSEC, как и повальный IPv6, тормозят неосиляторы. А у всех, кому это интересно было и кто осилил давно уже IPv6 трафик превысил на пару процентов IPv4. И с DNSSEC та же история — все домены, которые мне были важны (два моих и ещё один не мой) давно уже с DNSSEC. С чужим пришлось написать админу и помочь ему консультациями как что развернуть-поднять, как софт настроить. Всё решаемо, было бы желание.

anonymous
()
Ответ на: комментарий от cvs-255

Есть третьи роутеры, типа dir-300, которые покупают, когда провайдер предоставляет ethernet шнурок, а потом хочется вайфай.

Тебя никто не заставлял покупать недороутер. Слышал такую пословицу: скупой платит дважды? Вот это, похоже, про тебя.

anonymous
()
Ответ на: комментарий от anonymous

Это все не считая десятка дополнений которые непременно появятся после выхода негодного обновления.

Но так как ставить неподписанные дополнения тоже запретят, то печалька. Не факт, что дополнение, разрешающее http будет подписано.

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)
Ответ на: комментарий от aeSh0aeF

Потому что сертификаты привязаны к имени, а имя через днс к ip-адресу, а ip-адрес через обратную зону опять к имени.

Для правильного функционирования имя в сертификате должно ресолвится в адрес, а адрес обратно в имя в сертификате. С учетом дефицита ipv4 это нереально.

AVL2 ★★★★★
()

Куда бежать?! Что делать?! А-а-а !!!

Michail_Ul ★★
()
Ответ на: комментарий от dk-

А что по сути? Будешь как то бороться? Агитировать других?

Да, для начала разъяснить проблему, если кому она неясна.

cvs-255 ★★★★★
()
Ответ на: комментарий от deep-purple

Если речь идет только о шифровании трафа, не проще ли тупо всем браузерам прекратить ругаться на самопальные сертификаты?

Бразуер ругается не на самопальность сертификата, а на лень админа. И правильно ругается. Нужен самоподписанный сертификат? Ну так сделай всё как положено. Easy RSA уже сколько лет, даже думать почти не надо. Но нет, мыши продолжают грызть кактус.

anonymous
()
Ответ на: комментарий от anonymous

Для раздачи вайфая по квартире дир-300 за глаза хватает. Покупать дорогую железку за кучу денег из-за того, что мозилловцы решили выпилить http это безумие.

Да, я умею настраивать их по телнету. Но многие не умеют. В итоге получим еще одно усложенение использования девайсов.

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)
Ответ на: комментарий от anonymoos

TLS/HTTPS вообще ни от чего НЕ ЗАЩИЩАЕТ!

Вот ты врунишка.

Могу читать всю переписку в этих ваших вконтактиках по https у всех пользователей.

Нет, только у тех, кто разрешил недоверненный сертификат, или у тех, кому твой корневой сертификат внедрили в браузер.

А у всех провайдеров давным-давно стоят перехватывающие https-MITM с подменой корневых серверов.

Я сомневаюсь, что ты вообще компетентен в данном вопросе. Похоже, что ты просто наслышался баззвордов и раскидываешь ими налево и направо. Так могут делать только те провайдеры, которые могут генерировать валидные сертификаты для браузеров, но и тогда отпечаток будет отличаться. В Китае и Турции уже грешили этим, и где теперь их корневые сертификаты?

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от deep-purple

не проще ли тупо всем браузерам прекратить ругаться на самопальные сертификаты?

Нет. Пусть чинят сертификаты.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от cvs-255

Будет конечно, это-же firefox, сейчас можно отключить шпионские модули хухла и ожидание перед загрузкой дополнения, так что и проверку можно будет отключить. Или подсовывать сертификаты от других дополнений, умельцы всегда найдутся.

anonymous
()
Ответ на: комментарий от cvs-255

И да, куда мне прописать сертификат в вебморде роутера, если по http перестанет работать?

в nginx или lighttpd?

AVL2 ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Билайн автоматически добавляет тулбар с поиском Mail.Ru

Почему они ещё не сидят? Есть же статья, это настоящие хакеры в плохом смысле.

anonymous
()
Ответ на: комментарий от cvs-255

Вполне возможно, протокол http, в конце концов постигнет участь протокола gopher, т.е. выпустят специальный аддон, через который, кому надо, будут по http ходить. Остальные просто не будут его ставить и не будут пользоваться им.

Infra_HDC ★★★★★
() автор топика
Ответ на: комментарий от cvs-255

А ты не покупай дорогую за кучу денег, это действительно бессмысленно. Для дома всего за каких-то 300$ можно купить такой роутер, что лет 10 прослужит, если не больше, и при этом будет делаеть всё, что можно хотеть от домашнего роутера.

Да, я умею настраивать их по телнету.

Тогда чего ты ноешь? Те, кто не умеет по телнету, они и по HTTP не умеют. Им провайдер настраивает.

anonymous
()

Не адекватная идея посетила команду мозиллы. Я понимаю, зачем HTTPS в сфере онлайн-банкинга, на сайтах новостных служб, на страницах социальных сетей и т.п. Но зачем HTTPS бложику Васи Пупкина - не понимаю.

lucentcode ★★★★★
()
Ответ на: комментарий от anonymous

Для дома всего за каких-то 300$ можно купить такой роутер, что лет 10 прослужит, если не больше, и при этом будет делаеть всё, что можно хотеть от домашнего роутера.

Для дома можно за 30$ прикупить такой роутер, который 10 лет прослужит и будет исправно раздавать интернет.

cvs-255 ★★★★★
()
Ответ на: комментарий от atrus

пусть лучше засунут чебурашку себе в мизулину, а интернет оставят в покое

anonymous
()
Ответ на: комментарий от anonymous

Или подсовывать сертификаты от других дополнений, умельцы всегда найдутся.

Удалать гланду через жопу умельцы тоже наверное найдутся.

cvs-255 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.