LINUX.ORG.RU

Mozilla объявляет устаревшим незащищенный протокол HTTP

 , , ,


4

3

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

  • Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
  • Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

★★★★★

Проверено: maxcom ()
Последнее исправление: Infra_HDC (всего исправлений: 3)

Они б лучше занялись созданием центра и бесплатной раздачей нормальных доверенных сертификатов всем желающим, а уж потом на такие революционные шаги шли.

Вот нафиг мне платить ещё и за сертификат, юзать https когда у меня статический сайт на html и доступ к серверу лишь по 80 и 22 порту, где через 22 по ключам гит заливает обновления, нет никаких ЯП и ничего от пользователя не передаётся кроме запросов на конкретную страницу? Идиотизм.

Хотя с другой стороны соснут провайдеры и владельцы vpn-серверов, попытавшись определить какую именно страницу/ы посещал пользователь.

soko1 ★★★★★
()
Последнее исправление: soko1 (всего исправлений: 1)
Ответ на: комментарий от darkenshvein

лучше бы поддержку жирных и бажных говносайтов прекратили, придурке.

Люто плюсую, задолбали эти «нововведения» именно «введения». Все больше и больше напоминает старые времена когда каждая домохозяйка могла стать «создателем сайта» – это я про frontpage + word. Только тогда была статика, а теперь накачают кучу шаблонов и пофиг на всех.

anc ★★★★★
()
Ответ на: комментарий от cvs-255

Да, именно это. Хомячкам вообще плевать, так пусть хватают малвари. От такой политики только общая образованность увеличится. А прозрачное огораживание от проблем — только отупляет.

deep-purple ★★★★★
()

и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях

по ссылке не ходил, но подозреваю едва заметную звездочку со сноской около данного пункта

upcFrost ★★★★★
()

А где можно купить нормальный сертификат не с SHA-1 шифрованием, на который не будут ругаться браузеры, с ценой до 1тр/год?

zevilz ★★★
()
Последнее исправление: zevilz (всего исправлений: 1)
Ответ на: комментарий от Goury

Раньше любой хиппи мог траву курить....

И сейчас может :)

Раньше любой белый мог застрелить любого негра, а теперь надо полицейский жетон получать.

В свете последней динамики, уже и жетоны не помогают, скоро скорее «любой негр может застрелить белого» получиться.
А так полностью согласен " Куда катится эта цивилизация?"

anc ★★★★★
()

Как все раскукарекались. Всё правильно mozilla делает. Для локалхостов будет список исключений, так что сертификатов там вам не понадобится, не нойте.

RussCox
()
Ответ на: комментарий от I-Love-Microsoft

А если нет HTTPS, то конечно, оно MITM сделать не сможет?

RussCox
()
Ответ на: комментарий от anonymous

А вот и петросянов в тред завезли. Разбирайте пока горячие!

RussCox
()
Ответ на: комментарий от atrus

нет риска, что внезапно окажешься на http, когда шифрование будет нужно

кому оно нужно? оно только на банковских сайтах нужно

Karapuz ★★★★★
()
Ответ на: комментарий от cvs-255

К слову, mail.ru в этом плане хорош, от него почта с TLS идет

Да вообще монстры, шел 2014-й год, внезапно mail.ru открыли для себя ssl, стоп я написал 2014? А не неопечатался, действительно 2014-й. А так че, молодцы, бравые парни, не тормозят и впереди планеты всей.

anc ★★★★★
()

так всё-ж тормозить будет. типа апгрейдьте роутеры, пацаны? на whoй пускай следуют

anonymous
()
Ответ на: комментарий от atrus

От этого спасут только cjdns и подобные вещи, но народным массам насрать :-(

anonymous
()

сначало убрали отключение загрузки картинок - стало невозможно блокировать pagead2.googlesyndication.com. теперь убрали http - мой k9 не может нормально брокировать порнуху.

bedman
()
Ответ на: комментарий от atrus

Выгоды так же неочевидны, как страхование жизни :) Жизнь оно не вернет, если что.

slackwarrior ★★★★★
()
Ответ на: комментарий от deep-purple

А как ты представляешь себе систему сертификатов, не залоченную на какие-то конкретные CA, которые фактически становятся еще одним регулятором интернета, наряду с регистраторами доменных имен?

cvs-255 ★★★★★
()
Ответ на: комментарий от bedman

Тебя спасёт privoxy, домены можно блокировать даже по https.

anonymous
()
Ответ на: комментарий от cvs-255

Для среднего пользователя интернета ipv6 не нужен.

Для среднего пользователя интернета не нужен IPv4, HTTP и устройство сложнее планшета. Иначе он напорет.

anonymous
()
Ответ на: комментарий от anonymous

Тогда чего ты ноешь? Те, кто не умеет по телнету, они и по HTTP не умеют. Им провайдер настраивает.

Вы слишком категоричны в своих высказываниях, не бывает чисто черного и чисто белого. Очень многие юзверы настраивают свои коробки через вэб, тем более там давно существуют визарды для настройки.
А также знаю типа «одминов» работающих в ынтерпрайзе которые о cli в девайсах за много килобаксов и знать не хотят, только мышкой тыкать умеют в вэб интерфейсе.

anc ★★★★★
()
Ответ на: комментарий от mandala

Да мало-ли что тебе удобнее. Подставляй задний проход и выёживайся! Это жизнь, детка!

Почти не палишься. Кстати, гомосеки по Фрейду вроде тебя не люди, а мутанты (сублимируют свою латентность через повышение латентности соединений наворачиванием «сеукурности» там где она не вперлась). https не взлетит, так же как ipv6, фуррифокс с такими идеями ждет судьба нетшкафа (то что там щас у руля снова толпа ебанько, которым нравится ходить по граблям с пионерским огнем в глазах (нетшкаф поди не помнят уже), очень показательный симптом).

anonymous
()
Ответ на: комментарий от nerfur

Может сразу и стоечку поставить? Чтобы было куда нжинкс ставить?

Стойку дома? Зачем? Обычный десктоп прекрасно справляется и с задачами десктопа, и с задачами «домашнего сервера», и шуметь не будет.

anonymous
()

объявляю palemoon нормальным браузером. ссл никто не будет включать ради фф.

bernd ★★★★★
()
Ответ на: комментарий от Karapuz

оно только на банковских сайтах нужно

И по хорошему на каждый логин на сайт. А то и постоянно. Помню, лет десять назад у провайдера доступ в интернет был безо всяких новомодных vpn или vlan. Переведя карту в promiscuous mode можно было наловить много годного трафика. Может и сейчас так ещё у кого есть. Да и воздух никто не отменял.

atrus ★★★★★
()
Ответ на: комментарий от cvs-255

Привет виндовс-стайл: «нужно использовать именно эту версию!»

Если бы вин-стайл, там насколько я помню несколько не уживаются. Тут скорее никс-стайл, держи несколько версий. :(

anc ★★★★★
()
Ответ на: комментарий от anc

Вы слишком категоричны в своих высказываниях, не бывает чисто черного и чисто белого. Очень многие юзверы настраивают свои коробки через вэб, тем более там давно существуют визарды для настройки.

Вы никогда не видели визард настройки оборудования в терминале? Те же вопросы, те же меню. Тот же веб, только без браузера, CSS и вместо мышки надо на клавиатуре циферки нажимать.

А также знаю типа «одминов» работающих в ынтерпрайзе которые о cli в девайсах за много килобаксов и знать не хотят, только мышкой тыкать умеют в вэб интерфейсе.

Да, такие есть. Обычно занимаются обслуживаением продуктов Microsoft, VMWare и прочего «энтерпрайзного» софта, обычно сводящемуся к переписке и разговорам с их саппортом. И практика показывает, что это лучше, чем если бы они с тем уровнем знаний имели хоть какой-то простор для творчества.

anonymous
()
Ответ на: комментарий от cvs-255

Вот чтобы они не становились регуляторами, и нужно бы дать свободу с сертификатами. Если речь идет только о шифровании трафа от митм, то таковым оно и должно оставаться. Это почти то же самое, что тебе скажут — теперь генерация ssh-ключей будет платной, и твой ключ отпнет любой ssh-сервер т.к. в чьих-то там базах его нет. Ну или наоборот — сам клиент не схавает ключ по той же причине.

deep-purple ★★★★★
()
Ответ на: комментарий от cvs-255

c vger.kernel.org без шифрования, например

Причем здесь этот пример? У меня тоже почтовик позволяет хоть с ssl/tls работать хоть без него. Я про то что «расийская народная национальная (в этом слове меня всегда доставляет окончание …альная) почтовая система» додумалась до ssl только в прошлом году.

anc ★★★★★
()
Ответ на: комментарий от anc

Я не знаю, когда mail.ru начал с tls почту передавать.

сейчас это выглядит так

May  3 23:33:25 router postfix/smtpd[3831]: initializing the server-side TLS engine
May  3 23:33:25 router postfix/smtpd[3831]: connect from mx26.mail.ru[94.100.176.40]
May  3 23:33:25 router postfix/smtpd[3831]: setting up TLS connection from mx26.mail.ru[94.100.176.40]
May  3 23:33:25 router postfix/smtpd[3831]: mx26.mail.ru[94.100.176.40]: TLS cipher list "aNULL:-aNULL:ALL:+RC4:@STRENGTH"
May  3 23:33:25 router postfix/smtpd[3831]: SSL_accept:before/accept initialization
May  3 23:33:25 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:25 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:25 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:26 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:26 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:26 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:26 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:26 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:26 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:26 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:26 router postfix/smtpd[3831]: SSL_accept:unknown state
May  3 23:33:26 router postfix/smtpd[3831]: mx26.mail.ru[94.100.176.40]: save session 3D94FB4766B342B6332EE810811030F3034B32F487426F80FD40DF80E7C99256&s=smtp&l=268439743 to smtpd cache
May  3 23:33:26 router postfix/tlsmgr[4380]: put smtpd session id=3D94FB4766B342B6332EE810811030F3034B32F487426F80FD40DF80E7C99256&s=smtp&l=268439743 [data 127 bytes]
May  3 23:33:26 router postfix/tlsmgr[4380]: write smtpd TLS cache entry 3D94FB4766B342B6332EE810811030F3034B32F487426F80FD40DF80E7C99256&s=smtp&l=268439743: time=1430685206 [data 127 bytes]
May  3 23:33:26 router postfix/smtpd[3831]: Anonymous TLS connection established from mx26.mail.ru[94.100.176.40]: TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)
May  3 23:33:26 router postfix/smtpd[3831]: 17E321D4: client=mx26.mail.ru[94.100.176.40]
May  3 23:33:26 router postfix/cleanup[3836]: 17E321D4: message-id=<0.0.293.CFD.1D085DE596BF3A2.37AF@mail8.flipmailer.com>
May  3 23:33:26 router postfix/qmgr[3871]: 17E321D4: from=<coreboot-bounces@coreboot.org>, size=18141, nrcpt=1 (queue active)
May  3 23:33:26 router postfix/local[3837]: 17E321D4: to=<vlad@vltc.net.eu.org>, relay=local, delay=0.17, delays=0.11/0.01/0/0.05, dsn=2.0.0, status=sent (delivered to command: procmail)
May  3 23:33:26 router postfix/qmgr[3871]: 17E321D4: removed
May  3 23:33:26 router postfix/smtpd[3831]: disconnect from mx26.mail.ru[94.100.176.40]
cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 2)

Меня, как пользователя, интересует вопрос, выйдет ли ЛОР из RU в ORG зону? Со всеми вытекающими, соответственно, или этот шаг по интернационализации сайта невозможен?

void_ptr ★★★★
()
Ответ на: комментарий от anonymous

Да, такие есть. Обычно занимаются обслуживаением продуктов Microsoft, VMWare и прочего «энтерпрайзного» софта, обычно сводящемуся к переписке и разговорам с их саппортом. И практика показывает, что это лучше, чем если бы они с тем уровнем знаний имели хоть какой-то простор для творчества.

Просто поставлю плюс. Очень точно описано!

anc ★★★★★
()

У меня вопрос, а что они будут делать с существующими http ссылками? Ну сервер можно перевести на https, а куча http ссылок то на него останется на форумах всяких. Будут сами автоматом на https менять и соединяться?

anonymous
()
Ответ на: комментарий от anonymous

Вы никогда не видели визард настройки оборудования в терминале?

Я в большем объеме использую «православный» дистрибутив. Поверьте я знаю что такое терминал :)

anc ★★★★★
()
Ответ на: комментарий от anonymous

Да, такие есть. Обычно занимаются обслуживаением продуктов Microsoft, VMWare и прочего «энтерпрайзного» софта,

Практика показывает, что эти люди в 90% случаев «едят чужую булку». Это я Вам говорю, как человек не одну тонну булок скормивший.

void_ptr ★★★★
()
Ответ на: комментарий от void_ptr

Меня, как пользователя, интересует вопрос, выйдет ли ЛОР из RU в ORG зону? Со всеми вытекающими, соответственно, или этот шаг по интернационализации сайта невозможен?

А зачем?
«LINUX.ORG.RU: Русская информация об ОС Linux

anc ★★★★★
()
Ответ на: комментарий от anc

Я в большем объеме использую «православный» дистрибутив. Поверьте я знаю что такое терминал :)

Я не знакомство с терминалом под сомнение ставлю, а знакомство с терминальными визардами. Мне попадались железяки (бесполезные совершенно, но не суть), у которых мастер первичной настройки был в двух ипостасях: обычная веб-морда и милейший текстовый мастер, доступный по телнету.

anonymous
()
Ответ на: комментарий от anonymous

Я не знакомство с терминалом под сомнение ставлю, а знакомство с терминальными визардами.

Так и я об этом, установка «православного» дистра. :) А если серьезно, то я сам такие писал и пишу, для удобной установки «руками».

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от void_ptr

Практика показывает, что эти люди в 90% случаев «едят чужую булку». Это я Вам говорю, как человек не одну тонну булок скормивший.

В больших корпорациях таких людей, к сожалению, много, но от них не так просто избавиться: на эту инфраструктуру сомнительного качества завязаны некоторые реальные бизнес-процессы. По каким причинам был сделан тот или иной выбор в прошлом можно рассуждать долго, но в итоге имеем то, что имеем, и менять это настолько дорого и неудобно, что проще содержать какое-то количество дармоедов в надежде, что оно рано или поздно начнёт переходить в качество. В среднем и мелком бизнесе от тех, кто чужую булку ест избавиться не в пример проще, но средний и мелкий бизнес не всегда может себе позволить специалистов определённого уровня как по зарплате, так и по уровню задач. Так что вся надежда на молодых специалистов, которые с одной стороны уже достаточно опытны, чтобы быстро разобраться в предмете, а с другой — ещё недостаточно заматерели, чтобы слишком много просить или устать от бесконечных плохих реализаций убогих идей.

anonymous
()
Ответ на: комментарий от anc

Так и я об этом, установка «православного» дистра. :)

Ну это не так впечаляет. Компьютер общего назначения ещё и не так может. А вот когда это железка типа роутера, вот это да.

anonymous
()
Ответ на: комментарий от alozovskoy

Кто мне объяснит, зачем https какому-нибудь башоргу?

Поясняю, затем чтобы всякие ростелекомы и билайны не инжектили свою парашу куда не надо. А в будущем чтобы телекомы не инжектили свои партнерки вместо гугловых))

anonymous
()
Ответ на: комментарий от anonymous

В больших корпорациях таких людей, к сожалению, много, но от них не так просто избавиться: на эту инфраструктуру сомнительного качества завязаны некоторые реальные бизнес-процессы. По каким причинам был сделан тот или иной выбор в прошлом можно рассуждать долго, но в итоге имеем то, что имеем, и менять это настолько дорого и неудобно, что проще содержать какое-то количество дармоедов в надежде, что оно рано или поздно начнёт переходить в качество.

И правда и нет, по моей практике большая часть это дармоеды, но за них «пашет» маленький процент действительно работающих людей.
А вот про малый средний бизнес вы все правильно написали, там нет возможности (точнее даже желания) держать «троглодитов».

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.