LINUX.ORG.RU

Mozilla объявляет устаревшим незащищенный протокол HTTP

 , , ,


4

3

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

  • Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
  • Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

★★★★★

Проверено: maxcom ()
Последнее исправление: Infra_HDC (всего исправлений: 3)
Ответ на: комментарий от Loki13

Не окупит. У меня был форум с ~30-40 активными пользователями. Там за месяц набегал не более 2 евро с кликов по рекламе, и то меня через полгода забанили за нарушение каких-то там правил гугла. При этом впска стоила около 6-7 евро в месяц, ну и сертификат раз в год. А таких форумов хватает.

Ghostwolf ★★★★★
()
Ответ на: комментарий от Karapuz

да не в логике дело, просто США не хочет фрагментации интернета на много-много маленьких суверенных кусочков. вот и цепляются за технические огорожения

Это ведь полнейший тупизм, если так - фрагментация, сама суть интернета.

Как-то Брюс Шнайер уже описал ситуацию, когда закрывательство криптографии привело только к невероятному подстёгиванию интереса, в результате чего все ограничения пришлось безоговорочно снять...

Ибо пошли проблемы, например для ведения бизнеса...

swwwfactory ★★
()
Ответ на: комментарий от Ghostwolf

У меня был форум с ~30-40 активными пользователями.

Но ведь для таких ресурсов останутся\появятся бесплатные сертификаты. Про «появятся» я имел ввиду от мозиллы, а про останутся и так понятно. Ну и для небольшого количества постоянных посетителей не так и трудно будет твой самоподписанный добавить сертификат в 2 клика.

Как по мне, мозилла добро делает, а не зло. В принципе я и так пользуюсь httpsEverywhere. И мне надоело уже видеть довольно крутые порталы без поддержки https. Пример: 4pda.ru.

Loki13 ★★★★★
()
Последнее исправление: Loki13 (всего исправлений: 2)
Ответ на: комментарий от Loki13

Да я разве против? Просто вы так сходу обобщили, будто каждый способен выйти на самоокупаемость, а кто не способен - тот не нужен.

Ghostwolf ★★★★★
()
Ответ на: комментарий от Ghostwolf

будто каждый способен выйти на самоокупаемость, а кто не способен - тот не нужен.

тех кто не может таких всё меньше и меньше, т.к. чем заморачиваться с сервером, доменом и форумом, проще создать группу вконтакте\пейсбуке\еще на какой-нибудь площадке.

Loki13 ★★★★★
()
Ответ на: комментарий от Loki13

сертфикаты и ZOG

не так и трудно ...самоподписанный добавить ... в 2 клика

а! я кажется понял в чём подвох!

анальное рабство будет достигнуто через сертификаты.

в этом и есть настоящая цель этой муйни.

mumpster ★★★★★
()
Последнее исправление: mumpster (всего исправлений: 1)
Ответ на: комментарий от mcFactor

localhost

self-signed пойдет для локалхостов

а не для localhost ? только не говорите что такогов природе не бывает, причём сплошь и рядом

кстати, в некторых оборзевателях - не будем показывать плаьцем - это реальная проблема - подсунуть самоподпис

mumpster ★★★★★
()
Ответ на: комментарий от Ghostwolf

самоокупаемость

на самоокупаемость, а кто не способен - тот не нужен.

так и есть. это Pax Americana AKA либерализм в чистом виде.

сопсна, это попытка США продолжать контролировать инет.

mumpster ★★★★★
()
Ответ на: комментарий от cvs-255

http

Не платил с http и сейчас не хочу платить.

к сожалению, ZOG считает по-другому, бро.

mumpster ★★★★★
()
Ответ на: сертфикаты и ZOG от mumpster

анальное рабство будет достигнуто через сертификаты.

«Надя со свойственной ей прямотой посоветовала своему любимому вытатуировать на заднице слова: «Я пользуюсь только нешифрованным HTTP», и предъявлять их обществу в качестве последнего довода.» почти (ц)

tailgunner ★★★★★
()

То есть если я хочу к своей программе в отладочных целях прикрутить http у меня уже не получится тонкой обёртки поверх сокетов, теперь ёбаный openssl тянуть? да пошли они, лисойобы

anonymous
()
Ответ на: bash.org от mumpster

А ответы тут уже были. Читай.

anonymous
()

Зачем https статическим сайтам-визиткам? Куда катится мир? 128 битные адреса, бинарный http, поехали! В плохом смысле слова.

fero ★★★★
()
Ответ на: комментарий от anonymous

Ну что за детсад? Вводили? Кто? Дядя пришёл и тебе ввёл?

Файерфокс вот играется с идеей депрекейшна HTTP, лучше бы вводили нормальную индикацию получен данный домент с DNSSEC или нет и нормальное отображение уровня безопасности с SSL, меньше уделяя внимания всяким «Extended Super Ultra MegaBonus Verification Level 9000+» и больше тому, что кто-то, допустим, скинул используемый шифр до ROT-13 во время переговоров (да, я утрирую, суть та же, уязвимые шифры всё так же есть, отсюда все «puddle», «beats» и прочая живность.

zink ★★
()
Ответ на: комментарий от fero

Зачем https статическим сайтам-визиткам? Куда катится мир? 128 битные адреса, бинарный http, поехали! В плохом смысле слова.

Мир катится в будущее. А тех, кто не способен осилить новые технологии в профессии никто не держит. Пока мы не сделали роботов для вывоза мусора и подметания улиц, нам понадобится дешёвая рабочая сила. С голоду не помрёте.

anonymous
()
Ответ на: комментарий от zink

Файерфокс вот играется с идеей депрекейшна HTTP, лучше бы вводили нормальную индикацию получен данный домент с DNSSEC или нет и нормальное отображение уровня безопасности с SSL, меньше уделяя внимания всяким «Extended Super Ultra MegaBonus Verification Level 9000+» и больше тому, что кто-то, допустим, скинул используемый шифр до ROT-13 во время переговоров (да, я утрирую, суть та же, уязвимые шифры всё так же есть, отсюда все «puddle», «beats» и прочая живность.

Давай я ещё раз спрошу: кто тебе что должен куда ввести? Не маленький же, сам можешь всё настроить. Если домен поддерживает DNSSEC, то неправильный IP ты просто не получишь. Индикация такого уровня браузеру недоступна всё равно, он не занимается (не должен заниматься) разрешением доменных имён, это работа операционной системы. И в своей операционной системе ты можешь сделать так, что домены без DNSSEC будут работать только после явного разрешения ходить на этот домен по этому IP, вбитого руками в консоль. Тут твою фантазию никто даже не пытается ограничить. Я для одного заказчика писал и строил прототип системы получения данных из TXT-записи с DNSSEC. Так вот представь, что весь код уже написан за тебя. В прототипе для упрощения схемы использовались два сторонних публичных DNS-сервиса и три собственных для симуляции подделки ответов.

А вот на счёт даунгрейдов шифрования, это правильное замечание. Действительно, хочется иметь под рукой информацию о состоянии шифрования соединения и об аномалиях в нём. Но ещё больше хочется выставить явный запрет на использование определённых шифров, даже ценой возможной недоступности каких-то ресурсов — для них можно по необходимости иметь отдельный браузер запущенный из-под специального пользователя без доступа к важным данным.

anonymous
()

Tormozilla RIP

# Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.

# Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

А не, показалось.

h578b1bde ★☆
()
Ответ на: комментарий от fero

Сказал мудак неспособный через telnet скачать Интернет на дискету.

Малыш, я на твою дискету через телнет интернет socat'ом закачиваю по ночам, пока ты спишь. Ты же ведь не думал взаправду, что тебя кто-то в настоящий интернет пускает, правда ведь?

anonymous
()
Ответ на: комментарий от anonymous

В таком случае, твой интернет мне противен! Я требую, чтоб ты закачивал другой интернет на мою дискету.

fero ★★★★
()
Ответ на: комментарий от Infra_HDC

Ну, бесплатным может быть только сыр в мышеловке. Главное, что-бы в оплаченный клиентом трафик рекламные баннеры не втыкали.

lucentcode ★★★★★
()
Ответ на: комментарий от vurdalak

Может всё-таки не все провайдеры у них подобным занимаются? Да и должны же быть хотя-бы магистральные провайдеры, которые не будут марать руки, встраивая левую рекламу в трафик.

lucentcode ★★★★★
()
Ответ на: комментарий от lucentcode

Может всё-таки не все провайдеры у них подобным занимаются?

Может и не все.

Да и должны же быть хотя-бы магистральные провайдеры, которые не будут марать руки, встраивая левую рекламу в трафик.

Думаешь они будут мараться о физлица?

vurdalak ★★★★★
()
Ответ на: комментарий от Lincor

хорошо было бы осуществить неотключаемый запрет передачи и хранения незашифрованных данных на уровне ядра, всех сколько-нибудь распространенных ядер, а также ФС

большой поклонник GNU, GTK+, GNOME, Vala, UEFI, Secure Boot, безопасности, свободы и прогресса.

„Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности” © дядя из одной известной денежной купюры валюты одной свободолюбивой страны.

h578b1bde ★☆
()
Ответ на: комментарий от Ghostwolf

У платных доменных имен есть альтернатива в виде бесплатных

Я может не в курсе, первого уровня бесплатные?

anc ★★★★★
()
Ответ на: комментарий от h578b1bde

при чём тут свобода? маргиналы могут форкнуться и обмазываться своим устаревшим небезопасным протоколом подальше от нормальных людей, даже сделать свои, отдельные интернеты на устаревшем небезопасном протоколе. главное, что нормальных это не затронет, так что у всех всё будет зашифровано, а маргиналы пусть уж как хотят, ССЗБ и ССЗБ.

Lincor
()
Ответ на: комментарий от anonymous

вот и катись в свое «будущее». Других вот за уши только не тяни.

vovagubin1987
()
Ответ на: комментарий от Lincor

при чём тут свобода?

При том что её якобы „любители”, ловко оперируя словами „устаревший” и „небезопасный”, агитируют за огороженный якобы „протокол” от продавцов воздухом, который защищает лишь от школьника Васи, запустившего сниффер на соседнем компьютере, не более.

маргиналы могут форкнуться и обмазываться своим устаревшим небезопасным протоколом

Устаревшим небезопасным „протоколом” является https, в котором взяли старый-добрый http и прикрутили анальную привязку к продавцам воздуха с помощью tls/ssl под эгидой типа защищённости, где воздухоторговцы могут барыжить элементарные действия типа отзыва сертификата. Протокол в скобках, поскольку оно отдельным протоколом не является.

подальше от нормальных людей

Да, маргинальные пользователи тормозиллы смогут обмазываться чем угодно после того как все нормальные люди, у которых не будет открываться половина интернетов, с неё слезут.

так что у всех всё будет зашифровано

У меня на воздух для убогих денег нет, извини.

h578b1bde ★☆
()
Ответ на: комментарий от lucentcode

Хорошо, что с описанным Вами явлением так-же не сталкивался.

<параноя>Или просто пока не заметили.</параноя> :)

atrus ★★★★★
()
Ответ на: комментарий от anonymous

Действительно, хочется иметь под рукой информацию о состоянии шифрования соединения

Она есть в Technical Details (замочек - More Information)

Но ещё больше хочется выставить явный запрет на использование определённых шифров

Посмотри security.ssl3* в about:config

anonymous_sama ★★★★★
()
Последнее исправление: anonymous_sama (всего исправлений: 1)
Ответ на: комментарий от atrus

Даже там, где шифрование не обязательно, они не создаёт проблем

Неправильное время на клиентском устройстве. Забывчивый админ, не продливший сертификат (jquery?). Платный отзыв.

Это помимо очевидных выгод, в виде защиты от шакалов-провайдеров, которые уже сейчас любят подмешивать свои скрипты и баннеры в ваш трафик.

Всего лишь нужно выбирать нормального провайдера, а не говноедствовать.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

который защищает лишь от школьника Васи, запустившего сниффер на соседнем компьютере, не более

ну да, всего-то навсего от провайдера интернетов, прокси, VPN и спецслужб. это, наверное, и есть школьники Васи?

анальную привязку

чем она выражается?

у которых не будет открываться половина интернетов, с неё слезут

я абсолютно уверен, что вслед за Mozilla такое же решение примут другие ведущие разработчики браузеров, поэтому каждому сайту придется использовать HTTPS, иначе на него никто не попадет, кроме полутора маргиналов-некрофилов.

Lincor
()
Ответ на: комментарий от Lincor

«я абсолютно уверен, что вслед за Mozilla такое же решение примут другие ведущие разработчики браузеров, поэтому каждому сайту придется использовать HTTPS, иначе на него никто не попадет, кроме полутора маргиналов-некрофилов.»

А я на 100% уверен, что подобными «ведущими» браузерами будет пользоваться полутора маргиналов-некрофилов, а человечество вернется на IE.

anonymous
()
Ответ на: комментарий от Lincor

ну да, всего-то навсего от провайдера интернетов, прокси, VPN и спецслужб

В связи с моим местоположением первым и последним я не интересен, соответственно второе и третье отпадает за ненужностью.

чем она выражается?

Например, твой сертификат могут отозвать при желании левой пятки ноги целой цепочки контор.

поэтому каждому сайту придется использовать HTTPS, иначе на него никто не попадет, кроме полутора маргиналов-некрофилов

Маргиналы с новым блестящим говнобраузером даже на свой роутер не попадут, не говоря уже об интернетах.

я абсолютно уверен, что вслед за Mozilla такое же решение примут другие ведущие разработчики браузеров

Туда им и дорога.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Неправильное время на клиентском устройстве.

Это даже хорошо. От неправильно выставленного времени куда больше проблем возникает, когда ты не видишь, что оно сбито.

Забывчивый админ, не продливший сертификат (jquery?).

Забывчивый админ, забывший продлить домен или хостинг не проблема? Только сертификаты забывают продлевать? Так что не беда. Сайты как отваливались периодически, так и будет отваливаться.

Всего лишь нужно выбирать нормального провайдера, а не говноедствовать.

Да вы что? А мобильным телефоном пользуетесь? Или сурово проводным, разматывая за собой бабину кабеля?

А то я не знаю, где вы живёте, а у нас в Роисси есть только три оператора пока. И все - говнодары. Билайн, мегафон, мтс. Ну и что мне выбрать?

atrus ★★★★★
()
Последнее исправление: atrus (всего исправлений: 1)
Ответ на: комментарий от thriller

И у каких провайдеров нынче, в условиях дефицита свободных IPv4-адресов, белые айпишники раздаются бесплатно?

У моего.

h578b1bde ★☆
()
Ответ на: комментарий от atrus

Сайты как отваливались периодически, так и будет отваливаться

Только теперь в два раза чаще.

А мобильным телефоном пользуетесь?

Да.

А то я не знаю, где вы живёте

Украина.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Например, твой сертификат могут отозвать при желании левой пятки ноги целой цепочки контор.

какой такой цепочки? кто, кроме CA? если это действительно сделано по желанию левой пятки или иной нехорошей причине, такая контора быстро утратит всякое доверие и её корневой сертификат погонят из браузеров ссаными тряпками.

Маргиналы с новым блестящим говнобраузером даже на свой роутер не попадут

в локалке, очевидно, никто HTTPS пока не запретит по практическим соображениям. а годику к 2020 и на роутерах будет HTTPS, тащемта, там он тоже может быть нужен.

Туда им и дорога.

так и вижу, как тысячи хомячков бросают хромог и огнелис и бегут осваивать Dillo и NetSurf.

Lincor
()
Последнее исправление: Lincor (всего исправлений: 2)
Ответ на: комментарий от h578b1bde

Только теперь в два раза чаще.

С - Статистика. :)

Украина.

Ну, можете сами поинтересоваться степенью шакальности ваших операторов. Если ничего не найдёте - гордиться.

atrus ★★★★★
()

Что за бред? Когда я качаю открытые, общедоступные данные я не хочу тратить ресурсы на шифрование.
Зачем, ну зачем мне шифровать скачивание, например, iso-шки с дистрибутивом?

fractaler ★★★★★
()
Ответ на: комментарий от atrus

Ну, можете сами поинтересоваться степенью шакальности ваших операторов. Если ничего не найдёте - гордиться.

Kyivstar, Opera Mini, никаких баннеров не замечал.

h578b1bde ★☆
()
Ответ на: комментарий от atrus

Забывчивый админ, забывший продлить домен или хостинг не проблема?

Нет. Потому что полно фришных хостингов. И некоторые сайты живут заброшенными уже по 15 лет. Не уверен, что в свете новых веяний хостеры захотят тратиться на wildcard сертификаты.

И с моими некоммерческими субпроектами тоже непонятно как поступать. Заказывать десятки простых сертификатов и потом каждый год иметь геморрой по их продлению? Платить приличные бабки (обогащая чужой карман просто из воздуха) за не приносящее доход?

Эта дурацкая https-истерия очень сильно ударяет по некоммерческому Интернету. Зато позволяет срубить массу бабла заинтересованным сторонам. Поэтому — почти чистое зло.

KRoN73 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.