LINUX.ORG.RU

Mozilla объявляет устаревшим незащищенный протокол HTTP

 , , ,


4

3

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

  • Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
  • Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

★★★★★

Проверено: maxcom ()
Последнее исправление: Infra_HDC (всего исправлений: 3)
Ответ на: комментарий от Lincor

какой такой цепочки? кто, кроме CA?

Из последнего: http://www.opennet.ru/opennews/art.shtml?num=41902

такая контора быстро утратит всякое доверие и её корневой сертификат погонят из браузеров ссаными тряпками

Купившим воздух у какого-нибудь CNNIC от этого сразу стало легче.

а годику к 2020 и на роутерах будет HTTPS, тащемта, там он тоже может быть нужен.

Локальные айпишки уже подписывают?

так и вижу, как тысячи хомячков бросают хромог и огнелис и бегут осваивать Dillo и NetSurf.

Зачем хомячкам все эти незнакомые слова? У них есть знакомый IE.

h578b1bde ★☆
()

странный подход для оплота свободного по. скорее похоже на натуральный фашизм

anonymous
()
Ответ на: комментарий от Loki13

Приведи пример сайта который себя не окупает и при этом наполнено домохозяйками и ценной информацией

Википедия?

anonymous
()
Ответ на: localhost от mumpster

что «а не для localhost?». в компании где я работаю, фактически все ВНУТРЕННИЕ сервера имеют self-signed сертификаты, все что торчит наружу - правильно подписано.

кстати, в каких «обозревателях» проблема подсунуть salf-signed?

mcFactor
()
Ответ на: комментарий от h578b1bde

Ты всё, что не укладывается в твой уютный шаблон, словом „butthurt” называешь?

Нет. Я называю баттхертом посты, которые состоят в основном из фраз типа:

огороженный якобы „протокол”

защищает лишь от школьника Васи

анальную привязку к продавцам воздуха

воздухоторговцы могут барыжить

маргинальные пользователи тормозиллы

воздух для убогих

tailgunner ★★★★★
()
Ответ на: комментарий от mcFactor

в компании где я работаю, фактически все ВНУТРЕННИЕ сервера имеют self-signed сертификаты

Но зачем? Не доверяете внутренней сети?

tailgunner ★★★★★
()
Ответ на: комментарий от h578b1bde

Как там у вас в 90-х, белые айпишки всё ещё продают или уже нет?

150 рублей в месяц, столько же, хрен знает, сколько (и недоступный солнечногорцам, но доступный всем остальным), 130 рублей в месяц, 120 рублей в месяц. Дальше продолжать лень.

thriller ★★
()

Я продолжу использовать HTTPS как незащищённый канал, а браузер продолжит считать его защищённым :-)

anonymous
()
Ответ на: комментарий от tailgunner

согласно твоей логике, твой пост — тоже баттхёрт. приложи ледку

anonymous
()
Ответ на: комментарий от h578b1bde

ещё на проводном билайне с его l2tp продают. как и на gsm/3g

anonymous
()
Ответ на: комментарий от tailgunner

воздух для убогих

Но ведь правда. Почему я должен платить деньгами, временем и ресурсами за то, что у кого-то убогий провайдер? У них договор есть, пускай сами с провайдером разбираются.

h578b1bde ★☆
()
Ответ на: комментарий от thriller

рублей

Проблемы снежной Нигерии. В моём областном центре 3 из 4 самых распространённых проводных провайдеров в городе дают белую статику сразу же и бесплатно, у остальных динамика.

h578b1bde ★☆
()
Ответ на: комментарий от KRoN73

Потому что полно фришных хостингов. И некоторые сайты живут заброшенными уже по 15 лет. Не уверен, что в свете новых веяний хостеры захотят тратиться на wildcard сертификаты.

o_O Т.е. у вас сайты на narod.ru и вы хотите сказать, что вам для них придётся сертификаты покупать? С чего вы это взяли?

Я вообще не понимаю этого цветущего луддизма. Допустим, в будущем всем придётся сидеть на https. Но ни у кого не возникает мысли, что для всех уж придумают механизм, как это можно будет организовывать легко и прозрачно. Как сейчас с автопродлением домена. Нет, надо обязательно вообразить, как все в цепях и страдают.

atrus ★★★★★
()
Ответ на: комментарий от h578b1bde

Почему я должен платить деньгами, временем и ресурсами за то, что у кого-то убогий провайдер?

Тебя - платить? За что конкретно?

tailgunner ★★★★★
()

Вот интересно, как будут фильтровать почту всякие касперские, если будет обязаловка внедрения SMTP, POP3, IMAP over SSL...

Infra_HDC ★★★★★
() автор топика
Ответ на: комментарий от tailgunner

Тебя - платить? За что конкретно?

За использование мне ненужных огороженных сертификатов.

h578b1bde ★☆
()

Азазаза

Не читал весь топик, но с уверенностью заявляю - идите в йух поборники ssl/tsl и прочего, пока это не будет работать в виде «я доверяю тебе, ты доверяешь мне» без всяких продаванов воздуха аля comodo, без выстраивания цепочек из удостоверяющих центров т.п. Мне тут один буржуин, Брахма Амбдете Сулиманович заявил, что они будут дружить с моим почтовым сервером только в случае, если я получу сертификат у СА, которым они доверяют. На предложение добавить мой СА и не клевать мне моск стал молиться будде и ушел в себя. Я не верю в бредни вида «петя доверят васе, вася доверяет леше, леша доверяет Брахме». Я Брахме не доверяю.

poisons
()
Ответ на: комментарий от alozovskoy

Это первый шаг к тому, что в итернеты вскорости можно будет ходить только по паспорту. Поначалу. Потом каждому выдадут чис^Wсертификат. И будет вживлён он прямо в моск.

anonymous
()
Ответ на: комментарий от Ghostwolf

Оно и с «массово раздавать бесплатные сертификаты без всяких ограничений» не нужно. Потому как это доведение идеи до абсурда.

anonymous
()
Ответ на: комментарий от Infra_HDC

Вот интересно, как будут фильтровать почту всякие касперские, если будет обязаловка внедрения SMTP, POP3, IMAP over SSL...

Если всякие гебисты будут настолько явно фильтровать почту - её придётся закопать. То есть она и так типа открыток, но с обязаловкой ябись оно понями.

anonymous
()
Ответ на: комментарий от anonymous

Да, следующим шагом запретят сапоподписанные сертификаты, а потом введут белый говносписок.

anonymous
()
Ответ на: комментарий от KRoN73

Нет. Потому что полно фришных хостингов.
....
И с моими некоммерческими субпроектами тоже непонятно как поступать. Заказывать десятки простых сертификатов и потом каждый год иметь геморрой по их продлению? Платить приличные бабки (обогащая чужой карман просто из воздуха) за не приносящее доход?

Да что уж там, про хостеров говорить, иногда совсем не особо важный ресурс на своем серваке стареньком поднять можно. И шо к нему тоже сертификат прилагать нужно будет? Бредятина.

anc ★★★★★
()
Ответ на: комментарий от mcFactor

кстати, в каких «обозревателях» проблема подсунуть salf-signed?

<сарказм> Если используется чуть больше одного браузера (и еще на разных платформах) и кол-во пользователей более 1к, не лениво «подсовывать сертификат» всем им? При условии, что этого можно было бы и не делать? </сарказм>

anc ★★★★★
()
Ответ на: комментарий от anonymous

Я продолжу использовать HTTPS как незащищённый канал, а браузер продолжит считать его защищённым :-)

Самый лучший комментарий который описывает всю тему! Плюсую!

anc ★★★★★
()
Ответ на: комментарий от h578b1bde

В моём областном центре 3 из 4 самых распространённых проводных провайдеров в городе дают белую статику сразу же и бесплатно,

Так у них поди по одной С-ки на каждого и админы нат не осилили, вот и раздают :)

anc ★★★★★
()
Ответ на: комментарий от mcFactor

зачем - хрен его знает. я не админ, я девелопер.

Зашибись у нас девелоперы пошли… простите но Вы скорее хотели сказать «кодер».

anc ★★★★★
()
Ответ на: комментарий от h578b1bde

NAT лет 10 назад закопали, но я ещё помню времена когда он был.

Ну вот Вы все и объяснили. Хотя причину «закапывания» нат я могу предположить, снятие ответственности с прова.
ЗЫ С праздником Великой Победы!!!

anc ★★★★★
()
Ответ на: комментарий от h578b1bde

Почему я должен

Интернет - давно уже не сеть для джентельменов. Шифрование - давно назревшая необходимость. Но если тебе плевать на пользователей - можешь игнорировать HTTPS, и через некоторое время пользователи начнут игнорировать тебя.

деньгами

Есть бесплатные центры сертификации, вскоре будет ещё один в рамках проекта Let's Encrypt.

У них договор есть, пускай сами с провайдером разбираются.

MitM делают не только провайдеры. Далеко не только провайдеры. Достаточно обычного спуфинга в публичном хотспоте в кафешке, например.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

Уже откопали, потому что IP не хватает у ряда провайдеров.

Речь шла о конкретных провайдерах моего города — у них всё ещё закопан.

h578b1bde ★☆
()
Ответ на: комментарий от Chaser_Andrey

Интернет - давно уже не сеть для джентельменов. Шифрование - давно назревшая необходимость

Речь не о шифровании вообще, речь о том что https — лютое говно.

и через некоторое время пользователи начнут игнорировать тебя

Мне кажется более вероятным вариант когда пользователи начнут игнорировать маргинальные браузеры, в которых не работает половина интернетов.

Есть бесплатные центры сертификации

Целых два, один из которых барыжит отзывами, а второй для китайцев. Роскошный выбор.

Достаточно обычного спуфинга в публичном хотспоте в кафешке, например

Это не проблема админа веб-сервера с публичным контентом.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

Речь не о шифровании вообще, речь о том что https — лютое говно.

ИЧСХ, оно даже защищает онлайн-банкинг. Как же так?

а второй для китайцев

ORLY?

Роскошный выбор.

Третий центр на подходе. Да, его пока нет, но и форсирование HTTPS тоже ещё нет.

Это не проблема админа веб-сервера с публичным контентом.

Это проблема админа, для этого и придумали HTTPS.

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

ИЧСХ, оно даже защищает онлайн-банкинг. Как же так?

У банков есть деньги и приватные данные, у меня нет. Почему я должен платить какой-то левой конторе за защиту того, чего у меня нет?

Третий центр на подходе.

С чего я должен доверять этому центру чего-то подписывать от моего имени, платить деньги за каждый фейл и вообще внедрять дополнительное звено между сервером и клиентом если эта система уже не раз показывала свою ущербность?

форсирование HTTPS

Лучше бы придумали что-то получше форсирования устаревшего говна мамонта.

Это проблема админа

Нет, это проблема пользователя который использует ненадёжный канал связи.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

У банков есть деньги и приватные данные, у меня нет. Почему я должен платить какой-то левой конторе за защиту того, чего у меня нет?

Не надо платить, два центра дают сертификаты бесплатно, третий центр на подходе. А тратишь усилия на защиту твоих же пользователей от MitM.

С чего я должен доверять этому центру чего-то подписывать от моего имени, платить деньги за каждый фейл и вообще внедрять дополнительное звено между сервером и клиентом если эта система уже не раз показывала свою ущербность?

Платить деньги не надо, в этом цель Let's encrypt.

«Подписывать от твоего имени» - вообще подпись центра не обязательная, но рекомендуется для широкого круга пользователей. Зачем вообще подпись от твоего имени? Потому что без HTTPS любой злоумышленник может сделать что угодно от твоего имени с помощью MitM. А с HTTPS такое сделать незаметно очень сложно и рискованно.

А ещё есть DNSSEC, если ты так боишься непорядочности сертификационных центров.

Лучше бы придумали что-то получше форсирования устаревшего говна мамонта.

Критикуя - предлагай.

Нет, это проблема пользователя который использует ненадёжный канал связи.

Нет, это проблема каждого админа, который не использует стандартные средства для защиты канала связи. Даже целой цепочки админов - от ISP до магистральщиков и админа сайта. Будешь отрицать?

Chaser_Andrey ★★★★★
()
Ответ на: комментарий от atrus

Но зачем? Если трафик к браузеру интересует, то в плагинах для разработчиков всё давно есть.

меня, например, интересует как заснифать что клиент шлет на сервер в SNI запросе, т.е. какой именно хост. естественно не имея доступа к хосту.

prizident ★★★★★
()
Ответ на: комментарий от Chaser_Andrey

В Европе дофига юзеров с ADSL, в частности, в Германии. Такие дела.

Еще вполне себе живет и процветает isdn, в том числе целые бизнес центры на нем живут.

anc ★★★★★
()
Ответ на: комментарий от h578b1bde

Речь шла о конкретных провайдерах моего города — у них всё ещё закопан.

К Вам по повелению «великого и…много слов» все еще ростелеком не доехал? Надо было в послании ему об этом сообщить :)

anc ★★★★★
()
Ответ на: комментарий от h578b1bde

Речь не о шифровании вообще, речь о том что https — лютое говно.

И чем же оно «лютое говно»? Вроде речь идет о запрете поддержки http, вот это да - «лютое говно» (я про запрет, а не про протокол).
А сам по себе https вполне себе нормальный протокол.

anc ★★★★★
()
Ответ на: комментарий от anc

К Вам по повелению «великого и…много слов» все еще ростелеком не доехал?

Если и доедет, то разве что на тот свет.

Надо было в послании ему об этом сообщить :)

Маленькому и одно слово вот этот господин уже давно всё что нужно сообщил в своём послании.

h578b1bde ★☆
()
Ответ на: комментарий от anc

А сам по себе https вполне себе нормальный протокол.

https в своём текущем виде подразумевает безоговорочное доверие к конторам которые уже давно себя дискредитировали.

h578b1bde ★☆
()
Ответ на: комментарий от h578b1bde

https в своём текущем виде подразумевает безоговорочное доверие к конторам которые уже давно себя дискредитировали.

Мы про протокол или конторы? Я говорил про протокол, мой самоподписный сертификат вполне меня устраивает, и еб… конем эти конторы. А вот тормозила даже это хочет отменить. В этом и зло.

anc ★★★★★
()
Ответ на: комментарий от anc

Мы про протокол или конторы?

Архитектура и реализация этого протокола (точнее расширения http) в браузерах и создаёт экосистему для успешного существования этих нехороших контор.

мой самоподписный сертификат вполне меня устраивает

Этот тот, на который браузеры большими красными буквами ругаются? Для публичных ресурсов оно не годится.

h578b1bde ★☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.