Comments 52
В опросе не хватает варианта «ещё более дурацкий вариант».
Моё скромное мнение зачем нужен HTTPS тут:
В московском метро недавно был запущен Wi-Fi очень многие люди читают хабр через данный Wi-Fi (не обладаю статистикой, видел открытый ресурс у других пассажиров на экранах планшетов/телефонов)
И этот самый Wi-Fi подсовывает рекламу на все ресурсы которые работают через HTTP.
Что еще более противно — рекламма типа popunder которая блокирует доступ к ресурсу пока вы не закроете её.
Пример:
В московском метро недавно был запущен Wi-Fi очень многие люди читают хабр через данный Wi-Fi (не обладаю статистикой, видел открытый ресурс у других пассажиров на экранах планшетов/телефонов)
И этот самый Wi-Fi подсовывает рекламу на все ресурсы которые работают через HTTP.
Что еще более противно — рекламма типа popunder которая блокирует доступ к ресурсу пока вы не закроете её.
Пример:
Эта реклама не пролезает в мобильное приложение хабра, однако, безотносительно этого https нужен.
В одном из ресторанов столкнулся с тем, что их wi-fi интернет устраивает такую себе MITM атаку, влезая даже в https сайты. Сначала удивился и передумал заходить на facebook, увидев предупреждение мобильного браузера о несоответствии сертификата безопасности и имени сайта. Решил проверить на каком-то сайте без авторизации — и точно, ребята всё пропускают через себя, встраивая наглым образом рекламу даже в https сайты…
А если бы в популярных мобильных платформах небыло бы кнопки «Забить и зайти на сайт с плохим сертификатом» то никто бы так не делал…
Никто бы так не делал, если бы пользователи этих самых популярных мобильных платформах не тыкали на нее не думая.
Иногда такая кнопка действительно нужна, например зайти на рабочий/тестовый портал, где вполне достаточно самоподписанного сертификата, который не было возможности/времени/надобности ставить как доверенный.
Иногда такая кнопка действительно нужна, например зайти на рабочий/тестовый портал, где вполне достаточно самоподписанного сертификата, который не было возможности/времени/надобности ставить как доверенный.
Вы помните, как запретили ввоз девайсов с GPS и без GLONASS? Элементарно же запретить импорт девайсов без предустановленного сертификата RKN. А пользователям старых устройств дадут инструкции, как поставить в систему сертификат, чтобы на устаревших девайсах работал интернет «нового поколения»
А пользователям старых устройств дадут инструкции, как поставить в систему сертификат
как рутануть девайс и поставить в систему сертификат.
Ни в одной стороне мира такой практики небыло + устновка левого сертификата подрывает безопастность банковских систем.
Ни в одной стороне мира такой практики небыло
C GLONASS мы первые, так что всё возможно.
Кстати, с сертификатами было (Windows Korean edition) social.technet.microsoft.com/wiki/contents/articles/9964.windows-root-certificate-program-members-april-2012.aspx
установка левого сертификата подрывает безопастность
А DPI подрывает приватность. Кого это когда волновало?
DPI — это метод маркировки трафика, он прямым образом не влияет на приватность.
Добавление Glonass не может ухудшить user experience по этому и прошло безболезненно
Добавление Glonass не может ухудшить user experience по этому и прошло безболезненно
Как минимум, DPI может (в debug-целях, конечно) собирать профиль работы — кол-во срабатываний по каждому элементу реестра в разрезе абонента. Как минимум, это необходимо, чтобы при проблемах разобраться: почему не сработало то или иное правило или наоборот, сработало неверно.
Установленный в Windows правительственный сертификат чем ухудшает user experience?
Установленный в Windows правительственный сертификат чем ухудшает user experience?
Самое забавное, что закрыть эту рекламу не всегда возможно… Т. к. на некоторых сайтах верстка этой рекламы ломается и крест для закрытия не отображается.
Конечно, надо, чтобы доступ был по https. Тогда Роскомнадзор будет банить сразу уж весь хабр оптом, чтоб не мучился (как github).
Ну давайте тогда что бы упростить работу роскомнадзору будет фотографию каждый своего паспорта в место фотографии профиля ставить.
А никто не говорит только об одном протоколе. Надо людям дать возможность выбора. Хочет по http, хочет по https
Нет! Только HTTPS с отправкой заголовка строгой транспортной безопасности! Только хардкор! Ещё Адаму Лэнгли написать, чтобы в Google Chrome добавил Хабр в предзагруженный список HSTS.
Воу-воу, полегче. Браузеры, завидев HSTS, впадают в форменную паранойю, и не дай бог в таком случае администрации Хабра прошляпить дату истечения сертификата — на сайт зайти будет невозможно (кнопка «пофиг, продолжаем» просто пропадёт). В случае блокировки всего HTTPS-трафика на HTTP «откатиться» так просто не получиться — каждому пользователю придётся капитально чистить кэши в браузере.
То есть давать дураку возможность атаки чувак в середине?
Из каких соображений вы такое советуете?
Совет из разряда, пусть ребенок сам решает стрелять ему себе в ногу из огнестрела или нет, все равно ведь не помрет.
Из каких соображений вы такое советуете?
Совет из разряда, пусть ребенок сам решает стрелять ему себе в ногу из огнестрела или нет, все равно ведь не помрет.
Читатели Хабра — не дети. Надеюсь…
Потому как сам пользователь должен определить важность и нужность его аккаунта и каким образом он хочет пользоваться сервисом.
А пример не в тему. Во первых, критичность безопасного протокола для хабра и оружия для ребенка в тысячи порядков ниже.
Во вторых здесь не дети, а люди, которые могут сами определить как им удобнее ходить.
А пример не в тему. Во первых, критичность безопасного протокола для хабра и оружия для ребенка в тысячи порядков ниже.
Во вторых здесь не дети, а люди, которые могут сами определить как им удобнее ходить.
https нужен обязательно. Давно пора перейти на него.
А почему нет варианта «хорошо бы иметь»? Без обязательности.
Ну и по https блочить в случае внесения в реестр запрещенных сайтов (а такие случаи у того же хабра уже были) будет не так-то просто))
Вам только декабрь 2014 года показал зачем они принимают антиконституционные законы? А предыдущие 10 лет вы жили на другой планете?
Осознание к каждому приходит в разное время, кто-то знал (и предупреждал) о готовящемся госнаезде на интернет еще в 2011 году, когда в Сети появился слив первого текста законопроекта о внесудебных блокировках сайтов, разработанного Лигой БезИнтернета, но тогда большинство интернет-сообщества было [...] на это. А потом то одни, то другие субъекты и сообщества стали «проникаться» в суть госидеи (как правило после того, как сами напрямую стали сталкиваться с законами и их правоприменением, которые «направлены только на защиту детей»).
Многие до сих пор еще живут в стране иллюзий — для них всё покажет: январь 2015, февраль 2015 [...], декабрь 20nn (нужное подчеркнуть).
Многие до сих пор еще живут в стране иллюзий — для них всё покажет: январь 2015, февраль 2015 [...], декабрь 20nn (нужное подчеркнуть).
Мне кажется уже все должны перейти на хттпс, все таки безопасность данных стоит этих небольших затрат.
https обязан быть на всех сайтах, где запрашивается логин и пароль.
Всё же тогда не только на Хабрахабре и GeekTimes, но также и на сайте для ввода TM ID (а не то глупо вводить пароль через HTTP для сайта на HTTPS), и на Хабраскладе.
Еще бы spdy запилили
Производителям процессоров нужно сбывать излишки железа, а то как это даже какой-нибудь atom теперь не так уж и тормозит. Правильно — надо все шифровать/расшифровывать, греть планету, мешать адекватной компрессии трафика, ведь и каналы нынче резиновые.
Sign up to leave a comment.
https приходит на geektimes/habrahabr?