Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 96
Недавно хром не дал открыть сайт с даташитом на микросхему потому что «Алгоритм Диффи- Хеллмана… чего то там слабый» и нет кнопки открыть всё равно, так и пришлось смотреть через фаерфокс. В IOS 10 удалили pptp vpn потому что он небезопасный. Dropbox перестал работать на виндовс xp и повесили статью что это капец как небезопасно.
Жду что скоро прийдут хирурги и отрежут мне мужской орган потому что это небезопасно, люди через него спидом заражаются…
При всем при этом по планете шагают шифровальщики, письма с шифровальшиками приходят с мейл. ру с гордым шильдиком проверено вирусов нет. Сноуден и прочие пишут про такие дыры, что мой дропбокс, и мой впн до дому что бы камеру посмотреть такая фигня. Но страдаю почему то Я. И мои родители со стареньким компом на котором смотрят фотки которые я им сбрасывал через дропбокс.
Тотальное думание за прользователя что ему надо, и что ненадо, какой разьём должен быть у наушников( привет любимому эппл, перегнули) из благой идеи превращаятся в АД.
Жду что скоро прийдут хирурги и отрежут мне мужской орган потому что это небезопасно, люди через него спидом заражаются…
При всем при этом по планете шагают шифровальщики, письма с шифровальшиками приходят с мейл. ру с гордым шильдиком проверено вирусов нет. Сноуден и прочие пишут про такие дыры, что мой дропбокс, и мой впн до дому что бы камеру посмотреть такая фигня. Но страдаю почему то Я. И мои родители со стареньким компом на котором смотрят фотки которые я им сбрасывал через дропбокс.
Тотальное думание за прользователя что ему надо, и что ненадо, какой разьём должен быть у наушников( привет любимому эппл, перегнули) из благой идеи превращаятся в АД.
я обновил Хром до 53 версии на днях и уже ненавижу их — перестала работать функция открытия ссылки в новой вкладке по нажатию на колесико мыши. В остальных броузерах работает, а в Хроме перестало. Написал в тех поддержку — ответа 0.
Version 53.0.2785.101 (64-bit) — нажатие на колесико открывает ссылку в новой вкладке. Так что это скорее у вас что то специфическое, а не общее поведение.
Надеюсь ctrl+ЛКМ работает?
Вот, блин. Я то думал, что моя мышка начала постепенно умирать и начала с колесика мышки. Мне даже в голову не пришло как можно убрать функционал, которым пользуешься несколько лет.
С появлением let's encrypt стало легче генерировать сертификаты на свои сайты, но все равно для обычного пользователя это всегда будет излишней финансовой нагрузкой.
Так же получается какая-то война между корпорациями добра и ГБшниками тоталитарных стран, что тоже скажется на кармане юзеров.
Допустим введут государственный СА в России. И будет как с электронными подписями. Нужно будет покупать ключи за не адекватные деньги. Да еще и провайдеров обяжут менять оборудование, чтобы ГБшники таки могли просматривать наш трафик.
В идеале конечно всем будет легче, если наша страни перестанет быть тоталитарной, но это пока несбыточные мечты.
Так же получается какая-то война между корпорациями добра и ГБшниками тоталитарных стран, что тоже скажется на кармане юзеров.
Допустим введут государственный СА в России. И будет как с электронными подписями. Нужно будет покупать ключи за не адекватные деньги. Да еще и провайдеров обяжут менять оборудование, чтобы ГБшники таки могли просматривать наш трафик.
В идеале конечно всем будет легче, если наша страни перестанет быть тоталитарной, но это пока несбыточные мечты.
Да даже и админской нагрузкой. Хостинги живут, продавая сертификаты известных CA. Мало кто (честно — я таких не знаю) из хостеров прикрутил себе автополучение сертификата через Let's Encrypt при появлении этого CA, в лучшем случае предлагается кнопка «бесплатный серт», которая дает первую дозу бесплатный сертификат один раз, далее за него надо платить.
При всем при том, есть отличный вариант сделать себе https — зайти на CloudFlare, настроить отдачу сайта через них, и включить галочку про https, они сами все сделают. Но — тогда трафик от них до моего сайта полетит незашифрованным (я беру случай, когда сайт на shared-хостинге, где нельзя приделать бесплатный валидный серт), и вся благая затея Гугла под сомнением.
Но рекламу резать перестанут — факт!
При всем при том, есть отличный вариант сделать себе https — зайти на CloudFlare, настроить отдачу сайта через них, и включить галочку про https, они сами все сделают. Но — тогда трафик от них до моего сайта полетит незашифрованным (я беру случай, когда сайт на shared-хостинге, где нельзя приделать бесплатный валидный серт), и вся благая затея Гугла под сомнением.
Но рекламу резать перестанут — факт!
Я сильно удивился, но клиенты говорят, что многие хостинги по запросу в техподдержку стали прикручивать сертификаты Let's Encrypt
Этого нигде не написано на сайтах, но люди пользуются уже.
Этого нигде не написано на сайтах, но люди пользуются уже.
Мало кто (честно — я таких не знаю) из хостеров прикрутил себе автополучение сертификата через Let's Encrypt при появлении этого CA
У diphost.ru есть прямо кнопка такая, например.
Не знаю, как у российских компаний с этим. У нас есть разные украинские хостинг-компании, вроде «Хостинг «Украина»», где один раз нажал «получить Let's Encrypt сертификат», а дальше он будет автоматически переполучатся, когда закончится
>Мало кто (честно — я таких не знаю) из хостеров прикрутил себе автополучение сертификата через Let's Encrypt при появлении этого CA
beget дают. причем бесплатный и с автопродлением
beget дают. причем бесплатный и с автопродлением
FF давно уже помечает. Плюсов, конечно, больше, но и минусы есть. Например, https забивает всё больше гвоздей в крышку гроба Opera на Presto…
«https забивает всё больше гвоздей в крышку гроба Opera на Presto»
Почему же, в обновлении 12.18 версии выпустили поддержку сертификатов со SNI, ECDHE вроде, решили проблему с тормозами на некоторых DHE. На XP у нее теперь с шифрованием дела даже лучше, чем в Chrome и Blink Opera. Если очень надо будет, китайцы еще могут выпустить. Хотя использование Presto в современном вебе уже выглядит странным.
Почему же, в обновлении 12.18 версии выпустили поддержку сертификатов со SNI, ECDHE вроде, решили проблему с тормозами на некоторых DHE. На XP у нее теперь с шифрованием дела даже лучше, чем в Chrome и Blink Opera. Если очень надо будет, китайцы еще могут выпустить. Хотя использование Presto в современном вебе уже выглядит странным.
HTTPS Ewerywhere решает эту проблему
Если сайт однопользовательский (один автор, нет регистрации), да и вообще маленький такой блог — то к чему https? Платить лишние 2000р в год — лишняя трата. Таких сайтов у пользователя может быть несколько.
Да — идет навязывание. С одной стороны это плохо, это бьет по карману владельца маленького сайта. С другой стороны приближает массово внедрение http2, которое работает только с https протоколом.
В общем спорный момент.
Несколько дней писали что майкрософт и производители процов будут поддерживать только 10-ку. Со всех сторон завинчивают гайки. Они же лучше знают что пользователю нужно.
Да — идет навязывание. С одной стороны это плохо, это бьет по карману владельца маленького сайта. С другой стороны приближает массово внедрение http2, которое работает только с https протоколом.
В общем спорный момент.
Несколько дней писали что майкрософт и производители процов будут поддерживать только 10-ку. Со всех сторон завинчивают гайки. Они же лучше знают что пользователю нужно.
Чтобы пользователь этого сайта, не боялся зайти на свой сайт через публичный wifi к примеру. Единственное, нужно чтобы к примеру Let's Encrypt стал удобнее.
Разве это не забота сайта? Всякие фейсбуки уже https, а зачем мне шифрование на сайте gismeteo, или kinopoisk, если я зашёл на них получить публичную информацию.
чтобы туда не встроили вредоносный код. Все идет к тому, чтобы http сайтов не осталось совсем. Лично я думаю, что это было бы не плохо, но должно быть одно условие, легкий способ получить валидный сертификат.
Не только сертификат, но и домен.
На случай, если я поднял на своей машине сайт для себя и друзей, такой как http://123.45.67.89/
На случай, если я поднял на своей машине сайт для себя и друзей, такой как http://123.45.67.89/
> домены есть бесплатные.
А можно пример, желательно без разводов «первый год бесплатен, потом 99$».
А можно пример, желательно без разводов «первый год бесплатен, потом 99$».
по доменам согласен. А вот с сертификатами не так все просто 2.5 калеки которые выдают бесплатные сертификаты сложно назвать надежным явлением.
Проблемы — потеря автономности и независимости.
Сейчас взял и за 5 минут всё поднял, а будет нужна куча лишних действий.
Такими темпами скоро придётся справки собирать и получать лицензии, чтобы просто переслать по сети UDP-пакет.
Сейчас взял и за 5 минут всё поднял, а будет нужна куча лишних действий.
Такими темпами скоро придётся справки собирать и получать лицензии, чтобы просто переслать по сети UDP-пакет.
Если сайт однопользовательский, то вам нет нужды передавать туда логин, пароль, данные кредитных карт и т.д.
Если вам все-таки нужна авторизация — вы можете воспользоваться OAuth или любой другой сторонней авторизацией.
Если же вам все-таки нужна именно ваша система авторизации, то вы можете или назвать поля для логина и пароля как-нибудь иначе, чем login/password, или же все-таки поставить себе бесплатный Let's Encrypt.
Если вам все-таки нужна авторизация — вы можете воспользоваться OAuth или любой другой сторонней авторизацией.
Если же вам все-таки нужна именно ваша система авторизации, то вы можете или назвать поля для логина и пароля как-нибудь иначе, чем login/password, или же все-таки поставить себе бесплатный Let's Encrypt.
Вопрос в том — зачем оно мне? У меня местечковый форум интрасети, который живет уже 15 лет. На нем 10кк сообщений. Работает и работает, все устраивает. Зачем мне нужен геморрой с сертификатами и OAuth? Меня пара логин-пароль устраивает уже 15 лет и за это время никаких проблем-то и не было, ни разу.
Теперь гугл решил помечать данный сайт как «не безопасный» и это оттолкнет пользователей от общения.
Теперь гугл решил помечать данный сайт как «не безопасный» и это оттолкнет пользователей от общения.
И все пойдут общаться в G+
Такая вот многоходовка от Google.
Такая вот многоходовка от Google.
Если гугл начнет помечать как небезопасное все подряд, то достаточно скоро всем будет наплевать на эти пометки.
А откуда вы знаете, что проблем не было? Тем более в интрасети, где нетрудно прослушать трафик. Кто-нибудь прослушает, узнает пароли, у части пользователей эти пароли совпадут с паролями на почтовые ящики и пошло-поехало. Тем более, что Хром не запрещает посещать ваш сайт, а лишь сообщает пользователям, что это не безопасно. А все, что от вас требуется, чтобы исправить ситуацию и защитить пользователей — это (при наличии доступа по SSH telnet) потратить полчаса-час на настройку бесплатного Let's Encrypt с автообновлением сертификата и взять рекомендуемый https-конфиг для nginx/apache от Мозиллы.
За 15 лет утечек небыло. Думаю что это достаточно для доверия? Тот-же стим у меня регулярно спамит о том что в мой аккаунт кто-то пытается зайти, при том что пароль на нем состоит из 20 букво-цифр-символов и к словарю не имеет никакого отношения. Однако SSL там есть, да, защитились.
Логика простая — я не вижу проблем, как со-администратор. Я не помню ни одного крупного взлома. Меня устраивает. Навязывать мне сертификаты от левых центров сертификации — ничуть не лучше яндекс-бара при установке софта. На текущий момент я вижу лишь использование своего доминирующего положения для продвижения лишней криптографии, с целью… скорее всего заработать. Заработать на нынешней «сдвинутости» населения про тотальную слежку и все такое.
PS: Тратить пол часа на настройку того чего мне не нужно — я из принципа не буду.
Логика простая — я не вижу проблем, как со-администратор. Я не помню ни одного крупного взлома. Меня устраивает. Навязывать мне сертификаты от левых центров сертификации — ничуть не лучше яндекс-бара при установке софта. На текущий момент я вижу лишь использование своего доминирующего положения для продвижения лишней криптографии, с целью… скорее всего заработать. Заработать на нынешней «сдвинутости» населения про тотальную слежку и все такое.
PS: Тратить пол часа на настройку того чего мне не нужно — я из принципа не буду.
Да не ваш форум будут ломать, а почтовые ящики пользователей и их учетные записи на других ресурсах — в подавляющем большинстве случаев люди пользуются одним паролем для всего, так что прослушав открытый трафик можно вытащить массу всего интересного. Именно поэтому шифрование стало сродни гигиене — превентивной мерой защиты. А с некоторых пор еще и бесплатной. И именно поэтому от незашифрованных сайтов люди постепенно начинают отходить, как от потенциально заразных. Но лично вам никто ничего не навязывает, если вас устраивает то, что есть — пользуйтесь. Однако, посетители имеют право знать о рисках.
Что такое «левый центр сертификации»? Вы знаете как работает цепь сертификатов?
Кстати, у вас и почта без DKIM/SPF?
Навязывать мне сертификаты от левых центров сертификации
Что такое «левый центр сертификации»? Вы знаете как работает цепь сертификатов?
Кстати, у вас и почта без DKIM/SPF?
А у меня нет почт пользователей, у меня логин и пароль. Я считаю этот способ идеальный для всякого рода форумов.
>И именно поэтому от незашифрованных сайтов люди постепенно начинают отходить, как от потенциально заразных.
Люди? Не мешайте корпорации, которые навязывают вам свое видение развития технологий, и людей, которым нужно удобство без заморочек.
>Но лично вам никто ничего не навязывает, если вас устраивает то, что есть — пользуйтесь.
Я и не пользуюсь. Для моих недосайтов хватает и обычной связи, а для пары интернет магазинов пара логин/пароль мне показалась достаточной, ведь все равно оплата идет через банковскую систему со своим сертификатом. Просто мне навязывают шифрование, теперь уже более явно.
>Однако, посетители имеют право знать о рисках.
Пользователя надо приучать к опасному интернету везде, даже на веб-страничке роутера под столом. Если пользователь идиот — он введет свои данные кредитки на левом сайте где будет одна надпись «проверка счета карты», с гордо стоящей надписью SSL.
>Что такое «левый центр сертификации»? Вы знаете как работает цепь сертификатов?
Мог-бы сказать что знаю, но скорее скажу что знаю частично, и даже более — знаю очень мало в этой области.
>Кстати, у вас и почта без DKIM/SPF?
Не интересовался даже.
>И именно поэтому от незашифрованных сайтов люди постепенно начинают отходить, как от потенциально заразных.
Люди? Не мешайте корпорации, которые навязывают вам свое видение развития технологий, и людей, которым нужно удобство без заморочек.
>Но лично вам никто ничего не навязывает, если вас устраивает то, что есть — пользуйтесь.
Я и не пользуюсь. Для моих недосайтов хватает и обычной связи, а для пары интернет магазинов пара логин/пароль мне показалась достаточной, ведь все равно оплата идет через банковскую систему со своим сертификатом. Просто мне навязывают шифрование, теперь уже более явно.
>Однако, посетители имеют право знать о рисках.
Пользователя надо приучать к опасному интернету везде, даже на веб-страничке роутера под столом. Если пользователь идиот — он введет свои данные кредитки на левом сайте где будет одна надпись «проверка счета карты», с гордо стоящей надписью SSL.
>Что такое «левый центр сертификации»? Вы знаете как работает цепь сертификатов?
Мог-бы сказать что знаю, но скорее скажу что знаю частично, и даже более — знаю очень мало в этой области.
>Кстати, у вас и почта без DKIM/SPF?
Не интересовался даже.
Все верно, людям нужно удобство без заморочек. Поэтому людям нужен HTTPS, чтобы у них не болела голова про MitM-атаки, XSS, DNS-спуффинг, да хотя бы про банальный мониторинг трафика в компаниях — все это существует и не исчезнет только потому, что лично вы не сталкивались с последствиями. А обеспечивать эту безопасность и приватность со своей стороны обязаны администраторы сетевых ресурсов. Сейчас это сделать намного проще, чем раньше.
Между пользователями-идиотами и пользователями-гениями есть примерно 80% остальных пользователей, которые просто не в курсе, что с ними могут сделать без https.
Между пользователями-идиотами и пользователями-гениями есть примерно 80% остальных пользователей, которые просто не в курсе, что с ними могут сделать без https.
Платить лишние 2000р в год
600 рублей в год стоит простой сертификат на один домен — NameCheap. Я уже лет 5 таким пользуюсь :)
Так не в цене вопроса дело. LE дает их и бесплатно, просто настройка сертификата на сервере — лишний головняк. А если вспомнить, что сертификаты на IP-адрес не выдаются официальными CA, то совсем весело становится. Грубо говоря, мы говорим не о том, что http стал внезапно более опасным, чем раньше, а о том, что некий браузер (а за ним — и другие, видимо) имеет курс на маниакальное отрицание существования http как нормального протокола.
Думаю, все бы решил некий список в браузере, куда я смог бы добавлять сайты, которые меня устраивают и по http. Или, что разумнее, ограничиться предупреждением, но не мешать навязчиво юзеру работать с сайтом.
Думаю, все бы решил некий список в браузере, куда я смог бы добавлять сайты, которые меня устраивают и по http. Или, что разумнее, ограничиться предупреждением, но не мешать навязчиво юзеру работать с сайтом.
Тут хотя бы просто «Not secure» будут писать (что, формально, верно). А вот, например, Wordpress.com (хостинг на WordPress от создателей движка), где хостятся миллионы сайтиков «новости моего кота» недавно принудительно перевёл всех на Let's Encrypt сертификаты, без варианта оставить HTTP. Учитывая, что сертификатам Let's Encrypt не доверяет BlackBerry OS 10, как минимум в Канаде у людей с мобильных телефонов это всё перестало открываться (поставить сертификат на телефон можно, но проще не заходить на сайт).
Есть же бесплатные сертификаты, типа StartSSL и еще какой-то от китайцев. Получаются довольно легко, особенно китайский, там дел на 5 минут. Другое дело, что под https придется движок перетряхивать, что бы он и статику отдавал по https, а вот это уже лишний гимор.
HTTP/2, в теории, не только поверх TLS работает. Ну, должен бы работать: раз нет клиентов, которые такое умеют, то и сервера особо не переживают с поддержкой такого варианта — а дальше замкнутый круг.
А массово внедрить — не проблема, только не все сайты активно обслуживаются (много статических страниц и сайтов годами не меняются, но полезны по прежнему), и не все сайты/серверы легко перенесут переход на https. Как говорится, «все хорошо, но есть нюансы».
А массово внедрить — не проблема, только не все сайты активно обслуживаются (много статических страниц и сайтов годами не меняются, но полезны по прежнему), и не все сайты/серверы легко перенесут переход на https. Как говорится, «все хорошо, но есть нюансы».
А еще «In the coming months, we will no longer allow OAuth requests to Google in embedded browsers known as “web-views».
Подскажите, прокси-серверы уже научились кешировать HTTPS-трафик? А то у меня на даче Интернет мобильный, хочется не платить лишнее.
не всем сайтам необходимо прятать свое содержимое от посторонних глаз. Скажем, онлайн библиотека или энциклопедия по сути направлены на распространение знаний, и, вероятно, нужнаются в шифровании менее, чем сайт банка.Сниффинг http-траффика как-то не очень укладывается в понятие «распространение знаний». Если в библиотеке или энциклопедии есть личный кабинет или какие-то другие формы с личной информацией, то они должны быть за https. А делать что-то на http, а что-то на https — бред.
шифрование создает дополнительную нагрузку как на серверное оборудование, так и на устроства клиентов, что, в частности, может привести к более быстрому разряду смартфона в процессе пользования работающего по HTTPS сайта.
Этой «нагрузкой» можно смело пренебречь. Когда Gmail полностью перевели на https, они увидели, что нагрузка на процессор выросла менее, чем на 1%.
А делать что-то на http, а что-то на https — бред.По-моему, наоборот, бред — это принудительно шифровать общедоступную информацию. Особенно, когда пользователю приходится из-за этого платить лишние деньги.
Каким, простите, образом?
Вот банальный пример: я перевёл все свои ресурсы на https пару лет назад. Пользователи стали платить больше, по вашему мнению?
Вот банальный пример: я перевёл все свои ресурсы на https пару лет назад. Пользователи стали платить больше, по вашему мнению?
Я написал об этом чуть выше: у меня на даче доступ в Интернет только мобильный. HTTP кешируется на маршрутизаторе, а с HTTPS это нормально не сделать (MITM-сертификат мне по ряду причин не нравится). У всех опсосов ограничения по трафику. Из-за HTTPS мне приходится покупать пакеты, которые больше и, соответственно, дороже.
B**** please.
Я десять лет прожил на всяком CDMA, EDGE, HSDPA и прочих буквах. Десять лет. Не рассказывайте мне про экономию на пакетах.
Сейчас есть вменяемые по стоимости тарифы у Йоты — 850 рублей за фулланлим (реально, фулланлим, спокойно выходило за 300+ Гб в месяц) в Твери; торренты работают напрямую. И даже если брать в расчёт других операторов, то штатных пакетов в 20-40 Гб должно выше крыши хватать для сёрфинга, скайпов, поигрушек и ютьюба.
В общем, сейчас не 2003-й год, когда только-только пошёл GPRS со стоимостью в семь рублей за мегабайт. Экономить на безопасности и спичках — это не самая разумная идея.
Я десять лет прожил на всяком CDMA, EDGE, HSDPA и прочих буквах. Десять лет. Не рассказывайте мне про экономию на пакетах.
Сейчас есть вменяемые по стоимости тарифы у Йоты — 850 рублей за фулланлим (реально, фулланлим, спокойно выходило за 300+ Гб в месяц) в Твери; торренты работают напрямую. И даже если брать в расчёт других операторов, то штатных пакетов в 20-40 Гб должно выше крыши хватать для сёрфинга, скайпов, поигрушек и ютьюба.
В общем, сейчас не 2003-й год, когда только-только пошёл GPRS со стоимостью в семь рублей за мегабайт. Экономить на безопасности и спичках — это не самая разумная идея.
Мне доводилось использовать «реальный фулланлим» от Йоты — не знаю, как в Твери, а в Москве и области они очень сильно ограничивают скорость с некоторых ресурсов, например, обновления репозиториев Убунту (т.е. apt-get update) шли несколько часов. Спасибо, не надо. Впрочем, в моём случае её и нет — нормально работают только Билайн и Теле2.
Я не предлагаю экономить на безопасности, там где передаётся важная информация, HTTPS необходим. Но необходим он далеко не везде. И меня не радует перспектива брать 40Гб вместо 7 из-за того, что кто-то решил, что шифровать надо всё. Тем более, что глобальный HTTPS проблему до конца не решает, т.к. админу провайдера увести сертификат в большинстве случаев не так уж и сложно.
Я не предлагаю экономить на безопасности, там где передаётся важная информация, HTTPS необходим. Но необходим он далеко не везде. И меня не радует перспектива брать 40Гб вместо 7 из-за того, что кто-то решил, что шифровать надо всё. Тем более, что глобальный HTTPS проблему до конца не решает, т.к. админу провайдера увести сертификат в большинстве случаев не так уж и сложно.
Хз, я в МСК приехав по работе, умудрился налюбить даже запрет тетеринга подменой TTL. Своровал за полтора часа несколько всферовских виртуалок из офиса, всё тип-топ.
40 Гб вместо 7 Гб из-за HTTPS — гонево, уважаемый. Статика столько не весит, а кешируются у вас только статичные элементы в любом случае. И как вам ответили чуточку ниже, 99% процентов трафика всё равно гзипается на фронте.
40 Гб вместо 7 Гб из-за HTTPS — гонево, уважаемый. Статика столько не весит, а кешируются у вас только статичные элементы в любом случае. И как вам ответили чуточку ниже, 99% процентов трафика всё равно гзипается на фронте.
Динамика как раз много не весит, ибо по большей части текст. А вот картиночки да бинарники — тех набирается порядочно. Обойти ограничения — да, возможно, но это лишний гимор. Про экономию трафика (по логам сквида) я написал ниже.
Всё от грамотности настройки конкретного ресурса зависит.
Я поддерживаю с технической стороны массу знакомых, которые в своё время попросили за их ресурсами присматривать, и поголовно всех перевёл на https. Если руки не из жопы растут, и если документацию nginx внимательно почитать — всё можно сделать хорошо и красиво, чтобы браузер нормально всё кешировал.
Если же делать всё тяп-ляп — то да, возможно, трафика станет больше, хотя я и не верю, что в 50%. Но опять же, это проблема не https, а проблема криворукости отдельно взятых людей.
Ну и в заключение — картиночки-то могут кешироваться, а вот стриминговый контент какой-то, та же труба, вконташа, ещё что-то такое — крррррайне сомневаюсь.
Я поддерживаю с технической стороны массу знакомых, которые в своё время попросили за их ресурсами присматривать, и поголовно всех перевёл на https. Если руки не из жопы растут, и если документацию nginx внимательно почитать — всё можно сделать хорошо и красиво, чтобы браузер нормально всё кешировал.
Если же делать всё тяп-ляп — то да, возможно, трафика станет больше, хотя я и не верю, что в 50%. Но опять же, это проблема не https, а проблема криворукости отдельно взятых людей.
Ну и в заключение — картиночки-то могут кешироваться, а вот стриминговый контент какой-то, та же труба, вконташа, ещё что-то такое — крррррайне сомневаюсь.
Здравствуйте! Такая ситуация может возникать при нагрузке на сеть. Но мы постоянно занимаемся оптимизацией учитывая Ваши пожелания.
Кэширование на маршрутизаторе? А насколько это оправдано в современном интернете?
Что же касается сжатия: медиаконтент (картинки, видео) уже сжаты, ну а для остального контента должно быть включено gzip сжатие до наложения ssl.
Что же касается сжатия: медиаконтент (картинки, видео) уже сжаты, ну а для остального контента должно быть включено gzip сжатие до наложения ssl.
В моём случае раньше была экономия раза в два, сейчас где-то полтора. По-моему, как раз из-за https. Кеширование со сжатием не связано.
Так объясните, за счёт чего экономия? Как я понимаю, у вас схема: дорогой_интернет — маршрутизатор — компьютер.
Правильно ли я понимаю, что вы просто переопределяете настройки кэширования любых бинарных объектов (картинки, шрифты) таким образом, чтобы они кэшировались всегда?
Не знаю, как сейчас, но раньше эта проблема решалась гораздо проще, например, использованием браузера Opera с агрессивным кэшированием. Настолько агрессивным, что для корректного отображения картинок иногда приходилось обновлять страницу через Ctrl+F5.
Что же касается экономии трафика, то оптимальнее его минимизировать блокировщиками рекламы и скриптов.
Правильно ли я понимаю, что вы просто переопределяете настройки кэширования любых бинарных объектов (картинки, шрифты) таким образом, чтобы они кэшировались всегда?
Не знаю, как сейчас, но раньше эта проблема решалась гораздо проще, например, использованием браузера Opera с агрессивным кэшированием. Настолько агрессивным, что для корректного отображения картинок иногда приходилось обновлять страницу через Ctrl+F5.
Что же касается экономии трафика, то оптимальнее его минимизировать блокировщиками рекламы и скриптов.
А делать что-то на http, а что-то на https — бред.
Почему? Http, по крайней мере, всякими Opera Turbo ужимается.
А время жизни батарейки смартфона (притом не самой последней модели) как-то замеряли?
Что касается сниферинга и передачи паролей по открытой линии связи… Пароли могут и не передаваться (скажем, вебмастер запилил проверку логина через хеш на стороне клиента), но тема понятная, некрасиво оно. Пометка сайтов, как они сделают в январе, логична (только надо метить не по протоколу страницы с формой, а по протоколу адреса, на которую отправляется форма). А вот всех погнали на https — это уже перебор.
Кстати, вырезать их рекламу хочется еще и потому, что содержимое отдельных объявлений — «за гранью».
Что касается сниферинга и передачи паролей по открытой линии связи… Пароли могут и не передаваться (скажем, вебмастер запилил проверку логина через хеш на стороне клиента), но тема понятная, некрасиво оно. Пометка сайтов, как они сделают в январе, логична (только надо метить не по протоколу страницы с формой, а по протоколу адреса, на которую отправляется форма). А вот всех погнали на https — это уже перебор.
Кстати, вырезать их рекламу хочется еще и потому, что содержимое отдельных объявлений — «за гранью».
Кажется, нужно провести небольшой ликбез.
Затраты на шифрование ничтожно малы по сравнению с потреблением процессорного времени на отображение страницы.
Это спасёт от подсматривания оригинального пароля, но нисколько не поможет от подмены страниц и перехвата соединения (mitm).
Если страница с формой получена по HTTP, то ей заведомо нельзя доверять, потому что она может быть подправлена.
А время жизни батарейки смартфона (притом не самой последней модели) как-то замеряли?
Затраты на шифрование ничтожно малы по сравнению с потреблением процессорного времени на отображение страницы.
Пароли могут и не передаваться (скажем, вебмастер запилил проверку логина через хеш на стороне клиента), но тема понятная, некрасиво оно.
Это спасёт от подсматривания оригинального пароля, но нисколько не поможет от подмены страниц и перехвата соединения (mitm).
только надо метить не по протоколу страницы с формой, а по протоколу адреса, на которую отправляется форма
Если страница с формой получена по HTTP, то ей заведомо нельзя доверять, потому что она может быть подправлена.
Так может не надо спасать тех, кто спасения не просит? Я понимаю, что это работа для Супермена, а тот не спрашивал, кого спасти, но все же.
Статический сайт можно, конечно, модифицировать «по пути». Но, положа руку на сердце, столько лет статические сайты работали и жили отлично, что случилось-то?
А что телефон садится быстрее, так это я глазами видел и замерял. Не в пару раз, но на заметные проценты батарея высаживается. Ну и при плохом интернете не-TLS как-то более вероятно, что долетит (и отобразится у клиента) быстрее.
Статический сайт можно, конечно, модифицировать «по пути». Но, положа руку на сердце, столько лет статические сайты работали и жили отлично, что случилось-то?
А что телефон садится быстрее, так это я глазами видел и замерял. Не в пару раз, но на заметные проценты батарея высаживается. Ну и при плохом интернете не-TLS как-то более вероятно, что долетит (и отобразится у клиента) быстрее.
Если в библиотеке или энциклопедии есть личный кабинет или какие-то другие формы с личной информацией, то они должны быть за https.
А если сайт полностью статический? Разрешите ему быть на http, или обязательно https?
Надо помочь Microsoft избавиться от XP — вывесили плашку «Больше обновляться не будет», надо помочь Microsoft продать десятку — обрубили выпуск драйверов для Gen7 под 7/8, надо избавиться от фильтрования/модификации рекламы провайдерами — навязывают https/http/2+ssl only.
Это уже даже не наглость, а беспринципность пополам с лицемерием — прикрываясь заботой, в добровольно-принудительном порядке навязывать пользователям, что им делать, ради личной выгоды.
Это уже даже не наглость, а беспринципность пополам с лицемерием — прикрываясь заботой, в добровольно-принудительном порядке навязывать пользователям, что им делать, ради личной выгоды.
HTTP ещё опаснее чем может показаться. Проблема не только в сохранности данных: посредник может изменять страницу, и включать в неё эксплойты, т.о. каждая открытая по HTTP страница — это риск заразить свой ПК чем угодно. Если везде HTTPS, то заражения через браузер можно избежать просто не посещая всякие подозрительные сайты.
А посредником стать несложно — любой wi-fi может потенциально быть вайфаем злоумышленника. (И даже ваш!).
А посредником стать несложно — любой wi-fi может потенциально быть вайфаем злоумышленника. (И даже ваш!).
Ваша голосовалка не полна.
«Да, я не люблю когда мой трафик может поправить кто угодно». И вставить, например, javascript для майнинга биткойнов или рекламные кнопки, как это делает билайн.
«Да, я не люблю когда мой трафик может поправить кто угодно». И вставить, например, javascript для майнинга биткойнов или рекламные кнопки, как это делает билайн.
И какой смысл после этого от «пакета Яровой»? Зачем хранить трафик который зашифрован?
Почему сертификаты нельзя продлить?
Почему нельзя подписывать сайты своими же сертификатами OpenSSL (чтобы каждый браузер не писал что это не безопасно)?
Почему Goolge их сам не выдает каждому добавившему сайт в Search Console?
Почему нельзя подписывать сайты своими же сертификатами OpenSSL (чтобы каждый браузер не писал что это не безопасно)?
Почему Goolge их сам не выдает каждому добавившему сайт в Search Console?
Организации хотят больше зарабатывать на постоянных продажах сертификатов. Судя по тому, сколько в мире сайтов, кусок не просто лакомый, а просто гиперлакомый. Всем точно https не нужен.
Позиция Google ясна, хорошо что заранее предупредили о сроках и дали время заинтересованным лицам перейти на HTTPS.
К слову, StartSSL начал выдавать до 10 бесплатных доменов (буквально на прошлой неделе выдавал не более пяти) от 1 до 3 лет — прекрасный шанс наконец-то подключить SSL. Бесплатно.
К слову, StartSSL начал выдавать до 10 бесплатных доменов (буквально на прошлой неделе выдавал не более пяти) от 1 до 3 лет — прекрасный шанс наконец-то подключить SSL. Бесплатно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Chrome начнёт помечать небезопасными страницы, открытые по HTTP