Pull to refresh

Comments 595

Потому что в 2022 году это делается совершенно бесплатно одним флажком в панели хостера или 10 строчками в nginx, смотря что там у вас.

/thread

Простота этого действия может объяснить причину, но не цель. Ну например, "Мы хотим, чтобы наш сайт был безопасным" . Очень многие вещи в современном мире делаются легко, но всё равно требуют какой-то мотивации.

Нежелание видеть на своём ресурсе несогласованную рекламу от %isp_name% с функцией снятия денег в один клик, а так же предупреждение возможной кражи паролей им же (или кем-то посередине, вроде перенаправившего ваш трафик на свою версию сайта зловредный сосед / майора по середине) является достаточной мотивацией?

А вопрос то хорош. Что именно в статично формируемом json файле с погодой секретного? Отчего тут надо защищаться?

Вообще, в таких данных может идти местоположение, а так и потихоньку можно отслеживать положение человека, если жсон регулярно просит мобильное приложение, передавая данные gps. Это что я с головы только придумал.

Плюс давно на хабре была история, как у человека jquery.min.js заменился рекламой мегафона. Надо ли говорить, что может прилететь подпорченная версия либы (хотя сейчас фронт чаще через npm билдится).

И от кого тут https защитит? У опсоса и так есть достаточно точные данные, майор их спросит у опсоса. От кого вы защитились?

От всех, кто будет между опсосом и сервачком с погодой. Никто же не гарантирует, что там прекрасные сети, которые ну вообще никто не рассматривает под лупой.

Через них проходит столько трафика, что либо конкретно на вас им плевать, либо там снова майор.

Так лохов и не стригут больше по одному — времена нонче не те.
Таперича их стригут сразу тысячами-миллионами.

За вашей дочкой следит маньяк. Он узнал пароль от вашего домашнего вайфая, активировал точку с таким же SID и паролем, подменил сайт с прогнозом погоды и теперь следит незаметно. На самом деле сценарии есть.
С другой стороны никто вроде http не отменял. То что на него ругаются популярные браузеры… ну так их типичный клиент не в состоянии сам понять, где https точно нужен, так что пусть лучше везде ругаются.
Я, честно говоря, не против дать маньяку возможность следить за моей дочкой, если он способен на атаку MiM. Столь профессиональный и целеустремлённый хакер в семье не помешает. В конце-концов, https от него и не поможет — сделает фишинговый сайт погоды, получит для него сертификат от Let's Encrypt, и настроит втихаря редирект на него, никто и не заметит подмены.
А если серьёзно, меры безопасности должны соответствовать ценности данных. Службам, которые не обладают никакими там личными кабинетами, регистрациями и вообще чем-либо, где пользователь оставляет какую-то свою информацию, HTTPS действительно не нужен.

Злоумышленник может подрисовать фейковый личный кабинет с регистрацией и вынудить пользователя оставить информацию

Если у него есть такая техническая возможность подменить трафик между вами и ресурсом, https от него никак не защитит — он вам может весь сайт целиком подменить, вместе с доменом и сертификатом. Причём он будет делать не совершенно нелепый хак «вставить на сайт регистрацию, которой никогда там не было, и убедить пользователя ввести там свои какие-то важные личные данные», а подменит кабинет, например, банка.

Подменённый сертификат будет отклонён браузером, а подменить домен в принципе нет никакой технической возможности

Подменённый сертификат будет отклонён браузером, а подменить домен в принципе нет никакой технической возможности

Ну как это нет? Домен идёт в нешифрованной части заголовка. Перехватил первый же запрос к целевому сайту, вернул в ответ на него 301 редирект на фишинговый сайт с визуально похожим доменом, и с валидным сертификатом на этот домен. И всё будет прекрасно работать для куда большего количества пользователей, чем тех, которые вдруг внезапно захотят зарегистрироваться на сайте прогноза погоды.
Перехватил первый же запрос к целевому сайту

Или не перехватил, потому что домен находится в HSTS Preload List. Это во-первых, а во-вторых — а вы уверены, что первый же запрос будет выполнен именно в подконтрольной злоумышленнику сети? Я вот не уверен. А если первому запросу повезёт пройти в безопасной сети, то дальнейшую защиту в сетях со злоумышленниками уже обеспечит всё тот же HSTS

Или не перехватил, потому что домен находится в HSTS Preload List. Это во-первых, а во-вторых — а вы уверены, что первый же запрос будет выполнен именно в подконтрольной злоумышленнику сети?

Я лишь в одном уверен — что вероятность, целесообразность и реализуемость подобной атаки на сайтах с коммерческой/приватной информацией многократно выше, чем искажение HTTP-трафика на сугубо информационных сайтах в каких-либо злонамеренных целях, кроме вставки рекламы некоторыми сумасшедшими провайдерами. Поэтому смысла борьбы с HTTP-трафиком везде и всегда я не вижу.

И обе эти вероятности можно свести к полному нулю, если администратор сайта хотя бы немного пошевелится. Зачем осознанно снижать безопасность, если защита делается легко и дёшево?


(Впрочем, остаётся проблема доверия центрам сертификации, но это уже другая история)

Перехватил первый же запрос к целевому сайту

По httpS (это если там tls v1.2, с 1.3 уже не сработает), и…


вернул в ответ на него 301 редирект

по простому http? И браузер проглотит такую смену протокола вообще без согласования?

По httpS

А вот не факт, здесь DrPass прав в том, что такая атака теоретически возможна. Злоумышленник может заблокировать первый https-запрос, и тогда по умолчанию браузер подумает, что https на сайте не настроен, и откатится на выполнение http-запроса, который будет радостно перехвачен злоумышленником. Поэтому надо или принудительно запрещать http на уровне браузера, или добавлять сайт в тот самый HSTS Preload List

Что снова аргумент в пользу текущего поведения, а не против…

Отката с HTTPS на голый HTTP не бывает. Такой откат полностью подрывает безопасность.

Очень даже бывает, иначе все HTTP-сайты тупо перестанут открываться.

Введите в адресную строку, например, тот же самый 192.168.1.1 для доступа к вашему роутеру и проследите, какие запросы будет отправлять браузер (спойлер: сперва попытается HTTPS, не осилит и откатится на HTTP).

сперва попытается HTTPS

Нет.

sudo tcpdump -i any -n host 192.168.1.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
14:29:54.580442 IP 192.168.2.101.48252 > 192.168.1.1.80: Flags [S], seq 2918243634, win 64240, options [mss 1460,sackOK,TS val 3805508699 ecr 0,nop,wscale 7], length 0

Странно, ещё 11 июня я этим же самым способом наблюдал обращения к порту 443 (иначе бы я не писал свои комментарии так уверенно), а сегодня сам воспроизвести не могу…
Нашу переписку разработчики хрома почитали и выкатили патч :)
Думаю, со временем от открытия HTTP-версии сайта по умолчанию откажутся. Если сайт не доступен по HTTPS, пользователю нужно будет явно согласиться с тем, что он хочет на незащищённую версию. Такой режим в браузерах уже есть, просто он не включён по умолчанию.

Если только на домене нет HSTS и ранее на него не было заходов

Чтобы первый запрос не ушёл по голому HTTP, можно создать DNS-запись HTTPS, через которую можно настроить первое обращение даже через QUIC (HTTP/3). Там же можно настроить Encrypted ClientHello, который позволяет скрыть хост и почти всю служебную информацию при установке TLS-соединения. Ну и чтобы сам DNS-трафик не перехватывали и подменяли, в браузерах есть DNS-over-HTTPS.

Перехватил первый же запрос к целевому сайту, вернул в ответ на него 301 редирект

Браузер в этом месте должен вывести сначала invalid certificate, а уже потом, после accept risk and continue - обработать редирект.

Боюсь, что если он оказался в зоне досягаемости вайфая, то сайт погоды уже тут погоды не сделает.

я уже видел майнеры в виде джаваскрипта. Думаю, легко подкидывать его в случае контроля над каналом в незашифрованный трафик

да дело в том, что если вы заходите на сайт с https, то провайдер знает только домен сайта, ip-адрес сайта, тип протокола, версия протокола, порт, размер пакета. Но содержание сайта провайдер может узнать, только если поставить MITM-сертификат от самого опсоса, с помощью которого провайдер расшифрует весь трафик с этого сайта. В том числе пароли. А такими сайтами могут не только банки, но и почта, поисковики, соцсети, мессенджеры и т.д., онлайн-магазины, даже какой-нибудь форум(неважно, на какую тематику), может требовать авторизации(то есть ввод логина и пароля для входа на сайт). HTTPS без mitm-сертификата невозможно расшифровать, можно узнать только то, что я написал в первом предложении. Остальное- недоступно.

Мы обсуждали случай статических сайтов с погодой безо всяких паролей, банков и почт.

1) ну с сайтами погоды все ясно. Кроме GPS и IP-адреса компьютера опсос ничего не узнает. Только если вы зашли на какой-то сайт погоды, где есть возможность авторизации и входа в аккаунт(например, Яндекс.Погода и т.д.). Тогда уже опсос узнает не только саму погоду, но и пароль от аккаунта в этом сервисе.

2) Провайдеры часто подменяют код сайтов и вставляют свою рекламу, даже на сайты погоды. Потому что с http провайдеру доступен код сайта, а значит он может внести какие-то изменения в этот код. Никто же не хочет видеть в каком-нибудь "Гисметео", AccuWeather, Яндекс.Погоде и т.д. рекламу, которую вставил Ростелеком, Акадо.Телеком, Дом.ру, Мегафон, Билайн, МТС, МГТС, Skynet или другой провайдер. От любого провайдера в принципе, не только от выше перечисленных. От этого страдают владельцы самих сайтов, которые показывают погоду. И не только о сайтах погоды речь. О любых сайтах речь идет. Владельцы сайтов теряют доходы, потому что на сайте есть реклама, которую они не вставляли. Ведь есть реклама, на которой зарабатывает не сайт, а провайдеру денежка уходит за такую рекламу. P.S. я могу быть в чем-то неправ, можете поправить меня, если я что-то недопонимаю.

Это тоже. Когда мобильному опсосу(и провайдеру фиксированной связи, не важно) доступен весь код любого сайта с http, то он что хочет, то и делает с ним. И сайт ломается.

Владельцы сайтов теряют доходы, потому что на сайте есть реклама, которую они не вставляли. Ведь есть реклама, на которой зарабатывает не сайт, а провайдеру денежка уходит за такую рекламу.

Ну вот я владелец такого сайта, который доступен по HTTP. У меня на сайте принципиально нет рекламы (и джаваскрипта на всех страницах, кроме одной, с живыми результатами бенчмарков). И мне, если честно, абсолютно плевать на денежки, которые получит кто-то ещё.

Ага, а ещё в реальном мире этот «кто-то ещё» получит не только денежки, но и ворох жалоб от пользователей с самыми разными последствиями — от оттока клиентов и попадания на отрицательные отзывы, до предписания регулятора (типа пресловутого Роскомнадзора) устранить нарушение.
В нынешних условиях если это ещё не нарушение, то оно быстро станет таковым: любое нынешнее государство рабо будет продемонстрировать таким образом заботу о своих гражданах: и для бюджета не обременительно, и всем понравится.

То есть, чем больше самоубийц хттп-сайтов, тем меньше паразитной рекламы в трафике?

Для вывода нудна статистика, у меня ее нет, как и желания искать.
Кроме того, есть вопрос, что считать паразитной рекламой. Для меня паразитной рекламой является любая реклама на сайте. Впрочем, я часто ее просто не вижу из-за постоянно развивающейся баннерной слепоты.
И думаю, со мной тут согласятся и сами рекламодатели: CTR от меня равен нулю, исключая разве что случайные промахи мышкой. Ну, а в воронку продаж я этим путем вообще не попадаю.

А если кто-то встроит майнер? Или фишинговую ссылку? Или какой-нибудь вредонос, который эксплуатирует уязвимости браузера?

Ну, увы, щито поделать. https-версия сайта у меня тоже есть, но она не обязательна.

Вы просматривали погоду все время в LA, а теперь заинтересовались погодой в Whistler на конкретные даты.
Что из этого следует?


А потом вы зашли на другой сайт, на котором у вас тоже нет личного кабинета. И засветили авиакомпанию, визы и загранпаспорта. UPD: И мыло до кучи.


статических сайтов

Вы серьезно не понимаете, что в недоверенной среде (а http — это оно и есть) статический сайт станет динамическим в вашем браузере?
Вот уж от вас не ожидал.

Что из этого следует?

Скорее всего — что мне интересно, как будут у моего знакомого дела в этом городе.


И засветили авиакомпанию, визы и загранпаспорта.

Блин, у меня наконец-то появился загран, ура!


Вы серьезно не понимаете, что в недоверенной среде (а http — это оно и есть) статический сайт станет динамическим в вашем браузере?
Вот уж от вас не ожидал.

У вас какие-то опсосы курильщика, чините причину, а не симптомоы.


У меня опсосы не подставляют рекламу в статические сайты. А вот электронная читалка, которую я купил в 2015-м и которая уже лет пять не получала апдейты, некоторые HTTPS-сайты открывать не может. Хотя по процессору-памяти, состоянию аккумулятора, и так далее — вполне себе нормальная железка.

У меня опсосы не подставляют рекламу в статические сайты. А вот электронная читалка, которую я купил в 2015-м и которая уже лет пять не получала апдейты, некоторые HTTPS-сайты открывать не может. Хотя по процессору-памяти, состоянию аккумулятора, и так далее — вполне себе нормальная железка.

и что? Windows XP тоже отправили на свалку истории. Это же хорошо даже.

То есть, мне надо выкинуть читалку и купить новую, чтобы читать блог какого-нибудь программиста, потому, что… почему?


А Windows XP, например, моя мать спокойно пользуется в виртуалке, потому что только под ней работает 1C 7.7. Зачем именно 7.7, правда, я не знаю, наверное, там с тех пор что-то новое выпустили.

То есть, мне надо выкинуть читалку и купить новую, чтобы читать блог какого-нибудь программиста, потому, что… почему?

вообще-то да. У каждого устройства есть расчетный срок службы. То, что ты его превысил - ну, молодец. Бережное использование техники. Но ты же не ноешь, что не можешь на андроид образца поколения анроид 2.xx установить свежую прошивку и программы из плей маркета? Это твой личный выбор - использовать устаревшее оборудование и страдать. Либо придумай его использование, которое позволит не пользоваться этим функционалом. Или исправь эту железку... или время настоящих хакеров прошло?

Меня лично тоже претит, что мы вынуждены выкидывать полностью работоспособное оборудование, только лишь потому что "пришло время". Но c'est la vie.

Так я всё равно не понял, почему. «Потому что железке уже 7 лет, надо выкидывать» — не аргумент.


Но ты же не ноешь, что не можешь на андроид образца поколения анроид 2.xx установить свежую прошивку и программы из плей маркета?

Не ною, потому что андроиды образца 2.хх идут года так из 2010-го, у них уже дохлое всё, мало памяти, пиксели видно, и так далее.


А вот когда на флагманский мобильник, купленный в 2017-м, тоже нельзя ничего устанавливать просто потому что, при его полной работоспособности и непротухшести железа, тогда я тоже начну ныть.


Или исправь эту железку… или время настоящих хакеров прошло?

Я лучше типчики поковыряю лишний раз, чем решать проблемы, которых не должно быть изначально.


Меня лично тоже претит, что мы вынуждены выкидывать полностью работоспособное оборудование, только лишь потому что "пришло время". Но c'est la vie.

Главное — при этом поаплодировать решению ЕС об унификации зарядных разъёмов.

Только вот по-хорошему, расчётный срок службы устройства должен определяться его физическим износом, а не устареванием софта. Иначе это получается отличный способ принуждения покупать новые устройства чаще. Ну или другое решение — ввести законодательное требование, что если разработчик прекращает поддержку ПО, он должен передавать его в свободный доступ, чтобы энтузиасты могли заниматься дальнейшим развитием самостоятельно.

Осталось ввести план по выявлению багов — не больше одного зеродея в год, сам зеродей должен быть не младше 12-ти лет.
Вот тогда заживем )))

У меня до сих пор есть работающий КПК от HP. Но он стал бесполезным, потому что не может подключиться к современным WiFi-сетям — те протоколы, которые он поддерживает признаны небезопасными.
Кто в данном случае виноват? MS, которая не внедрила в WinMobile 5 поддержку шифрования? Производители железа? Или современные требования безопасности?

По мне, лучше пожертвовать частью старых устройств в угоду безопасности, чем тащить на плечах легаси 15-20-летней давности.

Если мы считаем плохим провайдера, который подсовывает рекламу в http, то почему мы не можем считать плохим производителя, который прекратил поддержку своей железки, и не оставил возможности поддерживать её сообществу?

Во-первых, я не вижу связи двух частей импликации, поэтому позвольте выкинуть первую часть вашего вопроса, он ИМХО от этого не потеряет: «почему мы не можем считать плохим производителя, который прекратил поддержку своей железки, и не оставил возможности поддерживать её сообществу?»


Во-вторых, отвечая на ваш вопрос (в любой форме) — можем и считаем. Но, увы, альтернатив плохим производителям электронных читалок диагональю 10-13 дюймов существенно меньше, чем плохим провайдерам (включая других провайдеров или условный VPN).

То есть, раз производители курильщика бросают поддержку своих устройств, то надо не чинить причину, а лечить симптомы, везде открывая дорогу скрипткиддисам и шпионажу.


Какое удивительное двоемыслие, по сравнению с этим.


У вас какие-то опсосы курильщика, чините причину, а не симптомоы.

Это не двоемыслие, это сравнение двух интегралов. Один — интеграл по всем провайдерам и сложности обхода тех, которые лезут в http-трафик, другой — интеграл по всем читалкам.

Вы сейчас очень изящно (нет) опустили, во-первых, суть обсуждаемой меры и причины ее принятия (вместе с существованием скольки уже — четырех? шести? — миллиардов гораздо менее квалифицированных пользователей интернета).
Во-вторых, свой личный мотив, который уже заставил вас пойти на подмену (я купил устройство и его производитель забил на поддержку — это не я дурак, и не производитель мудак, это все условный Let's Encrypt виноват!).
В третьих, проигнорировали, уже не первый раз, то, что вмешиваться может не только провайдер, но и любой скрипт-кидди — о чем этот сказал уже не раз, в том числе в предыдущем сообщении.


Знали бы вы, как это утомительно — разочаровываться в людях…

вместе с существованием скольки уже — четырех? шести? — миллиардов гораздо менее квалифицированных пользователей интернета

Начните уже, наконец, требовать права на управление техническим средством повышенной опасности, раз компьютеры так опасны. С автомобилями же требуют, и никто от таких требований не умер.


Кто не сдал — тому пусть выдают планшет, где он сможет ходить на https://ru.wikipedia.org, этого хватит.


Во-вторых, свой личный мотив, который уже заставил вас пойти на подмену

На подмену чего? Давайте конкретно, по пунктам.


я купил устройство и его производитель забил на поддержку — это не я дурак, и не производитель мудак, это все условный Let's Encrypt виноват

Мне откровенно не нравится, когда люди начинают подменять тезисы. Вдвойне мне не нравится, когда они при этом меня в чём-то обвиняют. Втройне — когда они вроде как при этом сами косплеят разоблачателей когнитивных искажений.


Сможете найти, где я писал, что Let's Encrypt виноват? Гарантируете, что не сможете найти на этой странице среди моих комментов упоминания того, что такие производители — мудаки нехорошие?


Правильные ответы — «нет» и «нет» соответственно. Поэтому у вас прямая подмена и ложь, и вы либо делаете это специально (и тогда вы не очень хороший этически человек), либо случайно (и тогда вы просто идиот неквалифицированный пользователь логики).


В третьих, проигнорировали, уже не первый раз, то, что вмешиваться может не только провайдер, но и любой скрипт-кидди — о чем этот сказал уже не раз, в том числе в предыдущем сообщении.

Вы там как, всё своё ПО уже на идрисе переписали? Если нет, то почему?


Я это не проигнорировал. Я просто не считаю, что это моя головная боль или зона ответственности. Вместо этого моя головная боль — обеспечение максимальной доступности контента, который я произвожу, и поэтому у моего сайта есть и http-, и https-версия (а ещё его можно открыть в опере 12 и internet explorer 5.5 без существенной потери функциональности).


Знали бы вы, как это утомительно — разочаровываться в людях…

А вы сразу во всех разочаруйтесь, и тогда проблем не будет. Рекомендую.

На подмену чего? Давайте конкретно, по пунктам.

Собственно, выжимку вы сами же процитировали абзацем ниже.


Мне откровенно не нравится …

Простите, а как вы умудрились ниже проигнорировать условный Let's Encrypt и сделать из этого далеко идущие выводы?
Если это было сделано по невнимательности, то, может, вы и в другом тоже можете быть невнимательны, а вина каджита в том, что он посмел заметить явные несоответствия и логические дыры и указать на них?
Если же намеренно, то это уже фарс.


В любом случае, остальные выводы в цепочке после компрометации первого оказываются ложными.

Простите, а как вы умудрились ниже проигнорировать условный Let's Encrypt и сделать из этого далеко идущие выводы?

Let's Encrypt в вашем тексте выступает в качестве плейсхолдера для некоего множества сущностей.


Соответственно, дальше либо вы не находите, где я обзывал кого-либо из этого множества нехорошими словами, и моё утверждение автоматически в силе, либо вы таки что-то находите, и мы обсуждаем, попадает ли найденное вами в множество «условный Let's Encrypt» (и даже в этом случае я уверен, что либо ваше построение множества неверно, либо вы такого не найдёте).


Ленивые вычисления, ёмана.

 который прекратил поддержку своей железки, и не оставил возможности поддерживать её сообществу?

потому что пользователь сам покупает дешевую железку. Какой-нибудь условный oppo или digma. В этом случае странно пенять на производителя. Получено ровно столько, за сколько уплачено. А вот ситуация, когда так делают производители первого эшелона... типа самсунга и sony... хотя, wait, oh, sh~~~ Apple же так не делает... У них поддержка и старых телефонов есть.

Ну, и ответьте на свой вопрос по-другому - готовы ли Вы переплатить за телефон х2-х3-х4, если его поддержка будет продлена на 5 лет?

потому что пользователь сам покупает дешевую железку.

Я готов купить дорогую (собсна, текущая читалка стоит 750 баксов — куда уже дороже?). Только вот какую? Max 2, купленную в 2019-м, тоже уже перестали поддерживать, последний апдейт был прошлым летом. Выйдет какой-нибудь TLS 1.4, потом пяток версий хроме, и всё, приплыли.


Apple же так не делает...

Apple и читалки не делает.

Выглядит интересно. Только:


  1. Экран 10 дюймов, а не 13.
  2. Сейчас на неё только предзаказ. При этом по характеристикам она не особо отличается от железки из 2019-го: те же 16 оттенков серого, сходный PPI. Ну проц и память там какие-то стоят, это несущественно. А вот насколько качественный дисплей — хрен его знает, «e-paper», и всё тут.
  3. Это не просто предзаказ, а предзаказ для разработчиков. «At present time, there is no default OS for the PineNote.», ага. Не, сорьки, я хочу с читалки читать книжки и интернеты, а не заниматься разработкой.
  4. Сколько она будет поддерживаться? На cosmo communicator, который у меня есть, тоже обещался линукс, а в итоге мобильник из него под линуксом так и не получился.

Экран там реально хорош. (щупал у одного товарища у нас в хакспейсе) Но да, пока только предзаказ для разрабов. А с поддержкой у пайновцев, всё более чем хорошо. Как заявляют, так и есть.

Max 2, купленную в 2019-м, тоже уже перестали поддерживать, последний апдейт был прошлым летом. Выйдет какой-нибудь TLS 1.4, потом пяток версий хроме, и всё, приплыли.
Не надо преувеличивать. Современный Chrome поддерживает Android 6+, который стоит на устройствах 7-8 летней давности. Вместе с собой он тащит поддержку новых протоколов и в том числе и свежие сертификаты. Firefox делает так же.

До сих пор актуальный TLS 1.2 доступен нативно даже в древней Windows 7. Когда открываешь HTTPS-сайты в IE11, они обычно ломаются не из-за слишком нового TLS, а из-за совершенно других вещей, потому что мир не стоит на месте, и ожидать, что современные сайты будут нормально работать в древних браузерах как-то странно.

Это всё очень круто, но проблема в том, что современный chrome и firefox не имеет встроенных костылей для eink-экранов, и встроенный браузер со специальными патчами выглядит сильно лучше.

У айпада не еинк-экран, он бликует на солнце, он выжрет батарею сильно быстрее, чем читалка, там невозможно листать страницы кнопками, ну и лично я нахожу ай-устройства неюзабельными для себя лично.

Я же правильно понимаю что у iPad'ов теперь трансфлективный дисплей или что то вроде SR-NLT(комбинация транслфективного и нормального)? (Иначе КАК они он будет нормально работать под ярким солнцем? за счет дикой мощности подсветки? И сколько батарея выдержит?)


Для того что называют читалкой а не планшетом — возможность под светом работать — важна, в том числе за то их и любят.

Ну вы попробуйте просто. Да, мощная подсветка. Нет, не знаю сколько выдержит батарея — точно дольше, чем моего терпения хватает для чтения «на пляже».

Справедливости ради — это единственное применение айпада, которое я нашел.

Уже пробовалось. Не достаточно. Хотя какой конкретно iPad в вашем случае был?

Если мы считаем плохим провайдера, который подсовывает рекламу в http, то почему мы не можем считать плохим производителя, который прекратил поддержку своей железки, и не оставил возможности поддерживать её сообществу?

Как мне сдаётся, есть колоссальная разница между «лезет ко мне без спроса на мой личный компьютер» и «не согласился подарить обществу свои собственные разработки после того, как они перестали приносить ему прибыль». Я не вижу во втором ничего предосудительного, осуждать за такое — это все равно что осуждать вас за то, что вы, после того, как перестали носить какую-то одежду, положили её в шкаф, а не постирали её хорошенько, прогладили, упаковали и отдали нуждающимся. Да, если отдали — молодец. Но если не отдали, ничего страшного, ваше право.

Можно установить прокси сервер который будет соединятся с сайтом по https а с читалкой общатся на http.

Ну, вот у меня в сети есть сервер 2012 года выпуска, в web-морду удалённого управления к которому я не могу попасть со своего компьютера - приходится ходить с виртуалки под XP, т.к. в современных браузерах...

ошибка:

Кажется вам пора обновить ваш сервер. В нем дыр на любой вкус уже есть наверняка. С готовыми эксплойтами.

Сервер, если бы вы глянули на скриншот, находится в локалке (192.168.1.х) и, видимо, используется для локальных нужд.

Автору надо убить пару суток, чтобы там все перелопатить ради «безопасности»? Или все-таки реальная безопасность обеспечивается тем, что это локальная сеть с ограниченным доступом?

Вы в курсе что JS прямо с этой странички может отправить запрос на тот сервер?

Пора забыть все эти глупости что NAT хоть от чего-то защищает.

JS? Вы про Cross-origin policy слыхали? Чтобы провзаимодействовать с внутренним ресурсом, нужны довольно специфические условия.

А как он по вашему должен помочь в этом случае?

Вы про Cross-origin policy слыхали?

Для некоторых GET и POST запросов проверка cross-origin выполняется после отправки запроса — по заголовкам из пришедшего ответа. И если этот запрос проэксплуатирует какой-нибудь выход за пределы какого-нибудь буфера — провал проверки Cross-origin уже не будет иметь никакого значения.

Немножко вник в детали реализации — да, действительно так :(
Хотя для успеха подобной атаки, конечно, должно сойтись много звезд, но тем не менее.
«Естественно, в том случае, если веб-интерфейс роутера доступен снаружи, чего в нормальных условиях происходить не должно.» (из статьи по первой ссылке)

Дальше не читал. Да, железяки с прямым IP должны обновляться.
Вообще-то — стоило бы почитать: там нет ничего технически сложного, а представление о нынешнем больном состоянии экосистемы интернета дает.
PS У меня по этой и другим подобным причине браузер живет на виртуалке, с которой доступа к любым хостам в локалке нет.
PPS Кстати, такая атака, если она неприцельная (то есть, вы — типа того Неуловимого Джо), несложно палится довольно простым мониторингом DNS.

Парадоксально - багфиксы к фирмварям всех компонентов выходят регулярно, последний - от февраля этого года, но вот обновлений к аналогу iLO (это не более привычный мне HP, но функционально весьма близкое поделие) - нет. Понятно, что тот, кто его закупал в дальний регион сам себе злобный Буратино, так как сэкономил пару сотен долларов на брэнде (и уровне поддержки), но эксплуатировать приходится и 10 лет спустя, т.к. со своими задачами железка справляется, а лишних полутора миллионов в бюджет не заложено.

Это чудесным образом напоминает диалог с ковид-диссидентами:


— Вирус гнездится в слизистой, поэтому иммунная система не увидит его, пока он или продукты его распада не попадут в ткани. Это значит, что человек становится заразным до того, как почувствует недомогание — токсикоз от продуктов распада или реакцию иммунитета. Маска защищает окружающих от твоих выдыхаемых капель, полных вирусных частиц.
— Зачем мне носить маску, если я не болею?

TL;DR

Если что-то не укладывается в лично ваш паттерн, то миллиарды более обычных людей — на ура укладываются.
Не стоит заниматься верованием в справедливый мир и генерализировать единичный случай на всю популяцию. Тем более не стоит на основании этого демонстрировать selection bias, который виден вот тут:


электронная читалка, которую я купил в 2015-м и которая уже лет пять не получала апдейты, некоторые HTTPS-сайты открывать не может

Вас ведь никто не заставлял покупать устройство с ограниченным сроком поддержки, так ведь? Моргните левым глазом дважды, если это не так.


Впрочем, полгода назад каджит об этом вам уже говорил. Видимо, бесполезно.


Скорее всего — что мне интересно, как будут у моего знакомого дела в этом городе.

Если есть корреляция с происшествиями, то возможно. Но обычно это означает отпуск. Что выдает сразу периоды вашего возможного отсутствия, количество денег, которые вы готовы потратить на отдых (люди, как правило, готовы довольно легко расстаться с некоторыми дополнительными деньгами в отпускной период — и более активно реагируют на рекламу).


Блин, у меня наконец-то появился загран, ура!

Подставьте любой другой документ, без которого вас не пропустит таможенный контроль и который можно использовать в качестве посадочного талона.


чините причину

Именно это и сделано: небезопасный протокол, позволяющий любому на пути траффика (а это, внезапно, не только опсос и владелец вашего сайта, но и множество персонала, так или иначе имеющего доступ к траффику и/или возможность поснифать вас ваш plain http голышом пока вы так уверены в своей защищенности: подменные точки доступа, script-kiddie neighbour, dns spoofer в локальной сети провайдера, штатные отчеты кальмара на столе директора по развитию, name them all by yourself)


Единичная утечка мало что даст, да.
А вот постоянное наблюдение вкупе с принципиальным нежеланием ему противодействовать…


Но давайте посмотрим, что можно выжать из этого дальше.


Вот вы весь такой красивый, истово верующий в собственную непогрешимость и не уфакапливаемость, заказываете билеты через сайт, соответствующий вашим религиозным воззрениям: без скриптов, чисто на формах, фреймах и, может быть, немного css.
Как вы думаете, что может пойти так?
А примерно вот что:
Ваш номер телефона и мыло (для информирования, очень полезная штука ;) ) сканы или текстовое представление подтверждающих личность документов (какая вкуснота), информация о брони, если агрегатор/авиаперевозчик заботливо предоставит возможность снять номер не отходя от кассы (а это уже местонахождение и время).
Если вы летите не один, то заодно в не те руки попадут данные вашей семьи/друзей. Пока еще ничего фатального, верно?


Или таки нет? Примерно такой сценарий реалистичен для обычного человека.
Секретный вопрос на мыле подобран так, что его знаете только вы и ваша семья, ну еще несколько близких в то время людей, которые уже не вспомнят об этом.
Вы сами забыли его, и ответ на него, но немедленно вспомните, когда его зададут, потому что это имя вашей любимой кошки, трагически умершей за несколько дней до регистрации вами первого почтового ящика.
Прошло уже двадцать лет, вы забыли о том событии, оно вымылось из памяти, заслонилось другими перипетиями и заботами. Однажды вы решили завести новую кошку, и память услужливо подсунула имя. Кошка послушна, спокойна, привита и чипирована (значит есть ветпаспорт), и вы без тени сомнения берете ее с собой.
Каким будет один из документов, добровольно переданный вами по открытым каналам вместе с мылом? )


Pwned!

Только это не предложение носить маски, это ровно ваше осуждение моих оценок риска от моей стратегии самоизоляции по причинам уровня «а вдруг завтра ковид начнёт распространяться с насекомыми». Если вы не помните, вы что-то подобное мне сами лично заявляли.


Диалог, кстати, куда более осмысленнен, чем вы считаете, потому что по факту ковид-диссидент спрашивает у ковидобеса (или какая там правильная обзывалка для тех, кто на другой стороне спектра — я всё время путаюсь), каково матожидание количества людей, которых он заразит и которые не имеют возможности позаботиться о своём иммунитете. Для этого надо, упрощая, взять и перемножить сильно неединичную вероятность того, что он является асимптоматическим носителем (возможно, при условии, что он уже переболел и вакцинировался), на достаточно неединичную вероятность передачи вируса (при отсутствии долгих контактов с такими людьми, например), на вероятность встречи человека без вакцин и естественного иммунитета, который не может их себе поставить по медицинским причинам (которых просто мало в популяции, и может быть ещё меньше в кругу общения того человека), и может оказаться, что матожидание количества таких людей — скажем, 0.000001 в год. Вы больше людей покалечите на автодороге.


Поэтому вопрос о том, зачем носить маску, лично для меня неочевиден. И это (равно как и осуждение масочных мандатов) никак не противоречит тому, что я продолжаю самоизолироваться и не контактировать с людьми ИРЛ и сейчас именно ради нераспространения вируса (технически ­— ради выполнения своей части договора о нераспространении и неубийстве бабушек, желаемость которого озвучивалась в том числе и на хабре, и поддержания уровня нелюбви к людям, которые этим договором резко начали пренебрегать, как только это стало слишком неудобно, но это неважно).


Вот и с HTTPS для погоды или личного блога так же.


Если что-то не укладывается в лично ваш паттерн, то миллиарды более обычных людей — на ура укладываются.

Вы спрашивали про меня — я ответил про себя. Теперь вам это не нравится.


Вас ведь никто не заставлял покупать устройство с ограниченным сроком поддержки, так ведь? Моргните левым глазом дважды, если это не так.

Не заставляет. Но отсутствие альтернатив и потребность в наличии устройства из этого класса склоняет меня к этому выбору.


Но обычно это означает отпуск.

Но вы спрашивали про меня, а я в отпуска сижу дома и вообще предпочитаю брать их по одному дню.


Что выдает сразу периоды вашего возможного отсутствия, количество денег, которые вы готовы потратить на отдых (люди, как правило, готовы довольно легко расстаться с некоторыми дополнительными деньгами в отпускной период — и более активно реагируют на рекламу).

Я не против расстаться с деньгами по делу. На самом деле я встречался с рекламой, которая позволяла мне именно это — всякие там локальные митапы по интересным мне вещам (когда я ещё куда-то ходил), или те же новые музыкальные альбомы (которые я покупаю при возможности купить их напрямую у исполнителя на условных бандкампах).


Вот вы весь такой красивый, истово верующий в собственную непогрешимость и не уфакапливаемость, заказываете билеты через сайт, соответствующий вашим религиозным воззрениям: без скриптов, чисто на формах, фреймах и, может быть, немного css.

Заказывать я буду через HTTPS, конечно. Вы подменили тезис. Можно я дальше не буду читать?


И на наличие скриптов на чужих сайтах мне плевать (покуда они работают нормально и не жрут процессор или не глючат). Я просто не считаю их необходимыми на моём личном сайте.

каково матожидание количества людей, которых он заразит и которые не имеют возможности позаботиться о своём иммунитете.

А правильный ответ тут — «абсолютно не важно». Потому что даже если оно будет околонулевое, это не исключает вероятность того, что конкретно этот индивидуум станет началом цепочки заражений, в которой у кого-то будет смертельный исход. Маска — это не панацея от ковид, как https — не панацея от хакеров.
Но https статистически снижает вероятность взлома, и как верно заметил мой собеседник в другой ветке, в принципе, ничего не стоит для владельца сайта. Точно так же и маска, она статистически снижает распространение заболевания, и при этом точно так же ничего не стоит для её носителя. Поэтому их возражения, скажем так, не обоснованы.
Потому что даже если оно будет околонулевое, это не исключает вероятность того, что конкретно этот индивидуум станет началом цепочки заражений, в которой у кого-то будет смертельный исход.

Есть ненулевая вероятность, что вы на дороге сделаете маневр, который отвлечёт кого-то ещё и приведёт к цепочке столкновений.
Более того, есть ненулевая вероятность, что вы своим поведением отвлечёте водителя автобуса с аналогичным исходом.
Или есть ненулевая вероятность, что при общении в интернете вы стриггерите чью-то депрессию или иное расстройство, и он суициднется.


Что вы делаете со всеми этими вероятностями?


Но https статистически снижает вероятность взлома, и как верно заметил мой собеседник в другой ветке, в принципе, ничего не стоит для владельца сайта.

certbot (официально рекомендуемый) у меня отваливался существенно более одного раза после апгрейда питона — не мог модули найти, и так далее. Узнаёшь об этом по факту, когда за несколько дней до конца срока действия сертификата приходит письмо (и то хорошо).


Или, например, включать ли hsts? Насколько я понимаю, без него смысла в https особого нет — mitm оказывается существенно проще. Но с ним, например, я не мог бы просто, как позавчера, пересоздать виртуалку, когда старая сдохла (не спрашивайте) и просто rsync'ом залить туда свой статический сайт.


И https стоит что-то для тех посетителей сайта, которые заходят со старых железок, и у которых он не открывается.


Точно так же и маска, она статистически снижает распространение заболевания, и при этом точно так же ничего не стоит для её носителя.

Нет. Лично для меня — минут через 20-30 в маске у меня снижается работоспособность, начинает болеть голова, и так далее. Даже в условной бандане (которая нихрена не фильтрует и не помогает).


А у условных детей маски ассоциируются со снижениями успехов в обучении и в социальных навыках (но это даже хорошо в среднесрочной перспективе — меньше мне конкуренции лет через 20-30, так что это я всецело поддерживаю).

Нет, про маски был не личный выпад.
Вашу позицию мы уже обсуждали, где-то зимой.


Вот и с HTTPS для погоды или личного блога так же.

Пока вы продолжаете самоизолировать свой небезопасный блог внутри защищенного периметра — да.


Вы спрашивали про меня — я ответил про себя. Теперь вам это не нравится.

Генерализация. Каджиту не нравится генерализация.


Я не против расстаться с деньгами по делу.

В отсутствие финансового давления никто не против.
А как насчет навязывания? Да, конечно, вы наверняка ему не подвержены. Но посмотрите за окно. Там — уже семь миллиардов непохожих на вас (сюрприз!) людей. Чье существование, в свою очередь, позволяет существовать лично вам.
Ваш же пойнт в том, что личное неудобство >>> исполнения вашей части договора о нераспространении и неубийстве бабушек.
Нужно ли объяснять, почему, поддержка небезопасной среды, в конце концов, этих условных бабушек убивает? Механизм примерно таков же, как с тетраэтилсвинцом, если помните ту историю.


Заказывать я буду через HTTPS, конечно. Вы подменили тезис.

Замечательно. ВЫ. Генерализация, помните? Остальные — не будут.
Это не считая той мелочи, что если в угоду вам не будет повального https, то мы вернемся к ситуации лет 10 назад — и закажете вы через простой http, потому что всем плевать и вы это поощрили.


Я просто не считаю их необходимыми на моём личном сайте.

Вы считаете необходимым, чтобы вам их свободно мог повесить соседский мальчишка с Kali и aircracker-ng, или что пока лично с вами этого не случилось — то этого не может быть, потому что этого не может быть никогда?
Должно же что-то лежать под этим пофигизмом.

Вашу позицию мы уже обсуждали, где-то зимой.

Да, и вы куда-то пропали после предложения перейти к конкретным векторам атак.


Пока вы продолжаете самоизолировать свой небезопасный блог внутри защищенного периметра — да.

Только в данном случае ковидно-масочным аналогом будет запрет кому бы то ни было без прививки и маски находиться в окрестности моего дома, а я этого не делаю.


Генерализация. Каджиту не нравится генерализация.

Самое смешное, что при этом неявную генерализацию подразумевали вы, спрашивая у меня «а вот если вы то, а вот если сё» и подразумевая применимость ответов к генеральной совокупности. Кто тут ещё генерализацией занимается, короче.


Да, конечно, вы наверняка ему не подвержены.

Нет, подвержен, конечно. Только что посылку с магпуловской цацкой распаковал, хотя достаточно было бы и чего попроще.


Чье существование, в свою очередь, позволяет существовать лично вам.

Всех семи миллиардов?


Ваш же пойнт в том, что личное неудобство >>> исполнения вашей части договора о нераспространении и неубийстве бабушек.

Мой поинт в том, что люди — двуличные и лживые, и трындеть о своей защите бабушек в интернетах они готовы сто раз, а по факту получаем


Замечательно. ВЫ. Генерализация, помните?

См. выше. Задавайте изначально вопросы нормально, чтобы все ваши апелляции к большинству сразу было видно.


Это не считая той мелочи, что если в угоду вам не будет повального https, то мы вернемся к ситуации лет 10 назад — и закажете вы через простой http, потому что всем плевать и вы это поощрили.

Я и 10, и 15 лет назад заказывал через https, инфа соточка.


Должно же что-то лежать под этим пофигизмом.

Про головные боли и зоны ответственности я уже написал рядом.


Если соседский мальчишка с aircrack-ng может вклиниться в мой трафик, то https будет недостаточно, чтобы уберечься от всех угроз.

вы куда-то пропали после предложения перейти к конкретным векторам атак

А точно не перечислил несколько?
Не у всех есть время неделями спорить с анонимами в интернетах. Некоторым надо работать, а серьезные разговоры на замороченную голову не ведутся.


Давайте не будем добавлять к текущему недопониманию еще и ковидно-масочный срач, несмотря на определенные параллели.
Если желаете, можем детально разобрать в мессенджере (за бутылочкой чего-нибудь вкусного этому будет не по карману трансатлантик).


Задавайте изначально вопросы нормально, чтобы все ваши апелляции к большинству сразу было видно.

Давайте проясним очевидное.
Вы не один на планете.
Интернет-пользователей уже миллиарды.
У подавляющего большинства из них квалификация на порядки уступает квалификации любого IT'шника, даже если тот устанавливает npm-пакеты откуда попало и курлбашит.
Обсуждаемая мера затрагивает всех людей на планете.
Это не первая и не последняя мера за десятилетие, усиливающая защиту траффика.
И эти меры улучшают зашиту конечного неграмотного пользователя. Возможно, ненадолго, некоторые могут оказаться совсем неэффективны на поверку — но это типичная война меча и щита.


Из этого и возникает применимость ответов к генеральной совокупности.
Потому что речь идет о ней (совокупности) изначально.


Если по этим пунктам разногласий нет, то вам должно быть очевидно, что ваша позиция эмоциональна (а значит, не конструктивна) и смещена.
А значит, так же очевидно, что вас можно понять и посочувствовать… до определенных пор, пока вы не пытаетесь свести генеральную совокупность, о которой идет речь, к себе одному.


Я и 10, и 15 лет назад заказывал через https, инфа соточка.

Рад за вас. Но у нас, еще раз, изначальный вопрос поставлен о генеральной совокупности, а у вас — личный пример, которым вы пытаетесь контрить наглядную иллюстрацию.
И вариантов, что это, на выбор не много: демагогия, когнитивные искажения, жирный троллинг или просто непроходимая тупость.
Сложный выбор. Понимаете, почему в соседней ветке этот писал про разочарование?


Если соседский мальчишка с aircrack-ng может вклиниться в мой трафик, то https будет недостаточно, чтобы уберечься от всех угроз.

А кто-то обещал, что еще один уровень обороны даст защиту от всех угроз?
Плюньте ему в глаза.

> лет пять не получала апдейты

За сертфикаты сроком жизни в пару лет — отдельная сковородка в аду.

а сколько у них должен быть срок жизни, по-вашему?

бесконечный. Проблем от протухшего сертификата гораздо больше, чем от гипотетической смены владельца домена на злонамеренного.

Я аж поперхнулся от ваших слов. Дальше не продолжайте, пожалуйста

а почему нет?
почему для условной метеостанции я не могу сделать вечный сертификат? ну окажется, что через 20 лет можно будет подобрать приватный ключ на калькуляторе, ну и ладно.

почему для условной метеостанции я не могу сделать вечный сертификат?

потому что вечным он by design быть не может. Вы можете попробовать выпустить на 99999 лет или на 100 лет. Но хорошая практика выпускать сертификаты максимально часто - в пределе на одну сессию )))) но это уже совсем клиника. Можно ограничиться сертификатами с ежедневным выпуском. Касательно браузеров - я уже встречался с ситуацией, что современные браузеры реджектят сайты с сертификатами, выпущенными более, чем на два года.

Ну, и несомненный вопрос - а каким таким браузером через 20 лет Вы будете на метеостанцию заходить? А если уж так приспичило - ну, сделайте себе faketime, переведите часы на 20 лет назад - сертификат внезапно вдруг станет действительным... Или думаете, что это знание тоже станет чем-то вроже потерянных свитков египтян?

Домен протухает с вероятностью около 146% . Если проект заброшен, лучше пусть сначала протухает сертификат.

В железке и домена нет с вероятностью 148%. железка протухает вместе с activex/java .

> железке и домена нет

Да, это я сглупил
> 398 дней максимум.

Это просто кормушка, мне кажется. Как водительские права со сроком годности. Или загранпаспорт.

для кого? Учитывая, что сертификаты бесплатные для всех (LE). Или стоимость за последнее время для коммерческих сертификатов как будто и не изменилась (ну, да, вы не сможет теперь купить серт на два года И ЧТО?)

> коммерческих сертификатов как будто и не изменилась (ну, да, вы не сможет теперь купить серт на два года И ЧТО?)


Доходы коммерческой компании удваиваются, вот и всё. Были сертификаты раз в два года, стали раз в год.

Доходы коммерческой компании удваиваются, вот и всё. Были сертификаты раз в два года, стали раз в год.

нет. В лучшем случае увеличились на 30%, за счет отсутствия дисконта на "длинные" сертификаты. В реале - никак не изменились

купить — сможете.
цена как раньше будет x за год,
просто если раньше вам за 3x можно было получить сертификат на 3 года то тут — придется бесплатно перевыпускать каждый год.

Ну и зачем? Раньше можно было раз в 2 года возиться со сменой, а теперь в два раза чаще. Что это даёт кроме лишней траты времени?

Затем. Что куча людей забывают обновлять сертификаты спустя два года. Не поверите - любой крупный Энтерпрайз этим болеет, сколько бы отражённые процессы в нем не были.

Но выглядит обычно как. Сформировалась фича команда. Они активно начали разрабатывать. В какой-то момент выкатываются в прод. Они резервируют доменное имя feature.sberbank.ru. Выписывают на него двухлетний сертификат. Пользователи начинают пользоваться ресурсом. В какой-то момент продукт овнер (который серт заказывал у респектабельного УЦ) уходит в закат в другую компанию. Команда разработки тоже - кого-то распределяют на другие проекты, кто-то ротируется. В общем. Через два года уже никто в принципе не знает - где покупал, кто покупал. Не знают, что в принципе есть такой ассет. И обычно выясняется уже тогда, когда у пользователей случилась Жопа.

А теперь смотрите. Короткоживущие сертификаты эту проблему исправляют. Каким образом? А тем, что вам изначально приходится строить процесс грамотно - через автоматизацию выпуска этих гребаных сертов. Заодно идеально для них сделать мониторинг. И начать наконец-то вести учёт. Поверьте - с автоматизацией это делать существенно легче, чем если бы был бумажный журнал учета сертификатов. Понимаете? И на самом деле по чесноку если вы процессы отладили - вас уже глубоко все равно - выпускать сертификаты ежедневно, раз в три месяца или раз в год! Вы готовы к любому интервалу.

Никогда не натыкались на то, как LE сертификаты протухают? Я такое видел и не раз при серфинге. Да, как правило (если certbot не сломался совсем) оно само исправится в течении часа-суток, но все равно приятного мало, особенно если это раз в 3 месяца происходит.

А что делать с EV сертификатами? Или, скажем, если у человека shared хостинг?

Собственно в описанном вами случае при кровавый энтерпрайз такое может произойти и с LE — кто-то настроил, потом оно сломалось по той или иной причине, а тот кто делал уже ушел в другое место и никто не знает кто там чего и как настраивал. Проблема же не в сертификатах, а в процессах, выстроенных в компании.

Никогда не натыкались на то, как LE сертификаты протухают? Я такое видел и не раз при серфинге. Да, как правило (если certbot не сломался совсем) оно само исправится в течении часа-суток, но все равно приятного мало, особенно если это раз в 3 месяца происходит.

я думаю, что Вы сами понимаете, что это бред. Во-первых, LE работает так, что он заранее начинает обновлять сертификат. Не в последний момент времени, когда все уже пропало, а за недельку. Пробует. Один раз, второй раз. Третий. Если все хорошо - не дожидаясь окончания старого получаете новый. Если же что-то пошло не так - ну, в ручном режиме точно лучше не будет. Во-вторых, единственные две проблемы, которые тут могут быть - это или мы уперлись в лимиты LE, или у нас сертбот какой-то старой версии, ребята поменяли АПИ, а мы это даже и не заметили. То, что Вы говорите, больше похоже на то, что одноразово сертификат LE получили, а вот автообновление не настроили. Да, такое бывает. Но почему в этом тогда LE виноват? Я уж не говорю о том, что когда я говорю про автоматизацию выпуска - речь идет не только и не сколько про LE, сколько про процессы (в первую очередь) и про тулинг (во вторую). А дальше - хоть на hashicorp vault pki собирайте (тем более, что мир не ограничивается только лишь сертификатами для внешних пользователей). Тем более - вообще идеально - когда мы говорим о девелоперских стендах. Которые короткоживущие. Мы для них в ручном режиме просто умрем сертификаты выписывать.

А что делать с EV сертификатами?

а вот это правильный вопрос ) Ну, здесь вроде как тоже самое - проверки со стороны выдающих организаций не то, чтобы сильно глубокие. Честно - пока ручками ставим. Но надеюсь, что тоже есть потенциал к автоматизации.

Или, скажем, если у человека shared хостинг?

в этом случае сертификат должен предоставлять этот самый шаред хостинг. Тот же клаудфларь (это не шаред хостинг, но пример хороший) посмотрите - прекрасно ишьюит для всех своих клиентов сертификаты, тебе об этом думать не нужно. А вообще шаред хостингом пользоваться не надо ) дрянь это

я думаю, что Вы сами понимаете, что это бред

На самом деле есть нюанс: нужно не только получить новый сертификат, но и ещё заставить все службы использовать его. Если забыть сделать условный "systemctl reload nginx", то в итоге может получиться ошибка о протухшем сертификате, даже если certbot успешно отработал. А некоторые службы могут вообще не поддерживать перезагрузку сертификатов на лету, а в некоторых эта фича появилась относительно недавно

спасибо за уточнение, но коллега, как я понял, говорил именно про ситуацию, что сертбот не отработал. То есть до перезапуска сервиса даже не дошло

. А некоторые службы могут вообще не поддерживать перезагрузку сертификатов на лету, а в некоторых эта фича появилась относительно недавно

полностью согласен. Этот процесс тоже должен быть настроен и отлажен

У вас какие-то опсосы курильщика, чините причину, а не симптомоы.

Что тут можно сделать кроме как сделать собственный ОПСОС? Если у вас ВСЕ провайдеры в стране так делают, а оформление ВНЖ в другую пока в процессе?..

статический сайт станет динамическим в вашем браузере

Если вы опасаетесь, что это сделает провайдер, то я не понимаю, почему вы доверяете провайдеру больше, чем владельцу сайта. Если это сделают преступники, то для таких дел есть полиция, и, в целом, она справляется.
Ну, и доступ по HTTPS никто, вроде, отменять не собирается.
Или можно ставить NoScript для своего браузера.

Если вы опасаетесь, что это сделает провайдер, то я не понимаю, почему вы доверяете провайдеру больше, чем владельцу сайта. 

не понял пассажа, простите.

Если это сделают преступники, то для таких дел есть полиция, и, в целом, она справляется.

для того, чтобы полиция начала интересоваться преступниками - должен быть нанесен ущерб (1), он должен быть нанесен достаточному количеству пострадавших (2). Иначе дело даже никто рассматривать не будет.

Ну, и доступ по HTTPS никто, вроде, отменять не собирается.

никто обычно не делает и то, и то. Делают HTTPS, а HTTP оставляют только для редиректа. Если же делают HTTP, то большой вопрос к админам - будут ли они заморачиваться на HTTPS. Мое ощущение - скорее всего нет.

не понял пассажа, простите.

Я в равной мере a priori (не) доверяю и провайдеру, и владельцу сайта. И не вижу никакой объективной причины, почему кому-то из них я должен a priori доверять больше или меньше.
для того, чтобы полиция начала интересоваться преступниками
Вероятность того, что я стану первым или, там, десятым пострадавшим от такогой редкой и не имеющей особых последствий атаки, как, к примеру, майнинг в браузере, я оцениваю крайне низко. Ну, к примеру, как что я стану жертвой ограбления в людном месте. Впрочем, эта оценка зависит от обстоятельств: одно дело, когда иду в соседний магазин, другое — когда несу по какой-то надобности котлету денег из банка. Принимаемые меры — соответственно.
никто обычно не делает и то, и то.

А почему? Технически нет никаких причн убирать привязку к HTTP или настраивать редирект на HTTPS.
Если же делают HTTP, то большой вопрос к админам — будут ли они заморачиваться на HTTPS

Я, в свое время — заморачивался: когда интернет в целом еще не был болен SSLитом, а на сайте фирмы был закрытый раздел «для партнеров», куда по чистому HTTP ходу не было.

Осталось научить подключенные к интернету миллиарды отличать https от http, пользоваться NoScript и uBlock, не открывать подозрительные письма и вообще разбираться в безопасности.


<sarcasm>Очень простая и реалистичная задача, на час работы. Приступайте, завтра доложите о результатах.</sarcasm>

Осталось научить подключенные к интернету миллиарды отличать https от http, пользоваться NoScript и uBlock, не открывать подозрительные письма и вообще разбираться в безопасности.

Ваш сарказм неуместен. Потому что в этой борьбе есть ещё один участник — государство. Которое, в соответствии со своей задачей делать, чтобы жизнь не стала адом, пресекает преступления. Сейчас от обычного человека жизнь в нормальном современном государстве, в отличие от Дикого Запада, не требует владения огнестрельным оружием. Точно так же и в области кибербезопасности пресекать явные преступления — это, задача, прежде всего, государств. И они, по моим сведениям, на данном участке справляются: по крайней мере скандальных случаев внедрения скриптов на стороне провайдера в незащищенный канал с целью хищения я не припоминаю.
Ну, а что до рекламы, то тут многое зависит от самих пользователей. Если это станет серьезным раздражающим фактором для населения, то практика показывает что нынешнее государство на это реагирует (из недавних случаев: отмена централизованного внедрения QR-кодов, скандал с Башкирской содовой компнией и шиханами, отмена строительства храма в Ебурге).

Вы являете еще один пример крайне избирательной слепоты.
Во-первых, если у вас нет денег на собственную пиринговую инфраструктуру с владельцем сайта, то вам приходится доверять множеству разнокалиберных провайдеров между вами.
Во-вторых, даже наличие денег не гарантирует желания владельца. Не говоря уже о том, что они не появятся у остальных миллиардов интернет-пользователей.
В-третьих, наряд полиции, приехавший ловить скрипт-кидди, не поймает кого-то более опасного, что ухудшит криминогенную обстановку в вашем же районе. А это уже приводит напрямую к трагедии общин.
А все из-за того, что кому скучно настолько, что он, должно быть, прикола ради, воюет не в ту сторону.

Для начала — про риторику.
Вы являете еще один пример крайне избирательной слепоты.
А вы — туннельного зрения. Будем переругиваться дальше (да, я в это тоже умею — учился в том самом «это-детка-интернете»), или будем взаимно фильтровать хр...риторику? Предлагаю таки второе — так жить приятнее.
Теперь по сути.
Во-первых, если у вас нет денег на собственную пиринговую инфраструктуру с владельцем сайта, то вам приходится доверять множеству разнокалиберных провайдеров между вами.
Ну да, приходится. Но это — не уникальное только для только для доступа в Интернет явление. Например, точно так же мне приходится доверять цепочке поставщиков продуктов питания — что они туда чисто по приколу, например, слабительного не впрыснут.
Во-вторых, даже наличие денег не гарантирует желания владельца. Не говоря уже о том, что они не появятся у остальных миллиардов интернет-пользователей.
Это — обычная для рынка ситуация. Однако рынок же, если он не стал «рыночком», ее и разруливает — как-то: кому-то лично это может не понравиться, как, но в общем случае — наиболее оптимальным для общества образом из доступных. И да, чтобы два раза не вставать: предоставление контента — это типичный рыночек, с засилием монополий на нем — Альфабета(Гугла), Фейсбука и иже с ними (не будете, надеюсь против этого факта спорить?).
В-третьих, наряд полиции, приехавший ловить скрипт-кидди, не поймает кого-то более опасного, что ухудшит криминогенную обстановку в вашем же районе
Как говорил кто-то из древних греков (именовашихся софистами), «каждая вещь имеет две стороны». Давайте я вторую сторону вашего тезиса вам покажу: потенциальный скрипт-кидди, разочаровашийся в хакерстве из-за его сложности, становится нормальным пацаном на раёне и начинает заниматься свойственнми пацанам на раёне занятиями: мобилу там у лоха отжать, чужому, на раён забредшему, морду начистить и т.д. В результате, криминальная обстановка все равно оказывается ухудшеной, и тот самый наряд, которому пришлось бы иначе ловить скрипт-кидди, занят тем, что закрывает вместо этого того пацана на раёне.
А все из-за того, что кому скучно настолько, что он, должно быть, прикола ради, воюет не в ту сторону.
Если вы тут поищете в моих коментариях к этой статье, то найдете примеры, как лично мне отсутсвие шифрования помогало, а его наличие (вместе с жабогадюкингом корпораций и государства, в котором я бы иначе не участвовал) мне мешало.
Как-то так.
Ну да, приходится …

Ага-аа. Только поставщик еды отвечает за результат, в т.ч. уголовно, а поставщик интернета не отвечает ни за что, если у вас не подписан SLA, стоящий совершенно особенных денег, и предусматривающий максимум досрочный разрыв контракта с символической компенсацией.
Все еще считаете аналогию корректной?


Давайте я вторую сторону вашего тезиса вам покажу

Если в вашем районе выбор настолько узок и бинарен, то или вы пишете из тюрьмы, или разводите демагогию.


как лично мне

Это уже пояснялось в одной из соседних веток…

Только поставщик еды отвечает за результат, в т.ч. уголовно, а поставщик интернета не отвечает ни за что,

Вы таки уверены, что за умышленное распространение вредоносных (например, мошеннических) скриптов он действительно не отвечает, даже будучи в этом уличен? Насколько мне известно, такие действия составляют состав преступления даже в отсутствии SLA.
Если в вашем районе выбор настолько узок и бинарен, то или вы пишете из тюрьмы, или разводите демагогию.
Нет, просто, принимая за исходную посылку наличие субъекта с антиобщественными наклонностями, показываю разные способы реализации этих наклонностей в ситуациях с разной доступностью этих способов. То есть, в целом, следую вашему же методу рассуждений (только не надо, пожалуйста, обзывать благородную софистику низким словом «демагогия»).

И минимум дважды в этом обсуждении был упомянут реальный, а не умозрительный кейс, когда провайдер подмешивает в нешифровнаный трафик свою рекламу, но почему-то этот кейс настойчиво не замечают, снова и снова возвращаясь к несекретности данных на сайте с погодой.

Какая разница для пользователя, кто подмешивает рекламу в контент сайта: провадер или сам владелец сайта?
Результат-то одинаков: реклама в браузере.
PS Вы, как мне показалось, там как-то ближе к регулированию интернетов законом. Скажите, а там нет никаких поползновений изадь закон, чтобы бить по рукам провайдерам, когда они это делают с госсайтами. Ведь, в таком случае, можно было бы информационные страницы с госсайтов отдавать по HTTP и не иметь нынешних проблем с сертификатами, про которые вы тут постоянно рассказываете.
Не, я понимаю, что с Госуслугами с их персональной информацией так делать нельзя. Но уж, к примеру, статистику-то по коронавирусу можно, наверное, в незашифрованном виде передавать?

Так закон "О связи" и подзаконные НПА это и так явно запрещают. Поймать сложно, доказать - еще сложнее, заставить контрольно-надзорные принять меры (а это вплоть до отзыва лицензии) - квест 99 уровня.

Дык, IMHO вот этим и надо заниматься — ловить. Побуждать к этому государство.
PS Про методы побуждения государства и перспективы такового я, с вашего позволения, говорить не буду: это уже политика, а я политические дискуссии на Хабре традиционно не веду, предпочитаю для этого другие площадки.
Хабр я использую как специализированный чисто технический ресурс.

Дык надо, но лично не сталкивался и о реальном опыте ловли не слышал, слышал только: ой, вэй, доколе?

Реклама. Реклама везде. Вставка рекламы провайдером на http сайт это реальный массовый кейс.

Ну и общая лень и любовь к универсальным решениям. Никто не хочет разбираться что вот тут банк, тут биржа, тут сайт знакомств их защищаем. А тут статичные котики их не защищаем. Проще заставить всех один раз настроить https и забыть о проблемах.

Никто не хочет разбираться [...] Проще заставить всех

Знаете высказывание, что если сделать систему, дружелюбную для идиотов, то только идиоты захотят ей пользоваться? Вот с обществом так же.

Нам не под силу изменить общество. Для этого надо было в политику или образование идти.

А вот сделать и продвинуть универсальные решения которые в среднем делают лучше всем мы можем. Принудительный https везде из разряда таких решений.

Это уже философский вопрос, и я не согласен, что такие решения — это хорошо.

Это и не должно быть хорошо, если это — необходимо. Ползунок Удобно(хорошо)<—>Безопасно или не работает или крутится для всех разом.

А с чего вдруг "удобно = хорошо", собственно?

Потому что 0xd34df00d страдает от безопасности (ему не удобно), и хочет удобства (находящегося на противоположном конце шкалы).

Предлагаю вам маленький и немножко фрактальный эксперимент.


Вы пишете код? Если да, то пишете ли вы его по работе? В любом случае, если вы хоть немного кода пишете, забудьте питон, шелл, C++, go, или чем вы там пользуетесь, эти языки небезопасны. Даже раст забудьте, он тоже небезопасен. Пишите всё на всяких коках, агдах и идрисах, с полным формальным доказательством корректности, потому что только доказательство корректности ­— это как-то более-менее безопасно.


Пишете код по работе, и надо по работе наваять скрипт, который автоматизирует архивирование логов условного нжинкса на другой и который вы бы в норме писали на шелле (или взяли бы logrotate)? Не смейте! Возьмите кок, постройте формальную модель файловой системы, докажите, что у вас не будет рейскондишенов при переименовании файлов. Фрактальная часть эксперимента: сообщите начальнику, что срок написания скрипта — не час, как он может ожидать, а год и команда из двух PhD-студентов Университета Пенсильвании. Объясните ему, что не надо материться и вас увольнять, а он просто страдает от безопасности и хочет удобства.


Другая фрактальная часть эксперимента: выкиньте уже имеющиеся у вас инструменты, написанные на этих языках, и перепишите всё на коках-агдах-идрисах. А то ведь, как практика показывает, там небезопасно.


Подумайте, почему вы всего этого не делаете.

Эксперимент можно и расширить.
Третья фрактальная часть: выкиньте из любого безопасного языка небезопасные части, написанные на C(++), asm, shell, make. А потом попробуйте его собрать и, если получится, применить, не теряя в производительности.
Этот опасается, что облом случится еще на этапе компиляции — компилятора ли или самой программы.


Но вы, почему-то, выбрали стезей функциональщину, а не кресты. Хотя с вашими способностями и там бы ваш код наверняка был бы хорош.


Так почему вы дистанционируетесь от UB на работе и в хобби, но так яро его алчете по одному конкретному вопросу?
Вопрос риторический.

Эксперимент можно и расширить.
Третья фрактальная часть: выкиньте из любого безопасного языка небезопасные части, написанные на C(++), asm, shell, make.

И? Сгорел сарай — гори и хата?


Или надо не только включать https, но и проводить аудит каждого васянского вордпресса, чтобы убедиться, что вирос не влез ещё на другой стороне трубы, до того, как труба зашифровалась?


Но вы, почему-то, выбрали стезей функциональщину, а не кресты. Хотя с вашими способностями и там бы ваш код наверняка был бы хорош.

Нет, потому что на плюсах невозможно писать надёжный код, ну да ладно.


Так почему вы дистанционируетесь от UB на работе и в хобби, но так яро его алчете по одному конкретному вопросу?
Вопрос риторический.

А я всё равно отвечу.


Потому что вероятность (и последствия для меня лично) UB сильно выше, чем провайдера, засунувшего рекламу, или соседского скрипткиддиза.


Блин, даже интересно, сколько пацанов на районе нейборхуде знают про aircrack-ng?

И? Сгорел сарай — гори и хата?

Ну так вы озвучиваете созвучную позицию, вот в чем шутка.


вероятность (и последствия для меня лично) UB сильно выше, чем провайдера, засунувшего рекламу

И снова рад за вас… Но, снова, проблема глобальная, а вы пытаетесь решить за всех и в свою пользу, руководствуясь личным, исключительным, примером, на цели исходного метода вообще никак не натягивающимся.

Блин, даже интересно, сколько пацанов на районе нейборхуде знают про aircrack-ng?

Не бином Ньютона. Когда у пацанов есть интерес, они мобильный TeamViewer легко усваивают. И удалённую блокировку iPhone.

Вообще-то и безопасность, и удобство можно (и IMHO нужно) оценивать в деньгах: размер убытков помноженная на вероятность их причинения (и, как следствие — выплачиваемая за их компенсацию страховая премия) против потери производительности или потребительских качеств (и, как следствие — цены) за неудобство.
И оценивать все надо в конкретных случаях. И, как я понимаю, мы тут, в принципе, все вместе занимаемся как раз такой оценкой для конкретного случая HTTP vs HTTPS.

И в большинстве случаев получается, что HTTPS ничего не ухудшает, а в некоторых (которых тоже очень много) - необходим. Большинство голосует за ;)

Вместо эпиграфа (взято из универального источника цитат):
Ты думал, если двое молчат, то и третий должен быть за/забыв уточнить, чем ты зашил ему рот

Большинство — кого?
Владельцы сайтов, живущие за счет рекламы (эта модель финансирования мне тоже не нравится, однако в реальности таких большинство) которым чисто ради денег нужна криптографическая защита целостности переданного контента, голосуют за HTTPS, т.к. более подходящей альтернативы нет. Альтернативы нет, т.к. «IT-сообщество» (за которым стоят цифровые монополии) нужный протокол не разрабатывает, т.к. цифровые ионополии заинтересованы, скорее, во всеобщем шифровании. Провайдеры последней мили, которым шифрование мешает, голоса не имеют.
Ну, а государства не голосуют — у них другие методы.
Как-то так.
Считать же сложившуюся (где угодно) ситуацию рационально наилучшей в общем случае нельзя
PS А ещё меня удивляет, что поборники HTTPS-only как-то слишком уж горячо, с душой, отстаивают свою точку зрения, в результате некоторые их агументы выходят за рамки рациональной дискуссии. Но это так, к слову.

Провайдеры последней мили, которым шифрование мешает, голоса не имеют.

Отвечаю со стороны провайдера. Мне пофиг. Единственное, что напрягает - желание гос-Вп всем присунуть СОРМы, но это не желание провайдера… ни разу

Отвечаю со стороны провайдера.

Испанского (судя по вашему местоположению в профиле)?

Нет, российского. Сколько можно до профиля докапываться ?

Сколько можно до профиля докапываться?
Ну, пока вы не приучитесь указывать свои особые обстоятельства, обосновывающие противоречия (ведь про них же посторонние не в курсе, да?). А то получается неудобно, как в том анекдоте про трусы и крестик, несмотря на то, что там было вполне допустимое сочетание: Брит мила производится на 8-й день жизни младенца, а креститься можно потом в любом возрасте.

PS Вы на меня, пожалуйста, не обяжайтесь: для меня анализ профиля — это не лично против вас, а чисто мера информационной гигиены: а то больно много в интернетах «крымчанок, дочерей офицера» развелось.

Провайдеры последней мили, которым шифрование мешает

Да ну? Провайдер нужен чтобы байты пересылать. Шифрованные байты пересылать не сложнее чем нешифрованные.

Владельцы сайтов, живущие за счет рекламы

Да. Они предоставляют нам контент (как правило бесплатно), разумно к ним прислушаться.

Ну, а государства не голосуют

Разве их кто-то лишил голоса? Голосуют. Кто то пытается в MITM, кто то в firewall. Но избиратели (там где их мнение кому-то интересно) не одобряют.

Ну и потребителей контента неплохо бы спросить. Без добровольно - принудительного шифрования, например, пользоваться публичными сетями было бы просто невозможно.

Считать же сложившуюся (где угодно) ситуацию рационально наилучшей в общем случае нельзя

Это как демократия. Плохой метод управления, безусловно. Но альтернативы ещё хуже.

Да ну? Провайдер нужен чтобы байты пересылать. Шифрованные байты пересылать не сложнее чем нешифрованные.

Провайдер нужен, чтобы предоставлять услуги, например — разные. В свое время, когда трафик от какой-нибудь ОПГ («объединенная пиринговая группа», была такая, не подумайте ничего плохого) имел цену за байт, и вообще, внешние каналы были существенно уже внутренних, локальный прокси был весьма востребован — не клиентами, а самим провайдером, для экономии расходов. Прямо сейчас это не так, но не факт, что ситуация не изменится на противоположную.
Да. Они предоставляют нам контент (как правило бесплатно)

Помните, где бесплатный сыр, да? В данном случае бесплатность примерно такая же: контент идет в комплекте с рекламой, сбором персданных для ее таргетрирования и прочими использованиями, и т.д. Вот я бы предпочел честно заплатиь деньги, вместо того, чтобы получать весь этот мусор вкупе с попытками меня поиметь — и это при том, что я, вообще-то, в рынке контента участвую на правах «зайца» («за что платить — трамвай и так едет»): на баннеры не кликаю, в воронку продаж не проваливаюсь… Но все равно — достает.
Разве их кто-то лишил голоса? Голосуют.

Нет, у государств совсем другой способ действия, ни разу не рыночный: они предписывают, а потом силой добиваются выполнения своих предписаний, и побочные эффекты от этого им, в общем-то, побоку (если эффекты невелики, конечно). Ну, а я потом сталкиваюсь с тпкими побочными эффектами — типа (этот пример я уже приводил), что областной сайт с инфой про уханьку был заблокирован моим провадером: потому что государство повелело заблокировать неких мошенников из Краснодарского края (торговля медкнижками ЕМНИП), а сайт оказался с ними на Cloudflare на одном IP — ну, а провайдер в анализ SNI через DPI не умел, а тупо, получив РКН-овскую выгрузку, пререводил хостовые части имен страничек с https оттуда в IP и блочил к ним подключения на 443 порт.
Вот оно мне надо, такое счастье? А ведь любители шифрования хотят навязать теперь ещё и ECH, от которого и DPI не поможет…
Ну и потребителей контента неплохо бы спросить. Без добровольно — принудительного шифрования, например, пользоваться публичными сетями было бы просто невозможно.

Дык, пользовались же: радио, телевидение…
Очень много контента реально по сути от них мало отличаются — это открытая информация, предназначенная неопределенному кругу лиц.
Вот для передачи всякой закрытой информации — оплаченного контента, или, там, персональной — там шифрование, как я писал, уже нужно.
Но зачем стричь всех под одну гребенку?
Это как демократия. Плохой метод управления, безусловно. Но альтернативы ещё хуже.

В разных случаях — по-разному. Например, как высказлся кто-то из французских деятелей по итогам подготовки Франции ко 2-й Мировой войне (которую Франция, как известно, провалила начисто), «Демократия для войны непригодна».
Но когда на горизонте нет тени серьезной войны, когда идет мирное развитие, цели и пути которого a priori не определены — там да, демократия лучше.
Впрочем, у меня возникает ощущение, что мы с вами уже повторяемся. Как вы насчет того, чтобы на этом закругиться?

Вот я бы предпочел честно заплатиь деньги, вместо того, чтобы получать весь этот мусор вкупе с попытками меня поиметь

Почему вы уверены, что вместо, а не вместе? ;) То, что вы платите субъекту А за информационные услуги, совершенно не означает, что субъект Б не желает от вас чего то поиметь. Скорее даже наоборот, если есть поток настоящих денег, обязательно найдутся желающие от него откусить. Сейчас, когда вы ни копейки не платите - сложно с вас чего то поиметь.

Вот для передачи всякой закрытой информации — оплаченного контента, или, там, персональной — там шифрование, как я писал, уже нужно.

А как вы собираетесь отличать байты персональной информации от байтов открытой информации?

Почему вы уверены, что вместо, а не вместе? ;) То, что вы платите субъекту А за информационные услуги, совершенно не означает, что субъект Б не желает от вас чего то поиметь.

Желать-то он может, и может даже попытаться — но тогда у его конкурента возникают дополнительные конкурентные преимущества: видимое отсутствие рекламы, непопадание в скандалы, желающих поднять которые, причем — имеющих необходимую для этого квалификацию, весьма немало, особенно когда такое желание подкрепляется возможностью что-нибудь отсудить. Впрочем, пока что — в основном, гипотетичекие возможности, к тому же — не по нашей теме.
А как вы собираетесь отличать байты персональной информации от байтов открытой информации?

Например, в это вполне может владелец ресурса. Если он не может — то сваливает с рынка: из-за штрафов за нарушение чего-нибудь типа GDPR, из-за необходимости возместить деньги, которые которые клиенты потеряли из-за его халатности и т.д. Про платный контент я уж не говорю: халявный доступ к нему кого попало — это прямая потеря бабла.
Ну, и пользователи, когда речь об их кровных деньгах идет — они тоже вполне обучаемы. Ну, или если не вполне обучаемы, то можно на их внимания не особо обращать — много денег у них все равно нет, по жтой самой причине.

Например, в это вполне может владелец ресурса.

Владельцу ресурса проще шифровать всё подряд.

Ну, и пользователи, когда речь об их кровных деньгах идет — они тоже вполне обучаемы.

Пользователи предпочитают, чтобы всё делали за них, чем обучаться в безопасность. Изучать каждую ссылку с инспектором траффика, не фишинг ли это?

Итого, в том интернете, который имеется, шифрование не мешает никому. Кроме Роскомнадзора и парочки гиков с ардуиной. В чебурнетах, конечно же, может быть всё иначе. Но я не уверен что к этому нужно стремиться.

Владельцу ресурса проще шифровать всё подряд.

Вообще-то, это — деньги: я тут уже где-то приводил разницу в ценах и системных требованиях для балансировщиков одного и того же производителя с поддержкой «SSL offload».
Итого, в том интернете, который имеется, шифрование не мешает никому.
Ваша позиция мне понятна (и вы, в целом, уже повторяетесь): решать — каждый за себя — использовать шифрование, или нет, должны не поставщики услуг, не пользователи и, ни в коем случае, не государство. А решать, за всех, должны благодетели из некоего просвещенного анонимного «IT-сообщества», формально независимого, и ни за что не отвечающего, но (внезапно) реально финансируемого корпорациями-монополиями.
Свое отношение к этой точке зрения, и на чем оно основано, я тоже уже где-то выразил, и неоднократно, так что смысла в дальнейшей дискуссии больше не вижу.

Вообще-то, это — деньги

Никто вроде не жаловался. Есть информация, что услуги хостинга с 2000 года по 2022 год сильно подорожали?

Вообще-то, это — деньги: я тут уже где-то приводил разницу в ценах и системных требованиях для балансировщиков одного и того же производителя с поддержкой «SSL offload».

Сколько раз вам надо повторить что нет там денег? Современное шифрование почти бесплатно. Ресурсы уходят на него смешные.

Почти бесплатно, пользователя защищает, приватность пользователя повышает, лазить кому не положено не дает. Выглядит идеальным решением для раскатки на 100%.

Повторять вы можете сколько угодно — от повторения утверждение истинным не становится.

Разница между «нет» и «почти нет» таки существет. И я вам рассказал историю, где я ее видел вполне наглядно.

лазить кому не положено не дает

Кому — не положено-то?
Вот вы там чуть раньше стращаете человека тем, что у него на сайт в периметре кто-то снаружи через JS в браузере влезет. А ведь HTTPS от вредоностного JS на сайте источника не защищает ни разу. То есть, по факту, вы требуете, чтобы пользователи доверяли больше поствщику контента, чем провадерам, чере которых он поставляется. Тогда «внимание, влпрос:» почему пользователи должны доверять поставщику контента больше — в нашем-то реальном мире, где есть взломы сайтов, спецслужбы недружественных государств (в том числе — и тех, в чьей юрисдикции находится сайт и/или его владелец) и безобразно жадные до денег корпорации, которые как вы, наверное слышали, ради 300% прибыли могут пойти очень на многое?

Трафик ходит невообразимыми путями. Кто там на нем сидит никто не знает. Но все точно знают что ближайшая к пользователю точка обычно не защищена никак или почти никак.

Вот никому и не положено. Чтобы не пытаться решить нерешаемую проблему доверия ко всем кто передает трафик.

Уже писал где-то: вот почему-то проблема доверия в цепочке поставщиков продуктов решаемая, а поставщиков контента — нет. В чем разница?
PS А непредсказуемость путей — она скорее затрудняет атаку.
PPS Вопрос «кем положено», я больше поднимать не буду. Просто имейте в виду, что на каждое «положено» автоматически спрашивается «кем?», «надо» — «кому?» и т.д.

Решаем всегда одну проблему за раз. Не пытаемся сделать мир идеальным сразу. Маленькими шажками.

Мы проблему всех провайдеров решили. Мы молодцы. Про атаки со стороны провайдеров можно не думать. Вот прям вообще.

Мы это IT сообщество. Давшее людям возможность не переживать о том кто и как их трафик передает. Простой человек теперь даже не задумывается об этом вопросе. Все просто хорошо и безопасно. И даже как я уже ни раз говорил по сути бесплатно.

Мы это IT сообщество.

Когда я слышу подобные громкие слова, у меня возникает совершенно стандартный и логичный для сторонника материалистического подхода вопрос — чей интерес (под словом «интерес» естественно следует понимать «деньги») отстаивает это сообщество? Ответа, в рамках материализма, возможно два. Первый — общий интерес участников сообщества: т.е. чтобы айтишники больше бабала могли поднять, но тут тогда встают вопросы, и первй из них — как именно реализуется чисто технически определение этого общего интереса, и откуда берутся деньги на работу по реализации общего интереса. Так вот, для аморфного сообщества правильный ответ — никак и ниоткуда: для определения и реализации общего интереса нужна организация. Таковой я здесь не вижу.
И тогда остается лишь второй вариант ответа — «IT-сообщество» реализует интересы того, кто финансирует это сообщество. То есть — крупные корпорации, зачастую занимающие монопольное положениена рынке.
Дальнейшие выводы, думаю, очевидны — но это уже про политику.

Выгоды IT сообщества очевидны. Вы зарплаты видели?

Больших денег в интернете не было бы без доверия и безопасности для всех. Кусочек этих денег достается каждому из нас.

Повторяю вопрос:
как именно реализуется чисто технически определение этого общего интереса

PS Но я вообще-то рад, что монополии не совсем жадничают, а делятся с работниками соответствующей специальности. Пока делятся. И, кстати, большие деньги в интернетах действительно есть, но — не благодаря, а вопреки наличию в них доверия и безопасности (их там — примерно столько же, как и на средневековой большой дороге, которая с разбойниками: вон, для примера, посмотрите чуть выше, как человека пугают тем, что в его внутренню сеть залезть элементарно). Правда, потом из Калифорнии приходят вести, что другим, которые не-айтишники, плохо. Получается, этот праздник — он за счет других?
PPS Мне лично — не достанутся. Моя основная специализация сейчас (вместе с опытом работы, что существенно) — администратор иефраструктуры предприятия на базе решений MS, а сейчас это — бесперспективняк: по эту сторону холма — импортозамещение, по другую — Azure.
В программирование я тоже умею, но не имею подтвержденного опыта работы в сколь-нибудь актальный период времени, и, в общем-то, шансов его получить.

Вы очень странный. ITшники выстроили безопасную и надежную сеть для всех и богатеют благодаря ней. И даже это вам не нравится. Нищими наверно всем надо было быть?

Любой администратор учит Питон, полсотни баззвордов и становится модным девопсом с зарплатой 300к/наносекунда. Тем более что вероятно на работе тоже самое что и сейчас делать придется. В коллективах девопсов хорошим админам работа всегда найдется. Продакшен newer changes.

ITшники выстроили безопасную и надежную сеть для всех и богатеют благодаря ней.

Под словом «ITшники» вы, наверное, имели в виду «корпорации»?
Нищими наверно всем надо было быть?
Не находите, что это — несколько ложная дилемма — между «всем нищими» и «корпорации богатеют». То есть, тут не дилемма — есть и ещё варианты.
Любой администратор учит Питон
Ну, а я Powershell выучил, давным давно: без него невозможно работать со сколь-нибудь большими массами серверов, а в Exchange — джае с отдельным сервером. Но легче мне от этого не стало. On-premises инфраструктура от MS все равно обречена умереть, потому что ее сам производитель убивает.
DevOps — это нужен опыт с Linux, а у меня он — только со Slackware образца конца прошлого века.
PS Впрочем — это все лирика. Пойду-ка лучше развлекусь, исходники ASP.NET Core поковыряю.

Под словом «ITшники» вы, наверное, имели в виду «корпорации»?

Нет, обычные простые работники. Вы все-таки посмотрите уровень зарплат.

Не находите, что это — несколько ложная дилемма — между «всем нищими» и «корпорации богатеют». То есть, тут не дилемма — есть и ещё варианты.

"Много получать работая на нищую контору" вызывает вопросы к логике.

Можно работать на стартап в надежде разбогатеть вместе с ним. Тут вопросов нет.

On-premises инфраструктура от MS все равно обречена умереть, потому что ее сам производитель убивает.

Вакансий MS стека полно. На AD живут примерно все крупные ребята. Альтернативы все хуже. Умирания не наблюдается. Историю как немцы на Линкусы переезжали госами пора заносить в учебники. Можно выбрать фирму и вакансию по вкусу. Денег там не меньше чем девопсам платят.

Я все еще не понимаю проблему.

Я все еще не понимаю проблему.

И не обязательно — это офтопик.
PS Завидую вашему оптимизму.
а AD живут примерно все крупные ребята.

AD практически не требует обслуживания, кроме рутинного (бэкап и т.п.) А если не требует — зачем платить?
Но это так, к слову.

вот почему-то проблема доверия в цепочке поставщиков продуктов решаемая

Хакер и солонка. Просто таргетированную атаку сложно организовать: неизвестно, кто именно купит отравленный арбуз

Примерно нет. В траффика все байты подписаны, любой узел знает, кто отправитель, кто получатель. Без шифрования - у любого провайдера широчайшие возможности для вмешательства и анализа. С шифрованием - только блокировка по ip. Неплохо.

Вопрос-то был, напоминаю, про доверие: почему это вдруг поставщику следует доверять больше, чем постредникам-провайдерам, а не наоборот?
Можете не отвечать: я уже, кажется, все возможные варианты ответов видел, из них — ни одного действительно рационально обоснованного.

Потому что поставщиков на порядки больше, чем провайдеров? И между ними конкуренция? Даже если это олигополия?

Потому что поставщик заинтересован в том, чтобы данные от него до клиента дошли максимально нетронутыми по дороге?

И он же не заинтересован в том, чтобы обмен данными был виден ещё кому-то? Кроме тех персон, кому поставщик сам сливает данные клиента?

Потому что поставщиков на порядки больше, чем провайдеров?
Что это принципиально меняет?
И между ними конкуренция? Даже если это олигополия?
Нет, при олигополии с конкуренцией плохо: они там завсегда могут договориться между собой, как баранов стричь. И реально им в такой ситуации может помешать либо организация клиентов-потребителей (я, правда, плохо представляю, как это может действовать), либо столь не любимое тут на Хабре государство.
Потому что поставщик заинтересован в том, чтобы данные от него до клиента дошли максимально нетронутыми по дороге?

И он же не заинтересован в том, чтобы обмен данными был виден ещё кому-то? Кроме тех персон, кому поставщик сам сливает данные клиента?

Последнее ваше предложение отлчино разъясняет, почему поставщикам доверять можно точно так же, как и провайдерам: «Я доверял ему как брату, иными словами, не доверял вообще»((с)Корвин, принц Амберский)

почему это вдруг поставщику следует доверять больше, чем постредникам-провайдерам, а не наоборот?

Ну вы же к кому обращаетесь за контентом? Если не доверяете поставщику контента - ну я тогда не знаю.. Зачем тогда вам этот контент?

Дык, я и поставщикам контента тоже не доверяю.
Особенно в плане самого контента: например, чтобы ориентироваться в политике, я сейчас регулярно читаю, как минимум РИА, РБК и BBC, ну и ещё парочку избранных телеграммных каналов, а потом сопоставляю информацию и делаю выводы (какие именно — это не для обсуждения на Хабре: об этом администрация специально просила), а если для выводов нужны другие источники — лезу в эти источники. Ну — и много думаю.
PS По поводу сбора персональной информации и прочих художеств поставщиков в чисто техническом плане я тоже принимаю адекватные меры. Но об этом — как-нибудь потом.

Уже писал где-то: вот почему-то проблема доверия в цепочке поставщиков продуктов

Неужели? Надеюсь, это была шутка. Ну, и в реальном мире айти - все ещё есть атаки на цепочки поставок, это когда тебе через зависимость внедряют трояна. А потом привет ситуация а-ля stuxnet. И если бы проблема была решаема, то она уже была бы решена. А пока даже наметок нет

Ну, и в реальном мире айти — все ещё есть атаки на цепочки поставок, это когда тебе через зависимость внедряют трояна. А потом привет ситуация а-ля stuxnet.

Атака на цепочку поставок, цель которой — массовый потребитель, слишком легко обнаруживается, а потому когда ее эффект — что-то большее, чем нечто безобидное, типа показа рекламы — карается чисто полицейскими мерами вполне эффективно.
Ну, а сложные прицельные атаки — это не та угроза которая опасна для массового потребителя: все-таки, он обычно не держит у себя на даче завод по обогащению урана.

PS По-моему, мы тут уже по третьему кругу пошли: вы почему-то поставщикам ресурсов доверяете больше, чем провайдерам, а я не доверяю им в равной степени.
Ну, и как-то несбалансировано относитесь к балансу сложность/эффект в модели угроз.
Думаю, пора это обсуждение завязывать: мы все равно останемся при своем мнении.

Вообще-то, это — деньги: я тут уже где-то приводил разницу в ценах и системных требованиях для балансировщиков одного и того же производителя с поддержкой «SSL offload».

чьи деньги? Поставщика ресурса? Но Вы же понимаете, что сегодня ему нужен SSL на 10 эндпойнтов, а завтра их будет 100. И что? Эти защищаем, а остальные не защищаем? Или впереди SSL offload штуки еще nginx очередной строить? Но опять же - это так не работает. Защита должна быть всеобъемлющая, иначе это не защита вовсе, а профанация.

А истории, когда тебе не хватает производительности, и надо апгрейдить WAF"ы, прокси и все такое? Ну, так заранее считай и выгружай все, что не профильное на CDN...

Но Вы же понимаете, что сегодня ему нужен SSL на 10 эндпойнтов, а завтра их будет 100. И что? Эти защищаем, а остальные не защищаем?

А почему бы нет? Что-то мешает?
и выгружай все, что не профильное на CDN

А что, CDN нынче халявные? Или — тоже деньги?
Ну, и почему CDN доверять можно (если речь о банке — что он в страничку с переводом бабла какой нибудь нехороший JS не встроит), а провайдеру — нельзя?
Или впереди SSL offload штуки еще nginx очередной строить?

Абсолютно бессмысленное занятие IMHO: как этот ваш nginx будет зашифрованный трафик кэшировать (и что вы там собрались с ним делать), объясните, пожалуйста.

а сайт оказался с ними на Cloudflare на одном IP — ну, а провайдер в анализ SNI через DPI не умел, а тупо, получив РКН-овскую выгрузку, пререводил хостовые части имен страничек с https оттуда в IP и блочил к ним подключения на 443 порт.

Типичный пример «скажи дураку богу молиться - он лоб расшибет»

Почему-то в случае закончившегося баланса - провайдеры не стремаются подсовывать левачные днс записи, а забанить домен с вредоносом они не могут… или не хотят? Потому что если блокировка по ip - очевидно, что впн они не отключат, а если отключат, то сломают связь куче корпоратов. Поэтому все блокировки должны быть максимально простыми. Чего там sni отлавливать? Кто хочет - тот все равно обойдёт…

Левачную DNS они тоже подсовывают — и она действительно отправляет на специальную страницу. Но это работает только на имя хоста из выгрузки. Однако блокировка по DNS — это ненадежно, и разве что власти в Великобритании об этом не знают, а в России, кажется, даже власти в курсе. Поэтому провайдеры блокируют именно трафик, и, то ли по бедности, то ли из жадности, тот конкретный провадер блокирует по IP: все подключения к IP сайта из выгрузки к 443 порту.
Была у меня мысль на них телегу накатать, но потом передумал: раз в день (чаще там делать нечего) зайти с планшета (у Мегафона с DPI все OK) мне было не настолько влом, чтобы тешить свое чувство справедливости, которое у меня по жизни слабое.
Поэтому все блокировки должны быть максимально простыми.

Потому что есть еще Роскомнадзор и его желание ставить в сети провайдеров еще и аналог RIPE Atlas Probe но для мониторинга блокировок. И выписывать штрафы если коробочка говорит что блокировки нет (исходники коробочки разумеется закрыты). Нет, конечно можно и в суде все оспорить… может даже получится. Потом.

коробочку можно обмануть ))) и народ так и делал... Это не совсем законно, скорее "серая зона".

Я не очень понимаю почему у вас все рассуждения идут с лейтмотивом «люди идиоты, кто-то умный должен за них решить как им будет безопасно». С чего вы вообще взяли что кто-то в принципе должен иметь такое право? Этот ползунок как раз не должен крутится для всех, он должен иметь рекомендательный характер. И если в этом случае он не работает, значит люди сочли для себя возможным пожертвовать толикой безопасности ради удобства. Если скажем проблемы от этого станут настолько массовыми что перевесят удобство, ползунок ДОБРОВОЛЬНО сдвинется вправо. Для этого не нужен некий мировой жандарм который решает за всех как можно делать, а как нельзя.
Все правильно. Но есть нюанс: непрофессиональные участники рынка зачастую недооценивают риск, вызванный недостаточным уровнем безопасности.
Что с этим делать — не знаю, лично я — за просвещение с целью улучшения способности оценивать, благо само функционирование рынка этому весьма способствует (но пострадавших все равно жалко).

В смысле, что только идиоты хотят пользоваться современным обществом?

Ну, пока ещё не всякое современное общество сделано для идиотов, но мы туда мчимся на всех парах.

Никто не хочет разбираться…
Проще заставить всех один раз настроить https и забыть о проблемах.

Иная простота хуже воровства. Например, было бы проще ввести одинаковый скоростной режим для автомобилей и во внутридворовых проездах, и на автомагистралях. Однако — разбираться пришлось.

Аналогия это как котенок с дверцей.

В чем вы видите различия?

Я общего-то ничего не вижу. А вы про различия начинаете.

Если не видите — подскажу.
Точно так же как котики и банк выглядят в целом похоже — это веб-сайты, которрые в браузере смотрят, автострада и внутридворовый проезд тоже выглядят в целом похоже — это полосы земли, покрытые асфальтом (или, иногда, бетоном), по которым ездят автомобили. И, одновременно, и там, и там есть нюанс.
Так понятно?

Я скорее про потенциальные траты и потенциальные плюсы.

У вас траты это жизни людей, деньги и время. Всех людей, даже не управляющих машинами. Преимущества вообще их не окупают.

В вопросе https везде все ровно наоборот. Траты это время администраторов давно заброшенных сайтов, деньги фирм для переделки внутренних сетей и поддержки старых устройств ну и страдания гиков с ардуинами. В обмен получаем получаем защищенность и приватность для всех. Вообще для всех, даже ничего не понимающих в этом. Обмен стоит того.

И там, и там преимущества, и траты — это деньги (да, жизни людей — это тоже деньги, жизни, если смотреть с точки зрения общества, тоже имеют цену).
То есь в обоих случаях можно брать и считать эти деньги. И почти наверняка выяснится, что оптимален некий промежуточный вариант.

Я не зря использовал слово все. Всеобщность часто дает оптимальное решение в крайних точках.

Я уже где-то назвал несколько недостатков всеобщего шифрования: вычислительные затраты, невозможность кэширования контента провайдером. Так что — надо считать.
Ну а если учесть, что большинству потребителей технологии HTTPS реально требуется не шифрование, а проверка неизменности контента (для которой перечисленные недостатки сильно смягчены), то оптимальное решение тем более оказывается неочевидным.

вычислительные затраты

не проблема

невозможность кэширования контента провайдером

выше уже сказали - нехрен вообще кэшировать провайдеру ничего. Сколько говна я поел из-за того, что криво настроенный сквид отдавал протухшие данные. А для статики есть CDN. Кстати, Вас тезис ложен. У провайдеров вполне себе стоят акселераторы интернета от Гугла, которые позволяют ютубы отдавать конечным пользователям быстрее. И https не помеха.

не проблема

Ваше ничем не обоснованное мнение. А мне вот приходилось видеть весьма недешевую железку — аппаратный балансировщик нагрузки, помимо самой балансировки нагрузки разгружающий серверы от занятия шифрованием. Тогда как его аналог — программный балансировщик на ту же нагрузку, но без SSL offload — стоил по корпоративным меркам копейки и разворачивался на виртуалке с не сильно большими системными требованиями к хосту. Конкретно там, где я это видел, без HTTPS было нельзя — это было в банке. Но всеобщая HTTPSизация создает те же проблемы там, где без шифрования можно было бы и обойтись.
выше уже сказали — нехрен вообще кэшировать провайдеру ничего.
Это — не указание свыше, а всего лишь ваше недостаточно обоснованное мнение, не более того. Я принял его к сведению, но вы меня не убедили. А вот пользу от локального кэширования я наблюдал.
Сколько говна я поел из-за того, что криво настроенный сквид отдавал протухшие данные.

Я — тоже, только причина была несколько другая: написанная мышкой на ASP (тогда это было-стильно-модно-молодежно) самопальная CMS не отдавала адекватных заголовков Expires(если программировать мышкой — то так оно обычно и бывает), и пришлось что-то делать с этим уже на уровне IIS.
А для статики есть CDN.

Есть. Но это — дополнительные деньги, отдаваемые на сторону, которые повышают цену рекламы на сайте со всем вытекающими. Плюс — дополнительные глобальные риски (у CDN тоже uptime не 100%). А кэширование у провайдера для владельца сайта бесплатно и проблемы с ним — локальные, на доступность сайта для широкого круга клиентов почти не влияющие.
Кстати, Вас тезис ложен. У провайдеров вполне себе стоят акселераторы интернета от Гугла, которые позволяют ютубы отдавать конечным пользователям быстрее. И https не помеха.

Недостаток у этих железок от Гугла один: они — от Гугла. И, к примеру, в РФ сейчас с ними есть некие проблемы. А ещё — они конкретно для YouTube. И не кэшируют контент какого-нибудь другого, альтернативного видеохостинга (вот, в РФ сейчас, к примеру, набирается популярность у RuTube, пусть, зачастую — и добровольно-принудительными мерами всех заинтересованных сторон, но набирается). То есть эти ускорители — инструмент монополизации рынка, которую общепринято считать нехорошим явлением.
А куда визуально вставлятся эта реклама? Если у меня страница без баннеров, чистый хтмл 4 + сss, то её могут прикрепить? Или плохие провайдеры умеют добавлять баннеры над /под всей страницей, по сути завораживая страницы сайта во внешние обертки, часть из которых баннеров, а другая часть содержимое html-ки?

браузер не обладает ИИ, чтобы понять, что за сайт перед ним. Поэтому надо помечать небезопасным.

Помечать, но не запрещать доступ.

Как минимум опсос не сможет натыкать рекламы. И не сможет от имени сайта показать формочку для ввода слива пароля от Facebook например.

То что http-трафик можно подменить незаметно — это ясно как день, но какой в этом прок, если ты запрашиваешь просто статический файл с раз в час формирующимся прогнозом погоды?
Вот к примеру я на ардуинке левой пяткой наколхозил себе мониторинг погоды и чтобы показывало для нескольких городов из списка + часики, я сильно рад, а данные беру из url-ки, к которой обращаюсь по http. Мне глубоко фиолетово, что и кто там отследит. А данные в xml / json со своей структурой и рекламу туда воткнуть никак не выйдет.
А если внезапно запретить http и заменить на обязательный https — всё у меня там навернётся.
Или например курсы валют с CBR — до сих пор можно забирать по http. Запретят — сколько сервисов навернётся…
То что http-трафик можно подменить незаметно — это ясно как день, но какой в этом прок, если ты запрашиваешь просто статический файл с раз в час формирующимся прогнозом погоды?

Никакого. Но зато, благодаря стимулированию внедрения HTTPS, удастся заставить использовать HTTPS те ресурсы, которым он не повредит, но владельцы которых забивали на поддержку HTTPS.

Стопорить этот процесс ради какой-то погодной странички — слишком велика честь. Надо же, какой важный курица этот погодный сайт.

Реальный пример: у нас во двор дома каждый день ходят мочиться десятки людей, распивающих вечерами пиво в расположенном рядом сквере. На глазах коллег по распитию им мочиться зазорно, поэтому они обоссывают угол нашего дома. Аромат в жару стоит просто потрясающий. Чтобы бороться с этим, жильцы дома будут ставить забор. И вот представим, найдётся Вася, у которого обоняние атрофировано, которому забор мешает (это же надо сдавать деньги на установку забора, да и каждый раз при выходе из двора кнопочку нажимать, чтобы калитку открыть — лишнее движение). Все остальные должны нюхать ссанину, потому что Вася против?
Никакого. Но зато, благодаря стимулированию внедрения HTTPS, удастся заставить использовать HTTPS те ресурсы, которым он не повредит, но владельцы которых забивали на поддержку HTTPS.

Вот вы, насколько я помню, сторонник личной свободы и личной инициативы.
В таком случае скажите мне, а почему за меня кто-то там имеет право решать, что мне лучше не использовать HTTP, если ни я, ни владелец сайта не против?
Я вот как-то против всяких попыток из благих побуждений стимулировать то, что имеет сомнительную пользу, методами того русского из анекдота про то, как простимулировать кошку жрать горчицу: благими побуждениями, говорят, дорога в ад вымощена.

В таком случае скажите мне, а почему за меня кто-то там имеет право решать, что мне лучше не использовать HTTP, если ни я, ни владелец сайта не против?

не используйте [эти сайты]. Или Вы сторонник того, что на автозаправках должно быть топливо отличное от 95/98/и евродизеля? Или может быть сторонник ненужности личной гигиены (не мыть руки перед едой, после туалета? Не пользоваться презервативами и пр.)?

Кстати, не мою руки перед едой, полёт уже 30+ лет нормальный. Благодарен, что нет закона, обязывающего меня это делать.


При этом протираю клавиатуру очистителем где-то минимум раз в день (не потому, что бактерии или что-то, а потому, что выделения из кожи делают её неприятной на ощупь). Агитировать за соответствующий закон мыслей нет.

То есть, хреново, но моете. Если, конечно, процедура не производится в перчатках.

Перед едой, в обычном смысле — нет. Ну, в смысле «в окрестности нескольких минут до принятия еды и прямо причинно связанно с потреблением еды». Так-то, конечно, для любого момента X потребления еды существует момент Y мытья рук такой, что Y < X (возможно, «с утра» или «вчера»), но обычно под мытьём рук перед едой имеется в виду не это.

Я — сторонник того, что все риски я оцениваю сам, сам принимаю решение и сам отвечаю за последствия. Вариант, когда это (но обычно «почему-то»- только первые два пункта) делают без меня и за меня, я не люблю. Если чо, я прожил хороший такой кусок жизни в СССР, где такой вариант был распространен, так что мой выбор — это результат ещё советского воспитания.
Например, что касается лчиной гигиены, то я свободно пью у себя дома некипяченую воду из под крана, но делать это где-нибудь в поселке в Астраханской области, где можно таким путем получить не только ПТИ, но что-нибудь посерьезнее, вплоть до холеры, не буду.
Аналгично насчет мытья рук: одно дело — после моего любимого сортира у себя дома — размывать особо не надо, а если спешишь сильно — можно и пропустить, совсем другое — после «туалета типа сортир» где-нибудь на вокзале, там желательно мыть так, как врачи в кино моют.
Или Вы сторонник того, что на автозаправках должно быть топливо отличное от 95/98/и евродизеля?

Тут уже решаю не я, а производитель двигателя: на какое минимальное ОЧ он рассчитал свой весьма сложный, весьма нагруженный и весьма теплонапряженный агрегат. Я могу лишь выбрать марку автомобиля и двигателя. Ну, или доработку двигателя — в СССР, например была распространена установка прокладок под блок головок, чтобы Жигуль на 76-м бензине мог ездить.

вы знаете разницу между HTTPS и HTTP, а среднестатический пользователь нет.

Браузер не умеет оценивать знания пользователя, а ещё он не понимает, это сайт погоды, сайт банка или фишинговая страница со слизанным дизайном банка, с тем же доменом + без протокола в адресной строке.

Ваша идея обязательно показывать предупреждение о небезопасном подключении мне нравится. Хотя лично мне обычно хватает и замочка.
Ну, а пользователь дожен хоть немного обучиться, чтобы пользоваться Интернет-банком. Например, как он обучился дверь запирать, даже когда на пять минут выходит из дома (в деревнях наши предки это часто не делали) Или — заблокировать интернет-банк.
Я, вот, считаю, что я обучился недостаточно. Потому — заблокировал.
Вообще «В наше время верить нельзя никому. Порой — даже себе.»(с). Вы вот описния случаев чисто телефонного мошенничества с переводом средств «на безопасный счет» читали? Если нет, то зря: поучительно.

в том то и дело, что пользователь может уметь пользоваться интернет банком, но не сможет отличить фишинговую страницу с HTTP от оригинала с HTTPS.

Да и вы не сможете, если, допустим, почистили кэш браузера (или не был изначально включен HSTS) и начали использовать WiFi/VPN контролируемый злоумышленником: картинки попиксельно совпадать будут, потому что браузеры не показывают протокол в url.

то есть это не попасться на социальную инженерию, а технический взлом.

Не знаю, как на телефонах, а на ПК или планшете под Windows (у меня — такой) браузер показывает, защищенное ли это соединение. Тем самым замочком.

так в том то и дело, что если б он на http не ругался, вы бы не поняли, что это соединение - небезопасное.

Я там немного поправил, для ясности.
PS Если чо, я могу и цепочку доверия сертификата проверить: я этому обучен.

ещё раз, нет никакой цепочки. Есть фишинговый сайт с HTTP. Да, у него не будет замочка. Но вероятность незаметить отсутствие замочка или забыть проверить наличие замочка больше чем вероятность незаметить Not Secure и тем более проигнорировать "А вы точно хотите открыть этот небезопасный сайт?"

В чем вы хотите меня убедить? Я же вам написал, что ваша идея оповещать пользователя, что подкючение не защищено, мне нравится.
А то, что лично мне этого не требуется — это мои личные трудности: будет оповещать — хуже не станет, не будет — и так справлюсь

ок. меня просто сбило с толку "хотя" после "нравится" :)

Я на 92 езжу. А 98 нафига?

То что http-трафик можно подменить незаметно — это ясно как день, но какой в этом прок, если ты запрашиваешь просто статический файл с раз в час формирующимся прогнозом погоды?

если ты решился на то, что твой бизнес зависит от погоды (планирование закупок, еще что-нибудь серьезное), то сломанный прогноз может вынудить тебя произвести какие-то действия (или наоборот - ты их не сделаешь), что в дальнейшем приведет к убыткам для твоего бизнеса (мало ли тебя конкурент заказал), либо к расширению хакерской атаки. Например, эти статические данные на самом были не такие статические и вызвали переполнение буфера в браузере пользователя - дальше RCE и поехали (фантастика, да, но лучше перестраховаться)

Или например курсы валют с CBR — до сих пор можно забирать по http. Запретят — сколько сервисов навернётся…

о! отличный пример! Если эти данные используются в процессе принятия решений.... то вы в беде

Хм… Допустим даже если это так (разумеется, для подобного бизнеса потребуются более надёжные источники данных), вы можете представить столь странную атаку, как подстановка заведомо неверных данных путём подмены трафика? Если бизнесу можно навредить таким способом, то явно можно сделать что-нибудь и поинтереснее. Учитывая, что есть доступ к каналу связи (а для подмены трафика он просто обязан быть).

Если бизнесу можно навредить таким способом, то явно можно сделать что-нибудь и поинтереснее

не исключено. Но мы же понимаем, что может быть бизнес может использовать самые защищенные системы - WAF'ы, файрволлы, наладить процессы. А сломается из-за какой-то тупости - вроде того, что разработчики забыли, что нельзя ничего передавать или получать по недоверенным каналам связи.

Учитывая, что есть доступ к каналу связи (а для подмены трафика он просто обязан быть).

достаточно этот доступ иметь не со стороны клиента - а в любом месте тракта МЕЖДУ сайтом и клиентом.

если ты решился на то, что твой бизнес зависит от погоды

ОК, давайте для таких случаев оставим возможность получать информацию по HTTPS — для тех немногих случаев, когда надежность источника действительно имеет значение. Ну и, заодно — для параноиков.
В большенстве же случаев сам по себе прогноз погоды недостаточно надежен, чтобы опасаться ещё и его искажения злоумышленником.
PS К новостным сайтам это тоже в полной мере относится: уровень достоверности их сообщений обычно и так крайне низок, чтобы искажение в процессе передачи что либо дополнительно испортило.

PS К новостным сайтам это тоже в полной мере относится: уровень достоверности их сообщений обычно и так крайне низок, чтобы искажение в процессе передачи что либо дополнительно испортило.

с точки зрения содержимого информации - да. Но с точки зрения других побочных вещей - вроде внедрения дополнительных нежелательных скриптов в МОЙ браузер - это вообще зашквар. Я прекрасно понимаю, что эти самые новостные сайты и так уже напичканы трекерами действий пользователя по самые гланды, но зачем это еще и усиливать?

Да потому что ничего особо более вредного туда не внедрят.
PS А вообще-то я тут немного параноик: я хожу в интернет с отдельной виртуалки, изолированной брандмауэром от локальной сети. Так что пусть внедряют: уж аномальную-то активность я увижу. Например, когда у меня тихо и внезапно сдох кулер на процессоре, и он свалился в тротлинг, я это увидел.

Если от прогноза погоды зависит мой бизнес, то я буду агрегировать данные с нескольких источников прогнозов, получать их по нескольким разным каналам (вдруг один упадёт?), и так далее.

Не будете. На практике выбирается один поставщик которому вы платите деньги за прогноз для ваших точек. Иногда этот поставщик даже несёт финансовую отвественность за неверный прогноз. Аэропорты примерно так прогнозы получают.

Наверное, это что-то погодно-специфичное. Когда я работал в месте, где для успеха бизнеса были нужны финансовые данные, там и несколько источников было, и верификация контрольных сумм по независимым каналам (к слову, несмотря на https и scp — просто чтобы удостовериться, что файл докачался до конца, етц).

Эту мутню можно отдать на аутсорс и забирать оттуда готовые данные уже из одного места.

http надо запрещать или помечать небезопасным, чтобы пользователь понимал, что на этом сайте нельзя оставлять свои данные.

А данные в xml / json со своей структурой и рекламу туда воткнуть никак не выйдет.

Ну как это не выйдет. {"weather": "+12, сильная облачность. Зонтики со скидкой, телефон ..."}


Вот к примеру я на ардуинке

Web делается не для ардуинок, а для пользователей, которые пользуются им через браузер. Если решили использовать Web не по назначению, то не надо удивляться, что получилось неудобно.

А я знаю правильный ответ! Потому что разные люди делают разные части, и тот, кто настраивал https мог вообще не знать, какие там ходят данные, потому что к коду приложения (или чего ещё) не имеет никакого отношения.

И, вероятно, это лучше, чем наоборот - не настроить https для важных данных.

Едва ли разработчики браузера будут заморачиваться и определять содержимое JSON-файла и определять секретность данных в нём.

Вполне достаточной, но только с перенаправлением трафика как мне кажется мимо - если злоумышленник создал свою версию сайта и смог вас на неё перенаправить, скорее всего и сертификат у него тоже будет.

Нет, перенаправление тут именно в цель. Отправляем пользователя на свою страничку «Чтобы пользоваться сервисом войдите через fb/vk/google», оттуда — обратно на реальный сайт. Собранные данные — используем сами или продаем.

я создал копию online.sberbank.ru на своём серваке и через WiFi отдал вам DNS server, который для этого hostname даст вам IP моего сервака. Осталась одна деталь.

Не подскажете, где я могу на online.sberbank.ru взять сертификат, чтоб ваш Chrome не орал, что этот сертификат не подписан ни одним известным ему CA?

Эх, жаль браузеры помечают http небезопасным, а то б я тупо отдавал HTTP а вы бы даже и не заметили - кто ж на протол сильно смотрит, особенно когда его выкосили из адресной строки?

Опсосы недавно взяли моду в чужие http сайты свою рекламу встраивать. Вы даже не будете знать, что ваш сайт кому-то рекламу показывает. А кроме рекламы можно и трекеров понавешать...

Вы даже не будете знать, что ваш сайт кому-то рекламу показывает.

Правильно, владельцу сайта, зарабтывающему рекламой на нем, HTTPS нужен. Точнее, ему нужна всего лишь цифровая подпись отдаваемого контента, но с этим, увы, в реальном Интернете туго.

Как вы представляете цифровую подпись контента без шифрования?

Как вы представляете цифровую подпись контента без шифрования?

Одно от другого не зависит. Никто не мешает подписывать нешифрованные данные.

В IPSEC даже режим специальный есть - называется AH. И там(в отличие от ESP) контент как раз не шифруется, а именно подписывается.

Прошу прощения за ошибочный минус, мышкой не туда щелкнул.
Надеюсь, плюс в карму искупит мою ошибку.

АУТЕНТИФИКАЦИОННЫЙ ЗАГОЛОВОК (AH)
Поле "Данные аутентификации" содержат значение контроля целостности, рассчитанное по всем данным, которые не изменяются в пути следования пакета или предсказуемы на момент достижения им получателя. Значение ICV рассчитывается в зависимости от алгоритма, определенного в SA, например код аутентификации сообщения с ключом симметричного или асимметричного алгоритма или хэшфункции.


Хэш-функция это конечно не совсем шифрование, но тут мне не очень понятно, как предотвращается вариант, что хакер поменял данные и сам посчитал хеш-функцию. Ведь предполагается, что получатель как-то будет ее вычислять для сравнения, значит алгоритм известен. Методы с приватным/публичным ключом как раз и придуманы для предотвращения такой ситуации, а это опять же шифрование.

Хэш-функция это конечно не совсем шифрование, но тут мне не очень понятно, как предотвращается вариант, что хакер поменял данные и сам посчитал хеш-функцию. Ведь предполагается, что получатель как-то будет ее вычислять для сравнения, значит алгоритм известен. Методы с приватным/публичным ключом как раз и придуманы для предотвращения такой ситуации, а это опять же шифрование.

Алгоритм подсчета криптографического хэша обычно включает использование криптографического ключа (секретного, согласованного при создании SA или закрытого, если секретный ключ не согласуется), которого у хакера быть не должно.

Ну тогда это то же самое, что и HTTPS. Сами данные может и не шифруются, но это все равно предполагает, что на обоих сторонах соединения есть программный код, работающий с ключами шифрования, который проверяет корректность некоторых переданных данных. Разница только в их объеме. И браузеры все равно бы показывали предупреждение для тех сайтов, где такое подписывание данных отсутствует.

Ну тогда это то же самое, что и HTTPS. Сами данные может и не шифруются

Это — как раз не то же самое. Существеннаяя разница -она в том, что данные не шифруются, а потому, во-первых, передаваемая информация может быть прочитана посредником, а, во-вторых, сам процесс передачи требует существенно меньше вычислений: вычисление хэша от комбинации текста и секретного ключа против шифрования всего текста.

сам процесс передачи требует существенно меньше вычислений

Несущественно. Вычисление криптографических хешей - тяжелая операция. А AES многие процессоры уже умеют.

Вычисление криптографических хешей — тяжелая операция. А AES многие процессоры уже умеют.

Вы зря оцениваете чисто по текущему моменту.
Чисто по алгоритму AES и ему подобое шифрование — более тяжелая операция. А аппаратное ускорение криптографического хеширования будет точно так же реализовано в массовой продукции при достаточной его востребованности.

AES уже реализовано во всем массовом и уже не является тяжелым. Вы же про будет, если и тому подобное. Все уже сделано.

Менять работающую хорошую технологию на другую есть смысл только если у второй есть какие-то преимущества. Пока вы таких не перечислили.

Вам тоже скажу: зря вы оцениваете чисто по текущему моменту: моменты меняются, и я, например, хорошо помню времена, когда AES вообще просто не было, не говоря уж об ускорении. Потом все появилось.
PS Path dependence — она конечно есть в природе, но стоимость смены пути в данном случае сильно меньше, чем в реальном мире (например, стоимость смены ж/д колеи). Тем более, что криптография — это такое дело, в котором используемые алгоритмы вынуждены меняться, хотя бы количественно, по длине ключа: требования к криптостойкости неизбежно растут с ростом скорости вычислений, а потому всякие аппаратные ускорения тоже неизбежно будут меняться или добавляться.

Как сменится так и приходите. Пока у AES запас выглядит достаточным для любого реального использования на годы вперед.

Зачем его менять на что-то другое непонятно. Вы тоже так и не написали зачем надо переделывать все от процов до браузеров и стандартов. Тратить кучу денег и времени чтобы что?

Меняться оно будет все равно. И куча времени и денег все равно будет потрачена. А по поводу «чтобы что» мы, вроде как, уже дошли до конца дискуссии.

Так как будут реальные причины для смены так и приходите. Зачем пытаться решать проблему которой нет? Никто не знает как, когда и почему AES может стать плохим. И соответственно никто не знает как после этого сделать снова хорошо.

Чтобы что вы так и не ответили. Лазить в чужой трафик нельзя. Забудьте. Ушли те времена. Любой новый стандарт приватность понижать не будет. Только повышать.

Чтобы что вы так и не ответили.
Дык, это мы с вами вчера полночи обсуждали. И пришли к тупику, упирающемуся в моральный выбор ценностей, а потому рационально неразрешимому.
Лазить в чужой трафик нельзя. Забудьте. Ушли те времена.

Боюсь, что в реальности они только приходят. Причем — не только в России. Например, в разных странах идет борьба со сквозным шифрованием в мессенджерах без возможности доступа к передаваемой информации спецслужб.

Не приходят. Их борьба это их борьба. Там больше идет борьба чтобы мессенджеры хоть как-то сотрудничали с государством. Это реально и вероятно будет делаться. Метаданные и тому подобное будет передаваться.

Провайдеры аналогично. Метаданные без проблем. Вот этот юзер пересылал байтики во на эти адреса. Вот табличка.

Данные не отдаст никто вероятно никогда. Мир достаточно развит чтобы послать всех кто хочет в чужом белье копаться.

Данные не отдаст никто вероятно никогда. Мир достаточно развит чтобы послать всех кто хочет в чужом белье копаться.

Ваша вера заслуживает уважения — но это всего лишь вера. Более того, мне бы тоже хотелось в это верить, ибо шестое чувство советского человека — чувство глубокого удовлетворения от деятельности государства — мне ещё более не свойственно иназад в СССР я не хочу, совсем. Но, увы, верить в это у меня не получается. Впрочем, это — опять не технический вопрос.

Но, увы, верить в это у меня не получается.

Модульную арифметику над длинными числами вряд ли получится разизобрести обратно.

Проблема тут в том, что вопрос этот — не технический. Например, ещё в древнем, ныне давно заброшенном корпоративном брандмауэре MS TMG можно было настроить принудительную инспекцию трафика из корпоративной локалки используя MITM — через сертификаты, выдаваемые этим самым брандмауэром, которым браузеры в локалке доверяли, потому что нужный корневой сертификат на них был установлен в доверенные. И если чисто технически, то ничто не мешает внедрить такую вот принудительную инспекцию во всем государсве. Помешать государству тут могут только вещи нетехнические — например, выражение воли народа тем средством, которое рождает власть. ;-)
PS А ещё может получиться изобрести секретную теорему алгебры (кстати, ходили такие легенды в начале 90-х про КГБ, вместе с легендами про красную ртуть). Или — квантовый компьютер.

при достаточной его востребованности

Да.

Нужно всего лишь разработать протокол HTTPDS (вместо шифрования - цифровые подписи), выпустить серверы и браузеры с его поддержкой и подождать, пока производители оборудования наклепают аппаратных ускорителей. Чтобы что? Чтобы ББ было удобнее заглядывать через плечо, чего вы там читаете в википедии?

Чтобы что? Чтобы ББ было удобнее заглядывать через плечо, чего вы там читаете в википедии?

Нет. Чтобы снизить требования к вычислительной мощности устройств и чтобы облегчить локальное кэширование данных: про все это я уже писал.

Быстрее AES уже просто некуда. Там сумасшедшие скорости. Все максимально оптимизировано начиная от проца. Заметно быстрее вы не сделаете.

Локальное кеширование работает. Посмотрите в консоль браузера. 304 там регулярно бывает. А всем сидящем на трубе нефиг смотреть что там передается. Не их ума это дело. Тут есть мировой консенсус. Вы его не измените.

А всем сидящем на трубе нефиг смотреть что там передается. Не их ума это дело.
Я вам уже писал, что иногда это приносит пользу лично мне.
Впрочем, эту тему мы уже обсудили до конца.
Тут есть мировой консенсус. Вы его не измените.
Но я хотя бы попробую. Потому что этот консенсус не выглядит разумным. А то, что он существует — так это ещё Гегель в своей диалектике писал, что не все существующее есть действительное, а потому кое-что из этого сущетсвующего меняется. Но это уже философия, а философию на Хабре я тоже обсуждать не хочу.
И предсказывать, будет ли в реальности использоваться версия защиты информации на канале передачи данных для протокола HTTP без шифрования, но с подписью, не возьмусь.
Ну и с практической же точки зрения для проживающих в России еще важно, существует ли массовое аппартное укорение для ГОСТ.

Я вам уже писал, что иногда это приносит пользу лично мне. Впрочем, эту тему мы уже обсудили до конца.

Это не про лично вам. Это про провайдеров всех уровней. Начиная от владельца ВайФай точки в кафешке и заканчивая тир1 провайдерами. Им нефиг лазить в трафик. То что вы лично тоже не сможете это допустимое ограничение. На него мир пойдет.

И предсказывать, будет ли в реальности использоваться версия защиты информации на канале передачи данных для протокола HTTP без шифрования, но с подписью, не возьмусь.

Я возьмусь. Нет, не будет.

Это понижает приватность и не дает никаких преимуществ ни пользователю ни распространителю контента. Такие стандарты не имеют шанса даже до драфта RFC добраться.

Ну и с практической же точки зрения для проживающих в России еще важно, существует ли массо