Не примоминаю в стандарте запрета пользования http.
Нет никакого «стандарта», который фиксировал бы применяемые сегодня технологии. HTTP/1.0 развился в HTTPS, который далее был развит в HTTP/2.0 (незащищённую версию которого никто не реализовал), и который далее был развит в HTTP/3.0 (который в принципе только HTTPS, нет незащищённой версии). Ровно так же как есть стандарты SSL 1.0-3.0, и TLS 1.0-1.3. Так вот, стандарты имеют свойство устаревать и терять актуальность. SSL 1.0-3.0 уже давно никто не поддерживает. В многих местах требуется TLS не ниже 1.2. Старые стандарты никуда не делись, просто их больше не используют, так как они утратили актуальность. То же самое ждёт обычный HTTP. Из веба он будет вытеснен практически полностью, и останется только для локальных применений, типа там в админку роутера зайти или открыть сайт на локалхосте.
Просто некие пупки с горы преследуя свои цели так решили.
Это ну очень смешно звучит. Какой-то noname, по сути тот самый «хрен с горы», называет «некими пупками с горы» людей, которые развивают и двигают вперёд весь веб, развивая используемые почти всеми людьми технологии.
Поищите про конец срока действия IdenTrust DST Root CA X3.
Ахаха, то есть вы называете «ситуацией» ожидаемое окончание срока действия корневого сертификата, который использовался на время, пока родной корневой сертификат Let's Encrypt 2015 года распространялся с обновлениями ОС? Текущий корневой сертификат «ISRG Root X1» был выпущен в 2015 и истекает в 2035 году. Это видно прям в свойствах сертификата. Сейчас новые корневые сертификаты для Let's Encrypt выпускают раз в 5 лет на 20 лет, то есть в новых ОС в комплекте идёт как «ISRG Root X1», что до 2035 года, так и «ISRG Root X2», что до 2040 года. Когда тот что до 2035 года будет истекать, перейдут на использование того, что до 2040 года. И так далее. То есть, выпущенная сегодня ОС без обновлений будет поддерживать сертификаты Let's Encrypt целых 15-20 лет. Более чем достаточно. А там с обновлениями ОС будут прилетать более новые корневые сертификаты. Ну и вручную обычно можно добавить, если что.
То что меня не коснулось неважно?
Меня оно напрямую коснулось. Мне пришлось обновить аж два скрипта =)
Полноценные темы, как и старые расширения, слишком полагались на внутреннее устройство UI браузера, из-за чего разработчики не могли сильно менять как оно устроено (а они хотели перейти с XUL полностью на HTML), и из-за разных маленьких несовместимостей старые темы всё равно со временем ломались с выходом новых версий браузера.
По идее, чем более популярен QUIC, тем более у операторов мотивации научиться распознавать QUIC, и поддерживать его соединения должным образом. Он же только-только начал активно использоваться, не было у них ещё времени нормально среагировать.
У меня на достаточно простых изображениях получалось получить уменьшения размера в разы, и даже на порядок, при визуально неотличимой разнице между jpeg и webp .
Вероятно, у вас были очень неоптимизированные JPEG. Например, с камеры (там очень упрощённое сжатие). На самом деле, WebP иногда даже оказывается хуже JPEG. На более высоких уровнях качества JPEG точно лучше WebP (если не считать lossless) из-за низкого цветового разрешения WebP, которое он унаследовал от видеокодека VP8. Из-за этой особенности в принципе нельзя получить WebP lossy хорошего качества, всегда будет потеря деталей из-за того что в полном разрешении хранится только чёрно-белая версия изображения (luma, один канал), а цветовая информация (chroma, два канала) всегда с вдвое меньшим разрешением. JPEG тоже так умеет, но в нём это опционально, на высоком уровне качества можно сохранять все цветовые детали в полном разрешении. В зависимости от изображения, это может быть очень заметным. То есть, с WebP lossy даже на самом высоком уровне качества могут быть хорошо заметные цветовые искажения (обычно на контрастных границах), от которых никак не избавиться, если не использовать lossless.
WebP lossless — это на самом деле отдельный формат (его поддержка даже не одновременно с WebP lossy появилась), и если его сравнивать с PNG, то по крайней мере он оказался неплох.
Поиском через кейворд пользуюсь лет 10, проблемы с тем что кейворд попадал в поисковый запрос не припомню. Плашка начала появляться кажется вместе с переходом на новый дизан, но может быть и раньше, точно не помню. Но она точно уже давно. Они вместе с введением этой плашки убрали переход на главную поисковика по пустому запросу, и меня это уже много месяцев немного раздражает =( То есть раньше я мог ввести g и нажать Enter, и я попадал на главную Google. Мог ввести yt, нажать Enter, и попасть на главную YouTube. А сейчас нужно обязательно ввести запрос для поиска.
Если что, у меня Firefox Developer Edition. Но вообще в обычной версии должно быть так же, в ней просто новые фичи появляются с задержкой в месяц-два.
SSD почти с момента покупки. У меня ни одного компьютера, где система стояла бы на HDD, не осталось. Даже родителям SSD на 256 гигов поставил =)
На самом деле, когда я собирал тот комп в 2014, я сразу купил без SSD, и был расстроен, что по сравнению со старым ноутом, не глядя на в разы более мощное железо, не так уж всё и весело крутилось. Через неделю докупил SSD на 512 гигабайт, и вот именно это изменение сделало работу за компьютером ощутимо приятнее.
Уверен, что покупка SSD сделает ваш компьютер гораздо живее. Ну и ещё оперативы, если меньше 16 гигов, то стоило бы докупить. Я в 2014 сразу 16 брал, и тогда это оказалось с запасом, а сейчас в самый раз.
Нет, не пофиг. Провайдер может вмешиваться в трафик, встраивая свои скрипты (для рекламы или аналитики), и ломать тем самым работу скриптов сайта. Он может вмешиваться и в контент. Например, во времена до массового HTTPS (более 10 лет назад) как-то прикалывались на 1 апреля, и на шлюзе в интернет для самого популярного новостного сайта в стране прозрачно подменяли трафик так, чтобы на этом сайте появлялись фейковые новости про наших сотрудников. На самом деле, это тоже нежелательно, и если я захожу на любимый информационный сайт, я хочу быть уверенным, что я вижу его настоящее содержимое.
Ну и банально, мало кто захочет, чтобы сосед по Wi-Fi мог тайно изучать весь ваш трафик, выясняя какие жанры видео вам нравятся и т.д. Пускай вы там и не вводите нигде свои пароли.
По умолчанию трафик должен быть зашифрован. Для пользователя в шифровании минусов нет. Админу сайта только надо немного повозиться с настройками. Во многих случаях, на самом деле для этого просто надо одну галочку в настройках поставить.
Странно. У меня как только я нажму g и пробел, g сразу же заменяется на плашку, что я сейчас буду искать через google.com:
Чтобы в запрос ушло с префиксом g, надо набрать g и пробел ещё раз, то есть сделать лишние действия.
Может быть, вы в адресную строку попадаете через Ctrl+K, и она сразу переходит в режим поиска через поисковик по умолчанию? Попробуйте Ctrl+L или F6, чтобы попасть в адресную строку без перевода её в режим поиска через поисковик по умолчанию, и потом уже ввести кейворд.
Должен вырезаться. Возможно, у вас просто это не настроено? По умолчанию кейворды не заданы. g, y, b — это то что я использую. Вы себе можете другие указать.
Всё что они обеспечивают — это вашу уверенность, что между вами и сервером никого больше нет. А принцип «если есть зелёный замочек, значит это не мошенники, сайту можно доверять» всегда был ошибочным и давал ложную уверенность.
Если что, и сейчас есть на выбор DV, OV и EV сертификаты. DV выдают после простой проверки владения доменом, а OV и EV выдают за деньги только после проверки документов с подтверждением существования вашей организации и т.д.
Сертификат выдан просто на домен:
Сертификат выдан организации, с валидацией её документов:
Это конечно хорошо, что LE раздаёт бесплатные сертификаты, но простым HTML страничкам с бесплатных хостингов это всё равно не поможет.
Никто не запрещает бесплатным хостингам настроить автоматическое получение сертификатов для всех сайтов что у них хостятся. Там ничего сверх-сложного. А если кто-то пользуется бесплатным хостингом, на поддержку которого полностью забили, то бежать с такого хостинга надо, так как с таким подходом он вот-вот закроется.
А повсевместный переход на HTTPS в условиях PKI будет означать только дополнительную централизацию инета, ещё одну возможность кому-то наверху отключить ваш сайт, просто отозвав сертификат в браузере. Как будто DNS недостаточно…
До появления Let's Encrypt я раньше всегда возмущался, что сертификат не выдают прям вместе с регистрацией и оплатой домена. Мне всегда казалось, что это «должно быть включено в стоимость». Ну подход с Let's Encrypt тоже неплох, тем более что есть и пара альтернатив. Для случая, если это будет использоваться для неправомерной блокировки сайтов, в крайнем случае сайты всегда могут начать использовать самоподписанные сертификаты. Это минимальное неудобство для пользователей, и не повод оставлять всех их без шифрованного HTTP.
Что ж там нетривиального то? Варианты на выбор:
1. Вводим домен, выбираем в списке «искать в Google» (или что там по умолчанию).
2. Вводим домен, выбираем внизу списка нужный поисковик, запускаем поиск.
3. Для любителей клавы, никто не отменял комбинацию клавиш старого поля поиска: нажимаем Ctrl+K, вводим домен, Enter.
4. Для более продвинутых любителей клавы: каждому поисковику назначаете кейворд (g — Google, y — Yandex, b — Bing, и т.д.), и потом когда нужно искать что-то в конкретном поисковике, пишете в адресной строке «g habr.ru» или «y habr.ru». Кстати, эта функция есть прям с самой первой версии Firefox.
Я всегда использую последний вариант как самый удобный для быстрого поиска в любом из 30+ поисковиков что у меня установлены. Если для вас это слишком сложно, используйте любой из других вариантов.
Почему у меня доверие должно быть к компании, которая за всё хорошее (и приватность) и против всего плохого, но имеет кучу телеметрии, которая opt-out, и которую большинство пользователей просто не разберется как отключать?
Потому что телеметрия не про личные данные, а про технические данные. Ваш кэп.
Я лишь указывал, что потенциал для fingerprinting'а/телеметрии есть даже у простых GET-запросов.
Вы со словами «да всё на самом деле ещё хуже» сослались на какую-то нелепую статью, где проверку наличия интернета пустым GET-запросом выдают за шпионство, ярко демонстрируя отсутствие понимание вопроса. А когда стало ясно, что это такое, уже начали натягивать сову на глобус, говоря о том, как много вашей личной информации Mozilla может собирать через эти запросы.
Да, если бы захотела, Mozilla много чего могла бы. Но если вы ей не доверяете, то эти пустые запросы для проверки наличия интернета — наименьшая проблема, если вы уже выполняете их код у вас на компьютере. Если Firefox уже работает на вашем компьютере, он уже может читать ваши файлы, он уже имеет доступ ко всему что вы вводите с клавиатуры, и он уже имеет полный доступ в сеть. По сравнению со всем этим, теоретическая возможность собрать какую-то статистику о вас из запросов проверки наличия интернета — просто ничтожная проблема. Не говоря уже о том, что из 200+ миллионов пользователей кроме вас там будут сотни тысяч людей с таким же User-Agent, и при первой смене IP-адреса вы просто затеряетесь среди них.
Вы как-то нелепо оцениваете риски. Риск от выполнения кода — огромный. Но если вы доверяете разработчику, и запускаете эту программу, то как-то странно всё равно подозревать, что за вами шпионят, тем более через задокументированную телеметрию, содержимое которой можно изучить в about:telemetry или через исходный код. Mozilla максимально прозрачна в этом плане.
Если вы не доверяете какой-то компании, и считаете, что она хочет шпионить за вами, просто никогда не запускайте их код у себя на компьютере. Если у разработчика есть злые намерения следить за вами, вообще не важно, как именно он это будет делать, если вы уже запустили его код и дали доступ в сеть. Есть масса возможностей следить за человеком действительно незаметно, выжидая подходящие моменты и маскируя пересылку собранных данных (например, раз в месяц), а не стучаться на firefox.com сразу после запуска.
Ну видимо на том сайте крутится скриптик, который время от времени что-то делает, и при этом не даёт браузеру освободить временные объекты, потому что где-то на них сохраняются ссылки, из-за чего они бесконечно накапливаются. Если у вас 32-разрядная версия браузера, поставьте 64-разрядную, там адресное пространство поболее, может очень долго течь и не падать =)
О другом. В 2021 в браузера добавили настройку, которая блокирует HTTP вообще. Вот ваша вторая ссылка как раз ведёт на HTTP-only сайт, и браузер показывает такое предупреждение:
Пока что по умолчанию этот режим выключен, но думаю что в ближайшие несколько лет включат для всех. Как итог, ленивым админам малоизвестных сайтов типа этого pyatilistnik.org придётся всё же немного пошевелиться, чтобы добавить поддержку HTTPS, потому что необходимость кликать «Continue to HTTP Site» при каждом посещении будет раздражать.
Пока что только в Firefox есть такая настройка, которая выключена по умолчанию. Думаю, ещё не время для такого поведения по умолчанию. Пускай допишут спеки по новой DNS-записи HTTPS, которая позволяет сделать надёжный автоапгрейд всех HTTP-ссылок для сайта до HTTPS, дождутся когда оно будет поддерживаться хотя бы в 90% установленных браузеров и начнёт достаточно массово использоваться сайтами, а там уже можно будет. Эта фишка облегчит разработчикам сайтов переход на HTTPS в случае, если у них на сайте очень много абсолютных ссылок с HTTP. Сейчас Content-Security-Policy: upgrade-insecure-requests; с этим очень помогает, но новая DNS-запись будет работать даже когда на вас ссылаются по HTTP из внешнего источника. Там же, кстати, указывается ключ для ECH (шифрованный Client Hello, чтобы нельзя было из первого пакета получить хост), и наличие поддержки HTTP/3. В общем, с этой новой DNS-записью браузер сразу будет знать куда и как он может подключаться, ещё до того как подключился к вашему серверу. Это делает ненужными целый ряд старых костылей.
Пользователь решает, пользоваться ли ему продуктом, который ему предлагают, или не пользоваться. Не пользователь решает каким будет продукт. Если вам что-то не нравится, никто не запрещает вам сделать свой аналог, где будет всё так как считаете нужным именно вы. Вы не пуп земли, никто не обязан подстраиваться под именно ваше видение как должно быть. Тем более, что видение у вас какое-то странное.
Веб движется к тому, чтобы полностью избавиться от незащищённых соединений, и это отличные новости. Меня огорчает, что всё ещё попадаются сайты, которые не работают по HTTPS. Но с давлением со стороны разработчиков браузеров, таких сайтов становится всё меньше. Обычный пользователь и не догадывается, что его сосед по Wi-Fi может подсматривать всё содержимое, просматриваемое по HTTP. Или то что какую-то рекламу на страницу добавил провайдер, а не разработчик сайта. Если бы знал, то точно предпочёл бы HTTPS, так как он решает много неприятных проблем. Админу сайта нужно просто раз всё настроить. Здесь нет никаких сложностей кроме лени.
Думаю, через лет 5-10 HTTPS станет обязательным для не локальных адресов, попытка открыть сайт по HTTP будет выдавать ошибку, где нужно будет нажать «да, я действительно хочу зайти по HTTP». Это подтолкнёт даже самых ленивых админов наконец добавить поддержку HTTPS.
Про LE, в свете недавней ситуации лучше вовсе не упоминать.
Ну так расскажите что там с LE за «недавняя ситуация», ну очень интересно. А то я использую Let's Encrypt для всех своих сайтов, и может чего-то не знаю.
Это ну очень смешно звучит. Какой-то noname, по сути тот самый «хрен с горы», называет «некими пупками с горы» людей, которые развивают и двигают вперёд весь веб, развивая используемые почти всеми людьми технологии.
Ахаха, то есть вы называете «ситуацией» ожидаемое окончание срока действия корневого сертификата, который использовался на время, пока родной корневой сертификат Let's Encrypt 2015 года распространялся с обновлениями ОС? Текущий корневой сертификат «ISRG Root X1» был выпущен в 2015 и истекает в 2035 году. Это видно прям в свойствах сертификата. Сейчас новые корневые сертификаты для Let's Encrypt выпускают раз в 5 лет на 20 лет, то есть в новых ОС в комплекте идёт как «ISRG Root X1», что до 2035 года, так и «ISRG Root X2», что до 2040 года. Когда тот что до 2035 года будет истекать, перейдут на использование того, что до 2040 года. И так далее. То есть, выпущенная сегодня ОС без обновлений будет поддерживать сертификаты Let's Encrypt целых 15-20 лет. Более чем достаточно. А там с обновлениями ОС будут прилетать более новые корневые сертификаты. Ну и вручную обычно можно добавить, если что.
Меня оно напрямую коснулось. Мне пришлось обновить аж два скрипта =)
WebP lossless — это на самом деле отдельный формат (его поддержка даже не одновременно с WebP lossy появилась), и если его сравнивать с PNG, то по крайней мере он оказался неплох.
Если что, у меня Firefox Developer Edition. Но вообще в обычной версии должно быть так же, в ней просто новые фичи появляются с задержкой в месяц-два.
На самом деле, когда я собирал тот комп в 2014, я сразу купил без SSD, и был расстроен, что по сравнению со старым ноутом, не глядя на в разы более мощное железо, не так уж всё и весело крутилось. Через неделю докупил SSD на 512 гигабайт, и вот именно это изменение сделало работу за компьютером ощутимо приятнее.
Уверен, что покупка SSD сделает ваш компьютер гораздо живее. Ну и ещё оперативы, если меньше 16 гигов, то стоило бы докупить. Я в 2014 сразу 16 брал, и тогда это оказалось с запасом, а сейчас в самый раз.
Ну и банально, мало кто захочет, чтобы сосед по Wi-Fi мог тайно изучать весь ваш трафик, выясняя какие жанры видео вам нравятся и т.д. Пускай вы там и не вводите нигде свои пароли.
По умолчанию трафик должен быть зашифрован. Для пользователя в шифровании минусов нет. Админу сайта только надо немного повозиться с настройками. Во многих случаях, на самом деле для этого просто надо одну галочку в настройках поставить.
Чтобы в запрос ушло с префиксом g, надо набрать g и пробел ещё раз, то есть сделать лишние действия.
Может быть, вы в адресную строку попадаете через Ctrl+K, и она сразу переходит в режим поиска через поисковик по умолчанию? Попробуйте Ctrl+L или F6, чтобы попасть в адресную строку без перевода её в режим поиска через поисковик по умолчанию, и потом уже ввести кейворд.
Если что, и сейчас есть на выбор DV, OV и EV сертификаты. DV выдают после простой проверки владения доменом, а OV и EV выдают за деньги только после проверки документов с подтверждением существования вашей организации и т.д.
Сертификат выдан просто на домен:
Сертификат выдан организации, с валидацией её документов:
До появления Let's Encrypt я раньше всегда возмущался, что сертификат не выдают прям вместе с регистрацией и оплатой домена. Мне всегда казалось, что это «должно быть включено в стоимость». Ну подход с Let's Encrypt тоже неплох, тем более что есть и пара альтернатив. Для случая, если это будет использоваться для неправомерной блокировки сайтов, в крайнем случае сайты всегда могут начать использовать самоподписанные сертификаты. Это минимальное неудобство для пользователей, и не повод оставлять всех их без шифрованного HTTP.
1. Вводим домен, выбираем в списке «искать в Google» (или что там по умолчанию).
2. Вводим домен, выбираем внизу списка нужный поисковик, запускаем поиск.
3. Для любителей клавы, никто не отменял комбинацию клавиш старого поля поиска: нажимаем Ctrl+K, вводим домен, Enter.
4. Для более продвинутых любителей клавы: каждому поисковику назначаете кейворд (g — Google, y — Yandex, b — Bing, и т.д.), и потом когда нужно искать что-то в конкретном поисковике, пишете в адресной строке «g habr.ru» или «y habr.ru». Кстати, эта функция есть прям с самой первой версии Firefox.
Я всегда использую последний вариант как самый удобный для быстрого поиска в любом из 30+ поисковиков что у меня установлены. Если для вас это слишком сложно, используйте любой из других вариантов.
Вы со словами «да всё на самом деле ещё хуже» сослались на какую-то нелепую статью, где проверку наличия интернета пустым GET-запросом выдают за шпионство, ярко демонстрируя отсутствие понимание вопроса. А когда стало ясно, что это такое, уже начали натягивать сову на глобус, говоря о том, как много вашей личной информации Mozilla может собирать через эти запросы.
Да, если бы захотела, Mozilla много чего могла бы. Но если вы ей не доверяете, то эти пустые запросы для проверки наличия интернета — наименьшая проблема, если вы уже выполняете их код у вас на компьютере. Если Firefox уже работает на вашем компьютере, он уже может читать ваши файлы, он уже имеет доступ ко всему что вы вводите с клавиатуры, и он уже имеет полный доступ в сеть. По сравнению со всем этим, теоретическая возможность собрать какую-то статистику о вас из запросов проверки наличия интернета — просто ничтожная проблема. Не говоря уже о том, что из 200+ миллионов пользователей кроме вас там будут сотни тысяч людей с таким же User-Agent, и при первой смене IP-адреса вы просто затеряетесь среди них.
Вы как-то нелепо оцениваете риски. Риск от выполнения кода — огромный. Но если вы доверяете разработчику, и запускаете эту программу, то как-то странно всё равно подозревать, что за вами шпионят, тем более через задокументированную телеметрию, содержимое которой можно изучить в about:telemetry или через исходный код. Mozilla максимально прозрачна в этом плане.
Если вы не доверяете какой-то компании, и считаете, что она хочет шпионить за вами, просто никогда не запускайте их код у себя на компьютере. Если у разработчика есть злые намерения следить за вами, вообще не важно, как именно он это будет делать, если вы уже запустили его код и дали доступ в сеть. Есть масса возможностей следить за человеком действительно незаметно, выжидая подходящие моменты и маскируя пересылку собранных данных (например, раз в месяц), а не стучаться на firefox.com сразу после запуска.
Пока что по умолчанию этот режим выключен, но думаю что в ближайшие несколько лет включат для всех. Как итог, ленивым админам малоизвестных сайтов типа этого pyatilistnik.org придётся всё же немного пошевелиться, чтобы добавить поддержку HTTPS, потому что необходимость кликать «Continue to HTTP Site» при каждом посещении будет раздражать.
Content-Security-Policy: upgrade-insecure-requests;с этим очень помогает, но новая DNS-запись будет работать даже когда на вас ссылаются по HTTP из внешнего источника. Там же, кстати, указывается ключ для ECH (шифрованный Client Hello, чтобы нельзя было из первого пакета получить хост), и наличие поддержки HTTP/3. В общем, с этой новой DNS-записью браузер сразу будет знать куда и как он может подключаться, ещё до того как подключился к вашему серверу. Это делает ненужными целый ряд старых костылей.Веб движется к тому, чтобы полностью избавиться от незащищённых соединений, и это отличные новости. Меня огорчает, что всё ещё попадаются сайты, которые не работают по HTTPS. Но с давлением со стороны разработчиков браузеров, таких сайтов становится всё меньше. Обычный пользователь и не догадывается, что его сосед по Wi-Fi может подсматривать всё содержимое, просматриваемое по HTTP. Или то что какую-то рекламу на страницу добавил провайдер, а не разработчик сайта. Если бы знал, то точно предпочёл бы HTTPS, так как он решает много неприятных проблем. Админу сайта нужно просто раз всё настроить. Здесь нет никаких сложностей кроме лени.
Думаю, через лет 5-10 HTTPS станет обязательным для не локальных адресов, попытка открыть сайт по HTTP будет выдавать ошибку, где нужно будет нажать «да, я действительно хочу зайти по HTTP». Это подтолкнёт даже самых ленивых админов наконец добавить поддержку HTTPS.
Ну так расскажите что там с LE за «недавняя ситуация», ну очень интересно. А то я использую Let's Encrypt для всех своих сайтов, и может чего-то не знаю.