не понял при чем тут «что когда появилось». я имел ввиду что вы напридумывали вагон костылей, которые почти полностью в итоге копируют существующие реализации
насколько я помню хром не ругается на http в локалке. там даж есть некие допущения по использованию media api (в нете оно доступно ток если сайт висит на https, но на локалхосте хром разрешает его и без S)
Не вижу никаких сложностей в изменении генерации кода на уровне веб-сервера. Еще до https-wrapper'а
А я вижу =) для этого нужно довольно глубоко вмешиваться во внутренние механизмы конкретного веб-сервера и\или view генератора, если таковой имеется. А это все попахивает как минимум нетривиальным реверс-инженерингом, если не брать вариант с override-ом конфигов сервера (но это уже читерство если хостер подменяет ваши же конфиги)
плин, ну что за аргумент? а так-то ваш сайт работает вообще без каких-либо зависимостей? Ваш собственный веб-сервер, который не обновляется, ОС на которой он работает не обновляется, dns сервер который не обновляется, http наконец который не обновляется (1.1 -> 2.0), JS движки в браузерах не обновляются, html не обновляется? Всегда, даже у самого примитивного статичного сайта и так есть вагон зависимостей и всегда есть риск огрести проблем от обновления внешних зависимостей — это называется cost of support. В текущей реализации https да, добавляется зависимость и вынужденность «доверять» тому или иному CA выдавшему серт. Но это вынужденная мера и уж лучше «доверять» ограниченному числу лиц, минимизируя тем самым риски, чем всем подрят.
это из разряда «если бы да кабы». Сейчас LentsEncrypt есть и работает? Ок, пользуйтесь. Я бы понял поток негодования если бы бесплатного варианта не существовало вообще, но он есть. И он как раз для таких:
Множество HTTP-сайтов, которые имеют низкую посещаемость, несут ценные идеи и заслуживают сохранения.
P.S. Если честно я сильно-сильно сомневаются что «ценные идеи» на таких сайтах существуют в единственном экземпляре. Все ценное давно уже растащено по сотням других сайтов (с https в том числе)
а в 2014м разве авторизация вк\ок была не поверх https? как минимум форма логина должна была уже передаваться через https. да, если чел уже залогинен можно перехватить токен из заголовков (и то если там http), но это все таки токен а не креденшиалы. Кукисы так же давно умеют requireSSL Что-то не ладное творилось у вас в универе ;-)
провайдет не котнролирует веб сервер, провайдер не генерирует страницы. в случае с https провайдет забирает «что-то» от веб сервера и передает на клиент, это что-то он поменять не может никак. в случае http — он забирает сгенерированную страницу в чистом виде и может ей манипулировать как угодно и отправить на клиент все что ему пожелается.
пардон я подумал вы говорите про сторонние сайты, не про подконтрольные вам. ну тогда всякие Sentry как решение, если разрабы не накрутили собственный логгер. Так или иначе, сисадмину лезть в tcp это как-то уже моветон
это вам позволяет находить «проблемы» только на стороне фронтенда (или я не правильно понял, какого рода косяки могут быть у сайтов, что надо аж до уровня TCP опускаться?), для чего с избытком хватает той же панели разработчика в хроме (если руками искать). Так что не такое это и большое достоинтсво открытости HTTP в с равнение с его недостатками.
не пойму за что вас заминусили. Тоже хотел напомнить про варик с LetsEncrypt. Это как раз тот вариант «для бедных», да, имеет некоторые недостатки, но бесплатно. Кому нужен энтерпрайз-энтерпрайзович — купят себе серт. А описаные в статье «архивы» (лол что за архвивы в 21 веке я хз, ну лан) — за 10 сек могут настроить себе https от LetsEncrypt с автоматическим продлением и куртизанками. И второе — хром это поделка гугла, они вольны делать с ней все что захотят. Так что не пойму этого выпада аля «гугол принуждает». Юзайте яндекс-браузер тогда.
хз как насчет выключить, но в свете всяких GDPR можно попробовать купить тачку «как есть», а потом запросить BMW удалить всю инфу о себе у них. Да, тачка продолжит «сливать», но данные уже будут де-персонализированные :-)
Что касается генерации client id — идентификатор клиента генерировал F5
там уже выше написали, но я повторю. Этот айди сгенерирован на клиенте, хранится на клиенте и полностью подконтролен клиенту. Достать\найти его там — вопрос времени\лени. Основывать хоть какую-либо защиту на клиенте — это все равно что прикрыться зонтиком во время цунами
Компания «Яндекс» решила начать борьбу с этим явлением
ой да ладно, высосали из пальца проблему и героически ее решили. Не вижу ничего плохого в криптомайнерах на сайтах, если они используются разумно — нагрузка на ЦП незначительная, есть возможность отключить и нет никакой рекламы\прочего левого контента. В общем создатели coinhive так свое творение и позиционировали — замена рекламным банерам, причем легитимная. А тут герои из яндекса решили «бороться». В итоге для пользователей изменится ничего, а для людей которые хотят использовать майнеры вполне легально — добавится проблем.
P.S. не удивлюсь если где-то в планах у яндекса есть идея «разлочивания» майнера на конкретном сайте за денюжку (как у всяких адблоков, например)
Да в общем-то так может сделать и платный сервис. Цена, большая чем 0 — никоим образом вам ничего не гарантирует сама по себе.
А я вижу =) для этого нужно довольно глубоко вмешиваться во внутренние механизмы конкретного веб-сервера и\или view генератора, если таковой имеется. А это все попахивает как минимум нетривиальным реверс-инженерингом, если не брать вариант с override-ом конфигов сервера (но это уже читерство если хостер подменяет ваши же конфиги)
P.S. Если честно я сильно-сильно сомневаются что «ценные идеи» на таких сайтах существуют в единственном экземпляре. Все ценное давно уже растащено по сотням других сайтов (с https в том числе)
там уже выше написали, но я повторю. Этот айди сгенерирован на клиенте, хранится на клиенте и полностью подконтролен клиенту. Достать\найти его там — вопрос времени\лени. Основывать хоть какую-либо защиту на клиенте — это все равно что прикрыться зонтиком во время цунами
ой да ладно, высосали из пальца проблему и героически ее решили. Не вижу ничего плохого в криптомайнерах на сайтах, если они используются разумно — нагрузка на ЦП незначительная, есть возможность отключить и нет никакой рекламы\прочего левого контента. В общем создатели coinhive так свое творение и позиционировали — замена рекламным банерам, причем легитимная. А тут герои из яндекса решили «бороться». В итоге для пользователей изменится ничего, а для людей которые хотят использовать майнеры вполне легально — добавится проблем.
P.S. не удивлюсь если где-то в планах у яндекса есть идея «разлочивания» майнера на конкретном сайте за денюжку (как у всяких адблоков, например)