Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 52
Для редиректа правильнее использовать не 301 и 302, а HTTP 303.
Если у приложения новый URI то 303 предпочтительнее. Но идея во фразе «http responsе коды 301 и 302 могут быть закешированы браузером.»
Я вам про это и пишу. По-правилам, согласно RFC-2616, «The 303 response MUST NOT be cached, but the response to the second (redirected) request might be cacheable.» Вопрос не в том, что предпочтительнее, а в том, что проблема кеширования возникает из-за неправильно выбранного заголовка.
Я понимаю что 303 код не должен кешироваться. А 301 в свою очередь кешируется по умолчанию.
Смысл в том что разные коды задают разное поведение и в зависимости от него Вы выбираете код.
Редирект бывает по разным причинам и поэтому у нас несколько кодов для редиректа.
Данная статья не разъясняет когда необходимо использовать какие коды.
Но все ровно спасибо что Вы на страже.
Смысл в том что разные коды задают разное поведение и в зависимости от него Вы выбираете код.
Редирект бывает по разным причинам и поэтому у нас несколько кодов для редиректа.
Данная статья не разъясняет когда необходимо использовать какие коды.
Но все ровно спасибо что Вы на страже.
Кстати, по причине кешировния (избегаем постоянного редиректа) google developers гид рекомендует использовать именно 301 и 302.
А если ставить cookies https only? И делать редирект?
Да, я забыл об этом написать. Без атрибута 'Secure' браузер с запросом отправит куки до редиректа.
Но все ровно 301 или 302 с Expires или Cache-Control max-age избавит от частого редиректа и повысит безопасность.
Но все ровно 301 или 302 с Expires или Cache-Control max-age избавит от частого редиректа и повысит безопасность.
Не написал как повышается безопасность без ридиректа в случае «cookies https only? И делать редирект? „
Если Вы оставляете постоянный редирект, то в случае взлома преступник может сделать ридирект на свой https сайт (который выглядит как Ваш) и попросит пользователя залогиниться снова, а с этими данными отправит пользователя на реальный сайт (http://en.wikipedia.org/wiki/Man-in-the-middle_attack).
Если Вы оставляете постоянный редирект, то в случае взлома преступник может сделать ридирект на свой https сайт (который выглядит как Ваш) и попросит пользователя залогиниться снова, а с этими данными отправит пользователя на реальный сайт (http://en.wikipedia.org/wiki/Man-in-the-middle_attack).
Анонс полностью соответствует. Вы можете получить (Class 1) сертификат у www.startssl.com бесплатно. Я их использую в своей работе. Если деньги для Вас не проблема то Вам вероятно проще купить.
Попробуйте еще раз, у меня процедура занимает максимум 30 минут. И все выглядит очень тривиально.
Если у Вас возникнут проблемы, то я берусь описать процесс получения сертификата!
Если у Вас возникнут проблемы, то я берусь описать процесс получения сертификата!
Получил около года назад за 15 минут сертификат у них бесплатный. Всё ОК.
Кстати, может кто уточнит… Насчёт сертификатов второго и выше уровней. Там какая-то странная система «за проверку данных деньги берём, за сами сертификаты — нет». Так вот, мне интересно — один раз оплатил проверку данных — и у тебя пожизненно безлимитное количество сертификатов нужного уровня, или же за проверку нужно как-то платить регулярно?
Из startssl FAQ «Identity and organization validations are valid for 350 days. After the validation period expires they must be re-validated exactly the same way as the first time.»
Но пока он валиден для данной оргазации Вы можете оформлять любой количество сертификатов для валидированных доменных имен.
Но пока он валиден для данной оргазации Вы можете оформлять любой количество сертификатов для валидированных доменных имен.
Надо регулярно (раз в год) переподтверждать данные. И да, вполне реально получить сертификат с детальными данными персонального уровня минут за 30.
Статья по получению сертификатов уже есть. Если что не понятно — спрашивайте, сам не раз сертификат получал.
Ым. Вообще они няшки за то, что wildcard у них за 49 долларов в год добывается. В смысле, сколько угодно wildcard.
Но есть проблема — чтобы вы получили у них сертификат — домен должен быть зарегистрирован на вас или на Private Person (и не поможет то, что вы можете с доменом что угодно сделать). На зарегистрированные другими лицами домены я пока не пробовал заявки делать, но вот с доменами юр. лиц — точно fail.
Но есть проблема — чтобы вы получили у них сертификат — домен должен быть зарегистрирован на вас или на Private Person (и не поможет то, что вы можете с доменом что угодно сделать). На зарегистрированные другими лицами домены я пока не пробовал заявки делать, но вот с доменами юр. лиц — точно fail.
Вы можете заказать любое количество сертификатов (в том числе и с wildcard) для любого количества своих доменов. Можете и в один сертификат их сложить все.
Например, у вас есть site1.domain.tld, domain2.tld и {site1,site2,site3}.domain3.tld
Вы можете взять сертификат:
1) *.{domain,domain2,domain3}.tld + {domain,domain2,domain3}.tld
2) site1.domain.tld+domain.tld, domain2.tld, {site1,site2,site3}.domain3.tld+domain3.tld
Либо всё тоже самое отдельными сертификатами.
Стоит также иметь в виду, что если вы сертификат для субдомена третьего уровня, то вам нужно проходить проверку для домена второго уровня (т.е. для site1.domain.tld нужно проходить проверку для domain.tld). И сертификат будет выдан не просто на site1.domain.tld, а на site1.domain.tld+domain.tld (для tld второго уровня смещение работает, соответственно, если это общепризнанные tld, как org.ru).
В случае с «три десятка небольших сайтов» -у вас могут возникнуть проблемы, если домены сайтов зарегистрированы не на вас (или не закрыты Private Person).
Например, у вас есть site1.domain.tld, domain2.tld и {site1,site2,site3}.domain3.tld
Вы можете взять сертификат:
1) *.{domain,domain2,domain3}.tld + {domain,domain2,domain3}.tld
2) site1.domain.tld+domain.tld, domain2.tld, {site1,site2,site3}.domain3.tld+domain3.tld
Либо всё тоже самое отдельными сертификатами.
Стоит также иметь в виду, что если вы сертификат для субдомена третьего уровня, то вам нужно проходить проверку для домена второго уровня (т.е. для site1.domain.tld нужно проходить проверку для domain.tld). И сертификат будет выдан не просто на site1.domain.tld, а на site1.domain.tld+domain.tld (для tld второго уровня смещение работает, соответственно, если это общепризнанные tld, как org.ru).
В случае с «три десятка небольших сайтов» -у вас могут возникнуть проблемы, если домены сайтов зарегистрированы не на вас (или не закрыты Private Person).
www.thawte.com/ssl/index.html Смотреть в «Add Subject Alternative Names (SAN)»
«SNI работает не везде и не всегда»
Пользователи IE6 и операционной системы 10-летней давности будут конечно очень недовольны.
Пользователи IE6 и операционной системы 10-летней давности будут конечно очень недовольны.
А, ну и, само собой, всё это за 49 баксов.
При том можно хитрить. Сертификаты дают на 2 года (оплатили год, заказали серты, пропустили год, оплатили год, заказали новые). Но они таких клиентов не любят и скрупулезно проверяют их домены при заказе сертификатов на второй год. В таком случае могут попросить снять Private Person.
При том можно хитрить. Сертификаты дают на 2 года (оплатили год, заказали серты, пропустили год, оплатили год, заказали новые). Но они таких клиентов не любят и скрупулезно проверяют их домены при заказе сертификатов на второй год. В таком случае могут попросить снять Private Person.
Выписал на старттлс сертификат ещё в том году, всё окейно работает.
Хотя, действительно, на процедуру получения ключей я потратил времени больше, чем на настройку собственно сервера.
Хотя, действительно, на процедуру получения ключей я потратил времени больше, чем на настройку собственно сервера.
я правильно понимаю, что www.startssl.com даст сертификат, который можно прикрутить к апачу и сделать правильный https?
А на индексирование поисковиками это не влияет ли негативно?
Можно еще добавить «includeSubdomains». Пример для nginx:
add_header Strict-Transport-Security "max-age=315360000; includeSubdomains";Да, шифровать видео и картинки в https — дорого (в сравнении с тупой отдачей по http).
На больших страничках (от сотни мегабайт) можно на глаз заметить сильно возрастающую нагрузку на CPU при включении https. На страницах по 2-10 мегабайт, само собой, этого никто не заметит.
Если размышлять без определенных цифр — то, например, средняя нагрузка на CPU вырастет в 2 раза. Если у них сейчас CPU нагружены на 40% — то станет 80%. А после 50% затраты на электричество и охлаждение сервера идут уже по экспоненте. При нагрузке в 100% сервер сожрет свою стоимость охлаждением и питанием за полгода, при нагрузке в 30-40% — за 2 года.
В общем-то, я давно уже не считал подобные штуки для современных машинок (им питания поменьше надо), но динамика осталась той же. Последний раз для Xeon 53xx считал.
Так что им либо много железок ставить, либо вбухивать денег за электричество. Это при условии, что их ДЦ при таком росте нагрузке не потухнут от недостатка питания =)
Ну и не стоит забывать про p2p видео у них — там https вообще слабо представляется.
На больших страничках (от сотни мегабайт) можно на глаз заметить сильно возрастающую нагрузку на CPU при включении https. На страницах по 2-10 мегабайт, само собой, этого никто не заметит.
Если размышлять без определенных цифр — то, например, средняя нагрузка на CPU вырастет в 2 раза. Если у них сейчас CPU нагружены на 40% — то станет 80%. А после 50% затраты на электричество и охлаждение сервера идут уже по экспоненте. При нагрузке в 100% сервер сожрет свою стоимость охлаждением и питанием за полгода, при нагрузке в 30-40% — за 2 года.
В общем-то, я давно уже не считал подобные штуки для современных машинок (им питания поменьше надо), но динамика осталась той же. Последний раз для Xeon 53xx считал.
Так что им либо много железок ставить, либо вбухивать денег за электричество. Это при условии, что их ДЦ при таком росте нагрузке не потухнут от недостатка питания =)
Ну и не стоит забывать про p2p видео у них — там https вообще слабо представляется.
Я просто оставлю это здесь:
А вы бы в начале комментарии выше почитали.
habrahabr.ru/post/145359/#comment_4884471
Это не ошибка, а особенность ))
habrahabr.ru/post/145359/#comment_4884471
Это не ошибка, а особенность ))
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Все на https, безопасно и дешево