Комментарии 37
План не отвергает полностью использование старых ссылок в формате http – вместо этого они будут преобразовываться в HTTPS через HSTS и атрибут upgrade-insecure-requests (средства, которыми пользуется сервер для переадресации всех запросов по безопасным каналам).
Хм, а как же тогда будут указывать CDP в сертификатах? HTTPS ссылки на CRL файлы принципиально не подходят, будет бесконечный цикл проверок. CRL файлы подписаны, поэтому защищенность протокола роли не играет.
Давно уже пора повсеместно HTTPS внедрять. Ещё до сенсаций Сноудена.
НЛО прилетело и опубликовало эту надпись здесь
Да зачем запрещать? Использовать существующий CA, а когда его заблокируют, заставить добавить в доверенные новый.
НЛО прилетело и опубликовало эту надпись здесь
Кто будет обьяснять как это делать в случае приложений вроде secondlife (где по https идет их служебный трафик (не вебстраницы а текстуры например) при этом в сообщения об ошибках при MITM — вообще всякое разное вроде «проверьте часы»)
Кто будет фиксить например тот же ABBY Lingvo for Android/iOS и другие приложения где используется для проверки in-app-покупок certificate pinning как раз для того чтобы пользователь НЕ мог добавить сертификат в доверенные? А что на это скажет техподдержка компании которая этот pinning внедрила?
Кто будет фиксить например тот же ABBY Lingvo for Android/iOS и другие приложения где используется для проверки in-app-покупок certificate pinning как раз для того чтобы пользователь НЕ мог добавить сертификат в доверенные? А что на это скажет техподдержка компании которая этот pinning внедрила?
Пусть только выдают wildcard сертификаты бесплатно или хотя бы не дороже 5-10 долларов. И без всяких ограничений бизнес\не бизнес. А так правильная идея.
Да, еще легко перевести свой сайт на HTTPS можно через Cloudflare. Сертификат, правда, будет фиг пойми какой, но браузер не ругается (кроме Opera Presto).
Да, еще легко перевести свой сайт на HTTPS можно через Cloudflare. Сертификат, правда, будет фиг пойми какой, но браузер не ругается (кроме Opera Presto).
Так они и собираются. Называется Let's Encrypt.
enabling HTTPS for your site will be as easy as installing a small piece of certificate management software on the server
А более традиционными способами они не собираются выдавать сертификаты? Нет, идея то хорошая, но боюсь она не будет совместима с частью панель управления и другим софтом. Да и хостинги сразу идут лесом.
Подозреваю, что после перевода на обязательный HTTPS стоимость сертификации возвысится.
Типа, куды ж ты денешься, если сайт нужен.
Типа, куды ж ты денешься, если сайт нужен.
По-моему, эту деятельность иначе как подрывной не назовёшь. Вместо того чтобы сделать систему разрешений для веб-приложений, аналогичную системе разрешений для мобильных приложений, они (разработчики браузеров и консорциумы) отжимают веб без централизованной pki. То «http 2.0 будет требовать обязательного https, хотя его отсутствие никак не вредит функциям протокола», теперь это… Я не против шифрования, но я против его насильственного насаждения и я против той формы, которую приняло шифрование в вебе.
Почему они это отжимают? Потому что это НЕ НАШ ВЕБ. НЕ МЫ ЕГО СОЗДАЛИ. НЕ МЫ РАЗРАБОТАЛИ БРАУЗЕРЫ. НЕ МЫ РАЗРАБОТАЛИ ПРОТОКОЛЫ. НЕ МЫ ДОБИЛИСЬ ВНЕДРЕНИЯ НЕКОТОРЫХ СТАНДАРТОВ. НЕ МЫ БЕСПЛАТНО ПОДДЕРЖИВАЕМ БРАУЗЕРЫ И ИХ ИНФРАСТРУКТУРУ (обновления, турбо, бекапы) ДЛЯ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ. Это не наш веб. Это их карманный веб, они его делают на свои деньги и поэтому распоряжаются им по своему усмотрению.
Почему они это отжимают? Потому что это НЕ НАШ ВЕБ. НЕ МЫ ЕГО СОЗДАЛИ. НЕ МЫ РАЗРАБОТАЛИ БРАУЗЕРЫ. НЕ МЫ РАЗРАБОТАЛИ ПРОТОКОЛЫ. НЕ МЫ ДОБИЛИСЬ ВНЕДРЕНИЯ НЕКОТОРЫХ СТАНДАРТОВ. НЕ МЫ БЕСПЛАТНО ПОДДЕРЖИВАЕМ БРАУЗЕРЫ И ИХ ИНФРАСТРУКТУРУ (обновления, турбо, бекапы) ДЛЯ ВСЕХ ПОЛЬЗОВАТЕЛЕЙ. Это не наш веб. Это их карманный веб, они его делают на свои деньги и поэтому распоряжаются им по своему усмотрению.
> аналогичную системе разрешений для мобильных приложений
Это типа как хомячки ставят клавиатуру, у которой в пермишшенах полный доступ к интернету и согласие на отправку всех вводимых строк хозяину в еуле? Или калькулятор, требующий отправку смс? Система разрешений работает только для тех пользователей, которые понимают, что они делают, а не для хомячков, вендой приученных тыкать только Далее — Далее — Готово.
Это типа как хомячки ставят клавиатуру, у которой в пермишшенах полный доступ к интернету и согласие на отправку всех вводимых строк хозяину в еуле? Или калькулятор, требующий отправку смс? Система разрешений работает только для тех пользователей, которые понимают, что они делают, а не для хомячков, вендой приученных тыкать только Далее — Далее — Готово.
>Это типа как хомячки ставят клавиатуру, у которой в пермишшенах полный доступ к интернету и согласие на отправку всех вводимых строк хозяину в еуле?
Не совсем. Каждое разрешение должно быть возможно индивидуально отозвать прозрачно или непрозрачно для приложения. Разрешения внедряются (разрешения на полный экран, захват мыши, геолокацию и использование оффлайн хранилища тому примером), но через одно место. Вместо того чтобы собрать управление разрешениями в одном апи, они раскидали его по разным апи. Для многих функций вообще нет разрешений, например для getBoundingClientRect, получения размеров текста на canvas, получение картинки с canvas, использования webgl(в TorBrowser для webgl и getImageData есть, но через апи недоступны) или получения данных с датчиков. Почему на мобильных так не сделали — потому что если бы сделали, из стора бы исчезли все приложения a la описанная вами клавиатура, что привеело бы к забрасыванию платформы разрабами, а после — и хомячьём. С вебом так не прокатит.
>Система разрешений работает только для тех пользователей, которые понимают, что они делают, а не для хомячков, вендой приученных тыкать только Далее — Далее — Готово.
Решается выставлением ограничений по-умолчанию в «запрещать» и после выводом страшного окна «вебсайт, возможно, вас пытается поиметь. Вебсайт требует разрешение такое-то. Вебсайт аргументирует его необходимость для того-то. Включение этого разрешения позволит сайту делать то-то то-то. Если для осуществления функции сайта по вашему мнению данное разрешение не требуется, не разрешайте его.». А неисправимое хомячьё, которому на всё плевать пусть страдает: до него всеми силами старались донести, а оно ни в какую".
Не совсем. Каждое разрешение должно быть возможно индивидуально отозвать прозрачно или непрозрачно для приложения. Разрешения внедряются (разрешения на полный экран, захват мыши, геолокацию и использование оффлайн хранилища тому примером), но через одно место. Вместо того чтобы собрать управление разрешениями в одном апи, они раскидали его по разным апи. Для многих функций вообще нет разрешений, например для getBoundingClientRect, получения размеров текста на canvas, получение картинки с canvas, использования webgl(в TorBrowser для webgl и getImageData есть, но через апи недоступны) или получения данных с датчиков. Почему на мобильных так не сделали — потому что если бы сделали, из стора бы исчезли все приложения a la описанная вами клавиатура, что привеело бы к забрасыванию платформы разрабами, а после — и хомячьём. С вебом так не прокатит.
>Система разрешений работает только для тех пользователей, которые понимают, что они делают, а не для хомячков, вендой приученных тыкать только Далее — Далее — Готово.
Решается выставлением ограничений по-умолчанию в «запрещать» и после выводом страшного окна «вебсайт, возможно, вас пытается поиметь. Вебсайт требует разрешение такое-то. Вебсайт аргументирует его необходимость для того-то. Включение этого разрешения позволит сайту делать то-то то-то. Если для осуществления функции сайта по вашему мнению данное разрешение не требуется, не разрешайте его.». А неисправимое хомячьё, которому на всё плевать пусть страдает: до него всеми силами старались донести, а оно ни в какую".
НЛО прилетело и опубликовало эту надпись здесь
Отличная новость. Не повадно будет всяким Билайнам в трафик пользователя вмешиваться.
Чую IPv6, версия 2.0.
Лет через 10-20 что-нибудь будет заметно, а пока можно спать спокойно, наслаждаясь влезанием в страницы всяких Билайнов.
Лет через 10-20 что-нибудь будет заметно, а пока можно спать спокойно, наслаждаясь влезанием в страницы всяких Билайнов.
И как же теперь на 192.168.0.1 и аналогичные страницы заходить?..
Сначала Хром, теперь Firefox… Опера наверняка следом за Хромом пойдет, если еще не пошла.
Неужели моим любимым браузером станет Internet Explorer?
Сначала Хром, теперь Firefox… Опера наверняка следом за Хромом пойдет, если еще не пошла.
Неужели моим любимым браузером станет Internet Explorer?
НЛО прилетело и опубликовало эту надпись здесь
Придётся использовать два браузера: современный и красивый для сайтов и старенькую рабочую лошадку для администрирования/конфигурирования. Несложно переучиться.
НЛО прилетело и опубликовало эту надпись здесь
Тот же firefox сам обновляется из сети. А так придётся по полгода сидеть на дырявых версиях, потому что сложно находить полчаса времени каждые 2 недели, чтобы обновиться, пересобрать, перенести настройки.
В генте можно просто положить патч в /etc/portage/patches/www-client/firefox и каждая новая версия будет автоматически собираться с этим патчем.
НЛО прилетело и опубликовало эту надпись здесь
Гугл отключает джаву, фирефокс отключает дополнения, теперь запрещает HTTP, доколе мы будем терпеть произвол производителей ПО???
Мои мечты о том, чтобы слетать в будущее, купить там по дешевке какой-нибудь б\у гаджет и пользоваться им в нашем времени как супер-мега-флагманом разбиваются об вот такие новости. Эх.
Интересно, почему никто из производителей браузеров не придумал для начала при вводе домена, да и при нажатии Ctrl+Enter в адресной строке, лезть сначала на httpS версию сайта, а потом, если на 443-ем порту не отвечают, лезть на 80-й? В таком случае и необходимость HSTS снизилась бы.
Потому что на https и http могут находиться разные сервисы (к примеру, домашняя страница и личный owncloud), а пользователь, вероятно, знает, чего хочет.
Для решения такой проблемы есть дополнения — HTTPS Everywhere, HTTP Nowhere.
Для решения такой проблемы есть дополнения — HTTPS Everywhere, HTTP Nowhere.
Вот именно это мне и не нравится. Владельцы сайтов слишком вольны в этом плане, и все их действия ведут к тому, что мы сейчас наблюдаем. Нужен порядок, а для этого кто-то должен применить силу.
Чтобы зайти на другой сервис, нужно ввести префикс протокола.
Речь о том, чтобы для адресов без префикса сначала смотреть https.
Принципиально для случая с разными сервисами ничего не меняется, просто сервис на https становится дефолтным.
Зато пользователь защищается от MITM. Ведь если он вводит «mail.ru», злоумышленник, контроллирующий канал, может легко перенаправить на какой-нибудь mail-ru.ru и там уже собирать пароли и проксировать на настоящий сервис и пользователь даже ничего не заметит.
Речь о том, чтобы для адресов без префикса сначала смотреть https.
Принципиально для случая с разными сервисами ничего не меняется, просто сервис на https становится дефолтным.
Зато пользователь защищается от MITM. Ведь если он вводит «mail.ru», злоумышленник, контроллирующий канал, может легко перенаправить на какой-нибудь mail-ru.ru и там уже собирать пароли и проксировать на настоящий сервис и пользователь даже ничего не заметит.
Кстати именно Mozilla могут заявлять о повальном https в отличие от того же гугла, потому что пользователь с FF на любой системе может использовать актуальные и современные шифры.
Хром же использует системные криптобиблиотеки, по этой причине у пользователей chrome+XP до сих пор не работает https, как должен.
Хром же использует системные криптобиблиотеки, по этой причине у пользователей chrome+XP до сих пор не работает https, как должен.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Mozilla переведёт весь интернет на HTTPS