Как стать автором
Обновить

Комментарии 139

что веб-сайты, которые предлагают только небезопасные соединения, больше не могут загружаться,


Интересно, как после этого будет у людей проходит авторизация по номеру телефона в публичных сетях wi-fi? Там же нужна переадресация на портал авторизации, а ее блокирует HSTS, если сайт который пытаются открыть работает только по HTTPS.
Явление хоть и богомерзкое, но весьма распространенное, так что пора под него делать нормальные стандарты, а не подмену с редиректом.

Так есть же. Правда, как обычно, несколько. Смотри, например RFC 7710.

Только вот некоторые операторы намеренно ломают поддержку и признаются в этом. habr.com/ru/company/maximatelecom/blog/457958/#comment_20348232 например. Потому что надо ж и рекламу показать и переходы сделать. И мол давайте новый стандарт под нас.
Это проблема одной страны…
«Captive portal» достаточно распространёны и за пределами этой одной страны
Ну если в «Хром» такую же фичу сейчас запилят, то проблема точно сузится до одной страны.

А что, от того, что что-то сделает Хром, западные сетестроители резко переделают свои механизмы авторизации?

«Хром» и «Файрфокс» в сумме — почти весь рынок браузеров, причем у «Хрома» доля намного больше. Если «Хром» введет доступ только через HTTPS, то все эти captive portals работать не будут, потому что они базируются на перехвате HTTP-траффика и перенаправлении на специальную страницу для авторизации/деанонимизации. С HTTPS-траффиком такое не пройдет — браузер будет ругаться на сертификат (подозреваю, что через пару версий в браузерах вообще запретят пользоваться протухшими и невалидными сертификатами). Получается, что captive portals надо будет на что-то менять. Или менять сам механизм авторизации пользователей.

Тогда почему проблема "сузится до одной страны", а не станет головной болью вообще для всех, кто использует эти самые captive portals, включая и работающих в этой "одной стране"?

Потому что в большинстве стран законодательство и обычаи ведения бизнеса следуют за технологиями. Придумали новую фичу — меняем закон. В «одной стране» (ну ладно, не в одной) ситуация обратная — законодатели думают, что технологии должны следовать за законом. Сейчас в той самой «одной стране» captive portals в публичных сетях обязательны именно для деанонимизации подключающегося — «подключился к wi-fi — введи номер телефона — введи код из СМС». Такой механизм придуман не самими хозяевами wi-fi точек и не разработчиками их прошивок, а регулирующим эту отрасль министерством. Теперь представим, что эта фича больше не сможет работать из-за новых браузеров? Что сделают в одной стране? Правильно, будут говорить, чтобы авторизовывались по-старому, и выпустят какой-нибудь свой «BearBrowser» — единственный, который будет уметь авторизовываться через captive portals по-старому, в то время, как остальной мир будет пользоваться новыми механизмами авторизации.
Потому что в большинстве стран законодательство и обычаи ведения бизнеса следуют за технологиями. Придумали новую фичу — меняем закон. В «одной стране» (ну ладно, не в одной) ситуация обратная — законодатели думают, что технологии должны следовать за законом. Сейчас в той самой «одной стране» captive portals в публичных сетях обязательны именно для деанонимизации подключающегося — «подключился к wi-fi — введи номер телефона — введи код из СМС».


Ох уж эти идеалисты…

То есть в других странах Captive Portals не существует?
И эта технология придумана только для использования «в одной стране»?
И в RFC 7710 включена только ради одной-единственной страны?

Пока существуют. Поменяются браузеры — придется отменять и captive portals, и только в «одной стране» их оставят, потому что под них придумали нормативные документы. Вспоминайте, как налоговая требовала сдавать декларации на дискетах, когда их уже нигде в мире не производили.
Поменяются браузеры — придется отменять и captive portals


Посмотрите как происходит подключение по этой технологии на своём смартфоне в том месте, где на сервере включен именно Captive Portal.

Там используется отдельный урезанный по своим возможностям специализированный браузер, интегрированный в единое целое с авторизацией Wi-Fi.

В нормативных документах этого не было. Было «на магнитных носителях», насколько я помню, без конкретизации.
Дык по факту был один магнитный носитель — дискета. Сдавать на винчестере, насколько знаю, никто не пробовал, на лентах — тем более. Собственно, выбор в те годы должен был быть между CD и пересылкой файлов через интернет.
Вспоминайте, как налоговая требовала сдавать декларации на дискетах, когда их уже нигде в мире не производили.


Производили.
И фирмы, которым необходимы были дискеты — вполне себе находили где покупать дискеты. И стоили дискеты не бешенные деньги.
Насколько помню, до сих можно сдавать (именно — «можно», а не «обязаны»). Но производство дискет закончилось в 2011, а требовали сдавать на них и после 2011. При желании можно было найти и купить, видимо, какие-то кустарные производства в Китае были запущены. Или старые запасы продавали — как продали, так и разрешили перейти на сдачу через интернет.
Насколько помню, до сих можно сдавать (именно — «можно», а не «обязаны»). Но производство дискет закончилось в 2011, а требовали сдавать на них и после 2011. При желании можно было найти и купить, видимо, какие-то кустарные производства в Китае были запущены. Или старые запасы продавали


Выглядели дискеты ничуть не кустарно, а ровно так же как и раньше. Вы что же считаете — заводы в одночасье разобрали незадолго до того, как у нас приняли требование сдавать на дискетах? Вполне себе заводы существовали еще, а не кустарное производство — ведь уже налаженное производство много денег не стоит. Хотя, наверняка, уже подумывали о том, чтобы их разобрать и капитальных вложений в производство дискет более никто уже не делал.

Уж не знаю что и как и где производили. Но не было ровным счетом никакой проблемы найти тогда дискеты по вменяемой цене. Продавались, если не в каждом первом, то в каждом третьем компьютерном магазине.

Дискеты можно было свободно купить и после того как перешли на сдачу другими способами — на флешках да через интернет.

Но только после этого — дискеты покупать перестали и они вскоре исчезли.
Но только после этого — дискеты покупать перестали и они вскоре исчезли.

Потому что необходимость сдачи документов в налоговую и была главной причиной их продаж.
Потому что необходимость сдачи документов в налоговую и была главной причиной их продаж.


Ну на тот момент это было дешевле, чем компакт-диски или тем более флешки.
Никаким выкручиванием рук тут и не пахнет.

Начали то разговор с того, что «налоговая заставляла бедных бухгалтеров искать отсутствующие к тому времени дискеты».
А это не так.

P.S.:
Насчет того, что это была только необходимость для налоговой — вы заблуждаетесь.

Я в около-те времена выкручивал руки заказчикам своим так:

Заставлял их покупать себе устройства записи компакт дисков, чтобы я мог на компакт-дисках забирать себе данные у заказчиков для своей работы.

Иначе часами копировал эти данные на дискеты, и делал за это дополнительную наценку на свою работу.

Потом и флешки подошли.

Но довольно долгое время длился этот переход — «дискеты — запись компакт-дисков — флешки».

Дискеты для одноразовых целей были еще долгое время важны и нужны. Ибо были радикально дешевы.
Одноразовые CD уже лет пятнадцать назад были дешевле дискет, особенно если брать упаковками по 100. Но налоговая долго и упорно не давала права выбора: только дискета. Почему нельзя было разрешить сдавать на CD — непонтяно. Ну и в других отраслях жизнь дискет продлевалась с отсылкой к опыту налоговой…
Одноразовые CD уже лет пятнадцать назад были дешевле дискет, особенно если брать упаковками по 100.

Да. И вмещали много.
Но рекордеры были дорогими.
И мало где были.

Но налоговая долго и упорно не давала права выбора: только дискета. Почему нельзя было разрешить сдавать на CD — непонтяно.

Да ладно вам.
Это у вас какая то местная налоговая не могла позволить себе купить привод CD и вы за всю страну думаете так же.
Но рекордеры были дорогими.
И мало где были.

В 2005? В 2005 массово уже пишущие DVD продавали.
Это у вас какая то местная налоговая не могла позволить себе купить привод CD и вы за всю страну думаете так же.

Подозреваю, что могла. Но почему-то не принимали. И так во многих городах.
В 2005? В 2005 массово уже пишущие DVD продавали.

При чем тут 2005?
При том, что еще в 2010 налоговая требовала на дискетах сдавать.
При том, что еще в 2010 налоговая требовала на дискетах сдавать.


Это где такая деревня?

Сдача отчетности в налоговую электронном виде начала работать с 2000 года. Но да, не везде и в экспериментальном варианте.

В 2007 этим было уже не удивить. Хоть поначалу цена и кусалась.
Я могу еще поверить, что было слишком дорого сдавать в электронном виде в 2007 году и что это было доступно только крупным предприятиям.

Но к 2010 сдача отчетности в электронном виде уже давно как перестала быть экзотикой.
Это где такая деревня?

От Балийска до Уэлена деревень ой как много…
Видел такие порталы в США, Германии, Испании и Таиланде
НЛО прилетело и опубликовало эту надпись здесь
Инернтность есть, согласен. Но когда вот такие серьезные изменения в технологиях происходят, то это очень здорово стимулирует народ к изменениям.
Проблема любой страны в том, что её жители думают, что они особенные, и проблемы у них уникальные.
Ну, я бы сказал, что в каком-то роде оно так и есть. Именно по этому когда мы смотрим на другие страны и не видим там наших проблем, мы думаем, что там всё хорошо, при этом не особо задумываясь, что у них, вероятно, есть какие-то другие проблемы, которые у нас либо не стоят на столько остро, либо отсутствую вовсе.
1) там есть встроенный список исключений (типа всяких локалок, где HTTPS нет и не будет, может, оно и captive portal умеет распознавать)
2) там есть возможность добавить исключение для конкретного сайта
3) там есть возможность просто не включать режим «HTTPS Only»

if (addr32 >> 24 == 0x0A || // 10/8 prefix (RFC 1918).
addr32 >> 20 == 0xAC1 || // 172.16/12 prefix (RFC 1918).
addr32 >> 16 == 0xC0A8 || // 192.168/16 prefix (RFC 1918).
addr32 >> 16 == 0xA9FE) { // 169.254/16 prefix (Link Local).
return true;
}


Похоже не умеет

if (addr32 >> 24 == 0x0A || // 10/8 prefix (RFC 1918).
addr32 >> 20 == 0xAC1 || // 172.16/12 prefix (RFC 1918).
addr32 >> 16 == 0xC0A8 || // 192.168/16 prefix (RFC 1918).
addr32 >> 16 == 0xA9FE) { // 169.254/16 prefix (Link Local).
return true;
}

Похоже не умеет


А вы проверили?
Точно не умеет?
Captive portal детектит нормально, только что проверил. Firefox каждые 3 секунды в фоне дёргает адрес, указанный в опции captivedetect.canonicalURL в about:config, на этот детект правило требования HTTPS не распространяется. Если по URL обнаруживает текст, отличный от эталонного, предлагает пользователю открыть страницу captive portal. Любые HTTP-сайты, включая саму страницу авторизации в captive portal, открывать позволяет как раньше, просто перед открытием выдаётся предупреждение с возможностью согласиться с риском и продолжить (а если нужно разрешить навсегда, можно щёлкнуть на перечёркнутый замок рядом с адресом и добавить там в исключения).

По вопросу рисков недавно статья была https://habr.com/post/517750/

Firefox умеет обрабатывать такие сети «из коробки». Вероятно, соответствующий функционал будет отключен на время прохождения авторизации.
Не уверен, но можно проксировать трафик через промежуточный сервер. Такое, если не ошибаюсь, реализовано в Яндекс.Браузере.
Я вот с каждой новой версией боюсь, что отвалится uMatrix. Ведь разработка этого аддона больше не ведётся, а Mozilla рано или поздно доломает API в достаточной степени, чтобы старые аддоны перестали работать.

Да, боль. Обновления приходится оттягивать до последнего, а потом полдня выяснять как же вернуть нормальный вид браузеру. Toolbar API заявили ещё в 2017 году, но до сих пор даже спецификации не написано. Ну как же, зачем вам удобные табы, uMatrix и пр., когда вы теперь сможете заполнять, печатать и сохранять формочки во встроенном PDF-viewer'е?


При этом производительность улучшается, и сотню открытых табов Firefox переваривает, даже не поперхнувшись. Есть, конечно, плюсы.

Будем надеяться, что до следующего ESR не отвалится, а дальше сам ESR даст ещё прилично времени. Ну или может кто-то займётся поддержкой uMatrix, раз автор не хочет.

на 84.0b2 работает
А mixed content как считается?
Загрузка с HTTP-субресурсов будет молча заблокирована (с предупреждением в консоль разработчика).

Так мульён лет уже так

WebRender в бете 84 включается даже на DX10 видеокартах.

Боюсь, что через пару релизов режим только https станет по умолчанию, а ещё через пару его нельзя будет отключить...

А что в нём плохого? Для заброшенных сайтов можно добавлять исключения, их не так уж много, а локальные домены в интранете оно не затрагивает (хотя, при желании, можно включить). Почему мои данные должны вываливаться в сеть в открытом виде только потому, что у кого-то горит жопа от мысли «как они смеют заставлять Меня?».

Веб-интерфейс роутеров тоже будет только по https? А сертификаты как обновлять?

Подключив маршрутизатор по USB в режиме флешки.
Ну и никто не мешает встроить в маршрутизатор Certificate Authority 3-4 уровня (корневой — у производителя). Пускай сам себе сертификат выписывает и обновляет раз в полгода.

Придется запретить роутеры называть как удобно пользователю. Иначе — что помешает мне назвать роутер tinkoff.ru (и сделать так чтобы резолвился внутри моей сети внутренней). Затем выдрать из роутера ключи (уж из своего то роутера с физическим доступом — это не будет проблемой). А затем опубликовать статью про это.
А вообще — есть похожий пример как это сделать. Plex именно так и делает — blog.filippo.io/how-plex-is-doing-https-for-all-its-users например но там адрес задается в автоматическом режиме и как поддомен для plex.direct
Подключив маршрутизатор по USB в режиме флешки.
Ну подключите вы например по USB какой-нибудь TP-Link M7300. А там тот же самый веб-интерфейс через http.
Видимо имеется ввиду что роутер предоставит USB Mass storage интерфейс через который зальют сертификаты?
Правда вот вспоминаются проблемы в стиле Android с этим Mass storage
— если 'родной' раздел отдавать — как его форматировать? в FAT что-ли? И получается если мы отдали раздел — мы не можем его использовать? И пользователю надо не забыть 'извлечь флешку'. Если эмулировать — то это надо еще эмулятор

Или по MTP отдавать? что тогда c macOS делать?(там нет штатного клиента, есть гугловый Android File Transfer)

Как обычному пользователю объяснять что и как он должен делать (и зачем, с его точки зрения)? Проще уж вообще оторвать веб-интерфейс и предлагать скачать клиент управления + класть его исходную версию на (ладно уж) отдаваемый через usb mass storage r/o образ (как на операторских модемах сотовых сделано).
Видимо имеется ввиду что роутер предоставит USB Mass storage интерфейс через который зальют сертификаты?

Да.


если 'родной' раздел отдавать — как его форматировать? в FAT что-ли? И получается если мы отдали раздел — мы не можем его использовать?

То что не можем использовать — не проблема. В этот момент маршрутизатор 'в сервис-режиме' и больше ничего и не делает.


Как обычному пользователю объяснять что и как он должен делать (и зачем, с его точки зрения)? Проще уж вообще оторвать веб-интерфейс и предлагать скачать клиент управления + класть его исходную версию на (ладно уж) отдаваемый через usb mass storage r/o образ (как на операторских модемах сотовых сделано).

Веб интерфейс (через https) — штатный режим работы. Всякое заливание через usb и сервис программы — это когда маршрутизатор достаточно долго в шкафу провалялся, чтобы в нем сертификат сдох. Объяснение пользователю — 'доступ к железке восстанавливается вот так'. Ну как сейчас объясняется, какие волшебные действия надо делать, если пароль на маршрутизатор забыл.

а… эм… а где мне сертификат взять для заливки? Как мне его взять, при условии отсутствия интернета (я-ж не могу настроить роутер)? Как я буду уверен что я не скачал левак по первой ссылке с гугла?

Точно так же, как ищется инструкция по сбросу пароля, когда пароль забыл и поэтому не можешь настроить роутер. Пользуясь альтернативным вариантом подключения к интернету находишь инструкцию, как оно генерируется.


'Скачал левак' — не понял сценария атаки.

Точно так же, как ищется инструкция по сбросу пароля, когда пароль забыл и поэтому не можешь настроить роутер.

Зажимая кнопочку reset? Либо у меня профсдвиг, либо это не ищут...


'Скачал левак' — не понял сценария атаки.

Ну вот вы ищете как замутить сертификат для роутера своего, заходите на левый сайт, а там предлагают просто скачать какой-нибудь exe файл левый, который превращает ваш роутер в ботнет.

Такой роутер — обычный пользователь понесет в магазин по гарантии. Сломался мол.
Да, технически сложным товаром роутер НЕ является (или по крайней мере есть доводы что это так — см например zazakon.ru/consult/123725 ) так что или возвращают или имеют гемморой с экспертизами и судом. Массовый.
Ну или придется прописывать процедуру подробно, в инструкции. Печатной. Ну или чтобы бы железка могла ее показать (а не послать на сайт).
Веб интерфейс (через https) — штатный режим работы. Всякое заливание через usb и сервис программы — это когда маршрутизатор достаточно долго в шкафу провалялся, чтобы в нем сертификат сдох. Объяснение пользователю — 'доступ к железке восстанавливается вот так'. Ну как сейчас объясняется, какие волшебные действия надо делать, если пароль на маршрутизатор забыл.


Нечего туда лазать, если ты домохозяйка.
А компетентному специалисту — не преграда.

Глупость пишите. Вот вам реальный юзкейс:
Сменил роутер родителям, старый про запас оставил в шкафу. Через пару лет роутер новый сломался, на время надо поставить старый — мне ехать к ним и перенастраивать все? Оно-ж работало.
Это еще и приведет к всплеску активности всяких "мастеров".

Глупость пишите. Вот вам реальный юзкейс:
Сменил роутер родителям, старый про запас оставил в шкафу. Через пару лет роутер новый сломался, на время надо поставить старый — мне ехать к ним и перенастраивать все? Оно-ж работало.


У вас надумано, ибо:

1) Если старый роутер действительно работал и вы просто выключили его, то настройки сохранились и достаточно просто воткнуть старый взамен нового.

2.а) Если не работает — а вы сможете по инструкциями вслепую рассказать куда нажать, чтобы настроить старый роутер по http — то точно также сможете вслепую по инструкциям рассказать как обойти обсуждаемую защиту https.

2.б) Впрочем, куда проще будет рассказать им как расшарить интернет на смартфоне, и дать вам удаленный доступ в локальную сеть квартиры, чтобы вы всё сделали лично.

3) Если вы настолько запасливы, что старый роутер не выкинули, то ничто не мешает вам запастить браузером portable-версией, что не будет обновляться.

Наличие принудительно защиты по https даст вашим родителям куда как больше пользы все те годы что роутер всё же будет работать, чем эти надуманные вами небольшие неудобства, которые легко обойти как описано выше.

Если старый роутер действительно работал и вы просто выключили его, то настройки сохранились и достаточно просто воткнуть старый взамен нового.

Сертификат протух?


Наличие принудительно защиты по https даст вашим родителям куда как больше пользы все те годы что роутер всё же будет работать, чем эти надуманные вами небольшие неудобства, которые легко обойти как описано выше.

Какую защиту это даст моим родителям хроме мифической mitm атаки?

Если старый роутер действительно работал и вы просто выключили его, то настройки сохранились и достаточно просто воткнуть старый взамен нового.

Если старый роутер действительно работал и вы просто выключили его, то настройки сохранились и достаточно просто воткнуть старый взамен нового.


Сертификат протух?


Что с того?
Если он был настроен и настройки остались?
Зачем вам веб-морда роутера при этих условиях?
Что с того?
Если он был настроен и настройки остались?
Зачем вам веб-морда роутера при этих условиях?

А вдруг нужно по быстрому пароль на вафлю поменять? Я по телефону только сегодня это делал. Или он был скинут и я передал роутер по знакомым. Отец у меня вполне справляется с настройкой quick setup в TP-LINK.


Реклама от интернет-провайдера, внедряемая на обычные сайты, которые ни сном ни духом про эту рекламу — никогда не слышали?

Слышал, но никогда не видел. Есть плюсы жизни в городе в 150к человек знаете-ли — нормальный провайдер, никаких вставок рекламы.


Ну и плюсом мы говорим про mitm между компьютером и роутером, в локалке. Мне кажется что эта ситуация настолько невозможна, что можно считать что она равна нулю.


В общем https everywhere нужно сделать отключаемой, это чушь. Я слишком много сайтов посещаю мертвых на всяких шаред-хостингах, но чувствую что скоро для этого придется иметь отдельный старый браузер.

Какую защиту это даст моим родителям хроме мифической mitm атаки?

Реклама от интернет-провайдера, внедряемая на обычные сайты, которые ни сном ни духом про эту рекламу — никогда не слышали?

Как указано выше, речь идет о сертификате маршрутизатора, где действительно обычно MitM некому делать. Хотя могут быть варианты. Какой-нибудь зловред на соседнем устройстве может попытаться. Но дело не в этом. Проблема в том, что если принудительный https будет слишком легко отключаемым, то его будут просить отключать те, кому он мешает. Например, те же провайдеры, которые MitM балуются, чтобы законы о фильтрации на https сайтах выполнять.

Проблема в том, что если принудительный https будет слишком легко отключаемым, то его будут просить отключать те, кому он мешает. Например, те же провайдеры, которые MitM балуются, чтобы законы о фильтрации на https сайтах выполнять.


Вы путаете.

Отключать принудительный https, описанный в обсуждаемой статье — это получить возможность работы с серверами по http. Без -s.

Например, те же провайдеры, которые MitM балуются, чтобы законы о фильтрации на https сайтах выполнять.

А это совершенно другая операция.
Это нужно ключ провайдера поставить на свой компьютер.
НЛО прилетело и опубликовало эту надпись здесь
Ну давайте, установите self-signed сертификат в условный «туполинк» (при условии, что он прошит заводской установкой).
НЛО прилетело и опубликовало эту надпись здесь
НЛО прилетело и опубликовало эту надпись здесь

Это конечно все хорошо, но это в новых. Однако на руках ходят миллионы старых устройств, где старая как кое что от мамонта прошивка, это раз, а во вторых есть роутеры вообще без поддержки. Они останутся за бортом. И не дай бог в голову производителю или сенатору какому придет мысль об автоапдейте роутеров...

НЛО прилетело и опубликовало эту надпись здесь

У меня тоже микротик, но родителям, например, он будет излишен. У них как работал 941NDv2, который целиком удовлетворяет их потребностям, так и будет работать еще лет 5.


Да и у микротика автоапдейт лично я выключил, только ручной режим. + не забывайте что старые устройства, с флешкой на 16 мегабайт, не обновляются сами.

Может просто пора голосовать рублём?
А как голосовать рублем против производителей давным давно купленных и продолжающих работать девайсов?
Локальная сеть и localhost добавлены в исключения. Я сейчас зашел в админку openWRT и все нормально открылось. Кстати, в openWRT можно добавить сертификат Lets Encrypt и HTTPS будет работать.
Хехе, пусть сначала SOCKS пароли перестанут в открытом виде передавать.

Да, действительно. Я до сих пор FF с FoxyProxy держу по этой причине.

В самом шифровании, конечно, ничего плохого нет — проблема в реализации: из-за сертификатов появляется зависимость от сторонних серверов и ограничение по времени, т.е. да, железо вам тоже придётся обновлять…
Так в этом и есть смысл шифрования с сертификатами — сторонние сервисы гарантируют, что соединение установлено именно с тем сервером, с которым было запрошено. Не будет стороннего гарантирующего сервиса — где гарантия, что самодельный сертификат действительно связан с нужным сервером, а не поддельным, на который сделано перенаправление при атаке типа «mim»?

Да, много-много лет назад интернет строился как доверенная среда, в которой есть только «свои», и эти «свои» имеют добрые намерения. Отсюда и нешифрованность HTTP, и возможность поставить любой адрес отправителя в SMTP, и еще много чего. Но мир-то поменялся, поэтому и приходится пользоватся шифрованием, сертификатами и еще многим чем. Обратная сторона прогресса…
С другой стороны, кто будет проверять сторонние сервисы?

Вообще, отсутствие выбора плохо. Я бы согласился на шанс mitm взамен на полную независимость.
Не согласятся те, кто связан с деньгами — банки и магазины. Для них возможность «mitm» означает возможность кражи чьих-то денег, а отсутствие проверки держателя сертификата — вообще возможность совершения операции. Потому банки и пользуются сертами «Леценкрипта», что они гарантируют только связь с сайтом, но не гарантируют существование организации.

А проверка сторонних сервисов… Да, это вопрос. Пока что этим занимаются разработчки операционных систем.
А дальше останется только ужесточить правила выдачи сертификатов — и хостить сайт будет возможно только у профессиональных хостеров либо в облаках. Как собственно и задумано.
Электронную почту уже испоганили так, что только профи с многолетним опытом способен поднять собственный почтовый сервер, ну скоро и с веб-серверами порог входа поднимут до тех же величин.
>и хостить сайт будет возможно только у профессиональных хостеров

Одобренных властями профессиональных хостеров! Интересный вариант дивного нового мира, где ничего не надо запрещать так как нежелательный контент негде разместить и никто его не увидит.
С электронной почтой бесит необходимость идти на поклон к провайдеру для прописания обратной записи…
Так бы поднял на ноуте сервер и работал бы из любых сетей… Но нет — отсутствует обратка — письмо в спам или бан ...:(
Есть такое. И обратная запись должна быть не абы какой, потому что некоторые крупные провайдеры почты не принимают письма, если обратка имеет вид типа «123.adsl.provider.ru».
Зачем профессиональные хостеры? Сейчас уже намечается новый монополист — «Леценкрипт». Надо сайт закрыть — отзываем сертификат.

А почту испоганили спаммеры.

А что не так с электронной почтой?
https://modoboa.org/en/

Поддерживаю. Мне это напоминает ситуацию с TLS 1.0 и 1.1.
До сих пор использую такой сайт (webvpn.bmstu.ru).
Но HTTP сайтов до сих пор много...

Если выпилят, обязательно выйдет форк от сообщества. Возможно, в том же IceCat от GNU оставят все нужное.
Забыли упомянуть ещё одну фичу, которую пользователи просили уже лет 15: диалог HTTP-авторизации больше не блокирует окно браузера. Теперь он привязан к вкладке.

Вот если бы ещё встроенный спеллчекер научился работать с несколькими словарями. Это последний баг, который досаждает мне на ежедневной основе. Но приоритет этой проблеме выставлен низкий по понятной причине… А использование комбинированных словарей, во-первых, костыль, во вторых — не работает, если в коде встречается конструкция html lang=«xx», где xx совпадает с языком браузера (в этом случае всегда используется встроенный в браузер словарь).

18 лет просили поддержать раскраску скроллбаров с помощью css, как это сделано в вебките (до конца, вроде, так и не доделали), так что, ваши 15 еще не предел :)

Странно, что еще никто не ввел понятие свобода выбора https. Вот допустим у меня есть сам и он на http, потому что у меня нет денег на https, это получается меня притесняют по денежному признаку?)

LetsEncrypt бесплатный. Но в целом раздражает это навязывание. На сайтах тонны сторонних скриптов, которые сливают всю информацию обо мне, а простенький старый сайт, видите ли, небезопасный. Уже и на принтеры hp в локальной сети не пускает без предупреждения, задолбали.

Просто та же Европа и Америка голосят про демократию и свободу выбора, а сами навязывают какой процент черных, меньшинств должно работать в той или иной кампании, сколько их должно в фильме быть. Так и тут: мозилла топит за свободный интернет, а сама постоянно навязывает то одну фичу, то другую. Видно руководящий менеджмент поменялся, вот и пошла такая чушь.
А, простите, забыл один вариант: сайт без домена. Вот тогда действительно получается, что чёртов браузер заставляет теперь пожизненно оплачивать домен. У нас есть один такой на работе для внутренних нужд, пока вроде не жаловались, но, похоже, скоро придётся брать домен.
Какой-нибудь sslip.io не поможет в таком случае?
Там сложности с получением сертификата. Let's Encrypt выдаёт ограниченное количество сертификатов на подобные домены, а пользователей много, так что сертификаты быстро заканчиваются. Поэтому каждое продление как лотерея — кто успел, тот и продлил.
Тут, как ниже уже отметили, появляются дополнительные потенциальные проблемы. И от удостоверяющего центра теперь зависишь, и от регистратора или подобного сервиса. И всё это нафиг никому не нужно, на качество работы этого сайта и безопасность данных никак не повлияет.

Для корпоративного локального сайта можно добавить свой корневой сертификат в браузеры и выдать сайту сертификат на IP адрес.

Сайт не локальный, пользуются и из интернета.

Ну если есть возможность всем кто им будет пользоваться поставить корневой сертификат то можно и внешний IP подписать.

Товарищ диванный знаток Европы и Америки, расслабьтесь. Начните с повторного прочтения текста, который вы комментируете. Если не полегчает, откройте about:preferences#privacy.
LetsEncrypt ещё и единая точка отказа.
Странно, что еще никто не ввел понятие свобода выбора ремней безопасности. Вот допустим у меня есть ремень и он не застегивается, потому что у меня нет денег на новую защелку, это получается меня притесняют по денежному признаку?)

Странно, что еще никто не ввел понятие свобода выбора мяса для шаурмы. Вот допустим у меня есть ларек и много голубей вокруг, но у меня нет денег на нормальное мясо, это получается меня притесняют по денежному признаку?)
Ремни безопасности не требуют использовать на мотоциклах или мотоблоках, так как это бесполезно, но на любой простенький сайтик вынь да положь шифрование.
На мотоциклах требуют шлемы. А еще на мотоциклах и на автомобилях требуют доказательств, что человек, управляющим этим объектом, действительно умеет им управлять — проще говоря, надо сдать экзамен и получить удостоверение. И выбора — сдавать или не сдавать экзамен — нет (пограничные случаи типа электросамокатов не рассматриваем).
Всё правильно пишете, всё пропорционально. А https, который абсолютно ничего не гарантирует и не подтверждает квалификацию разработчика сайта, хотят ото всех. Можно все ваши данные потом передавать в открытом виде по http, но небезопасным будет принтер в локалке, а не тот сайт.
HTTPS гарантирует как минимум то, что соединение установлено с тем сайтом, который был запрошен. (Варианты установки «левых» корневых сертов и согласия продолжать работу с невалидным сертом мы не рассматриваем.) Если же говорить о сертах с расширенной проверкой, то это еще и гарантирует существование той организации, которая контролирует конкретный сайт.

О квалификации разработчика речи не идет. И «Мерс», и «Жигули» сертифицированы для езды по дорогам РФ, т. е. некий госорган декларирует, что они безопасны при соблюдении некоторых условий, но при этом никто не гарантирует их работоспособность и комфортность передвжиения.
Тем не менее сайт не становится небезопасным просто потому, что не https. Я не считаю нормальным вешать такой ярлык без разбора.
Не-HTTPS сайт потенциально небезопасен. Пример с машиной без ремней: ехать можно, и, скорее всего, человек доедет до точки назначения. Но если случится авария, то водитель и пассажиры пострадают намного сильнее, чем если бы они ехали пристегнутыми в машине с ремнями.
С транспортом у вас все примеры некорректные, без ремня пострадает только тот, кто его не пристегнул, ничего общего с https. И сайт даже потенциально не опасен без https, это зависит исключительно от его назначения.
Не забывайте, есть машины без ременей и подушек в принципе — в них при аварии страдают все, потому все едут непристегнутыми. Сайт без HTTPS априори опасен двумя вещами:
1) любой может посмотреть траффик между браузером и сайтом;
2) любой может сделать «mitm» и подсунуть любые данные в траффик.
Это не означает, что ВСЕ не-HTTPS сайты сейчас прослушиваются и все уже за-mitm-лены, равно как и не все автомобили без ремней каждый день попадают в аварии.
Не браузеру решать, нужно там защищаться от атак и перехвата трафика или https абсолютно ничего не изменит в работе сайта. Пускай вон у гугла с амазоном и всяких банков сертификаты требуют, а не у всех подряд. Наверняка скоро перейдут от уведомления к запрету.

Вы сейчас смотрите на сайты со стороны сложных приложений.
Вот у меня есть сайт на местом шареде, мертвом. На нем нету умных панелей или возможности обновить пыхапе даже, но зато он бесплатен и на нем у меня 500ГБ места. Сайты которые у меня там стоят — информационные, без интерактива, форм ввода или авторизаций.


Эти сайты никак не могут быть опасными, там нету траффика который нужно прятать, любая mitm атака бесполезна — только если рекламу пихать, но таким местный провайдер не занимается, а наружу этот сайт не торчит.


Получаем принуждение большими фирмами меня, как энтузиаста, переходить на VPS, который я настрою по первой инструкции из интернета скопировав туда команды непонятной давности лет, при этом еще и непонятно откуда взятые, я-ж не буду смотреть даже в теории на скрипт автоапдейта сертификата. Либо мне придется платить за дорогой шаред хостинг.


В общем большие компании под эгидой безопасности, как обычно, пытаются централизовать интернет для его большего контроля. Помяните мое слово — скоро вы не сможете вообще запустить сами сайт на публику, без его размещения в крупном ЦОДе, регистрации в каком-нибудь каталоге с подтверждением личности и обязательной установкой кучи левого софта.

Сайты которые у меня там стоят — информационные, без интерактива, форм ввода или авторизаций.

Эти сайты никак не могут быть опасными, там нету траффика который нужно прятать, любая mitm атака бесполезна — только если рекламу пихать, но таким местный провайдер не занимается, а наружу этот сайт не торчит.

Потенциально при скачивании *.exe с такого сайта можно за-mtim-ить вирус. Понятно, что вероятность такого события низка, и *.exe имеют (могут иметь) свою защиту в виде подписи.

Переезд на другой хостинг/VPS в этом случае можно рассматривать как плату за хобби. Кто-то на охоту ходит — регулярно платит за патроны, лицензии, проверки. Кто-то на рыбалку — тот платит за удочки, блесны и т. д. В общем, бесплатных хобби практически не бывает, и обычно люди расстаются с этими деньгами легко — они с самого начала понимают, что это для собственного удовольствия.

Помяните мое слово — скоро вы не сможете вообще запустить сами сайт на публику, без его размещения в крупном ЦОДе, регистрации в каком-нибудь каталоге с подтверждением личности и обязательной установкой кучи левого софта.

Вряд ли. Слишком сложно, да и полная централизация контроля в данном случае приведет к существенному падению надежности. Скорее всего, банки и иже с ними будут получать сертификаты в «Комоды» и тому подобных за большие деньги, а прочих вынудят пользоваться леценкриптовскими, которые сейчас бесплатны. Это будет точкой воздействия — сайты будут закрывать путем отзыва сертов. Вопрос в том, будут ли у «Леценкрипта» конкуренты, потому что без конкурентов он быстро превратится в «Гугл».
Потенциально при скачивании .exe с такого сайта можно за-mtim-ить вирус. Понятно, что вероятность такого события низка, и .exe имеют (могут иметь) свою защиту в виде подписи.

Там нету ничего для скачивания.


Переезд на другой хостинг/VPS в этом случае можно рассматривать как плату за хобби. Кто-то на охоту ходит — регулярно платит за патроны, лицензии, проверки. Кто-то на рыбалку — тот платит за удочки, блесны и т. д. В общем, бесплатных хобби практически не бывает, и обычно люди расстаются с этими деньгами легко — они с самого начала понимают, что это для собственного удовольствия.

Вот оно было, но скоро его не будет. Спасибо крупным корпорациям за заботу обо мне.


Слишком сложно, да и полная централизация контроля в данном случае приведет к существенному падению надежности.

Я уже был свидетелем как при проблеме с обновленем сертификата от LO отвалился целый куст нужных мне сайтов. Поймите — мне глубоко пофигу на сайты крупных банков и т.п. хлама где есть отдельный айти отдел, я захожу в сберонлайн 1 раз в пару месяцев, а вот на мелкие сайты, в поисках информации, я захожу ежедневно.

Тут только одно можно вспомнить: «Лес рубят — щепки летят. Когда основная масса перейдет на новый протокол/технологию/etc., остальные либо тоже перейдут, либо уйдут в «подполье». Раньше был FIDO, потом все ушли в Интернет, потому что WWW пользоваться было проще. Где теперь все эти пойты, ноды и зоны? Говорят, кто-то еще жив, но той жизни, какая была раньше, уже нет и не будет. Так и не-HTTPS сайтами — либо станут HTTPS, либо будут работать для каких-то партизан, которые смогут собрать «Файрфокс» двадцатилетней давности из исходников…
но таким местный провайдер не занимается

Зато таким вполне может заниматься провайдер посетителя — билайн и мегафон уже были замечены за встраиванием своих следилок, панелек и рекламок. А если доступ к каналу связи есть у злоумышленника (например он контролирует публичный вайфай), то он вполне может встроить что-нибудь вроде майнера биткоинов, какую-нибудь попрошайку, фейковую форму входа во что-нибудь для сбора паролей, предложение скачать вирус под видом полезной программки и так далее. Нагадит злоумышленник, а все шишки полетят в вас, потому что пакости-то происходят именно на ваших сайтах.


Так что нет, https нужен ЛЮБОМУ сайту, даже если на нём нет ничего кроме картинок с котиками.

Зато таким вполне может заниматься провайдер посетителя — билайн и мегафон уже были замечены за встраиванием своих следилок, панелек и рекламок.

Он недоступен снаружи. Ни билайн ни мегафон не могут на него попасть, только пользователи провайдера городского.


Нагадит злоумышленник, а все шишки полетят в вас, потому что пакости-то происходят именно на ваших сайтах.

Совсем ||.


Так что нет, https нужен ЛЮБОМУ сайту, даже если на нём нет ничего кроме картинок с котиками.

Оплатите мне хостинг хотяб на 250 гигабайт с https? Нет? Никто не оплатит. Со своего кармана я тоже не собираюсь это делать, он мне не приносит прибыли и рекламу я туда не хочу ставить. Значит еще пару сайтов будет отключены, когда будет обязательным сертификаты, а когда-нибудь человек ищущий важную информацию по северным малочисленным народам наткнется на то, что целый пласт информации пропал из сети. Он будет лежать у меня на диске и тухнуть, хотя сейчас активно используется учеными.


Зато безопасно, да. Вместо законодательной борьбы с провайдерами аля Мегафон или МТС, встраивающие свою рекламу, надо устраивать гонку борьбы и снаряда, за ваши деньги.

Нагадит злоумышленник, а все шишки полетят в вас, потому что пакости-то происходят именно на ваших сайтах.


Совсем ||.

Когда возбудят дело о распространении вирусов, отбрехиваться придется Вам. Отбрехаетесь, конечно, но нервы измотаете.
На мотоциклах и мотоблоках заставляют носить шлем (который надо купить за деньги). А еще запрещают ездить без пройденного то (за деньги) и на лысой резине (а новая-то стоит денег).
Всюду хотят честного человека на деньги нагреть, капиталисты треклятые.
Хромиум Гост вас спасёт.
Хромиум ГОСТ прямиком из СССР
Да это же только настройка, причем выключенная по умолчанию, что все так распереживались-то?
На перспективу смотрят.
Это когда хомячки были способны видеть перспективу?
Сегодня автообновился. При открытии YouTube вкладка выжирает всю память и падает.
Для Firefox наверняка можно придумать плагин, который сделает возможным доступ к http сайтам.
Я вот тоже ушел с фаерфокса, сижу на палемуне. До сих пор пользуюсь скрапбуком.
Когда вы все уже прекратите обсуждать чьи-то фантазии и посмотрите, как это реализовано? Никто не мешает вам ходить по HTTP, как не включая эту опцию, так и игнорируя предупреждения о незащищенном трафике.
Лучше обсуждать фантазии, чтобы они не стали реальностью.

А то что фаерфокс стремительно гуглеет — уже реальность.

Чтобы нормально пользоваться тем же фарефоксом нужно отключать уже на одно навязанное предупреждение больше, и включать дополнительную опцию.
Пока эта опция есть.
Если браузер гугла обсуждать сложно, всетаки это корпорация, бывшая добра.

То Фаерфокс позиционируется как оплот свободного по.

И опции, навязывающие отсутствие свободы, для сайтов интернета.
Требуется широко обсуждать сразу.
А то что фаерфокс стремительно гуглеет — уже реальность.
Мы видимо в разных реальностях живем. Разработчики Firefox уже несколько лет методично добавляют важные функции по защите приватности. Сравнивать это с тотальной слежкой Google – просто дичь какая-то.

Чтобы нормально пользоваться тем же фарефоксом нужно отключать уже на одно навязанное предупреждение больше, и включать дополнительную опцию.
О чем конкретно речь и что именно вам навязали?

И опции, навязывающие отсутствие свободы, для сайтов интернета.
Что именно вам навязывают?
О чем конкретно речь и что именно вам навязали?

И не именно мне, я не замечу, а обычным пользователям.
Ненужно передергивать.
Никто не мешает вам ходить по HTTP, как не включая эту опцию, так и игнорируя предупреждения о незащищенном трафике.

Навязывание включения опции по умолчанию.
Навязывание предупреждения о незащищенном трафике
При включенной опции блокировка сайтов для обычных пользователей.

Что именно вам навязали?

Вам надо повторить вышестоящее обсуждение.
Там все же описано.

И не именно мне, я не замечу, а обычным пользователям.
Ненужно передергивать.
Если вы собираетесь выступать от имени других пользователей, обозначайте это. Как и то, кто вас уполномочил это делать. Авось и передергивания мерещиться перестанут.

Навязывание включения опции по умолчанию.
Ложь, она не включена по умолчанию.
Навязывание предупреждения о незащищенном трафике.
Вы выше решили ссылаться на «обычных» пользователей. У вас есть подтверждение, что «обычные» пользователи против предупреждений о том, что они сунут пальцы в розетку?
При включенной опции блокировка сайтов для обычных пользователей.
Ложь, такой блокировки нет.

Вам надо повторить вышестоящее обсуждение.
Там все же описано.
Вам надо научиться отвечать на поставленные вам вопросы и отвечать от своего имени. Вышестоящее обсуждение – это фантазии людей, которые не понимают ни сути, ни механизма этого нововведения.
Да, частично верное решение, так как может быть совершена MitM-атака. Ждем, когда все-таки займутся интеграцией с DNSCrypt или расширением возможностей DNS-over-HTTPS.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Другие новости

Истории