Как стать автором
Обновить

Комментарии 16

Если он начнёт так мучать локальные сайты, или stage. и всё такое — это будет полная жесть.

В Firefox локальные ресурсы изначально были в исключениях (плюс теперь ещё можно добавить в исключения произвольный домен), думаю, в Chrome никто не мешает сделать так же.

Но при возможности лучше настроить шифрование и в локальных сетях. А то мне один хабраюзер недавно доказывал, что у него снаружи коммуникации зашифрованы, значит, внутри сети можно конфиги для серверных железок гонять по нешифрованному FTP.

Quis custodiet ipsos custodes?
Сейчас мало уделяется вниманию защиты пользователя от администраторов (а почему собственно я, допустим, разработчик бизнес-приложения, должен доверять админу/девопсу?)…

Много информации об уязвимостях типа «повышение прав обычного пользователя до root»
но я не видел статей о защите юзера от админа…

Если, допустим в windows я могу установить атрибут файла «зашифрованный», то в linux всё печально — админ от рута делает passwd user и вуаля, всё делается от моего имени…

Логично, что если вы не владеете машиной, то ей владеет кто-то другой.

Если, допустим в windows я могу установить атрибут файла «зашифрованный», то в linux всё печально — админ от рута делает passwd user и вуаля, всё делается от моего имени…

Никто не мешает вам зашифровать хомяк и без пароля ни один админ не зайдет туда

Логично, что администратору доверяют по умолчанию, а для всех внештатных ситуаций есть иб, права и возможности контроля которой обычно выше devops, и администраторов. В таких случаях обычно проводят расследование.

Уже начал. Пользователи жалуются, что не могут хромым зайти на 192.168.0.1, потому, что, как оказалось, он лезет сразу на https.

На локальный IP по https, Карл!

Очередной цирк во имя безопасности. Сколько сейчас отвалится роутеров, которые про HTTPS на вебморде и не слышали — страшно себе представить.

mkcert позволяет легко генерировать сертификаты хоть для локалхоста, хоть для чего другого

да, но когда нужно показать проект/стадию людям, которым не хочется добавлять каких-то непонятных сертификатов, и которые теряются при виде панического окна "вас взломали! вас атаковали!


подтвердите, что этот сертификат хороший, тут будет незаметная кнопка, а после ещё кнопка, а потом добавьте этот сертификат в особом скрытом меню. А ещё мы ограничим некоторые JS-события для сайтов с неподтвержденными сертификатами, а то вдруг что? Ну и просто пара вещей перестанет работать… а просто так.

Для локалхоста - mkcert, Для всего остального - letsEncrypt, вам чего еще надо? Я не раз показывал проекты, которые хостились на моей машине, через DDNS + LetsEncrypt. На дворе уже давно 2021й, за сертификаты платить не надо

Обычно для такого работает внутренний центр сертификации.

Такой хернёй страдают только в корпо, где есть люди, деньги, свободное время у этих людей, настраиваемые по клику корро-ноуты, отдел деливери, отдел админов, бутерброды из кейтеринга с которыми заключили выгодный контракт... и вот ты уже снова ждёшь пересчёт повышения в следующие 9 месяцев, заодно подавая резюме в следующее корпо с вилкой выше сезонного повышения...

я имею ввиду, да, такое бывает, но такого и не бывает. Подводить браузер под корпо - это дикость.

Режим, для которого раньше служило расширение HTTPS Everywhere (впервые вышедшее аж в 2010 году) и который стоило бы добавить уже много лет назад...

Не понимаю зачем заминусили его. Эта фича была бы гораздо полезнее HSTS и его preload-списка в качестве костыля.

Там отмечают, что Mozilla планирует реализовать то же самое в Firefox.

В Firefox эта функция присутствует ещё с прошлого года, начиная с 83 версии. Другое дело, что не включается по умолчанию. И недавно появилась в Edge.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.