Chrome начнёт помечать небезопасными страницы, открытые по HTTP

    Пока люди всего мира изобретают новые полезные технологии, другие люди решают, какие из старых, проверенных, но, вероятно, не таких полезных технологий считать, увы, небезопасным и вредным.
    Что же, компания Google сообщила, что с января 2017 (с Chrome версии 56) при просмотре в Chrome сайты, которые передают пароли и номера кредиток по протоколу HTTP (т.е. не по HTTPS), будут маркироваться как небезопасные. Это делается в рамках долгосрочного плана перехода к маркировке всех не-HTTPS сайтов как небезопасных, что должно подтолкнуть владельцев сайтов поголовно переходить на использование HTTPS.

    На самом деле, анализ будет проще: браузер станет помечать страницы, полученные по протоколу HTTP, и в которых есть поля для ввода паролей или номеров кредиток — анализ на «передачу паролей и номеров карт по http», судя по всему, делаться не будет. Визуально нововведение будет выглядеть как на картинке выше.

    Позиция Google по поводу того, почему еще не так давно считавшимися «нормальными» страницы, получаемые по HTTP, становятся «небезопасными», состоит в том, что в передаваемые по протоколу HTTP объекты (код страниц, содержимое файлов) легко внести изменения в процессе передачи, а содержимое передаваемых данных крайне легко перехватить. Этого риска нет при использовании протокола HTTPS. С учетом этого, корпорация стремится дать пользователям визуальный индикатор риска при использовании конкретных сайтов и их страниц. По сообщениям Google, более половины из загружаемых на десктопах сайтов сегодня уже перешли на использование HTTPS.

    В ближайшем будущем Chrome начнет помечать все загруженные по HTTP в режиме «Инкогнито» страницы как небезопасные. В дальнейшем Google планирует помечать все страницы, получаемые по протоколу HTTP, как небезопасные, и помечать их красным треугольником, который сегодня помечают страницы, полученные по «неправильному» HTTPS.

    Противники подхода «все на HTTPS» называют свои контраргументы, среди которых:

    — не всем сайтам необходимо прятать свое содержимое от посторонних глаз. Скажем, онлайн библиотека или энциклопедия по сути направлены на распространение знаний, и, вероятно, нуждаются в шифровании менее, чем сайт банка.
    — не все сайты работают «через» имя домена, масса ресурсов (в т.ч. в интранет) работает с использованием либо IP-адресов, либо «плюшевых» имен (либо действующих только в локальной сети, либо вообще прописанных чуть не в hosts), и на такие «ненормальные» (на самом деле, совершенно обычные) адреса не получить «легальных» сертификатов.
    — шифрование создает дополнительную нагрузку как на серверное оборудование, так и на устройства клиентов, что, в частности, может привести к более быстрому разряду смартфона в процессе пользования работающего по HTTPS сайта.
    — подозрения в лукавстве Google, которые за благой целью защиты от модификации страниц прячут свою потребность затруднить фильтрацию собственной рекламы и модулей слежения на страницах сайтов мира.
    — дополнительные проблемы, которые возникнут у правоохранительных органов и провайдеров при попытке отслеживания трафика в рамках программ, подобных СОРМ, и блокировки тех или иных ресурсов по предписаниям судов, что, вероятнее всего, приведет к форсированию пользователей интернет к установке государственного сертификата на все устройства, с целью обеспечения работы теперь уже государственного, «законного» MITM-решения, по примеру того, как это предполагалось сделать в Казахстане и некоторых других странах.

    Отдельно интересна дискуссия по поводу скорости открывания страниц по HTTP и HTTPS (в т.ч. с учетом использования SDPY, HTTP/2 и т.д.) Переход на эти протоколы интересен сайтам, отдаваемых с одного сервера, т.к. ускорение от их использования компенсирует затраты времени на первоначальное установление TLS-соединения. В случае загрузки ресурсов с разных серверов или с CDN, возникают дополнительные вопросы по скорости открывания сайта, что требует дополнительного внимания со стороны администратора сайта.

    Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

    Нравится ли вам движение в сторону HTTPS-only интернета?

    • 56,2%Да, я не люблю, когда мой трафик может прослушать кто угодно525
    • 42,1%Да, так как это убережет от криворуких вебмастеров, которые привыкли передавать любые данные по HTTP, не заботясь об их сохранности393
    • 23,7%Да, потому что зеленый замочек в адресной строке — это круто и красиво!221
    • 1,8%Не уверен, мне не важно17
    • 2,5%Не уверен, пусть делают, как знают23
    • 33,9%Нет, потому что сайт сайту рознь, и не всем нужен HTTPS317
    • 8,2%Нет, потому что при плохой связи HTTPS сайты будут открываться хуже77
    • 7,6%Нет, потому что блокировки тогда будут происходить по IP, что сделает их последствия еще хуже71
    • 10,4%Нет, нет, потому что боюсь варианта с «государственным CA всем-всем»97
    • 19,8%Нет, потому что нехорошо производителю браузера решать за весь мир, как людям жить185
    • 14,1%Да, я не люблю когда мой трафик может поправить кто угодно (речь в т.ч. и о добавлении на страницы javascript для майнинга биткойнов или кода рекламных кнопок)132

    Какие перспективы у блокировок в России при поголовном переходе сайтов на HTTPS?

    • 44,1%Будут блочить по IP321
    • 55,9%Реализуют государственный CA407
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 101

      +29
      Недавно хром не дал открыть сайт с даташитом на микросхему потому что «Алгоритм Диффи- Хеллмана… чего то там слабый» и нет кнопки открыть всё равно, так и пришлось смотреть через фаерфокс. В IOS 10 удалили pptp vpn потому что он небезопасный. Dropbox перестал работать на виндовс xp и повесили статью что это капец как небезопасно.
      Жду что скоро прийдут хирурги и отрежут мне мужской орган потому что это небезопасно, люди через него спидом заражаются…
      При всем при этом по планете шагают шифровальщики, письма с шифровальшиками приходят с мейл. ру с гордым шильдиком проверено вирусов нет. Сноуден и прочие пишут про такие дыры, что мой дропбокс, и мой впн до дому что бы камеру посмотреть такая фигня. Но страдаю почему то Я. И мои родители со стареньким компом на котором смотрят фотки которые я им сбрасывал через дропбокс.
      Тотальное думание за прользователя что ему надо, и что ненадо, какой разьём должен быть у наушников( привет любимому эппл, перегнули) из благой идеи превращаятся в АД.

        0
        я обновил Хром до 53 версии на днях и уже ненавижу их — перестала работать функция открытия ссылки в новой вкладке по нажатию на колесико мыши. В остальных броузерах работает, а в Хроме перестало. Написал в тех поддержку — ответа 0.
          0
          Господи, только не это. Не понимаю люедй которые открывают вкладки через пкм, это крайне не удобно
            0

            Version 53.0.2785.101 (64-bit) — нажатие на колесико открывает ссылку в новой вкладке. Так что это скорее у вас что то специфическое, а не общее поведение.

              0
              Надеюсь ctrl+ЛКМ работает?
                0
                да ctrl+ЛКМ работает. очень странно, тогда что это может быть за глюк. перепробовал уже все что можно. в мозилле и опере все работает, а в хроме перестало.
                0
                Вот, блин. Я то думал, что моя мышка начала постепенно умирать и начала с колесика мышки. Мне даже в голову не пришло как можно убрать функционал, которым пользуешься несколько лет.
              0
              С появлением let's encrypt стало легче генерировать сертификаты на свои сайты, но все равно для обычного пользователя это всегда будет излишней финансовой нагрузкой.
              Так же получается какая-то война между корпорациями добра и ГБшниками тоталитарных стран, что тоже скажется на кармане юзеров.
              Допустим введут государственный СА в России. И будет как с электронными подписями. Нужно будет покупать ключи за не адекватные деньги. Да еще и провайдеров обяжут менять оборудование, чтобы ГБшники таки могли просматривать наш трафик.
              В идеале конечно всем будет легче, если наша страни перестанет быть тоталитарной, но это пока несбыточные мечты.
                +1
                Да даже и админской нагрузкой. Хостинги живут, продавая сертификаты известных CA. Мало кто (честно — я таких не знаю) из хостеров прикрутил себе автополучение сертификата через Let's Encrypt при появлении этого CA, в лучшем случае предлагается кнопка «бесплатный серт», которая дает первую дозу бесплатный сертификат один раз, далее за него надо платить.

                При всем при том, есть отличный вариант сделать себе https — зайти на CloudFlare, настроить отдачу сайта через них, и включить галочку про https, они сами все сделают. Но — тогда трафик от них до моего сайта полетит незашифрованным (я беру случай, когда сайт на shared-хостинге, где нельзя приделать бесплатный валидный серт), и вся благая затея Гугла под сомнением.

                Но рекламу резать перестанут — факт!
                  0
                  Я сильно удивился, но клиенты говорят, что многие хостинги по запросу в техподдержку стали прикручивать сертификаты Let's Encrypt
                  Этого нигде не написано на сайтах, но люди пользуются уже.
                    +2
                    Мало кто (честно — я таких не знаю) из хостеров прикрутил себе автополучение сертификата через Let's Encrypt при появлении этого CA


                    У diphost.ru есть прямо кнопка такая, например.
                      +2
                      Не знаю, как у российских компаний с этим. У нас есть разные украинские хостинг-компании, вроде «Хостинг «Украина»», где один раз нажал «получить Let's Encrypt сертификат», а дальше он будет автоматически переполучатся, когда закончится
                        0

                        Могли бы дать ссылку на эту кнопку? Сам пользуюсь, но не видел ее.

                          0
                          Тоже там сайты держу. Кнопка в «Мои сайты» — «Настройка SSL» вкладка «Let's Encrypt сертификат».
                          Выделенный IP не нужен, само собой.
                        0
                        >Мало кто (честно — я таких не знаю) из хостеров прикрутил себе автополучение сертификата через Let's Encrypt при появлении этого CA
                        beget дают. причем бесплатный и с автопродлением
                      +4
                      FF давно уже помечает. Плюсов, конечно, больше, но и минусы есть. Например, https забивает всё больше гвоздей в крышку гроба Opera на Presto…
                        0
                        «https забивает всё больше гвоздей в крышку гроба Opera на Presto»
                        Почему же, в обновлении 12.18 версии выпустили поддержку сертификатов со SNI, ECDHE вроде, решили проблему с тормозами на некоторых DHE. На XP у нее теперь с шифрованием дела даже лучше, чем в Chrome и Blink Opera. Если очень надо будет, китайцы еще могут выпустить. Хотя использование Presto в современном вебе уже выглядит странным.
                          0
                          12.18 вышла только под форточки.
                        –2
                        HTTPS Ewerywhere решает эту проблему
                          +2
                          Мне вот он банально не дает залогиниться на алиэкспресс, т.к. у него некоторые поддомены неожиданно отвечают по https, но сертификат там установлен левый.
                            +1
                            Наверное, не у всех так, потому что у меня такой проблемы с алиэкспресс нет. Но вообще, на некоторых сайтах пришлось плагин отключить, так как возникали различные проблемы.
                          +7
                          Если сайт однопользовательский (один автор, нет регистрации), да и вообще маленький такой блог — то к чему https? Платить лишние 2000р в год — лишняя трата. Таких сайтов у пользователя может быть несколько.

                          Да — идет навязывание. С одной стороны это плохо, это бьет по карману владельца маленького сайта. С другой стороны приближает массово внедрение http2, которое работает только с https протоколом.
                          В общем спорный момент.

                          Несколько дней писали что майкрософт и производители процов будут поддерживать только 10-ку. Со всех сторон завинчивают гайки. Они же лучше знают что пользователю нужно.
                            0
                            Чтобы пользователь этого сайта, не боялся зайти на свой сайт через публичный wifi к примеру. Единственное, нужно чтобы к примеру Let's Encrypt стал удобнее.
                              0
                              Разве это не забота сайта? Всякие фейсбуки уже https, а зачем мне шифрование на сайте gismeteo, или kinopoisk, если я зашёл на них получить публичную информацию.
                                +2
                                чтобы туда не встроили вредоносный код. Все идет к тому, чтобы http сайтов не осталось совсем. Лично я думаю, что это было бы не плохо, но должно быть одно условие, легкий способ получить валидный сертификат.
                                  0
                                  Не только сертификат, но и домен.
                                  На случай, если я поднял на своей машине сайт для себя и друзей, такой как http://123.45.67.89/
                                    0
                                    А какие с этим проблемы? Что сертификаты, что домены есть бесплатные.
                                      0
                                      > домены есть бесплатные.
                                      А можно пример, желательно без разводов «первый год бесплатен, потом 99$».
                                        0
                                        Для Украины это pp.ua (рег например у nic.ua с бесплатным dns или еще у 10+ других)
                                          0
                                          0
                                          по доменам согласен. А вот с сертификатами не так все просто 2.5 калеки которые выдают бесплатные сертификаты сложно назвать надежным явлением.
                                            +1
                                            Клоундфара калека? Или стартССЛ? Эти фирмы переживут ваши сайты, я гарантирую.
                                            +3
                                            Проблемы — потеря автономности и независимости.
                                            Сейчас взял и за 5 минут всё поднял, а будет нужна куча лишних действий.

                                            Такими темпами скоро придётся справки собирать и получать лицензии, чтобы просто переслать по сети UDP-пакет.
                                    0
                                    > Платить лишние 2000р в год — лишняя трата.
                                    Кому, зачем?
                                      0
                                      Если сайт однопользовательский, то вам нет нужды передавать туда логин, пароль, данные кредитных карт и т.д.
                                      Если вам все-таки нужна авторизация — вы можете воспользоваться OAuth или любой другой сторонней авторизацией.
                                      Если же вам все-таки нужна именно ваша система авторизации, то вы можете или назвать поля для логина и пароля как-нибудь иначе, чем login/password, или же все-таки поставить себе бесплатный Let's Encrypt.
                                        +3
                                        Вопрос в том — зачем оно мне? У меня местечковый форум интрасети, который живет уже 15 лет. На нем 10кк сообщений. Работает и работает, все устраивает. Зачем мне нужен геморрой с сертификатами и OAuth? Меня пара логин-пароль устраивает уже 15 лет и за это время никаких проблем-то и не было, ни разу.
                                        Теперь гугл решил помечать данный сайт как «не безопасный» и это оттолкнет пользователей от общения.
                                          +2
                                          И все пойдут общаться в G+
                                          Такая вот многоходовка от Google.
                                            +3
                                            Если гугл начнет помечать как небезопасное все подряд, то достаточно скоро всем будет наплевать на эти пометки.
                                              –1
                                              А откуда вы знаете, что проблем не было? Тем более в интрасети, где нетрудно прослушать трафик. Кто-нибудь прослушает, узнает пароли, у части пользователей эти пароли совпадут с паролями на почтовые ящики и пошло-поехало. Тем более, что Хром не запрещает посещать ваш сайт, а лишь сообщает пользователям, что это не безопасно. А все, что от вас требуется, чтобы исправить ситуацию и защитить пользователей — это (при наличии доступа по SSH telnet) потратить полчаса-час на настройку бесплатного Let's Encrypt с автообновлением сертификата и взять рекомендуемый https-конфиг для nginx/apache от Мозиллы.
                                                +1
                                                За 15 лет утечек небыло. Думаю что это достаточно для доверия? Тот-же стим у меня регулярно спамит о том что в мой аккаунт кто-то пытается зайти, при том что пароль на нем состоит из 20 букво-цифр-символов и к словарю не имеет никакого отношения. Однако SSL там есть, да, защитились.
                                                Логика простая — я не вижу проблем, как со-администратор. Я не помню ни одного крупного взлома. Меня устраивает. Навязывать мне сертификаты от левых центров сертификации — ничуть не лучше яндекс-бара при установке софта. На текущий момент я вижу лишь использование своего доминирующего положения для продвижения лишней криптографии, с целью… скорее всего заработать. Заработать на нынешней «сдвинутости» населения про тотальную слежку и все такое.

                                                PS: Тратить пол часа на настройку того чего мне не нужно — я из принципа не буду.
                                                  –1
                                                  Да не ваш форум будут ломать, а почтовые ящики пользователей и их учетные записи на других ресурсах — в подавляющем большинстве случаев люди пользуются одним паролем для всего, так что прослушав открытый трафик можно вытащить массу всего интересного. Именно поэтому шифрование стало сродни гигиене — превентивной мерой защиты. А с некоторых пор еще и бесплатной. И именно поэтому от незашифрованных сайтов люди постепенно начинают отходить, как от потенциально заразных. Но лично вам никто ничего не навязывает, если вас устраивает то, что есть — пользуйтесь. Однако, посетители имеют право знать о рисках.

                                                  Навязывать мне сертификаты от левых центров сертификации

                                                  Что такое «левый центр сертификации»? Вы знаете как работает цепь сертификатов?

                                                  Кстати, у вас и почта без DKIM/SPF?
                                                    +1
                                                    А у меня нет почт пользователей, у меня логин и пароль. Я считаю этот способ идеальный для всякого рода форумов.

                                                    >И именно поэтому от незашифрованных сайтов люди постепенно начинают отходить, как от потенциально заразных.
                                                    Люди? Не мешайте корпорации, которые навязывают вам свое видение развития технологий, и людей, которым нужно удобство без заморочек.

                                                    >Но лично вам никто ничего не навязывает, если вас устраивает то, что есть — пользуйтесь.
                                                    Я и не пользуюсь. Для моих недосайтов хватает и обычной связи, а для пары интернет магазинов пара логин/пароль мне показалась достаточной, ведь все равно оплата идет через банковскую систему со своим сертификатом. Просто мне навязывают шифрование, теперь уже более явно.

                                                    >Однако, посетители имеют право знать о рисках.
                                                    Пользователя надо приучать к опасному интернету везде, даже на веб-страничке роутера под столом. Если пользователь идиот — он введет свои данные кредитки на левом сайте где будет одна надпись «проверка счета карты», с гордо стоящей надписью SSL.

                                                    >Что такое «левый центр сертификации»? Вы знаете как работает цепь сертификатов?
                                                    Мог-бы сказать что знаю, но скорее скажу что знаю частично, и даже более — знаю очень мало в этой области.

                                                    >Кстати, у вас и почта без DKIM/SPF?
                                                    Не интересовался даже.
                                                      –1
                                                      Все верно, людям нужно удобство без заморочек. Поэтому людям нужен HTTPS, чтобы у них не болела голова про MitM-атаки, XSS, DNS-спуффинг, да хотя бы про банальный мониторинг трафика в компаниях — все это существует и не исчезнет только потому, что лично вы не сталкивались с последствиями. А обеспечивать эту безопасность и приватность со своей стороны обязаны администраторы сетевых ресурсов. Сейчас это сделать намного проще, чем раньше.

                                                      Между пользователями-идиотами и пользователями-гениями есть примерно 80% остальных пользователей, которые просто не в курсе, что с ними могут сделать без https.
                                            0
                                            Платить лишние 2000р в год

                                            600 рублей в год стоит простой сертификат на один домен — NameCheap. Я уже лет 5 таким пользуюсь :)
                                              +5
                                              Так не в цене вопроса дело. LE дает их и бесплатно, просто настройка сертификата на сервере — лишний головняк. А если вспомнить, что сертификаты на IP-адрес не выдаются официальными CA, то совсем весело становится. Грубо говоря, мы говорим не о том, что http стал внезапно более опасным, чем раньше, а о том, что некий браузер (а за ним — и другие, видимо) имеет курс на маниакальное отрицание существования http как нормального протокола.
                                              Думаю, все бы решил некий список в браузере, куда я смог бы добавлять сайты, которые меня устраивают и по http. Или, что разумнее, ограничиться предупреждением, но не мешать навязчиво юзеру работать с сайтом.
                                                0
                                                Настройка L'E — это ввести в терминале пару команд и запустить скрипт, обновляться он будет автоматически. Я не знаю, что еще может быть проще этого
                                                  0
                                                  Потому что здесь заключена потенциальная опасность. Вы доверяете скрипту?
                                                    0
                                                    Скрипту, который идет в комплекте с сертификатом от моззилы? Вобщем — да, примерно как и самому сертификату. Мне кажется, что скрипт-установщик скомпрометировать не проще, чем сам сертификат
                                              +2
                                              Тут хотя бы просто «Not secure» будут писать (что, формально, верно). А вот, например, Wordpress.com (хостинг на WordPress от создателей движка), где хостятся миллионы сайтиков «новости моего кота» недавно принудительно перевёл всех на Let's Encrypt сертификаты, без варианта оставить HTTP. Учитывая, что сертификатам Let's Encrypt не доверяет BlackBerry OS 10, как минимум в Канаде у людей с мобильных телефонов это всё перестало открываться (поставить сертификат на телефон можно, но проще не заходить на сайт).
                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                  0
                                                  Есть же бесплатные сертификаты, типа StartSSL и еще какой-то от китайцев. Получаются довольно легко, особенно китайский, там дел на 5 минут. Другое дело, что под https придется движок перетряхивать, что бы он и статику отдавал по https, а вот это уже лишний гимор.
                                                    0
                                                    Достаточно добавить http заголовок Strict-Transport-Security, и браузер сам перепишет все ссылки на https.
                                                    0
                                                    HTTP/2, в теории, не только поверх TLS работает. Ну, должен бы работать: раз нет клиентов, которые такое умеют, то и сервера особо не переживают с поддержкой такого варианта — а дальше замкнутый круг.
                                                    А массово внедрить — не проблема, только не все сайты активно обслуживаются (много статических страниц и сайтов годами не меняются, но полезны по прежнему), и не все сайты/серверы легко перенесут переход на https. Как говорится, «все хорошо, но есть нюансы».
                                                    +2
                                                    А еще «In the coming months, we will no longer allow OAuth requests to Google in embedded browsers known as “web-views».
                                                      0
                                                      Если они действительно сделают такую подляну, у меня целая куча приложений поляжет, нужных для работы :(
                                                        +1
                                                        https://developers.googleblog.com/2016/08/modernizing-oauth-interactions-in-native-apps.html
                                                          0
                                                          Так они наоборот авторизацию свою продвигают? Тогда могу вздохнуть с облегчением. А то по комментарию подумал, что вообще ее обрубят.
                                                      0
                                                      Подскажите, прокси-серверы уже научились кешировать HTTPS-трафик? А то у меня на даче Интернет мобильный, хочется не платить лишнее.
                                                        0
                                                        Нет конечно, открывайте кошелек.
                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                            0
                                                            А как я узнаю, правильный ли сертификат у сайта, на который я зашёл?
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                          0
                                                          не всем сайтам необходимо прятать свое содержимое от посторонних глаз. Скажем, онлайн библиотека или энциклопедия по сути направлены на распространение знаний, и, вероятно, нужнаются в шифровании менее, чем сайт банка.
                                                          Сниффинг http-траффика как-то не очень укладывается в понятие «распространение знаний». Если в библиотеке или энциклопедии есть личный кабинет или какие-то другие формы с личной информацией, то они должны быть за https. А делать что-то на http, а что-то на https — бред.

                                                          шифрование создает дополнительную нагрузку как на серверное оборудование, так и на устроства клиентов, что, в частности, может привести к более быстрому разряду смартфона в процессе пользования работающего по HTTPS сайта.

                                                          Этой «нагрузкой» можно смело пренебречь. Когда Gmail полностью перевели на https, они увидели, что нагрузка на процессор выросла менее, чем на 1%.
                                                            +2
                                                            А делать что-то на http, а что-то на https — бред.
                                                            По-моему, наоборот, бред — это принудительно шифровать общедоступную информацию. Особенно, когда пользователю приходится из-за этого платить лишние деньги.
                                                              0
                                                              Каким, простите, образом?
                                                              Вот банальный пример: я перевёл все свои ресурсы на https пару лет назад. Пользователи стали платить больше, по вашему мнению?
                                                                0
                                                                Я написал об этом чуть выше: у меня на даче доступ в Интернет только мобильный. HTTP кешируется на маршрутизаторе, а с HTTPS это нормально не сделать (MITM-сертификат мне по ряду причин не нравится). У всех опсосов ограничения по трафику. Из-за HTTPS мне приходится покупать пакеты, которые больше и, соответственно, дороже.
                                                                  –2
                                                                  B**** please.

                                                                  Я десять лет прожил на всяком CDMA, EDGE, HSDPA и прочих буквах. Десять лет. Не рассказывайте мне про экономию на пакетах.
                                                                  Сейчас есть вменяемые по стоимости тарифы у Йоты — 850 рублей за фулланлим (реально, фулланлим, спокойно выходило за 300+ Гб в месяц) в Твери; торренты работают напрямую. И даже если брать в расчёт других операторов, то штатных пакетов в 20-40 Гб должно выше крыши хватать для сёрфинга, скайпов, поигрушек и ютьюба.

                                                                  В общем, сейчас не 2003-й год, когда только-только пошёл GPRS со стоимостью в семь рублей за мегабайт. Экономить на безопасности и спичках — это не самая разумная идея.
                                                                    0
                                                                    Мне доводилось использовать «реальный фулланлим» от Йоты — не знаю, как в Твери, а в Москве и области они очень сильно ограничивают скорость с некоторых ресурсов, например, обновления репозиториев Убунту (т.е. apt-get update) шли несколько часов. Спасибо, не надо. Впрочем, в моём случае её и нет — нормально работают только Билайн и Теле2.

                                                                    Я не предлагаю экономить на безопасности, там где передаётся важная информация, HTTPS необходим. Но необходим он далеко не везде. И меня не радует перспектива брать 40Гб вместо 7 из-за того, что кто-то решил, что шифровать надо всё. Тем более, что глобальный HTTPS проблему до конца не решает, т.к. админу провайдера увести сертификат в большинстве случаев не так уж и сложно.
                                                                      0
                                                                      Хз, я в МСК приехав по работе, умудрился налюбить даже запрет тетеринга подменой TTL. Своровал за полтора часа несколько всферовских виртуалок из офиса, всё тип-топ.

                                                                      40 Гб вместо 7 Гб из-за HTTPS — гонево, уважаемый. Статика столько не весит, а кешируются у вас только статичные элементы в любом случае. И как вам ответили чуточку ниже, 99% процентов трафика всё равно гзипается на фронте.
                                                                        0
                                                                        Динамика как раз много не весит, ибо по большей части текст. А вот картиночки да бинарники — тех набирается порядочно. Обойти ограничения — да, возможно, но это лишний гимор. Про экономию трафика (по логам сквида) я написал ниже.
                                                                          0
                                                                          Всё от грамотности настройки конкретного ресурса зависит.

                                                                          Я поддерживаю с технической стороны массу знакомых, которые в своё время попросили за их ресурсами присматривать, и поголовно всех перевёл на https. Если руки не из жопы растут, и если документацию nginx внимательно почитать — всё можно сделать хорошо и красиво, чтобы браузер нормально всё кешировал.

                                                                          Если же делать всё тяп-ляп — то да, возможно, трафика станет больше, хотя я и не верю, что в 50%. Но опять же, это проблема не https, а проблема криворукости отдельно взятых людей.

                                                                          Ну и в заключение — картиночки-то могут кешироваться, а вот стриминговый контент какой-то, та же труба, вконташа, ещё что-то такое — крррррайне сомневаюсь.
                                                                        –1
                                                                        Здравствуйте! Такая ситуация может возникать при нагрузке на сеть. Но мы постоянно занимаемся оптимизацией учитывая Ваши пожелания.
                                                                          0
                                                                          То есть, фильтр включается при достижении нагрузки на сеть определённого уровня?
                                                                          Я тогда завёл весь трафик через VPN, установленный на домашнем сервере, и скорость сразу достигла максимальной для модема, так что вряд ли проблема была в перегруженности сети.
                                                                      0
                                                                      Кэширование на маршрутизаторе? А насколько это оправдано в современном интернете?

                                                                      Что же касается сжатия: медиаконтент (картинки, видео) уже сжаты, ну а для остального контента должно быть включено gzip сжатие до наложения ssl.
                                                                        0
                                                                        В моём случае раньше была экономия раза в два, сейчас где-то полтора. По-моему, как раз из-за https. Кеширование со сжатием не связано.
                                                                          0
                                                                          Так объясните, за счёт чего экономия? Как я понимаю, у вас схема: дорогой_интернет — маршрутизатор — компьютер.

                                                                          Правильно ли я понимаю, что вы просто переопределяете настройки кэширования любых бинарных объектов (картинки, шрифты) таким образом, чтобы они кэшировались всегда?

                                                                          Не знаю, как сейчас, но раньше эта проблема решалась гораздо проще, например, использованием браузера Opera с агрессивным кэшированием. Настолько агрессивным, что для корректного отображения картинок иногда приходилось обновлять страницу через Ctrl+F5.

                                                                          Что же касается экономии трафика, то оптимальнее его минимизировать блокировщиками рекламы и скриптов.
                                                                            +1
                                                                            Четыре компьютера, не считая самого маршрутизатора, которым работает нетбук + четыре телефона. Блокировщики рекламы в наличии. На одном компьютере, естественно, прокси ничего не даст.
                                                                  +3
                                                                  А делать что-то на http, а что-то на https — бред.

                                                                  Почему? Http, по крайней мере, всякими Opera Turbo ужимается.
                                                                    +1
                                                                    А время жизни батарейки смартфона (притом не самой последней модели) как-то замеряли?

                                                                    Что касается сниферинга и передачи паролей по открытой линии связи… Пароли могут и не передаваться (скажем, вебмастер запилил проверку логина через хеш на стороне клиента), но тема понятная, некрасиво оно. Пометка сайтов, как они сделают в январе, логична (только надо метить не по протоколу страницы с формой, а по протоколу адреса, на которую отправляется форма). А вот всех погнали на https — это уже перебор.

                                                                    Кстати, вырезать их рекламу хочется еще и потому, что содержимое отдельных объявлений — «за гранью».
                                                                      +3
                                                                      Кажется, нужно провести небольшой ликбез.

                                                                      А время жизни батарейки смартфона (притом не самой последней модели) как-то замеряли?

                                                                      Затраты на шифрование ничтожно малы по сравнению с потреблением процессорного времени на отображение страницы.

                                                                      Пароли могут и не передаваться (скажем, вебмастер запилил проверку логина через хеш на стороне клиента), но тема понятная, некрасиво оно.

                                                                      Это спасёт от подсматривания оригинального пароля, но нисколько не поможет от подмены страниц и перехвата соединения (mitm).

                                                                      только надо метить не по протоколу страницы с формой, а по протоколу адреса, на которую отправляется форма

                                                                      Если страница с формой получена по HTTP, то ей заведомо нельзя доверять, потому что она может быть подправлена.
                                                                        +3
                                                                        Так может не надо спасать тех, кто спасения не просит? Я понимаю, что это работа для Супермена, а тот не спрашивал, кого спасти, но все же.

                                                                        Статический сайт можно, конечно, модифицировать «по пути». Но, положа руку на сердце, столько лет статические сайты работали и жили отлично, что случилось-то?

                                                                        А что телефон садится быстрее, так это я глазами видел и замерял. Не в пару раз, но на заметные проценты батарея высаживается. Ну и при плохом интернете не-TLS как-то более вероятно, что долетит (и отобразится у клиента) быстрее.
                                                                      0
                                                                      Если в библиотеке или энциклопедии есть личный кабинет или какие-то другие формы с личной информацией, то они должны быть за https.


                                                                      А если сайт полностью статический? Разрешите ему быть на http, или обязательно https?
                                                                        +3
                                                                        Разрешаю. Но только потом на жалуйтесь, что поверх этого сайта открываются баннеры.

                                                                        Вспомните, сколько было скандалов с мобильными операторами, вставляющими свой код на страницы. Ну или WiFi в метро с принудительной рекламой.
                                                                      +5
                                                                      Надо помочь Microsoft избавиться от XP — вывесили плашку «Больше обновляться не будет», надо помочь Microsoft продать десятку — обрубили выпуск драйверов для Gen7 под 7/8, надо избавиться от фильтрования/модификации рекламы провайдерами — навязывают https/http/2+ssl only.

                                                                      Это уже даже не наглость, а беспринципность пополам с лицемерием — прикрываясь заботой, в добровольно-принудительном порядке навязывать пользователям, что им делать, ради личной выгоды.
                                                                        +1
                                                                        HTTP ещё опаснее чем может показаться. Проблема не только в сохранности данных: посредник может изменять страницу, и включать в неё эксплойты, т.о. каждая открытая по HTTP страница — это риск заразить свой ПК чем угодно. Если везде HTTPS, то заражения через браузер можно избежать просто не посещая всякие подозрительные сайты.
                                                                        А посредником стать несложно — любой wi-fi может потенциально быть вайфаем злоумышленника. (И даже ваш!).
                                                                          0
                                                                          Потом гугл просто сайты на http 1.1 понизит в поисковой выдаче.
                                                                            +1
                                                                            Они уже отдают предпочтение сайтам через https.
                                                                          0
                                                                          Ваша голосовалка не полна.

                                                                          «Да, я не люблю когда мой трафик может поправить кто угодно». И вставить, например, javascript для майнинга биткойнов или рекламные кнопки, как это делает билайн.
                                                                            0
                                                                            Знаете, добавлю такой вариант. Почему-то сразу в голову не пришло, да.
                                                                            0
                                                                            И какой смысл после этого от «пакета Яровой»? Зачем хранить трафик который зашифрован?
                                                                              +1
                                                                              Этот пакет сразу выглядел скорее заградительным (сделаем интернет дорогим и недоступным), чем нужным для сбора информации (ее тупо обработать не получится ведь).
                                                                              0
                                                                              Почему сертификаты нельзя продлить?
                                                                              Почему нельзя подписывать сайты своими же сертификатами OpenSSL (чтобы каждый браузер не писал что это не безопасно)?
                                                                              Почему Goolge их сам не выдает каждому добавившему сайт в Search Console?
                                                                                0
                                                                                Если кто угодно сможет выпускать доверенные сертификаты, то MitM-атака снова становится актуальной* — ваш трафик аккуратно заворачивается куда нужно и прозрачно проксируется так, что вы об этом не узнаете.

                                                                                * Не считая пиннинга, который сам по себе достаточно проблемная вещь.
                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                  0
                                                                                  Организации хотят больше зарабатывать на постоянных продажах сертификатов. Судя по тому, сколько в мире сайтов, кусок не просто лакомый, а просто гиперлакомый. Всем точно https не нужен.
                                                                                    –1
                                                                                    Позиция Google ясна, хорошо что заранее предупредили о сроках и дали время заинтересованным лицам перейти на HTTPS.

                                                                                    К слову, StartSSL начал выдавать до 10 бесплатных доменов (буквально на прошлой неделе выдавал не более пяти) от 1 до 3 лет — прекрасный шанс наконец-то подключить SSL. Бесплатно.

                                                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                    Самое читаемое