- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Маркетинг для шоколадной фабрики. На 34% выше средний чек
Через устранение узких мест
Оксана Мамчуева
что мешает получить сертификат на сайт с +1 буквой другой? - ничего
это уже будет другой сайт. получить сертификат на чужой домен невозможно, чтоб потом делать митм атаку с валидным сертификатом.
ближайшее будущее будет таким: браузеры запретят вообще http, останется только https протокол, без него ничего не будет работать. и не надо разбираться, пароли там или блог домохозяйки или фотки ее киски.
это уже будет другой сайт. получить сертификат на чужой домен невозможно, чтоб потом делать митм атаку с валидным сертификатом.
ближайшее будущее будет таким: браузеры запретят вообще http, останется только https протокол, без него ничего не будет работать. и не надо разбираться, пароли там или блог домохозяйки или фотки ее киски.
Эм, согласен, но я о просто шифровании передаваемых данных писал. Для этого не нужны глобальные центры сертификации, достаточно самоподписанного сертификата. От фишинга центры тоже не спасут, поскольку тайпин трафик никто не отменял, подставные ссылки и рекламу по группам и всяким авито - тем более. Сколько народу ведется именно на фишинг с левым доменом, схожим на официал. Центры сертификации наоборот, дезориентируют пользователя, ведь в браузере же показывают "ЗАЩИЩЕННЫЙ". А то, что это вообще сайт не принадлежащий официалу - они и не догадываются. https в данном контексте я рассматриваю лишь как возможность относительно безопасно вводить логины-пароли, будучи подключенным через публичные сети.
А вот в плане защиты от митм и идентификации сайта - тут сам сайт должен иметь определенную степень защиты и самоидентификации. Например, у меня в банкинге при входе показывают уникальную, выбранную мной картинку. Если в процессе авторизации вдруг картинки нет или она будет не моя - все, я не там и дальше просто не авторизуюсь. Это и есть правильная защита: нормальный уровень защиты на сайте + шифрование. И ни для того, ни для другого не нужны центры сертификации, которых расплодилось полным полно и они сами, порой, не вызывают доверия.
Так что, как по мне, более универсальным и правильным было бы оставить самоподписанные сертификаты исключительно как средство шифрования от простейшего снифа, а также на тех сайтах, где важно, чтобы не было подставы - ввести возможность однозначно определять там ты или нет.
Центры сертификации наоборот, дезориентируют пользователя, ведь в браузере же показывают "ЗАЩИЩЕННЫЙ".
Изменить POST - это сильно. На что не меняй, он так и останется открытым для снифа
Я точно говорил "изменить post"? Или может всё-таки об изменении механизма передачи post-запросов? Или для тебя это одно и тоже?
Но вот централизация - совершенно лишняя
Категорически согласен.
У меня есть сайт в закладках, вот в нем так и реализовано: весь сайт http, принудительно, а страница https с передачей логина - принудительно https.
Вот это одно из правильных реализаций!
https в данном контексте я рассматриваю лишь как возможность относительно безопасно вводить логины-пароли, будучи подключенным через публичные сети.
Передавать, батенька, передавать. Такие ляпы в серьёзных обсуждениях недопустимы ящетаю.
Я бы на месте браузеров "ЗАЩИЩЕННЫЙ" вообще не показывал, а вот когда "НЕ ЗАЩИЩЕННЫЙ", то информировал.
Я точно говорил "изменить post"? Или может всё-таки об изменении механизма передачи post-запросов? Или для тебя это одно и тоже?
Передавать, батенька, передавать. Такие ляпы в серьёзных обсуждениях недопустимы ящетаю.
Это-то серьёзное обсуждение? Не смешите мои тапочки ) Прежде чем их передать, их нужно ввести. Не надоедает бессмысленное буквоедство? )
Напоминает старый анек:
— Доктор, я правильно интерпретирую семантику вопроса, но полностью игнорирую его суть.
— Не могли бы вы привести пример, пациент?
— Мог бы.
Считай, что я так сократил фразу "механизм передачи post-запросов". Сути это не меняет, поскольку об этом и речь
Меняет в корне.
Прежде чем их передать, их нужно ввести. Не надоедает бессмысленное буквоедство? )
Если для тебя "ввести" = "передать", а "механизм передачи" = "тело запроса", то пожалуй говорить не о чем. (хрен тебя знает что ты там подразумевал, а ещё страшнее что ты по факту пишешь)
Когда поймёшь, что правильная терминология наше всё - приходи, поговорим.
Вот только по факту, как ты его не меняй, пока ты его не зашифруешь - данные будут идти в открытом виде и доступны для перехвата.