- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Ты тоже не понимаешь, что вся эта затея с повальной https-зацией от заботы не о юзерах, а о своих карманах? Что юзера он ни отчего не защищает, а как раз наоборот (с текущей политикой выдачи сертов).
https + в браузере отсутствие левых удостоверяющих центров (бекдоров) как было в казахстане - и для среднестатистического жителя планеты гарантия что данные передаваемые между ним и сервером не перехватит путин.
https + в браузере отсутствие левых удостоверяющих центров (бекдоров) как было в казахстане - и для среднестатистического жителя планеты гарантия что данные передаваемые между ним и сервером не перехватит путин.
зря вы это ему написали, сейчас последует очередной бред с опровержением
https + в браузере отсутствие левых удостоверяющих центров (бекдоров) как было в казахстане - и для среднестатистического жителя планеты гарантия что данные передаваемые между ним и сервером не перехватит путин.
Секта свидетелей https детектед :)
100 раз уже про этого говорилось. Ок, ещё раз вкратце.
1. На то, что "перехватит путин" не пофик 0,001% среднестатистических жителей планеты. И у них для этого есть все средства. А вот невозможность контролировать СВОЙ трафик (включая корпоративный) - это уже больно всем, кроме неграмотных хомячков.
Есть ещё немалая часть юзеров, которая хочет экономить траф и даже лишний раз не светится (ага, "скрыться от путина"), а при https с этим уже проблемнее ибо кеширование. Понимаешь о чём я или растолковать?
А ты понимаешь, что по https подсунуть юзеру заразу намного проще чем по http?
2. Провайдер обяжет поставить "левый" серт - среднестатистический житель планеты его поставит не задумываясь. И 99% не будут иметь даже понятия о том что он левый. Почитай про mitmpoxy что ли.
А вот ты можешь ответить на вопрос - зачем https кулинарному бложику (только про рекламу ОПСОСов не надо пож)? Вот зачем это бложику и читающему его юзеру?
а http я помню в "детстве" когда https на большинстве сайтов было редкостью, игрался в хакера и примитивным софтом снифал траф в локалке соседей, ловил траф со спутникового интернета и это легко было даже на уровне школьника потырить все пароли и все остальное. на уровне провайдера вообще жесть смотри что хочешь.
Это как бэ так (и ок, опустим незаконность :) ), но тут проблема не http как таковом, а в несовершенстве передачи post-запросов. Об этом тоже не раз говорилось - надо менять этот механизм. И уже были проекты, но гугл их зарубил насаждением глобальной https-зации.
А вот невозможность контролировать СВОЙ трафик (включая корпоративный) - это уже больно всем, кроме неграмотных хомячков.
что значит контролировать? софт передающий данные контролирует, что данные пришли с легитимного для него сертификата.
Провайдер обяжет поставить "левый" серт - среднестатистический житель планеты его поставит не задумываясь.
это проблема тупого юзера, я не поставлю, и у меня будет все норм, никто не прочитает, я буду уверен что никакого митм не случилось.
только про рекламу ОПСОСов не надо пож
люди ходят не только на кулинарные, но и на политические, подделать можно будет признание автора блога в терроризме, или картинку котиков подменить на порно картинку, заверить скриншот у нотариуса и кто-то отправится садиться на бутылку.
но тут проблема не http как таковом, а в несовершенстве передачи post-запросов.
причем тут пост, любые данные по http передаются в полностью открытом виде. украсть можно не только передаваемый при авторизации пароль но и текст переписки по емейл и прочие пароли и секретные данные передаваемые как гет контент.
Так что https это спасение мира от хаоса, вообще я хз как раньше интернет существовал, собственно он существовал тогда в детском виде и этот неуловимый джо был никому не нужен, кроме кшольников-хакеров по приколу. Сейчас все такие открытые данные быстро появляются в продаже в даркнете.
что значит контролировать? софт передающий данные контролирует, что данные пришли с легитимного для него сертификата
Это значит фильтровать и анализировать до попадания всякого УГ в браузер. На корп. проксе например. Никакой софт это не способен делать без подмены сертификата.
это проблема тупого юзера, я не поставлю, и у меня будет все норм, никто не прочитает, я буду уверен что никакого митм не случилось.
И ты даже поставишь. Иначе у тебя просто не будет интернета.
люди ходят не только на кулинарные, но и на политические, подделать можно будет признание автора блога в терроризме, или картинку котиков подменить на порно картинку, заверить скриншот у нотариуса и кто-то отправится садиться на бутылку.
Ты серьёзно?! Нет, ты вот правда, считаешь что что-то невозможно подделать, если кому надо? Фокси, блиииин..
Да и вообще "если надо" - оно нафик не надо будет ничего "подделывать". Найдутся куда более достоверные доказательства и эффективные методы их получения.
#Какдетималыечессслово..
причем тут пост,
При том что пароли и тп передаются в пост. (если какой-то сайт это делает в гет - бежать от него надо)
Так что https это спасение мира от хаоса, вообще я хз как раньше интернет существовал,
Сектант, такой сектант :)
Это могло бы быть действительно полезно для безопасности, если бы серты не мог приобрести любой хакер. А при текущем положении дел - это скорее дыра, нежели защита.
Сейчас все такие открытые данные быстро появляются в продаже в даркнете.
ВО!!! Прекрасно что ты это знаешь. Теперь осталось сложить 2+2: https этому как-то помешал?
А на вопросы прошлого поста чего не ответил?
Вот сколько лет я задаю эти вопросы и никто из сектантов не может ответить.
https этому как-то помешал?
помешал. вот представь если бы вконтакт работал без https, почта, на которую шлются пароли от всех сайтов, госуслуг и интернет банкингов были без http, весь этот контент лежал бы в паблике.
Ну и сам инет банкинг, в момент отправки просто заменяем номер счета и деньги уходят не туда )))
помешал
Вот это номер!!
Сначала говорит что продаются, а потом что помешал.. Ты бы того.. с логикой как-то подружился.
Я боюсь да же напоминать что даже твитетры, мородокнижки и прочие апплы - они никогда не были на http, но пароли и др данные по сети гуляют. Https помешал их уводу?
вот представь если бы вконтакт работал без https, почта, на которую шлются пароли от всех сайтов, госуслуг и интернет банкингов были без http, весь этот контент лежал бы в паблике.
Ну и сам инет банкинг, в момент отправки просто заменяем номер счета и деньги уходят не туда )))
.Вот тут не надо путь божий дар с яичницей. Надо читать и пробовать думать над прочитанным. А если не понятно - можно переспросить. Я всегда стараюсь ответить на заданные мне вопросы.
Повторю:
тут проблема не http как таковом, а в несовершенстве передачи post-запросов. Об этом тоже не раз говорилось - надо менять этотмеханизм.
Это могло бы быть действительно полезно для безопасности, если бы серты не мог приобрести любой хакер. А при текущем положении дел - это скорее дыра, нежели защита.
Так как насчёт ответов на мои вопросы?
SeVlad, жжошь напалмом 😂
Изменить POST - это сильно. На что не меняй, он так и останется открытым для снифа, ибо трафик будет идти без шифрования. Шифрование - это самый лучший метод защиты данных от открытой передачи, ибо все эти пароли-явки и даже ваш аккаунт от сёрчика в мгновение ока может уйти на сторону. Если кто-то дальше чтения новостей никуда не ходит, это не значит, что остальные не дорожат коммерческой тайной по работе.
Другой вопрос, что шифрование правильно делать на уровне хост-юзер, как в свое время, не знаю как сейчас, это делалось для переписки в мирке или qip. Создавалось персональное gpg-шифрование на основе открытого ключа и всё, все проблемы были решены. Так и сейчас, по логике, каждый сайт-сервер, должен иметь свой персональный сертификат. Подключился, получил сертификат, установил шифрованное соединение - открылась сессия. Вернулся к работе - у тебя уже есть шифрованный поток.
И это так и есть уже, на любом сервере можно создать свой, самоподписанный сертификат. Пришел юзер, убедился, что он там где надо, принял сертификат. Все, его сессия защищена от локального изменения и простого просмотра. Вот только попробуй хомячкам донеси мысль, что у каждого сайта свой сертификат и это норма..
Смысл центральных сертификатов лишь в том, что они подтверждают, условно, что этот сертификат выдан непосредственно этому сайту, некоторым образом исключая фишинг. Хотя, что мешает получить сертификат на сайт с +1 буквой другой? - ничего. Тот же летскрипт вообще не проверяет ничего подобного, выдаст хоть клону сбера, хоть поддельному сайту президента.
По итогу, шифрование - нужно и то, что его внедряют - это хорошо. Это определенная безопасность на базовом уровне. Но вот централизация - совершенно лишняя, сайт должен работать как по https для тех, кому это нужно и кто понимает для чего это, со своим персональным сертификатом, а так же по http, для открытых миру людей. Не хотят они трусы надевать, ну и незачем их заставлять. У меня есть сайт в закладках, вот в нем так и реализовано: весь сайт http, принудительно, а страница https с передачей логина - принудительно https. Сделать там еще собственный сертификат - и они будут идеальны.