- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сертификаты есть разные, 10 долларовые и очень дорогие.
Нужен ли ИМ сертификат, какой? Админку можно итак прикрыть, платежных агрегаторов свой сертификат, получается, что сертификат не особо то и нужен.
правильно поставленный вопрос содержит в себе большую часть ответа :)
Нужен ли ИМ сертификат, какой?
Нужен, если:
*) Есть личный кабинет (или аналог). Впрочем, тут помимо сертификата требуется еще много чего
*) Информация на сайте может потенциально компрометировать посетителя (лекарства, секс-шопы и т.д.)
С технической точки зрения сертификат за 10$ не отличается от своих EV аналогов (но оба требуют правильной настройки иначе в них нет смысла). С т.з. доверия пользователя могут быть варианты.
Нужен ли ИМ сертификат, какой?
Нафик не надо. Тем более самоподписанные.
*) Есть личный кабинет (или аналог).
Зачем? Там что, какие-то супер секретные данные передаются? Или по адресу заказа можно CVV узнать? :)
*) Информация на сайте может потенциально компрометировать посетителя (лекарства, секс-шопы и т.д.)
Воще не понял Причем тут SSL?
---------- Добавлено 11.02.2014 в 13:48 ----------
С т.з. доверия пользователя могут быть варианты.
Ага. Логинишься, а тебе браузер в морду: к сертификату нет доверия, потому что самоподписанный\просроченный\не совпадает домен\выдан не понятно кем\и тд :)
Как достали эти "безопасности" у недохостеров.
Нафик не надо. Тем более самоподписанные.
Про самоподписанные речи в исходном посте не было.
Зачем? Там что, какие-то супер секретные данные передаются? :)
Да, на то он и личный кабинет. Если бы данные были не секретные, кабинет был бы публичным.
Воще не понял Причем тут SSL?
При том, что при MITM-атаке можно собрать такие данные, которые далеко не каждый готов светить.
Как достали эти "безопасности" у недохостеров.
Если у вас нет паранойи, это не значит, что за вами не следят.
Если у вас нет паранойи, это не значит, что за вами не следят.
Пентагон уже давно просмотрел, а вы только опомнились
Да, на то он и личный кабинет. Если бы данные были не секретные, кабинет был бы публичным.
Какие там секретные данные? Адрес доставки? Сумма покупок? :)
С такой логикой тебе всё надо по ССЛ. Тогда это к гуглопаранойе - он даже поиск на это посадил. Из-за этого мне пришлось с им проститься.
На сёрч тоже по сертификату?
при MITM-атаке
О какие страшные слова знаем.. :)
Только кому нафик надо этот гемморой, для что бы узнать адрес? Для этого есть мильён других, более простых способов. Юзер уже давно всё сам спалил в паблике :)
Если у вас нет паранойи, это не значит, что за вами не следят.
Кто бы говорил :)
А если подумать головой, то о чем говорит предупреждение о неправильном сертификате и что должен сделать юзер? Правильно, уйти нафик! Но нет! Нет у него такой возможности. Вот и приучают эти недохостеры соглашаться с потенциально опасными действиями. Таим образом приучая юзеров плевать на безопасность.
Какие там секретные данные? Адрес доставки? Сумма покупок? :)
Да, в том числе. А так же сами покупки, email, пароль и т.д. и т.п..
Тогда это к гуглопаранойе - он даже поиск на это посадил. Из-за этого мне пришлось с им проститься.
Google в этом вопросе я полностью поддерживаю и с нетерпением жду подобного же от яндекса.
На сёрч тоже по сертификату?
В современных реалиях было бы неплохо.
Юзер уже давно всё сам спалил в паблике :)
Боян. Если бы пользователь "все давно спалил в паблике", то не было бы этих горьких слез по поводу гугла. Перевод сайтов на https, внедрение (и соблюдение) privacy policy, а так же другие меры по обеспечению безопасности своих посетителей/клиентов сильно затрудняет утечку конфиденциальных данных, ценность которых растет с каждым днем.
Вот и приучают эти недохостеры соглашаться с потенциально опасными действиями. Таим образом приучая юзеров плевать на безопасность.
Не понял при чем здесь хостеры и самоподписанные сертификаты уже второе сообщение подряд. Однако, вам никто не мешает арендовать сервер, приобрести сертификат у доверенного центра выдачи сертификатов и использовать его на своем сайте - для ИМ это сущие копейки, а для клиентов может оказаться бесценным.
Если бы пользователь "все давно спалил в паблике", то не было бы этих горьких слез по поводу гугла.
Блин, ты вообще соотносишь одно с другим? Я говорил, что нафик не надо ССЛ на поиске!
Что такое кеш (разного уровня), история в браузере и тп - не в курсе? Советую изучить.
В современных реалиях было бы неплохо
И кто тебе мешает наслаждаться паранойей?
Перевод сайтов на https, внедрение (и соблюдение) privacy policy, а так же другие меры по обеспечению безопасности своих посетителей/клиентов сильно затрудняет утечку конфиденциальных данных, ценность которых растет с каждым днем.
Бла-бла-бла.. Кроме гемороя юзерам это ничего не даёт в 99% случаев.
Вся инфа уже давно добровольно сдана или выложена недовольными в соц сетях, на форумах и тп. Не говоря уже за "утечки" с разных регистраторов, хостеров и даже банков.
Научись пользоваться поиском - будешь удивлен.
Пища раз, пища два. Осиль до конца.
Не понял при чем здесь хостеры и самоподписанные сертификаты уже второе сообщение подряд
В том-то и печаль..
Однако, вам никто не мешает арендовать сервер,
Нам-то может и не мешает, только вот клиентам, которым я делаю сайты это нафик не надо. Как не надо и ещё 100500 пользователей хостеров.
Ты что, не понимаешь о чем я толкую? На бис: О приучении юзеров плевать на безопасность. Что есть сертификат, что его нет - по большому счёту становится пофик. Все равно он примет и фишинговый, потому как уже приучен его не проверять - он тупо давит "принять". Не андестент в чем есть глобальная проблема?
АПД. Да, а второй бок этой проблемы - это малограмотные покупатели этих сертификатов (те же недохорстеры, например). Слышали краем уха, что де это круто, безопасность и тп.. А понять что и как оно на самом деле - уже мозга не хватает.
Если для хостера это ни на что не влияет (ну кроме доверия в глазах специалистов), то для магазина - это потеря покупателей. Как-то так.
для магазина - это потеря покупателей
по большому счету именно так...
Блин, ты вообще соотносишь одно с другим? Я говорил, что нафик не надо ССЛ на поиске!
Нужен как раз в первую очередь, т.к. поисковые запросы определяют круг интересов человека, которым он может не хотеть делиться, а поиском человек пользуется достаточно часто.
Что такое кеш (разного уровня), история в браузере и тп - не в курсе? Советую изучить.
Как связаны кэш/история браузера с SSL?
И кто тебе мешает наслаждаться паранойей?
Наверное, мешает то, что оно не работает так, как должно, ибо неверно приготовлено.
Бла-бла-бла.. Кроме гемороя юзерам это ничего не даёт в 99% случаев.
Вся инфа уже давно добровольно сдана или выложена недовольными в соц сетях, на форумах и тп. Не говоря уже за "утечки" с разных регистраторов, хостеров и даже банков.
Далеко не вся и далеко не всеми. Плюс связывание разрозненной (часто сильно устаревшей) информации тоже может представлять собой нетривиальную задачу. Впрочем, это к SSL никак не относится и является отдельной темой для обсуждения (ссылки, не относящиеся к теме так же поскипаны).
Ты что, не понимаешь о чем я толкую? На бис: О приучении юзеров плевать на безопасность. Что есть сертификат, что его нет - по большому счёту становится пофик. Все равно он примет и фишинговый, потому как уже приучен его не проверять - он тупо давит "принять". Не андестент в чем есть глобальная проблема?
Это называется подменой темы обсуждения.
То, что большинство пользователей принимает невалидные сертификаты - это глупость самих пользователей и мы не можем на нее влиять (премию Дарвина никто не отменял и с тем же успехом они могут совать пальцы в розетку или прыгать с многоэтажек). Можно, конечно, заниматься миссионерством и просвещением, но это занятие, как мне кажется, неблагодарное - пусть учатся сами.
Однако, есть пользователи не глупые или уже наученные опытом. Наличие SSL и предупреждения о невалидном сертификате поможет им обезопасить себя.
Настройка SSL зависит от владельца сайта и находится под его контролем. Принятие или нет невалидного сертификата зависит от пользователя и находится под его контролем. MITM не контролируется ни владельцем сайта ни пользователем и именно от этого (и только от этого!) и защищает SSL - не надо пытаться перекладывать на него к-л другие функции/задачи.
Возвращаясь к исходным вопросам:
Нужен ли ИМ сертификат?. Да, если владелец сайта заботится о своих пользователях, проводит дополнительные мероприятия по обеспечению безопасности (безопасность - это не состояние системы, а процесс) и достаточно квалифицирован для этого.
Какой <сертификат>?. С технической точки зрения разницы нет - комплекты шифров и прочие тонкости зависят от настроек сервера и клиента, а не от сертификата. Однако более дорогие EV сертификаты могут визуально выделяться браузерами ("зеленая полоска") и могут вызывать большее доверие у пользователей.
На этом, думаю, тема исчерпана.