Чем мешает HTTPS?

Во! Совершено верно! Хотя и не полностью, но в данном случае это особо не важно.

Теперь попробуй включить голову и сложить с тем, что я говорю - зачем всем поголовно это обязательно нужно насаждать?

---------- Добавлено 27.10.2015 в 21:04 ----------

Совершено верно.

Но это на словах просто. В реальности и существующие сайты нужно переделывать и движки не все работают с относительными ссылками. Переписывать движки? С Protocol-relative таже петрушка, но мб и ещё хуже.

Лано, тут конечно же, я сильно сгустил краски 🍾. На практике сейчас гугл на это внимания наверное не обращает - в выдаче куча сайтов с абсолютными урлами. Но сколько это будет продолжаться - вопрос. А ведь большинство из "без проблем переехавших" даже не читали требования. Хуже когда пенистые (ничего что я по латыни?) вебмастера делают клиентам и доказывают на форумах о безусловности и необходимости. С "аргументами" аля "да я за 10 мин сделал", "мне 10$ - не бабки" и тп.

Есть люди, которые готовы платить деньги за исправление ошибок HTML-валидатора. В большинстве случаев, это ошибки самого стандарта языка разметки, а не ошибки реализации на этом языке. HTML5 частично исправил эти проблемы. И появились толпы людей, которые готовы платить за HTML5, даже не понимая, что это такое.

Но с другой стороны, есть люди, которые программируя на языке PHP, используют одинарные кавычки, только потому, что содержимое в них не проверяется, и теоретически, это дает прирост производительности. На практике, где-то пару наносекунд или другими словами, пару сотен тактов. Когда же нужно вывести содержимое переменной, они используют конкатенацию. То-есть, вместо удобной формы записи "This is $var", они пишут 'This is '.$var.

А есть люди, которые используют методы исходя из потребностей. То-есть, не идеологически двойные кавычки и не oldschool одинарные кавычки, а там где не нужна конкатенация - одинарные, нужна - двойные кавычки.

Я думаю, что рассматривать HTTPS-протокол нужно со стороны протокола, а не со стороны какой-то идеологии Google. Безусловно, стратегически Google популяризирует HTTPS-протокол. Но если говорить об обычных пользователях каких-то блогов, им куда приятнее будет увидеть действительно качественный и полный материал по теме, ежели зеленый значок в адресной строке.

Идеология должна интересовать хостеров, разработчиков серверов (Apache), серверных операционных систем. Они и должны определить когда и как лучше реализовать HTTPS из коробки. И именно они, виноваты в случаях, когда перехватывают и редактируют трафик в публичных Wi-fi сетях. От разработчика сайта требуется только выбор решения, а не свои собственные костыли.

Все web-сервера и серверные OC давно поддерживают https, нормальные хостеры - тоже.

А ответственность за перехват трафика пользователей и его последствия - несёт, таки, вебмастер.

Вмешательство в трафик провайдерами и перехват трафика третьими лицами давно уже приобрёл массовый характер:

Билайн: Ещё одна причина переходить на SSL, или 133 КБ не лишние

iMarker: Российские рекламщики предложили интернет-провайдерам бесплатный DPI в обмен на слежку за пользователями

soloway.ru: - один из крупнейших поставщиков Big Data данных, имеет конечный объем распознанной аудитории составляет 44 миллиона интернет-пользователей.

Facetz.net: - DMP-платформа по сбору статистики поведения пользователей в интернете для дальнейшей продажи заинтересованным сторонам, в основном - банкам.

WiFi: Странности реализации Wi-Fi в метро Москвы (читать в камментах)

И не думайте что собранные о вас интернет-данные - анонимны, они очень легко привязываются к конкретной персоне, вы даже это не почувствуете.

Когда вы приходите в страховую компанию, банк - они уже знают про вас всё: интересы и предпочтения, чем болели, с кем и пили, какую квартиру и когда купили. Это проверено на себе лично, потом сотрудник банка в приватной беседе подтвердил, что они покупают данные.

Я имел в виду HTTPS по-умолчанию "из коробки".

Для вас это важно. Логично, что вы должны тратить время, чтобы обезопасить себя. Пускай даже, отказываясь от использования HTTP-сайтов или публичных Wi-fi.

Но перехват трафика это не единственный способ слежки. Много вебмастеров добровольно размещают JS-скрипты, от которых такими примитивными способами, как отказ от HTTP, не защитится. Например, на большинстве крупных украинских сайтов установлен geniusnet.pl, на большинстве русских - LI.

Что вебмастера должны сделать еще, чтобы вас защитить? Разработать свои аналитические системы с самоуничтожаемыми базами?

Господин Милонов предлагает запретить iOS 8.4 и выше из-за смайла emoji на котором изображена гей-пара.

По каким законам? Вы сами подключаетесь к публичной условно-бесплатной Wi-fi сети. Может завтра начнут распространять ПО такое как браузер Амиго, которое будет собирать и продавать полученную информацию. А может это уже делает Яндекс браузер? В этом тоже будет виноват вебмастер? Или все-таки пользователь, который установил этот браузер/подключился к публичной Wi-fi сети?

Так или иначе, но без содействия со стороны разработчиков браузеров, уязвимые HTTP сайты будут всегда. И пускай даже 80% вебмастеров поддержит инициативу и настроит HTTPS, проблема все-равно останется актуальной. Ведь чтобы слить персональные данные достаточно и одного корявого сайта.

В корне решить эту проблему могут только влиятельные люди, а не обычные вебмастера. Например, Google достаточно перестать индексировать сайты по HTTP, отключить поддержку HTTP ниже 2 версии в Chrome. Это только один из сценариев. И судя по новостям, Google ему следует. Но он гарантирует на 100%, что открывая сайты в Google через браузер Chrome, описанная уязвимость вас не коснется.

Такие данные невозможно получить с перехвата трафика сайтов, на которые пользователь не передает информацию. То-есть, блоги без комментирования либо с подключенным комментированием через HTTPS (Disqus, Facebook, VK). А речь шла именно об острой надобности шифровать все и вся.

А о надобности шифровать интернет-магазины, интернет-банки никто и не спорил.

:рукалицо:

А еще они едят детей... (с)

Никакого смысла в этом протоколе нет в случае, если пользователю нечего вводить на этом сайте... Да, представьте, есть сайты не на wp/joomla/drupal и прочих комбайнах... Есть html сайты, есть сайты информационные, без личных кабинетов, где юзер не вводит ни мыло, ни пароль...

Но в обратном случае вебмастеру бы следовало использовать https, да и то не везде...

Главное не быть адептом церкви отключенного мозга, а думать что и для чего. А то, глядишь, в сортир без бронежилета не сходишь...

Логика а-ля "зачем ставить замок на дверь - всё-равно крадут из сумочек и с банковских карт".

И не смешиваете всё в одну кучу:

- https защищает меня от чего я сама защитится не могу (атаки MitM).

- от LI.ru и geniusnet.pl, tns-counter и прочей ерунды я элементарно защищаюсь сама - 127.0.0.1 в hosts.

Это вам только кажется, посмотрите что делает imarker с отзеркалированным трафиком. Вот хабрахабровцы даже собрали статистику этого.

PS: Вы кроме серча что-нибудь читали по обсуждаемому предмету?

Ага, всё таки блондинка, а не блондин. Это многое объясняет.

Но такая борода выглядывает...

Я в 10й раз непрозрачо "намекаю" про прокси. И в который раз даю ключи да гугления - вебпрокси, анонимайзеры.

+150! Да даже если и вводить.

Юзеры сами добровольно столько о себе рассказывают, что перехват и анализ трафа, какой бы дешевый он не был, обойдётся и дороже и будет не такой полный (ибо временной промежуток для снифа и упущенное время) как собрать инфу из паблика.

Немногоие места, где https реально оправдан - это биллинги и почта.

Даже лички шопов не обязательно иметь на https - там как правило нет ничего кроме ФИО и адресов-телефонов. Т.е. инфа о юзере, вполне доступная из паблика. Но все же тут лучше перебдеть и использовать https.

Что же до хозяина такого шопа - ему вообще должно быть по барабану. Куда как существенней невозможность продаж из-за https (выше я несколько раз говорил про недоставку контента и тормоза). Но всеобщее заболевание поглощает и владельцев ИМ до того, что и на фронте они его юзают :(

По теме топика-то есть, что сказать, Горе-Эдитор?

Неужели из 7-ми страниц ничего в блондинистой голове не задержалось? Это печально. Я считал тебя умнее.

Детский лепет про "забыли продлить сертификат", "взбесился хостер" и что "у тебя лично скрипт Я.Метрики подвешивает браузер и в этом тоже виноват https"?