Переход на HTTPS, свежие мнения 2016?

N
На сайте с 08.10.2011
Offline
188
#1031

Вам не кажется смешным, что это "чудо юдо" при наличии дыры в движке некоим образом не спасёт. Ох да, вера она такая...

mendel
На сайте с 06.03.2008
Offline
183
#1032
SeVlad:
Это в головах неучей так происходит.
SeVlad:
Когда я смотрел - мне показалось там можно увидеть не просто домен, а полный урл.

Это главное что можно вынести из этой ссылки. Тебе показалось. Всё.

Ну а то что возможность узнать домен запроса понятно тем кто знает как оно работает, ведь у каждого свой сертификат, а не общий на IP. Да и если бы сложно было - можно много чего по DNS предсказать.

SeVlad:
Сколько не объясняй упоротым про безопасность и экономию трафа - не доходит.

Что да, то да. Упоротые они такие)

митм-сертификат на корпоративных устройствах решает проблему на корню.

Вот с этого вот поржал в голос:

А вообще у меня давно вертится мысля сделать для себя какую-нить веб-проксю, просто для преобразования протокола. Что бы по десктопе получать по http. Правда, это пока только идеи.
Но если кто знает готовые решения - было бы интересно посмотреть.

Как технически, так и идеологически)

Да, для упоротых. Цитата по ссылке по митмпрокси.

Ну так, чтобы было меньше фантазий.


Mitmproxy можно использовать и для перехвата защищенного HTTPS-трафика. При запуске mitmproxy или mitmdump в директории ~/.mitmproxy создается набор файлов CA, на основе которых генерируются подменные сертификаты. Естественно, что браузер будет эти сертификаты определять как подозрительные, выдавая при каждой попытке установить SSL-соединение с помощью mitmproxy соответствующее предупреждение.

Чтобы этого предупреждения не было, можно добавить сертификат от mitmproxy в список сертификатов, используемых браузером (с подробными инструкциями можно ознакомиться здесь).
При выполнении этих двух условий клиент делает вывод о том, что устанавливаемое соединение является безопасным.
Шутку любишь над Фомой, так люби и над собой. (с) народ. Бесплатные списки читабельных(!) свободных доменов (http://burzhu.net/showthread.php?t=2976) (5L.com) Сайты, All inclusive. 5* (/ru/forum/962215)
Adrian2012
На сайте с 29.11.2012
Offline
127
#1033

потерпотерпотерпотерпотер

mendel
На сайте с 06.03.2008
Offline
183
#1034
noiws:
Вам не кажется смешным, что это "чудо юдо" при наличии дыры в движке некоим образом не спасёт. Ох да, вера она такая...

Если врезаться в бетонную стену на скорости 160км/ч, то никакой ремень не спасет, но вера она такая вера, что верующие не слышат аргументов, и пристегиваются.

J5
На сайте с 17.04.2012
Offline
81
#1035

Все чаще замечаю, как конкуренты переходят на HTTPS, да и в выдаче таких сайтов прибавилось по многим тематикам, причем я говорю о некоммерческих тематиках.

Бурж download/signup конверчу здесь (https://ad-center.com/signup/register?referral_link=f499f272ffac8287d8b18da0caeee2ca) - до 60$ за лид. Хостинг (https://cp.inferno.name/aff.php?aff=2497) с топ железом и ценами(промокод jaro57 для скидки 25% на SSD VPS) Белые РУ инсталлы (http://ubar.biz/ref/873) без банов хрома/яндекса.
N
На сайте с 08.10.2011
Offline
188
#1036
mendel:
не слышат аргументов

Если они еще были, а то так вода 😂

mendel
На сайте с 06.03.2008
Offline
183
#1037
noiws:
Если они еще были, а то так вода

Так пользу воды еще Даннинг с Крюгером доказали. Вода - колыбель жизни и разума)

SeVlad
На сайте с 03.11.2008
Offline
1527
#1038
mendel:
Это главное что можно вынести из этой ссылки. Тебе показалось. Всё.

- Мальчик, не лезь в эти дырочки - там электричество и может убить.

Что такое электричество мальчик не знает, а слово "убить" для него также далеко как космос. Всё, что он услышал - это слово "дырочки"

- Ха! Я столько в песочнице дырочек делал - в них так забавно жучки падали...

mendel, безопасность - это не твоё. Ты даже 20% не видишь и не понимаешь. Верь, верь дальше тем кто тебя разводит.

А, да. В который раз приходится разжевать ограниченным очевидные вещи. :( .

"Мне кажется" = "я до конца не уверен". А уверенность может придать либо однозначность в мануалах либо практика. Если я только читал описание, но не юзал на практике софтину - я и говорю "мне кажется". Андестент? Повторю ещё раз: я никогда не заявляю того, в чем не уверен. А если что-то предполагаю - сообщаю об этом.

И это было не вчера, если ты не догоняешь с первого раза.

Всё, пЕсатель, у меня опять закончился бисер, я умолкаю.

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
mendel
На сайте с 06.03.2008
Offline
183
#1039
SeVlad:
- Мальчик, не лезь в эти дырочки - там электричество и может убить.
Что такое электричество мальчик не знает, а слово "убить" для него также далеко как космос. Всё, что он услышал - это слово "дырочки"
- Ха! Я столько в песочнице дырочек делал - в них так забавно жучки падали...

Именно что про тебя)))

SeVlad:
mendel, безопасность - это не твоё.

Вообще не мое.

SeVlad:
Ты даже 20% не видишь и не понимаешь.

Меньше 20% понимаю.

На системном уровне понимаю, но глубоко в формулах заметно путаюсь.

Ну и там где нужно просто знать у меня тоже проблемы. Без гуглежа не вспомню надо ли мне убегать от SNI и брать выделенный IP чтобы получить А+ и т.п.

По этой причине когда нужна безопасность я таки зову спецов.

Или забиваю.

Например я знаю зачем в пхп появилась password_verify, но мне лень разбираться почему у меня с первого раза она не взлетела. Поэтому тупо сравниваю хеши, и не морочу себе голову. Не будет меня никто таким образом взламывать).

Собственно это основная причина почему я некомпетентен в безопасности - я ленив.

SeVlad:
Верь, верь дальше тем кто тебя разводит.

Вся соль в том, что верить тут нечему.

Вернее есть чему. Протокол на низком уровне я детально не разбирал.

Форматы файлов ключей, заголовки - с этим пару раз пересекался. Но не очень глубоко, так что многое там беру на веру, да. Но это вообще не имеет отношения к твоим фантазиям. Вообще.

Даже инкрементальный sha-1 (который уже частично того) и ключи на 128 бит - дадут много больше безопасности чем без них, ибо вычислительные мощности не бесконечны.

Весь смех в том, что ты везде кричишь о вере, при этом все твои аргументы сводятся к тому что "я верю что что-то придумают".

Привел. Одну ссылку. По которой ИЩУТ волшебную пулю, но не находят.

В которой есть только твои слова что тебе КАЖЕТСЯ, и одна ссылка на продукт в котором прямо сказано что волшебных пуль не существует.

Скепсиз со стороны тех кого эта ссылка не убедила в возможности существования такой пули для тебя признак веры.

Печалька, да.

A
На сайте с 08.08.2007
Offline
119
#1040

Почти всю ветку осилил, но не нашел точных ответов на несколько вопросов.

Помогите, пожалуйста, разобраться. Буду признателен.

У нас старый сайт СМИ с более чем 300 000 страниц в индексе.

1. Редирект. Рекомендации Яндекса, дождаться склейки. Хотя многие делают это сразу. Но у нас очень много страниц. Какие мнения по этому поводу?

2. Канонические урлы. На основном сайте меняем канонические урлы с http на https, показывая, что главные страницы теперь находятся на https.

Эту часть после склейки в Яндексе делаем?

3. Роботс.

Как я понимаю на http он должен остаться таким

User-agent: *

Host: http://www.сайт.ru

Sitemap: http://www.сайт.ru/sitemap.xml

а на https делаем так

User-agent: *

Host: https://www.сайт.ru

Sitemap: https://www.сайт.ru/sitemap.xml

со всеми другими этапами работ пока все понятно

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий