Поиск

Добавьте: *. https://*. - во все директивы, кроме default-src и connect-src: *. https://*. в директиву script-src. PS: По кнопкам соцсетей - ничего не скажу, ибо не знаю чьи кнопки у вас стоят - Яндекс.share, share42, Pluso share, Reddit share, Stumble Upon share, Addthis buttons или что-то самопальное.

Товарищи, помогите допилить CSP для сайта! На сайте Адсенс, счетчик ЛИ, поиск гугла и кнопки соцсетей. По результатам чтения советов в этой теме был составлен такой код для допуска своих и сторонних скриптов: Как правильно прописать в CSP скрипт для работы гугло-поиска: нужно оставить *. https://*. или достаточно будет ?

Пруфы на что тебя интересуют? На то, что инфы о юзере масса в паблике и нет смысла заморачиваться на сниф трафа? На то, что https - это тормоза и проблемы в доставке инфы? То, что в том же SSL постоянно находят дыры (SSL3 - это вообще. И ничему не учит:() и безопасность этого. ммм. не такая уж безопасность как её пиарят. То, что затея с поголовным переходом на https - ради денег и 'забота ' о юзере тут никаким боком. Чего ты не знаешь? Это совсем другая история:)

Приветствую, коллеги! В индексе лежат 2 сайта - основной домен, и его поддомен. В целях экономии средств было приобретено 2 сертификата, а не один wildcard. Сертификаты установлены и работают успешно. Я перегенерировал sitemap на обоих сайтах с урлами по httpS и успешно скормил обоим. В поменял URL sitemap на httpS. С http на httpS стоит редирект. Вопрос, нужно ли мне что то менять в настройках инструментов вебмастера и у гугла и у яндекса?. или этих действий вполне достаточно?. Заранее спасибо за ответы!

Вы ошибаетесь, я уже выше писал. Если без цикла вручную прописать. $link='https://'.$subdomain.'.;limit_offset=500'; то $count_leads выведет 0.

Какой каптчи? Какой парсинг? https это просто шифруемый протокол, но не более того.

Позволит ли переход на https решить проблему ввода капчи и вообще проблему парсинга? Если ДА, то в принципе можно подумать о переходе.. Однако, действительно, где гарантии, что когда все перейдут на https появится новая дыра и новый протокол httpsz?

Мой сайт был под фильтром а на https уже нет

Подтверждаю. Тоже самое Причем, на обоих сайтах. Проверка с помощью дает рейтинг A. Серьезных проблем не выявлено. А вот гугл уже успешно подхватил протокол и странички начали появляться уже по httpS В обоих ПС? И что значит был без трафика? Как только поменяли протокол вылетели странички?

Именно так. Это реальная возможность поиметь всех на бабки. Не забывайте, что тихо мирно практически ВСЕ регистраторы доменов ввели платный privat protect и всё. Никто не ноет, большинство платит. Тут будет тоже самое. Прикиньте, теперь надо ещё и за протокол будет платить. Конечно можно будет юзать бесплатный http, но он ВДРУГ станет не поддерживаемым через пару лет и останется только платный httpS. А куда денутся? Будут в кассу заносить, так же как и за домен.

Про неделю, это подразумевалось, что я взял сертификат на год у StartSSL, а чтобы заменить его, мне надо под конец срока жизни сертификата (например, за неделю до того, как срок действия истечет) поменять его. Советы внимательно читаю. Нюансы в стиле того, что https что-то там защищает и что пользователи тащатся от своей защищенности действительно спорны и дело не в них, а в том, насколько жинеспособен сайт в современном интернете без https, в том числе в ближайшем будущем. Например, довод, что поисковики втрое опустят сайты без https - был бы серьезным доводом. Сейчас вот в Мозилле какая-то инициатива объявить http deprecated всплыла.

https правильно настроен? проверьте с помощью пару дней назад несколько своих сайтов переводил на https и все спокойно в вебмастрере сменилось.

Не работает в вебмастере. Пишет, что данный домен нельзя использовать в качестве главного зеркала. Хотя домен тот же, только с https.

в вебмастере - Настройка индексирования Главное зеркало Установить протокол https

Извините, запоздал. Меня не интересует слежка, поскольку ресурс сильно специализированный, отслеживать кого-то нет смысла. Полагаю, что следить будут только на политических каких-то форумах и блогах. Раз в год могу заняться сайтом, но проблема в том, что смена сертификата - это конкретное время, длиной в неделю. Я могу заболеть, уехать. В конце концов сертификат и отозвать могут, пока я где-то в отпуске. Идеальности шифрования интересует мало, поскольку ничего секретного нет. Зато косяков с https достаточно много, например, то же требование по Strict-Security, если, как полагается, поставить его на все поддомены, то получаем кукиш с маслом в виде дальнейшего использования каких-то поддоменов без геморроя с https. Единственный плюс, который я получил - некоторые, подчеркну, некоторые только проксики перестали блокировать скачку некоторых же файлов. Но это можно обойти и менее геморройными способами. Нормальные корпоративные прокси свои сертификаты юзерам втыкают.

Ну с банерами вообще бред - такие провайдеры будут обнаружены, и затоптаны. Насчёт слежки. Ну может быть. Но с другой стороны - большинство сайтов что - боятся слежки? Кого захотят отследить - просто отследят через прямой доступ у провайдера того же. Или ломанут потихоньку. Или ещё как. Вобщем, не надо тешиться мечтой, что 'вот оно, пришло - шифрование, и всё, я свободен '. Нам дали мечту в виде https - ну а ведь 'тем ' структурам выгодно дать такую мечту. И мы тут типа должны радоваться, что наши сайты и наши действия через них никто теперь не отследит. Ахахаха, смешно. Сами-то верите в это, во вдруг пришедшую независимость? Хотите 'шифроваться ' - не делайте сайты в публичной сети Интернет, начнем с этого. Или Вы думаете, что нам всё-таки сделали подарок в виде безусловного, абсолютного, идеального шифрования? Ну прям вапще, подарок, ага.

Однозначно оставить https:, иначе будешь второй раз на него переходить. Из основного: 1. https: защищает ваши финансовые интересы (предотвращает вставку интернет-провайдерами баннеров на ваши сайты). 2. https: защищает интернет от тотальной слежки, как со стороны государства, так и со стороны частных контор.

Так они и делают будущее. Понимаешь? Это ты и тебе подобные в хвосте плетётесь, пока до вас дойдёт. ---------- Добавлено 01.05.2015 в 20:35 --------- А интернет с 1957 года существует. И что?. ---------- Добавлено 01.05.2015 в 20:38 --------- Держите, читайте: Как без https всякие умники-провайдеры могут свою рекламу вешать к вам на сайт. Один из примеров, как http не безопасен. 'Как подтверждают читатели ЦП, избежать появления баннера на экране можно при использовании протокола HTTPS. В материале РБК также отмечается, что сайту удалось избежать появление подобных баннеров в сетях других провайдеров после того, как компания в целях обеспечения безопасности пользователей перешла на HTTPS в августе 2014 года. '

Ога, ога. очередной 'специалист '? И что ты тут мне про SSL3 пишешь? Причём здесь это? На, строчку, пропиши в nginx и успокойся: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; Один раз настроить https. Проверить в чекере ( ), чтобы было A или A+, и всё. Будешь ты мне тут ссылаться на ssl3 и прочее, знаток.

Вот пусть и делают это будущее сами. Почему, чтобы обезопасить пользователей, необходимо переходить на https? Сделали бы что-нибудь другое, т.е. выдавали бы сертификат сайту, но без протокола https.