Поиск

SeVlad, жжошь напалмом 😂 Изменить POST - это сильно. На что не меняй, он так и останется открытым для снифа, ибо трафик будет идти без шифрования. Шифрование - это самый лучший метод защиты данных от открытой передачи, ибо все эти пароли-явки и даже ваш аккаунт от сёрчика в мгновение ока может уйти на сторону. Если кто-то дальше чтения новостей никуда не ходит, это не значит, что остальные не дорожат коммерческой тайной по работе. Другой вопрос, что шифрование правильно делать на уровне хост-юзер, как в свое время, не знаю как сейчас, это делалось для переписки в мирке или qip. Создавалось персональное gpg-шифрование на основе открытого ключа и всё, все проблемы были решены. Так и сейчас, по логике, каждый сайт-сервер, должен иметь свой персональный сертификат. Подключился, получил сертификат, установил шифрованное соединение - открылась сессия. Вернулся к работе - у тебя уже есть шифрованный поток. И это так и есть уже, на любом сервере можно создать свой, самоподписанный...

Вот это номер!! Сначала говорит что продаются, а потом что помешал. Ты бы того. с логикой как-то подружился. Я боюсь да же напоминать что даже твитетры, мородокнижки и прочие апплы - они никогда не были на http, но пароли и др данные по сети гуляют. Https помешал их уводу? Вот тут не надо путь божий дар с яичницей. Надо читать и пробовать думать над прочитанным. А если не понятно - можно переспросить. Я всегда стараюсь ответить на заданные мне вопросы. Повторю: Так как насчёт ответов на мои вопросы?

помешал. вот представь если бы вконтакт работал без https, почта, на которую шлются пароли от всех сайтов, госуслуг и интернет банкингов были без http, весь этот контент лежал бы в паблике. Ну и сам инет банкинг, в момент отправки просто заменяем номер счета и деньги уходят не туда )))

Это значит фильтровать и анализировать до попадания всякого УГ в браузер. На корп. проксе например. Никакой софт это не способен делать без подмены сертификата. И ты даже поставишь. Иначе у тебя просто не будет интернета. Ты серьёзно?! Нет, ты вот правда, считаешь что что-то невозможно подделать, если кому надо? Фокси, блиииин. Да и вообще 'если надо ' - оно нафик не надо будет ничего 'подделывать '. Найдутся куда более достоверные доказательства и эффективные методы их получения. #Какдетималыечессслово. При том что пароли и тп передаются в пост. (если какой-то сайт это делает в гет - бежать от него надо) Сектант, такой сектант:) Это могло бы быть действительно полезно для безопасности, если бы серты не мог приобрести любой хакер. А при текущем положении дел - это скорее дыра, нежели защита. ВО!!! Прекрасно что ты это знаешь. Теперь осталось сложить 2+2: https этому как-то помешал? А на вопросы прошлого поста чего не ответил? Вот сколько лет я задаю эти вопросы и никто из сектантов...

что значит контролировать? софт передающий данные контролирует, что данные пришли с легитимного для него сертификата. это проблема тупого юзера, я не поставлю, и у меня будет все норм, никто не прочитает, я буду уверен что никакого митм не случилось. люди ходят не только на кулинарные, но и на политические, подделать можно будет признание автора блога в терроризме, или картинку котиков подменить на порно картинку, заверить скриншот у нотариуса и кто-то отправится садиться на бутылку. причем тут пост, любые данные по http передаются в полностью открытом виде. украсть можно не только передаваемый при авторизации пароль но и текст переписки по емейл и прочие пароли и секретные данные передаваемые как гет контент. Так что https это спасение мира от хаоса, вообще я хз как раньше интернет существовал, собственно он существовал тогда в детском виде и этот неуловимый джо был никому не нужен, кроме кшольников-хакеров по приколу. Сейчас все такие открытые данные быстро появляются в продаже в...

Это как бэ так (и ок, опустим незаконность:) ), но тут проблема не http как таковом, а в несовершенстве передачи post-запросов. Об этом тоже не раз говорилось - надо менять этот механизм. И уже были проекты, но гугл их зарубил насаждением глобальной https-зации.

Секта свидетелей https детектед:) 100 раз уже про этого говорилось. Ок, ещё раз вкратце. 1. На то, что 'перехватит путин ' не пофик 0,001% среднестатистических жителей планеты. И у них для этого есть все средства. А вот невозможность контролировать СВОЙ трафик (включая корпоративный) - это уже больно всем, кроме неграмотных хомячков. Есть ещё немалая часть юзеров, которая хочет экономить траф и даже лишний раз не светится (ага, 'скрыться от путина '), а при https с этим уже проблемнее ибо кеширование. Понимаешь о чём я или растолковать? А ты понимаешь, что по https подсунуть юзеру заразу намного проще чем по http? 2. Провайдер обяжет поставить 'левый ' серт - среднестатистический житель планеты его поставит не задумываясь. И 99% не будут иметь даже понятия о том что он левый. Почитай про mitmpoxy что ли. А вот ты можешь ответить на вопрос - зачем https кулинарному бложику (только про рекламу ОПСОСов не надо пож)? Вот зачем это бложику и читающему его юзеру?

а http я помню в 'детстве ' когда https на большинстве сайтов было редкостью, игрался в хакера и примитивным софтом снифал траф в локалке соседей, ловил траф со спутникового интернета и это легко было даже на уровне школьника потырить все пароли и все остальное. на уровне провайдера вообще жесть смотри что хочешь.

https + в браузере отсутствие левых удостоверяющих центров (бекдоров) как было в казахстане - и для среднестатистического жителя планеты гарантия что данные передаваемые между ним и сервером не перехватит путин.

В топах не потому что на https, а потому что комплексная работа сеошников. Всё так - и инстинкт и потому что так проще сделать - прогнутся под 'рекомендации '. А рекомендации потому что это всё в их интересах, а не вебмастера или пользователя. (напр вебмастеров давно лишили возможностей получать ключи запросов с ПС. И ничего - схавали. И такого - море) ЗЫ. я там выше ссылку нашел-добавил.

Я смотрю на топы, они все на принудительном https Значит я включаю тоже стадный инстинкт и буду юзать https, тем более мы соблюдаем рекомендации гугла и яндекса, а они пока-что намекают на использование этого протокола. Бесплатный сертификат от CF и Lets, ничего в этом плохого не вижу. А насчет высказывания о бесплатном сыре я прочитал, а вот аргументов не нашел, чтобы не использовать. Статью почитаю на досуге

Для необразованных, в чем развод? Если сертификаты бесплатные, а благодаря https, всякая баннерная херня не лепится сверх трафика

ОМГ. Каша только усугубляется. В контексте топика https воще никакой рояли не играет.

Как раз таки наоборот, когда я в настройках домена получаю https сертифкат, то я указываю галочку Wilcard - поддержка сертификатов для всех поддоменом. То всё неограниченное количество поддоменов будут иметь защищённое соединение. На многих хостингах есть лимиту по количеству сертификатов, а вот если реализовать такое с автоподдоменами, то сертификаты неограниченны.

Любое насилие - не правильно. А уж на https и вовсе - зло. Развод лохов.

я думал что насильно переводить на https правильней всего

Я так понимаю у гугл хрома поэтапное отключение TLS 1.0 и т.д. Как в этом случае быть, если даже по http. гугл говорит https, яндекс значок рекомендует https, а по факту толкают в обратку РФ правительство

Это https-то - спасение мира?:) Ты тоже не понимаешь, что вся эта затея с повальной https-зацией от заботы не о юзерах, а о своих карманах? Что юзера он ни отчего не защищает, а как раз наоборот (с текущей политикой выдачи сертов). И не надо про рекламу от ОПСОСов. В 150й раз говорю - на это есть законы, которые ими нарушаются, но страдальцы вебмастера только подорожник прикладывают, вместо реальных действий. Вот и получите законы.

Я думаю запретят в первую очередь зарубежным компаниям чтоб ушли окончательно и безповротно. А всем смертным Решение подскажут- Вместо https - вот вам Турбо с Яндекс Браузером с авторизацией через госуслуги. Туда нужно внести ID своего браузера. А в налоговой зергится всем сайтам.

все на https это добро и спасение мира. теперь нельзя просто так взять и отключить шифрованное, потому что процентов 80 уже если не больше, идет по шифрованным каналам. потому 'борьба ' теперь может быть только в виде полного отключение интернета в отдельно взятой стране.