Благая весть по ссылке http://clubs.ya.ru/metrika/replies.xml?item_no=10888
Мне к сожалению нужна именно целевая аудитория, т.к. будет странно, скажем, если для доставщика пиццы в Калининграде поставит отзыв человек из Владивостока и т.д. При этом вопрос цены не на столько важен, как качества оставляющего отзыв.
Зависит от капчи. Скажем, гугловую капчу я в последнее время даже не пытаюсь вводить, т.к. она вообще стала нечитаема.
А есть ли в природе биржа комментариев, где исполнителя можно выбрать по критериям типа город/возраст/пол/наличие аккаунта (гугле/майле/яндексе, чтобы регистрация была не нулевая), активности в социальных сетях/сервисах и т.д. Ну т.е. чтобы не просто абы какой комментарий получить, а чтобы к нему было очень сложно подкопаться по другим признакам - посмотреть на человека "вживую" так сказать.
- "fail2ban" - не нужен, т.к. менять точку выхода не сложно и их количество очень велико - т.е. потенциального взломщика он не заметит. Но однажды он забанит владельца сервера и ему будет очень обидно.
- "сменил стандартные порты ssh, ftp" - не нужно, скан всех портов сервера занимает пару минут, смена портов приносит неудобства только владельцу сервера. Плюс FTP небезопасный (использовать SFTP).
- "сменил адрес phpmyadmin, панели управления" - если мы говорим о безопасности, то это ПО определенно лишнее.
- "пароли на root и панель мин. 20 символов, включая верхний, нижний регистр и цифры" - поскольку доступ рута запрещен, то и пароля у него быть не должно.
Но, как тут правильно заметили, наиболее вероятно, что войдут через уязвимость в скриптах сайтов, а про них пока что ни слова не было.
Не нормальный (нормальные - это APC). Чтобы спать спокойно, стоит поменять на бОльшую мощность (800-1000 VA).
Нужен как раз в первую очередь, т.к. поисковые запросы определяют круг интересов человека, которым он может не хотеть делиться, а поиском человек пользуется достаточно часто.
Как связаны кэш/история браузера с SSL?
Наверное, мешает то, что оно не работает так, как должно, ибо неверно приготовлено.
Далеко не вся и далеко не всеми. Плюс связывание разрозненной (часто сильно устаревшей) информации тоже может представлять собой нетривиальную задачу. Впрочем, это к SSL никак не относится и является отдельной темой для обсуждения (ссылки, не относящиеся к теме так же поскипаны).
Это называется подменой темы обсуждения.
То, что большинство пользователей принимает невалидные сертификаты - это глупость самих пользователей и мы не можем на нее влиять (премию Дарвина никто не отменял и с тем же успехом они могут совать пальцы в розетку или прыгать с многоэтажек). Можно, конечно, заниматься миссионерством и просвещением, но это занятие, как мне кажется, неблагодарное - пусть учатся сами.
Однако, есть пользователи не глупые или уже наученные опытом. Наличие SSL и предупреждения о невалидном сертификате поможет им обезопасить себя.
Настройка SSL зависит от владельца сайта и находится под его контролем. Принятие или нет невалидного сертификата зависит от пользователя и находится под его контролем. MITM не контролируется ни владельцем сайта ни пользователем и именно от этого (и только от этого!) и защищает SSL - не надо пытаться перекладывать на него к-л другие функции/задачи.
Возвращаясь к исходным вопросам:
Нужен ли ИМ сертификат?. Да, если владелец сайта заботится о своих пользователях, проводит дополнительные мероприятия по обеспечению безопасности (безопасность - это не состояние системы, а процесс) и достаточно квалифицирован для этого.
Какой <сертификат>?. С технической точки зрения разницы нет - комплекты шифров и прочие тонкости зависят от настроек сервера и клиента, а не от сертификата. Однако более дорогие EV сертификаты могут визуально выделяться браузерами ("зеленая полоска") и могут вызывать большее доверие у пользователей.
На этом, думаю, тема исчерпана.
Расстреляю любой сайт из Яндекс.Танка. Дорого. :)
Да, в том числе. А так же сами покупки, email, пароль и т.д. и т.п..
Google в этом вопросе я полностью поддерживаю и с нетерпением жду подобного же от яндекса.
В современных реалиях было бы неплохо.
Боян. Если бы пользователь "все давно спалил в паблике", то не было бы этих горьких слез по поводу гугла. Перевод сайтов на https, внедрение (и соблюдение) privacy policy, а так же другие меры по обеспечению безопасности своих посетителей/клиентов сильно затрудняет утечку конфиденциальных данных, ценность которых растет с каждым днем.
Не понял при чем здесь хостеры и самоподписанные сертификаты уже второе сообщение подряд. Однако, вам никто не мешает арендовать сервер, приобрести сертификат у доверенного центра выдачи сертификатов и использовать его на своем сайте - для ИМ это сущие копейки, а для клиентов может оказаться бесценным.
Про самоподписанные речи в исходном посте не было.
Да, на то он и личный кабинет. Если бы данные были не секретные, кабинет был бы публичным.
При том, что при MITM-атаке можно собрать такие данные, которые далеко не каждый готов светить.
Если у вас нет паранойи, это не значит, что за вами не следят.
Нужен, если:
*) Есть личный кабинет (или аналог). Впрочем, тут помимо сертификата требуется еще много чего
*) Информация на сайте может потенциально компрометировать посетителя (лекарства, секс-шопы и т.д.)
С технической точки зрения сертификат за 10$ не отличается от своих EV аналогов (но оба требуют правильной настройки иначе в них нет смысла). С т.з. доверия пользователя могут быть варианты.
