X
Пользователь {{GameInvite.invite.invited_by.login}} приглашает вас присоединиться к открытой игре игре с друзьями .
Ctrl предыдущая следующая Ctrl Страницы
1 2

Форум «Предложения и пожелания» / Работа сайта по защищённому соединению

as_97 Сообщение #1 4 мая 2017 в 07:56
Профи
3
Использование на сайте защищённого протокола https вместо http. Эта мера будет полезна хотя бы на этапе ввода пароля, чтобы защитить его от перехвата. Плюс ко всему, большее доверие к сайту, благодаря зелёному замочку в адресной строке. К тому же это ничего не будет стоить, в 2017 году сертификат типа "domain validation" можно получить абсолютно бесплатно.
un4given Сообщение #2 4 мая 2017 в 10:09
Кибергонщик
98
Кстати, не подскажете, где можно получить SSL-сертификат бесплатно и сразу на год, хотя бы DV?
А то чего-то мне не сильно нравится, что гугл форсит свою тему с https, заставляя владельцев отстёгивать лишнее бабло.
Disobey Сообщение #3 4 мая 2017 в 12:18
Супермен
33
un4given, а как гугол форсит? На выдачу влияет?
OverPower Сообщение #4 4 мая 2017 в 12:34
Супермен
50
Зачем на год серт, все уже давно переехали на letsencrypt, перевыпускай хоть 5 раз на день, серт действует 3 месяца, халявный, простое подтверждение хоть на базе DNS, хоть через вебсервер. За letsencrypt уже давно "вписались" google, facebook, cisco, mozilla, так что можно не бояться за то что "а вдрух сдуются". По итогам 2016 они изменили огромную часть интернета, предоставля халявные серты (перевели около 30 миллионов доменов на грин серты) и каждый день у них прирост в сотнях тысяч новых клиентов. А простой https ничем не поможет от перехвата, это уже не гарантия защиты, давно есть инструменты подмены сертификатов, только небольшое усложнение для злоумышленника. Надо на TLS, http/2 переезжать
Последний раз отредактировано 4 мая 2017 в 12:42 пользователем OverPower
Grevozin Сообщение #6 4 мая 2017 в 17:20
Гонщик
8
Да кому из тех, кто может перехватить ваш http-трафик, сдался ваш пароль от КГ? Ровно как и зелёный замочек, для тех, кто понимает, что он означает. В принципе, можно, конечно, но насколько это нужно? Разве что в выдаче гугла, кажется, https-сайты в целом имеют больший приоритет, чем http.

Впрочем, без защищённого протокола теоретически возможна MITM-атака, при которой на странице дозаправки вас будут перенаправлять не на тот кошелёк.
Последний раз отредактировано 4 мая 2017 в 17:30 пользователем Grevozin
Владимир2о18 Сообщение #7 4 мая 2017 в 20:37
Маньяк
36
Последний раз отредактировано 19 сентября 2017 в 23:19 пользователем Владимир2о18
un4given Сообщение #8 4 мая 2017 в 23:48
Кибергонщик
98
Владимир2о18 писал(а):
С одной стороны ты говоришь, что Гугл - это круто, потому что он может любого идиода заставить почувствовать себя умным.

я такого не припоминаю за собой.
я возможно говорил о том, что сейчас любой дурак может зайти в гугл и показаться умным, но это никоим образом не говорит о крутости Гугла.

Владимир2о18 писал(а):
И ты явно не слышал о letsencrypt.

Я уже давно в курсе о бесплатных 90дневных сертфикатах, просто вы не умеете смотреть вперёд.
Сейчас они бесплатны (нужно же народ подсадить на это дело), но потом они волшебным образом сделаются платными, только не сразу, а уже тогда, когда спрыгивать обратно будет поздно. Вы как маленькие, всему вас учить нужно.


Grevozin Сообщение #9 5 мая 2017 в 03:22
Гонщик
8
Ну вот когда сделают, тогда и будешь писать, что гугол заставляет отстёгивать лишнее бабло. Сейчас это выглядит как спекуляция, потому что за letsencrypt помимо гугла стоят ещё 33 компании, из которых далеко не все ноунеймы. И тащемта, переехать назад на http никто не мешает, если вдруг что-нибудь с letsencrypt случится.
un4given Сообщение #10 5 мая 2017 в 03:50
Кибергонщик
98
Grevozin писал(а):
гугол заставляет отстёгивать лишнее бабло

Я конкретно имел в виду следующее: гугол форсит свой драный хттпс где надо и где не надо
Тем самым косвенно вынуждая владельцев сайтов тратить лишнее бабло на сертификаты. Это ведь у нас, братьев-славян, менталитет из разряда «как бы так на халяву чего-нибудь поиметь?», но много кто просто тупо заплатит денег, чтобы решить эту проблему.

Это во-первых, а во-вторых: сертификаты по 90 дней − гемор ещё тот. Конечно, когда у вас один сайт (или вообще ни одного, лол), то можно каждые 3 месяца переполучать сертификат, ок. Но что делать, когда этих сайтов десятки? И, самое главное, ради чего?

agile Сообщение #11 5 мая 2017 в 04:24
Супермен
37
un4given писал(а):
Но что делать, когда этих сайтов десятки?

cron/systemd ?
as_97 Сообщение #12 5 мая 2017 в 11:48
Профи
3
un4given писал(а):
Это во-первых, а во-вторых: сертификаты по 90 дней − гемор ещё тот. Конечно, когда у вас один сайт (или вообще ни одного, лол), то можно каждые 3 месяца переполучать сертификат, ок. Но что делать, когда этих сайтов десятки? И, самое главное, ради чего?

У Let's Encrypt же есть инструмент для автоматического управления сертификатами - Certbot, настроили один раз и забыли про него.
Voronov Сообщение #13 5 мая 2017 в 14:34
Кибергонщик
54
certbot не лучший клиент, тянущий за собой python с зависимостями, его только в контейнер запихивать, как вариант. Есть минималистичные клиенты, типа lego на Go и др., но не суть. Сейчас перевыпускать сертификаты на сотни доменов проще простого. Это будет происходить автоматически, единственные первоначальные телодвижения по внесению записи в dns зону, как самый простой вариант подтверждения. И все. Далее как и сказал agile, хоть раз в сутки переполучай по расписанию или через сколько-то дней, тем же at.
Гугл правильно делает, что форсит тему, они двигают прогресс и делают интернет хоть немного безопаснее. Если бы они не предоставляли альтернативу, типа иди в Комодо, покупай гринсерт, а то и траться на wildcard сертификат, если нужны поддомены, тогда уже другой разговор. Была бы причина их пинать.
Про глобальный замысел обмана, с целью подсаживания, а затем развода - полнае ерунда. Это изначально некомерческая организация, созданная членами Mozilla, с целью сделать интернет безопаснее. Ну, допустим такую совершенно утопическую ситуацию, когда гугл и ко решат кинуть владельцев доменов. Ну тогда есть альтернативы, у того же Comodo Positive SSL, за какие-то копейки в год (3$ вроде).
Короче надуманая проблема, никаких материальных затрат от владельца домена не потребуется, один раз настроил и забыл.
Последний раз отредактировано 5 мая 2017 в 14:45 пользователем Voronov
Reset82 Сообщение #14 5 мая 2017 в 14:57
Маньяк
42
Ребята, человек (ТС) в самом начале обосновал причину создания темы, в смысле, чтобы был зеленый замочек, чтобы не перехватили пароль.
Что касается замочка, https соединение идет по определенному порту 443. Если злоумышленник перехватывает трафик и с ним пароль, который хочет сохранить в недосигаемости для злоумышленника ТС, то он естественно перенаправит трафик с этого порта на 80-й, чтобы соединение установилось без шифрования. В данном случае - замочек уведомляет пользователя минимум, по какому порту происходит соединение. Поэтому, ТС тут прав.
Что касается сертефикатов, мне кажеться о них речи не заходило.
Reset82 Сообщение #15 5 мая 2017 в 15:24
Маньяк
42
да и в полне на разумных сайтах, вдруг, можно встретить табличку: "(тут простыми словами, не помню дословно) У сайта плохой сертификат, поэтому вам туда нельзя..." и думай теперь, 100 раз заходил, а тут нельзя! Вот в чем манипуляция... а видимо просто сайт не пробашлял серт.
Voronov Сообщение #16 5 мая 2017 в 15:44
Кибергонщик
54
https соединение идет по определенному порту 443. Если злоумышленник перехватывает трафик и с ним пароль, который хочет сохранить в недосигаемости для злоумышленника ТС, то он естественно перенаправит трафик с этого порта на 80-й, чтобы соединение установилось без шифрования.


что ты опять городишь?)
Reset82 Сообщение #17 5 мая 2017 в 15:50
Маньяк
42
Ворон, извини, не вижу картинки...
Я горожу, то что написано, читай внятней! )
...опять будет разжижение темы чтоли...
Voronov Сообщение #18 5 мая 2017 в 15:53
Кибергонщик
54
ну если ты в теме ничего не соображаешь, зачем лезешь умничать? Твой бред в комментарии даже пояснять смысла не имеет. Если ты не знаешь каким образом существляется перехват https трафика и дешифрация его, зачем ахинею городить подобную этой:
естественно перенаправит трафик с этого порта на 80-й, чтобы соединение установилось без шифрования.
Voronov Сообщение #19 5 мая 2017 в 15:57
Кибергонщик
54
Если в двух словах - нужно реальзация типа SSL-proxy, вклиниваясь между клиентом и сервером, предоставлять клиенту легитимный сертификат. А не перенаправлять запросы на 80 порт. Создается 2 активных соединения - с клиентом и сервером. В kali есть для этого инструменты типа SSLSplit
Последний раз отредактировано 5 мая 2017 в 16:06 пользователем Voronov
Reset82 Сообщение #20 5 мая 2017 в 16:08
Маньяк
42
)) щя Ворон, я перезвоню... я поясню свою позицию, как освобожусь, лады?!
Voronov Сообщение #21 5 мая 2017 в 16:13
Кибергонщик
54
Можешь не утруждаться. Если мы говорим о ресурсе, который использует https, то стандартное правильное поведение - это перенаправление всех запросов с http на https.
http://gmail.com
http://habrahabr.ru
Действуй! :)

Чтобы писать в форуме, нужно зарегистрироваться.

Ctrl предыдущая следующая Ctrl Страницы
1 2

Связаться
Выделить
Выделите фрагменты страницы, относящиеся к вашему сообщению
Скрыть сведения
Скрыть всю личную информацию
Отмена