laursen
Постоялец
- Регистрация
- 7 Мар 2008
- Сообщения
- 115
- Реакции
- 21
Зашифрованный протокол https c 1 января 2017
- Автор темы kunev
- Дата начала
Den1xxx
Постоялец
- Регистрация
- 15 Янв 2014
- Сообщения
- 290
- Реакции
- 168
Разница о-ху-ен-на-я. Сравнил сайт банка с визиткой!
Есть ещё например статические сайты-лендинги (привет Соркусу), максимум функционала на нём — отправка письма.
Требовать для всех SSL — это стрелять из пушки по воробьям. А шифрование, всё-таки, каких-то мощностей требует.
Что на стороне сервера, что на стороне клиента. Какие-то глупые затраты в общем, без которых можно прекрасно обойтись.
Я не считаю отсутствие SSL на своей визитке мега-уязвимостью, уж извини. Может, докажешь обратное?
denverkurt
Denve®
- Регистрация
- 23 Дек 2013
- Сообщения
- 749
- Реакции
- 478
если вы сами генерили приватный ключ и запрос на подпись сертификата - перехватить трафик не сможет даже тот кто подписал ваш сертификат, поскольку приватный ключ есть только у вас
и в процессе генерации сертификата он никоим образом не отсвечивает
Sorcus
Sorcus. A New Beginning.
- Регистрация
- 10 Июл 2011
- Сообщения
- 513
- Реакции
- 1.002
1. Один лишь только браузер, без вкладок, поставленный с нуля жрет оперативы как KDE Plasma без рюшечек, и на фоне этого жручесть шифрования ничто.
2. Я тебе уже приводил пример, когда могут пострадать пользователи, зайдя на сайт, на который в рез-те mitm встроен зловред. Или ты берешь в расчет только то, что наносит вред лично владельцу сайту?
Den1xxx
Постоялец
- Регистрация
- 15 Янв 2014
- Сообщения
- 290
- Реакции
- 168
Как много ты знаешь таки случаев? Я не припомню ни одного.
Воровать карты, пароли с больших ресурсов — это да.
Встраивать яваскрипт на уровне провайдера интернета — полный бред.
Как только пользователи узнают, затаскают по судам.
Пров разорится. Ему оно надо?
Зато периодически сталкиваюсь с другой ситуацией. Администратор сайта с заражённого компьютера редактирует или создает новость на сайте с яваскрипт-редактора (типа ckedutor или tinymse). И в исходный код новости встраивается зловред '<script type="text/javascript">' и так далее — такой код в редакторе не виден.
Так вот SSL от этого вполне распространенного случая не спасает...
Вот я и говорю — проблемы больших корпораций опять переложили на всех.
И пофиг, что 99,9% сайтов эти проблемы нафиг не нужны и даже вредны.
Последнее редактирование:
Sorcus
Sorcus. A New Beginning.
- Регистрация
- 10 Июл 2011
- Сообщения
- 513
- Реакции
- 1.002
denverkurt
Denve®
- Регистрация
- 23 Дек 2013
- Сообщения
- 749
- Реакции
- 478
а почему рассматривается только уровень провайдера?
владелец любой бесплатной точки доступа вайфай может что-нибудь внедрить в незашифрованный трафик
так и злоумышленник может организовать рядом поддельную точку доступа и т.д. и т.п.
Den1xxx
Постоялец
- Регистрация
- 15 Янв 2014
- Сообщения
- 290
- Реакции
- 168
Так я ж и говорил — это прову на пользу не пойдёт. Репутация — прямые потери в бизнесе.За примером далеко ходить не надо Для просмотра ссылки Войдиили Зарегистрируйся
Об этом я не подумал. Это действительно важно, спасибо.
Ладно, пока, появилось дело.
Побежал открывать бесплатный Wi-Fi на центральной площади.
denverkurt
Denve®
- Регистрация
- 23 Дек 2013
- Сообщения
- 749
- Реакции
- 478
дискуссию можно закончить мыслью, что HTTPS безопаснее и защищеннее чем HTTP, а значит HTTPS трафик в будущем будет только расти
по крайней мере до тех пор, пока на замену HTTP не придет новый протокол
по крайней мере до тех пор, пока на замену HTTP не придет новый протокол
xpen
Гуру форума
- Регистрация
- 18 Июл 2016
- Сообщения
- 194
- Реакции
- 88
А как еще по огромным стаям воробьёв попасть то?
Самый простой способ, один разок епануть из пушки.
Чем точечные пуки по каждому.
Сколько сертификатов не использовал, как то летскрипт чтоли или как его из халявы попробовал.
И ничего не получилось. Взял за 5 баксов серт, и сразу всё ок.
Халява дело такое. Попробовать то охота, только есть ли смысл?