Зашифрованный протокол https c 1 января 2017

А какая разница, какой сайт? По-факту это роли не играет.
Разница о-ху-ен-на-я. Сравнил сайт банка с визиткой!
Есть ещё например статические сайты-лендинги (привет Соркусу), максимум функционала на нём — отправка письма.
Требовать для всех SSL — это стрелять из пушки по воробьям. А шифрование, всё-таки, каких-то мощностей требует.
Что на стороне сервера, что на стороне клиента. Какие-то глупые затраты в общем, без которых можно прекрасно обойтись.
В проприетарщине уязвимости могут вообще никогда не закрываться и эксплуатироваться по тихому злоумышленниками. Security through obscurity прям какой-то в проприетарщине. Так что лучше пусть находят и исправляют, пусть и не сразу (стоит ли говорить про форки BoringSSL, LibreSSL?), чем сидеть на бомбе замедленного действия.
Я не считаю отсутствие SSL на своей визитке мега-уязвимостью, уж извини. Может, докажешь обратное?
 
Я немного не в курсе. А создатели бесплатного сертификата могут перехватывать трафик домена?
если вы сами генерили приватный ключ и запрос на подпись сертификата - перехватить трафик не сможет даже тот кто подписал ваш сертификат, поскольку приватный ключ есть только у вас

и в процессе генерации сертификата он никоим образом не отсвечивает
 
Разница о-ху-ен-на-я. Сравнил сайт банка с визиткой!
Есть ещё например статические сайты-лендинги (привет Соркусу), максимум функционала на нём — отправка письма.
Требовать для всех SSL — это стрелять из пушки по воробьям. А шифрование, всё-таки, каких-то мощностей требует.
Что на стороне сервера, что на стороне клиента. Какие-то глупые затраты в общем, без которых можно прекрасно обойтись.

Я не считаю отсутствие SSL на своей визитке мега-уязвимостью, уж извини. Может, докажешь обратное?
1. Один лишь только браузер, без вкладок, поставленный с нуля жрет оперативы как KDE Plasma без рюшечек, и на фоне этого жручесть шифрования ничто.
2. Я тебе уже приводил пример, когда могут пострадать пользователи, зайдя на сайт, на который в рез-те mitm встроен зловред. Или ты берешь в расчет только то, что наносит вред лично владельцу сайту? :conf:
 
Я тебе уже приводил пример, когда могут пострадать пользователи, зайдя на сайт, на который в рез-те mitm встроен зловред. Или ты берешь в расчет только то, что наносит вред лично владельцу сайту?
Как много ты знаешь таки случаев? Я не припомню ни одного.
Воровать карты, пароли с больших ресурсов — это да.
Встраивать яваскрипт на уровне провайдера интернета — полный бред.
Как только пользователи узнают, затаскают по судам.
Пров разорится. Ему оно надо?

Зато периодически сталкиваюсь с другой ситуацией. Администратор сайта с заражённого компьютера редактирует или создает новость на сайте с яваскрипт-редактора (типа ckedutor или tinymse). И в исходный код новости встраивается зловред '<script type="text/javascript">' и так далее — такой код в редакторе не виден.
Так вот SSL от этого вполне распространенного случая не спасает...


Вот я и говорю — проблемы больших корпораций опять переложили на всех.
И пофиг, что 99,9% сайтов эти проблемы нафиг не нужны и даже вредны.
 
Последнее редактирование:
Встраивать яваскрипт на уровне провайдера интернета — полный бред.
Как только пользователи узнают, затаскают по судам.
Пров разорится. Ему оно надо?
а почему рассматривается только уровень провайдера?
владелец любой бесплатной точки доступа вайфай может что-нибудь внедрить в незашифрованный трафик
так и злоумышленник может организовать рядом поддельную точку доступа и т.д. и т.п.
 
За примером далеко ходить не надо Для просмотра ссылки Войди или Зарегистрируйся :conf:
Так я ж и говорил — это прову на пользу не пойдёт. Репутация — прямые потери в бизнесе.
а почему рассматривается только уровень провайдера?
владелец любой бесплатной точки доступа вайфай может что-нибудь внедрить в незашифрованный трафик
так и злоумышленник может организовать рядом поддельную точку доступа и т.д. и т.п.
Об этом я не подумал. Это действительно важно, спасибо.
Ладно, пока, появилось дело.
Побежал открывать бесплатный Wi-Fi на центральной площади.
 
дискуссию можно закончить мыслью, что HTTPS безопаснее и защищеннее чем HTTP, а значит HTTPS трафик в будущем будет только расти
по крайней мере до тех пор, пока на замену HTTP не придет новый протокол
 
Требовать для всех SSL — это стрелять из пушки по воробьям.
А как еще по огромным стаям воробьёв попасть то?
Самый простой способ, один разок епануть из пушки.
Чем точечные пуки по каждому.
Сколько сертификатов не использовал, как то летскрипт чтоли или как его из халявы попробовал.
И ничего не получилось. Взял за 5 баксов серт, и сразу всё ок.
Халява дело такое. Попробовать то охота, только есть ли смысл?
 
Назад
Сверху