E>>>https бесполезен и не защищает пользователя, конторы, занимающиеся персонифицированным фишингом, тратят на пользователя до 20 долларов, это позволят окупить любые сертификаты, хоть по 500 баксов от Симантика.

М>>Поясните свою мысль? Как минимум, https защищает ваши логин/пароль/номер кредитки в открытых сетях, и не позволяет кому-то подменить сайт, на который вы заходите, фальшивым.

T>И вы таки считаете, что все юзеры, заходя на сайт с https — тут же кидаются проверять кем и кому выдан сертификат и делают это каждый раз при заходе на сайт? Кроме программистов никто и не знает о сертификатах. Поэтому никакой защиты от фишинга они не дают.

https защищает от прослушивания и подмены трафика между браузером и сайтом назначения, более того, браузер сам проверяет соответствие сертификата и сайта в адресной строке. Кстати, насколько я знаю, не все мобильные браузеры показывают разницу между платным сертификатом и бесплатным (DV), поэтому по сути между ними разницы особой нет.

https не защитит от фишинга. Если ты зашел на сайт PayPal.vasyan.xyz и в сертификате указан этот же адрес, то https промолчит (от фишинга защищает база фишинговых сайтом, которая есть в каждом браузере и такие сайты после создания в нее попадают в течение 2-х суток).

https не защищает от прослушивания твоего трафика антивирусами и АНБ (антивирусам это нужно для вылавливания вирусов, поэтому они ставят свой сертификат в браузер, ну, а у контор, которые ловят террористов свои методы).

Зато HTTPS защищает от подмены и прослушивания трафика мамкиными хацкерами и ушлыми провайдерами (например, предоставляющими бесплатный доступ в интернет в метро), которые вставляют в закачиваемые страницы свои скрипты для сбора статистики и показа рекламы. В том числе HTTPS защитит от прослушивания третьими лицами данных, вводимых в формах (явки, логины, пароли, имена домашних питомцев, номера кредиток, адреса доставки товара из интернет магазина). Данные из браузера пойдут на сервер получателя и никто другой их не увидит. Впрочем из-за TLS SNI, адрес сайта, к которому идет подключение, похоже, можно увидеть и с https, но только домен, да и то, только при первом подключении.

В общем, если хочешь, чтобы в страницы твоего сайта провайдер клиента не вставлял свои скрипты и данные из форм не утекали чужим дядям — используй HTTPS. Достаточно LetsEncrypt, причем его нужно только один раз настроить, дальше сертификат будет обновляться скриптами, но если хочется заморочек — плати денег и делай все руками.

T>Это просто способ выжать лишнюю денежку — сейчас всех подсадят на бесплатные сертификаты от летсенкрипта — а потом введут плату.

Cisco, Google, Mozilla сговорились, чтобы отжать бизнес у компаний, выдающих сертификаты? Очень сомневаюсь.

E>>>https бесполезен и не защищает пользователя, конторы, занимающиеся персонифицированным фишингом, тратят на пользователя до 20 долларов, это позволят окупить любые сертификаты, хоть по 500 баксов от Симантика.

М>>Поясните свою мысль? Как минимум, https защищает ваши логин/пароль/номер кредитки в открытых сетях, и не позволяет кому-то подменить сайт, на который вы заходите, фальшивым.

T>И вы таки считаете, что все юзеры, заходя на сайт с https — тут же кидаются проверять кем и кому выдан сертификат и делают это каждый раз при заходе на сайт? Кроме программистов никто и не знает о сертификатах. Поэтому никакой защиты от фишинга они не дают.

https защищает от прослушивания и подмены трафика между браузером и сайтом назначения, более того, браузер сам проверяет соответствие сертификата и сайта в адресной строке. Кстати, насколько я знаю, не все мобильные браузеры показывают разницу между платным сертификатом и бесплатным (DV), поэтому по сути между ними разницы особой нет.

https не защитит от фишинга. Если ты зашел на сайт PayPal.vasyan.xyz и в сертификате указан этот же адрес, то https промолчит (от фишинга защищает база фишинговых сайтов, которая есть в каждом браузере и такие сайты после создания в нее попадают в течение 2-х суток).

https не защищает от прослушивания твоего трафика антивирусами и АНБ (антивирусам это нужно для вылавливания вирусов, поэтому они ставят свой сертификат в браузер, ну, а у контор, которые ловят террористов свои методы).

Зато HTTPS защищает от подмены и прослушивания трафика мамкиными хацкерами и ушлыми провайдерами (например, предоставляющими бесплатный доступ в интернет в метро), которые вставляют в закачиваемые страницы свои скрипты для сбора статистики и показа рекламы. В том числе HTTPS защитит от прослушивания третьими лицами данных, вводимых в формах (явки, логины, пароли, имена домашних питомцев, номера кредиток, адреса доставки товара из интернет магазина). Данные из браузера пойдут на сервер получателя и никто другой их не увидит. Впрочем из-за TLS SNI, адрес сайта, к которому идет подключение, похоже, можно увидеть и с https, но только домен, да и то, только при первом подключении.

В общем, если хочешь, чтобы в страницы твоего сайта провайдер клиента не вставлял свои скрипты и данные из форм не утекали чужим дядям — используй HTTPS. Достаточно LetsEncrypt, причем его нужно только один раз настроить, дальше сертификат будет обновляться скриптами, но если хочется заморочек — плати денег и делай все руками.

T>Это просто способ выжать лишнюю денежку — сейчас всех подсадят на бесплатные сертификаты от летсенкрипта — а потом введут плату.

Cisco, Google, Mozilla сговорились, чтобы отжать бизнес у компаний, выдающих сертификаты? Очень сомневаюсь.