Здравствуйте, Васисуалий Пупкиндт, Вы писали:
ВП>Пример демонстрирует как работает переключение на HTTP/2, и как с этим протоколом увеличивается скорость загрузки страниц с большим количеством элементов. В данном случае два раза.
Это же искуственный пример. Для сайта с одной строкой ввода и кнопкой GO разницу в микроскоп не видно будет
ВП>Влияние шифрования при этом минимальное.
Но оно есть! А в масштабах гугла копеечка-к-копеечке. Так и получается, что им обидно, что они оплачивают, а другие, панимаш нет.
ВП>... ВП>keep-alive на уровне HTTP поддерживаются.
Мы же боремся с количеством подключений. Пожалуйста — готовое и рабочее решение для переиспользования подключения.
ВП>А кого в 21 веке волнуют кэши в промежуточных прокси я хз.
Корпоративщиков. Да даже дома — поставь на роутер кэширующий прокси и будет вся домашняя сетка бегать один хоп.
ВП>Это механизм для согласования переключения на протоколы альтернативные HTTP. Это удобно, закреплено в RFC и уже поддержано в основных браузерах.
SPDY is a now-deprecated open-specification networking protocol
Вот так новость
ВП>Для кода браузеров связанного передачей HTTP переключение на альтернативный протокол происходит прозрачно. То есть добавляется только еще один уровень абстракции над TLS, а существующие методы HTTP клиента в браузерах при этом остаются без изменений.
опс
Security Support Provider Interface (SSPI) from Microsoft have not implemented the NPN extension to its TLS implementation.
и еще опс
After version 11, IE will drop the support of SPDY
ВП>Видимо есть смысл самостоятельно оценить разницу. Можно отключить в Chrome поддержку SPDY, HTTP/2 и QUIC, и сравнить как youtube будет открываться по-старинке, раза в два медленнее. Может в этот момент и пройдет это самое, принципиальное непонимание
HTTP/2 is defined for both HTTP URIs (i.e. without encryption) and for HTTPS URIs
И как обычно в вебе
Although the standard itself does not require usage of encryption, most client implementations (Firefox, Chrome, Safari, Opera, IE, Edge) have stated that they will only support HTTP/2 over TLS, which makes encryption de facto mandatory.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[4]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, _Raz_, Вы писали: _R_>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь? _R_>А зачем ограничиваться MITM?
Затем, что иного предназначения, нежели защита от этой атаки, у этого протокола нет.
_R_>Вбиваем в поисковик "подделка ssl сертификатов" и наслаждаемся. И что получается? А голый король получается.
В поисковиках много чего пишут. Покажи пожалуйста подделанный сертификат для RSDN. Раз голый король, поисковики — вот это вот всё, тогда оно ведь труда не составит, верно?
_R_>И это в сфере безопасности Да и еще и выдается за панацею
Нет, HTTPS определенно не панацея. И может быть сколь-нибудь эффективен только в том случае, если пользователь осознанно и явным образом впервые зайдёт на сайт по HTTPS. И всё же — конкретную ссылку, где это выдаётся за панацею, подскажешь?
KV>>Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе. _R_>Помним-помним
Просто ужас, что с людьми этот коварный HTTPS делает
_R_>Вот в чем профит гугла во всеобщем https?
Ну, это примерно как автомобили с подушками безопасности и без. Какими будут предпочитать пользоваться и зачем это их производителю?
Здравствуйте, kochetkov.vladimir, Вы писали:
_R_>>Вот в чем профит гугла во всеобщем https? KV>Ну, это примерно как автомобили с подушками безопасности и без. Какими будут предпочитать пользоваться и зачем это их производителю?
Очевидно, что без подушек. Ведь с подушками надо пристёгиваться, а только лохи-ж пристёгиваются.
Sapienti sat!
Re[3]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Ох уж эта мнительность. Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков. А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.
Но есть нюанс. Проталкивают его везде, даже на read-only ресурсах, где уводить нечего. Простой статический сайт без https будет хуже ранжироваться:
For these reasons, over the past few months we’ve been running tests taking into account whether sites use secure, encrypted connections as a signal in our search ranking algorithms. We've seen positive results, so we're starting to use HTTPS as a ranking signal. For now it's only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Затем, что иного предназначения, нежели защита от этой атаки, у этого протокола нет.
Тогда возникает вопрос — почему именно https? Эпидемии троянов-вымогателей, ботнеты — а мировым злом объявлен парень уводящий пароль от контактика Кардеры, что-ли массово используют mitm? Нет
KV>В поисковиках много чего пишут. Покажи пожалуйста подделанный сертификат для RSDN. Раз голый король, поисковики — вот это вот всё, тогда оно ведь труда не составит, верно?
Провоцируем на преступление? Да и сперва добейся в соседнем отделе
KV>Нет, HTTPS определенно не панацея. И может быть сколь-нибудь эффективен только в том случае, если пользователь осознанно и явным образом впервые зайдёт на сайт по HTTPS. И всё же — конкретную ссылку, где это выдаётся за панацею, подскажешь?
switch from HTTP to HTTPS to keep everyone safe on the web.
У меня складывается впечатление, что во всех статьях пропагандирующих https, его внедрение выдается за "счастье всем даром и никто не уйдет обиженным".
KV>Просто ужас, что с людьми этот коварный HTTPS делает
Не я увел разговор в сторону лицензий
KV>Ну, это примерно как автомобили с подушками безопасности и без. Какими будут предпочитать пользоваться и зачем это их производителю?
Это, примерно, как наличие или отсутствие мультилока.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[3]: #? А есть ли вещи, которые вы принципиально не понимаете
C>Я приципиально не понимаю, откуда вообще столько любви к веб-приложениям. Они кривые, глючные, тормозные и убогие вообще по всем аспектам.
Зато пользователям их донести проще -- не требуют установки и кросс-платформенны.
Re[5]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, _Raz_, Вы писали: _R_>Здравствуйте, kochetkov.vladimir, Вы писали:
_R_>Тогда возникает вопрос — почему именно https? Эпидемии троянов-вымогателей, ботнеты — а мировым злом объявлен парень уводящий пароль от контактика Кардеры, что-ли массово используют mitm? Нет
Это не значит, что MitM не представляет собой угрозу и что с ним не нужно бороться. Правильно реализованный на стороне сервера HTTPS позволяет практически полностью исключить вероятность этой атаки. Рекомендуют его потому, что это средство защиты из разряда "настроил и забыл", так почему бы не закрыть хотя бы эту проблему? Что касается массовости MitM, то находясь в любом более-менее крупном аэропорту или гостинице, поищи в списке сетей все с подстрокой "FREE" в названии и допускающие WEP-аутентификацию. Подключись к любой из них и посмотри открытые порты ОС/производителя гейта этой сети. Сильно удивишься. Или, подключившись к заведомо-"честному" хотспоту, помониторь количество пролетающих там arp-ответов. Хосты, на которые приходится на порядки больший объём arp-трафика, чем у гейта сети — и есть наши прыщавые юнцы. Масштаб проблемы оценишь сам.
KV>>В поисковиках много чего пишут. Покажи пожалуйста подделанный сертификат для RSDN. Раз голый король, поисковики — вот это вот всё, тогда оно ведь труда не составит, верно? _R_>Провоцируем на преступление? Да и сперва добейся в соседнем отделе
Зачем сразу преступление? Неужели тебя останавливает только отсутствие нотариально-заверенного скриншота о том, что администрация RSDN не возвражает против этого и даже просит? Да вообще не вопрос. Берёшься?
Что касается "сперва добейся", то это скорее "сперва изучи предмет спора в достаточной степени". Просто пытаюсь помочь тебе выглядеть в этом споре чуть более солидно, чем получается в данный момент. Я неоднократно эксплуатировал уязвимости в различных реализациях и TLS, и HTTPS, а со спекой TLS работал настолько плотно, что отдельные её фрагменты до сих пор помню наизусть. И свои слова аргументирую собственным опытом. Ты же аппелируешь к абстрактным результатам поисковой выдачи, что со стороны выглядит возможно и забавно, но явно не в твою пользу
_R_>HTTPS as a ranking signal (2014 год ) _R_>
switch from HTTP to HTTPS to keep everyone safe on the web.
_R_>У меня складывается впечатление, что во всех статьях пропагандирующих https, его внедрение выдается за "счастье всем даром и никто не уйдет обиженным".
Во-первых, фраза полне корректна и ни о какой панацее не утверждает. Во-вторых, статьи на гуглоблоге пишут маркетологи. Статьи, написанные технарями для гуглоблога, вычитывают и правят маркетологи с тем, чтобы они решали и задачи маркетинга в том числе. Разве ты здесь видишь хоть одного маркетолога?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Это не значит, что MitM не представляет собой угрозу и что с ним не нужно бороться. Правильно реализованный на стороне сервера HTTPS позволяет практически полностью исключить вероятность этой атаки. Рекомендуют его потому, что это средство защиты из разряда "настроил и забыл", так почему бы не закрыть хотя бы эту проблему? Что касается массовости MitM, то находясь в любом более-менее крупном аэропорту или гостинице, поищи в списке сетей все с подстрокой "FREE" в названии и допускающие WEP-аутентификацию. Подключись к любой из них и посмотри открытые порты ОС/производителя гейта этой сети. Сильно удивишься. Или, подключившись к заведомо-"честному" хотспоту, помониторь количество пролетающих там arp-ответов. Хосты, на которые приходится на порядки больший объём arp-трафика, чем у гейта сети — и есть наши прыщавые юнцы. Масштаб проблемы оценишь сам.
Вот! А потом спрашиваем про панацею. Вместо повышения квалификации админов публичных сетей проталкиваем https. Это же разные задачи. Вот почему ошибки в настройках хотспотов пытаемся решить средствами не предназначенными для этого? Почему не прилагаются усилия для уменьшения угрозы в публичных сетях? Проблема же в их настройках, как я понял? Так почему это касается остальных? И главный вопрос — почему это навязывается всем.
KV>Зачем сразу преступление? Неужели тебя останавливает только отсутствие нотариально-заверенного скриншота о том, что администрация RSDN не возвражает против этого и даже просит? Да вообще не вопрос. Берёшься?
Провоцируешь?
KV>Что касается "сперва добейся", то это скорее "сперва изучи предмет спора в достаточной степени". Просто пытаюсь помочь тебе выглядеть в этом споре чуть более солидно, чем получается в данный момент.
Я тут не самоутверждаюсь, а пытаюсь получить ответ на интересный мне вопрос. И, да — это-таки сперва добейся
KV>Я неоднократно эксплуатировал уязвимости в различных реализациях и TLS, и HTTPS, а со спекой TLS работал настолько плотно, что отдельные её фрагменты до сих пор помню наизусть. И свои слова аргументирую собственным опытом.
Нет ли тут цеховой солидарности вкупе с проф. деформацией?
KV>Ты же аппелируешь к абстрактным результатам поисковой выдачи,
Хм, может рассказать об этом некому Кочеткову Владимиру из блога Позитив Технолоджис, статьи которого не на последних местах в той самой выдаче?
KV>что со стороны выглядит возможно и забавно, но явно не в твою пользу
Была бы польза, а на забавность плевать.
_R_>>
switch from HTTP to HTTPS to keep everyone safe on the web.
KV>Во-первых, фраза полне корректна и ни о какой панацее не утверждает.
Ну а как еще понять эту фразу? По-моему все однозначно — ставится равенство между переходом на https и безопасностью в вебе.
KV>Во-вторых, статьи на гуглоблоге пишут маркетологи. Статьи, написанные технарями для гуглоблога, вычитывают и правят маркетологи с тем, чтобы они решали и задачи маркетинга в том числе.
Значит лешить премии тех маркотологов. До меня вот они не смогли до нести почему должен остаться только один протокол.
KV>Разве ты здесь видишь хоть одного маркетолога?
Так я и ответов по существу не вижу. Во всей подветке только два предположения — mitm и spdy-http/2 (в части убирания latency).
Первое объясняет суть https, но не объясняет причины по которым такой перекос в одну сторону. Допустим я бы предложил понижать в выдаче сайты с разметкой не по стандартам — было бы намного больше пользы и бесплатно для владельцев сайтов.
Со вторым разобрались в оригинальной подветке.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Re[4]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Почему только уводить? А как же content-spoofing?
Это ты про про домашнюю страничку Джо Неуловимого с котиками? Джо наплевать на риск подобной атаки, его посетителям тоже. Однако, если он хочет побольше посещений из поисковиков, то вынужден использовать https. Одно хорошо, сейчас хотя бы появились дешевые и даже бесплатные сертификаты. Но даже при этом многим пофигу эти риски. Пример — этот сайт, где даже по https, как говорит браузер, используется смешанный контент.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Re[10]: #? А есть ли вещи, которые вы принципиально не понимаете
Здравствуйте, _Raz_, Вы писали:
_R_>Вот! А потом спрашиваем про панацею. Вместо повышения квалификации админов публичных сетей проталкиваем https. Это же разные задачи. Вот почему ошибки в настройках хотспотов пытаемся решить средствами не предназначенными для этого? Почему не прилагаются усилия для уменьшения угрозы в публичных сетях? Проблема же в их настройках, как я понял? Так почему это касается остальных? И главный вопрос — почему это навязывается всем.
Главный вопрос — что именно может сделать квалифицированный админ, чтобы защитить свой спот от этого класса атак и какие именно ошибки в настройках ты имеешь в виду?
_R_>Провоцируешь?
На что?
_R_>Я тут не самоутверждаюсь, а пытаюсь получить ответ на интересный мне вопрос. И, да — это-таки сперва добейся
Да нет, ты не спрашиваешь, а утверждаешь.
Навязывание https
Дошло до того, что гугл говорил о том, что сайты по https работают быстрее
Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.
В каком именно месте твоего исходного сообщения я здесь не вижу знак вопроса?
_R_>Нет ли тут цеховой солидарности вкупе с проф. деформацией?
Это стремление прочитать спеку и понимать как работает протокол ты называешь профдеформацией? Ну хоть не генетической предрасположенностью и на том спасибо =/ Да и отношусь уже без малого 5-ый год, скорее к атакующим, нежели к защищающим.
_R_>Хм, может рассказать об этом некому Кочеткову Владимиру из блога Позитив Технолоджис, статьи которого не на последних местах в той самой выдаче?
Расскажи. Нет серьёзно, давай, с конкретными ссылками — обсудим.
_R_>Ну а как еще понять эту фразу? По-моему все однозначно — ставится равенство между переходом на https и безопасностью в вебе.
Где утверждается, что безопасность в вебе, достижимая с переходом на HTTPS, является панацей (т.е. универсальным решением всех возможных проблем с безопасностью)?
_R_>Значит лешить премии тех маркотологов. До меня вот они не смогли до нести почему должен остаться только один протокол.
У маркетологов не стоит задача рекламировать протоколв. У них стоит задача рекламировать продукты своей компании как самые-самые и свою компанию, как напрочь социально-ответственную. В этом и была цель той статьи.
_R_>Так я и ответов по существу не вижу. Во всей подветке только два предположения — mitm и spdy-http/2 (в части убирания latency).
Защита MitM — не предположение, а прописанное в спеке предназначение этого протокола:
The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications.
Что, означает подтверждение аутентичности источника информации и обеспечение её целостности при передаче к приёмнику. Что, в условиях веб-инфраструктуры, означает подтверждение аутентичности сервера и/или клиента и обеспечение целостности циркулирующего между ними трафика. Т.е. защиту от атак класса man-in-the-middle.
_R_>Первое объясняет суть https, но не объясняет причины по которым такой перекос в одну сторону.
Причины чисто маркетинговые, как я уже сказал выше.
Здравствуйте, Ops, Вы писали:
Ops>Это ты про про домашнюю страничку Джо Неуловимого с котиками? Джо наплевать на риск подобной атаки, его посетителям тоже. Однако, если он хочет побольше посещений из поисковиков, то вынужден использовать https.
За всё надо платить Тем более, что:
Ops>Одно хорошо, сейчас хотя бы появились дешевые и даже бесплатные сертификаты.
Ops>Но даже при этом многим пофигу эти риски. Пример — этот сайт, где даже по https, как говорит браузер, используется смешанный контент.
Не пофигу. Дай pls ссылки, где конкретно ты видел такое предупреждение.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>За всё надо платить Тем более, что:
Раньше не надо было. Значит таки принуждают переходить
KV>Не пофигу. Дай pls ссылки, где конкретно ты видел такое предупреждение.
Так на главной же
Понятно, что речь скорее всего только о картинках, сейчас чтобы что-то другое загрузить, надо еще вокруг настроек браузера поплясать с бубном.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Да и еще и выдается за панацею 
