Здравствуйте, _Raz_, Вы писали:

_R_>Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.

Ох уж эта мнительность. Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков. А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.

Здравствуйте, antropolog, Вы писали:

A>чтож за ахинею ты несёшь
A>пожалуйста, обрати внимание, на каких уровнях OSI находятся TLS и http/2

https://en.wikipedia.org/wiki/Application-Layer_Protocol_Negotiation
https://tools.ietf.org/html/rfc7540#section-3.3
https://tools.ietf.org/html/rfc7301

Дополнительно нужно что-то объяснять?

Здравствуйте, kochetkov.vladimir, Вы писали:

_R_>>Вот в чем профит гугла во всеобщем https?
KV>Ну, это примерно как автомобили с подушками безопасности и без. Какими будут предпочитать пользоваться и зачем это их производителю?
Очевидно, что без подушек. Ведь с подушками надо пристёгиваться, а только лохи-ж пристёгиваются.

Здравствуйте, b0r3d0m, Вы писали:

Я приципиально не понимаю, откуда вообще столько любви к веб-приложениям. Они кривые, глючные, тормозные и убогие вообще по всем аспектам.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Не понимаю, за что можно любить C++. Серьёзно, что в нём такого, что заставляет людей именно любить этот язык (а не быть вынужденными писать на нём)?

"Любить" — это какой-то странный эмоциональный термин для инженерного форума. Вот если сформулировать так: считать его самым лучшим из существующих языков по сумме факторов, но при этом весьма ужасным по сравнению с неким идеальным (не существующим) языком. То тогда ещё можно что-то пообсуждать. А любовь и прочие страсти — это куда-нибудь на форум космополитана или что там сейчас вместо него. )))

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>За всё надо платить Тем более, что:
Раньше не надо было. Значит таки принуждают переходить

KV>Не пофигу. Дай pls ссылки, где конкретно ты видел такое предупреждение.

Так на главной же

Понятно, что речь скорее всего только о картинках, сейчас чтобы что-то другое загрузить, надо еще вокруг настроек браузера поплясать с бубном.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Ох уж эта мнительность.

Есть такое дело.

KV>Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков.

Вот утомили борцы за мою безопасность. Может грамотность повышать, а не ножи тупить и спички прятать? Только хуже ведь делаете. Внушаете чувство ложной безопасности

KV>А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.

Мое чувство толкует мне, что я товар и мной торгуют. И что бы товарищи большие братья не резались на проксях и нужен этот хайп по поводу "безопасности" (да-да, в кавычках).

Здравствуйте, _Raz_, Вы писали:

ВП>> Ссылку на демку я дал выше. Она наглядно показывает что дает.
_R_>Во-первых, я не понял к чему ссылка на преимущество в latency в ответ на мое замечание, что и сервер и клиент дополнительно занимаюся криптографией.

Пример демонстрирует как работает переключение на HTTP/2, и как с этим протоколом увеличивается скорость загрузки страниц с большим количеством элементов. В данном случае два раза.
Влияние шифрования при этом минимальное. Производительность растет за счет более оптимального алгоритма передачи данных, учитывающего особенности TCP и типичного сайтового трафика. И на сервере если что и меняется в плане нагрузки, то в основном из-за особенностей протоколов HTTP/2 и SPDY, а не TLS. На клиенте разницу по расходу ресурсов вообще не заметно.

_R_>Во-вторых, я уже писал про уже существующие keep-alive и кэши.

keep-alive на уровне HTTP поддерживаются. А кого в 21 веке волнуют кэши в промежуточных прокси я хз.

_R_>Стоп-стоп-стоп. TLS дает только S в TL. Откуда тут еще альтернативные протоколы? Альтернативные чему? И этим альтернативным протоколам кровь из носа нужно шифрование? Как TLS может оптимизировать существующие каналы связи и ,если может, то почему сейчас не оптимизирует? И уж совсем не понятно звучит, что TLS поможет сохранить "совместимость с браузерным клиентским уровнем веб приложений".

TLS поддерживает расширения протокола. В данном случае речь об ALPN:
https://en.wikipedia.org/wiki/Application-Layer_Protocol_Negotiation

Это механизм для согласования переключения на протоколы альтернативные HTTP. Это удобно, закреплено в RFC и уже поддержано в основных браузерах.
Для кода браузеров связанного передачей HTTP переключение на альтернативный протокол происходит прозрачно. То есть добавляется только еще один уровень абстракции над TLS, а существующие методы HTTP клиента в браузерах при этом остаются без изменений.

Все это поддерживается и работает уже сейчас на крупных сайтах, к примеру avito.ru, google.com, youtube.com и т.д. Можно если интересно в Chrome поставить расширение, которое показывает какой протокол используется в данный момент.

_R_>И еще раз — я ЗА эти протоколы, но против навязывания https. Точнее, даже не против, а, как в сабже написано, "принципиально не понимаете".

Видимо есть смысл самостоятельно оценить разницу. Можно отключить в Chrome поддержку SPDY, HTTP/2 и QUIC, и сравнить как youtube будет открываться по-старинке, раза в два медленнее. Может в этот момент и пройдет это самое, принципиальное непонимание

Здравствуйте, _Raz_, Вы писали:

_R_>Вот что дает https, кроме накладных расходов?

HTTPS даёт защиту HTTP-трафика от атак класса man-in-the-middle. И это, к слову сказать, его единственное предназначение. Его использование для чего-то другого можно смело считать профанацией.

Здравствуйте, _Raz_, Вы писали:
_R_>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь?
_R_>А зачем ограничиваться MITM?

Затем, что иного предназначения, нежели защита от этой атаки, у этого протокола нет.

_R_>Вбиваем в поисковик "подделка ssl сертификатов" и наслаждаемся. И что получается? А голый король получается.

В поисковиках много чего пишут. Покажи пожалуйста подделанный сертификат для RSDN. Раз голый король, поисковики — вот это вот всё, тогда оно ведь труда не составит, верно?

_R_>И это в сфере безопасности Да и еще и выдается за панацею

Нет, HTTPS определенно не панацея. И может быть сколь-нибудь эффективен только в том случае, если пользователь осознанно и явным образом впервые зайдёт на сайт по HTTPS. И всё же — конкретную ссылку, где это выдаётся за панацею, подскажешь?

KV>>Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе.
_R_>Помним-помним

Просто ужас, что с людьми этот коварный HTTPS делает

_R_>Вот в чем профит гугла во всеобщем https?

Ну, это примерно как автомобили с подушками безопасности и без. Какими будут предпочитать пользоваться и зачем это их производителю?

Здравствуйте, _Raz_, Вы писали:

_R_>А видим мы тут полное засилье гугла
_R_>Что-ж пойдем почитаем википедию. https://en.wikipedia.org/wiki/SPDY
_R_>

SPDY is a now-deprecated open-specification networking protocol

_R_>Вот так новость

Воинствующее невежество. SPDY по сути скопипастили в стандарт HTTP/2, после этого он и не нужен.

Здравствуйте, _Raz_, Вы писали:
_R_>Здравствуйте, kochetkov.vladimir, Вы писали:

_R_>Тогда возникает вопрос — почему именно https? Эпидемии троянов-вымогателей, ботнеты — а мировым злом объявлен парень уводящий пароль от контактика Кардеры, что-ли массово используют mitm? Нет

Это не значит, что MitM не представляет собой угрозу и что с ним не нужно бороться. Правильно реализованный на стороне сервера HTTPS позволяет практически полностью исключить вероятность этой атаки. Рекомендуют его потому, что это средство защиты из разряда "настроил и забыл", так почему бы не закрыть хотя бы эту проблему? Что касается массовости MitM, то находясь в любом более-менее крупном аэропорту или гостинице, поищи в списке сетей все с подстрокой "FREE" в названии и допускающие WEP-аутентификацию. Подключись к любой из них и посмотри открытые порты ОС/производителя гейта этой сети. Сильно удивишься. Или, подключившись к заведомо-"честному" хотспоту, помониторь количество пролетающих там arp-ответов. Хосты, на которые приходится на порядки больший объём arp-трафика, чем у гейта сети — и есть наши прыщавые юнцы. Масштаб проблемы оценишь сам.

KV>>В поисковиках много чего пишут. Покажи пожалуйста подделанный сертификат для RSDN. Раз голый король, поисковики — вот это вот всё, тогда оно ведь труда не составит, верно?
_R_>Провоцируем на преступление? Да и сперва добейся в соседнем отделе

Зачем сразу преступление? Неужели тебя останавливает только отсутствие нотариально-заверенного скриншота о том, что администрация RSDN не возвражает против этого и даже просит? Да вообще не вопрос. Берёшься?

Что касается "сперва добейся", то это скорее "сперва изучи предмет спора в достаточной степени". Просто пытаюсь помочь тебе выглядеть в этом споре чуть более солидно, чем получается в данный момент. Я неоднократно эксплуатировал уязвимости в различных реализациях и TLS, и HTTPS, а со спекой TLS работал настолько плотно, что отдельные её фрагменты до сих пор помню наизусть. И свои слова аргументирую собственным опытом. Ты же аппелируешь к абстрактным результатам поисковой выдачи, что со стороны выглядит возможно и забавно, но явно не в твою пользу

_R_>HTTPS as a ranking signal (2014 год )
_R_>

switch from HTTP to HTTPS to keep everyone safe on the web.

_R_>У меня складывается впечатление, что во всех статьях пропагандирующих https, его внедрение выдается за "счастье всем даром и никто не уйдет обиженным".

Во-первых, фраза полне корректна и ни о какой панацее не утверждает. Во-вторых, статьи на гуглоблоге пишут маркетологи. Статьи, написанные технарями для гуглоблога, вычитывают и правят маркетологи с тем, чтобы они решали и задачи маркетинга в том числе. Разве ты здесь видишь хоть одного маркетолога?

Здравствуйте, alex_public, Вы писали:

_>"Любить" — это какой-то странный эмоциональный термин для инженерного форума.

Т.е. ты утверждаешь, что те потоки говн, которые на протяжении многих лет здесь выливали друг на друга оппоненты всевозможных срачей на тему "whatever vs C++" — это плоды полёта холодной инженерной мысли?

Ну и потом:

Нет у меня никаких мечтаний о JS. Я собственно его совсем не люблю.

https://rsdn.org/forum/flame.comp/6351296.1

Автор: alex_public
Дата: 16.02.16

Я вполне себе люблю писать на динамических языка (мой любимчик — Python)

https://rsdn.org/forum/philosophy/6117076.1

Автор: alex_public
Дата: 17.07.15

Ну и так далее, лень весь поиск копипастить. Так вот я это к чему... У тебя какой ник в этом вашем космополитене?

B>>Сабж.
KV>Не понимаю, за что можно любить C++. Серьёзно, что в нём такого, что заставляет людей именно любить этот язык (а не быть вынужденными писать на нём)?
Ну а за что можно любить русский язык, а не вынужденно говорить на нем? В нем столько мата, а если в неправильном месте както неправильно выразиться — то и в морду можно получить...

Сабж.

Я вот, например, никак не могу понять повальную моду на SPA. Что, спрашивается, в таком подходе офигенного? Википедия пространно отвечает "providing a more fluid user experience similar to a desktop application". Ну, фиг знает.

Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.

B>Я вот, например, никак не могу понять повальную моду на SPA. Что, спрашивается, в таком подходе офигенного? Википедия пространно отвечает "providing a more fluid user experience similar to a desktop application". Ну, фиг знает.

Так это именно что для приложений. То есть, взять draw.io — ну как это изобразить в виде классического сайта? И зачем?

Уже второй вопрос — а зачем это SPA тянут за уши туда, где оно не нужно. Ответ — потому что это модно.

Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.

Отсутствие протокола аутентификации.

Каждый ouath провайдер отдает мой e-mail , а большинство и имя .

Авторизуясь на сайте Васи Пупкина, я готов на то, что моя Большая Социальная Сеть предоставить ему мой One Time Password, а остальное с моего отдельного разрешения. Но ведь так никто не делает

Казалось бы, каждая лишняя строчка моего профиля — это лишняя копеечка дядям в соцсети. А они раздают это даром Там же все маньяки слежки — так почему не отслеживают мою активность на сайте Васи Пупкина в виде переобновления токенов доступа и наборов разрешений?

Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.

Навязывание https

Дошло до того, что гугл говорил о том, что сайты по https работают быстрее

Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.

Здравствуйте, _Raz_, Вы писали:

R> Навязывание https

Разве его навязывают?

R> Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.

Ну наоборот же Люди (пока не все, но уже достаточно) начали понимать ценность своих данных.

Здравствуйте, _Raz_, Вы писали:

_R_>Дошло до того, что гугл говорил о том, что сайты по https работают быстрее

Так и есть. Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP. В этих более продвинутых протоколах данные нескольких клиентских соединений могут передаваться через одно TCP соединение с сервером. Меньше времени тратится на создание соединений, уменьшается объем данных за счет сжатия заголовков. Меньше нагрузка на сервер и задержки между отправкой запроса и получением ответа.

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП> Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP.

Уже время.

ВП> В этих более продвинутых протоколах данные нескольких клиентских соединений могут передаваться через одно TCP соединение с сервером.

Продвинутых

ВП> Меньше времени тратится на создание соединений, уменьшается объем данных за счет сжатия заголовков.

Keep-Alive, минификация, спрайты... Кеширование, в том числе и public, которое по определению не работает в https.

ВП> Меньше нагрузка на сервер и задержки между отправкой запроса и получением ответа.

Это почему это меньше? И сервер и клиент дополнительно занимаюся криптографией.

Я не спорю, что предлогаемые протоколы плохи, но, черт-возьми, почему только https

Здравствуйте, _Raz_, Вы писали:

_R_>Это почему это меньше? И сервер и клиент дополнительно занимаюся криптографией.

Вот наглядный пример:
https://http2.akamai.com/demo

_R_>Я не спорю, что предлогаемые протоколы плохи, но, черт-возьми, почему только https

А почему нет? Помимо защиты обеспечивается куча возможностей, которые сложно реализовать без дополнительного транспортного уровня. TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП> А почему нет?

Я вот не понимаю почему "да". Вот что дает https, кроме накладных расходов?

ВП> Помимо защиты обеспечивается куча возможностей, которые сложно реализовать без дополнительного транспортного уровня.

Так озвучь эти возможности.

ВП> TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.

Вот и как так получается, что дополнительный уровень снижает расходы. Удобные штуки — они что бесплатны по ресурсам?

Здравствуйте, _Raz_, Вы писали:

_R_>Я вот не понимаю почему "да". Вот что дает https, кроме накладных расходов?

Ссылку на демку я дал выше. Она наглядно показывает что дает.

ВП>> TLS это такой контейнер, дополнительный уровень абстракции, в который постепенно добавляется все больше всяких удобных штук.
_R_>Вот и как так получается, что дополнительный уровень снижает расходы. Удобные штуки — они что бесплатны по ресурсам?

Дополнительные расходы есть, но в итоге плюсов больше (см. демку). TLS дает общий стандарт для реализации альтернативных протоколов, позволяющих оптимизировать использование существующих каналов связи, сохраняя при этом совместимость с браузерным клиентским уровнем веб приложений. К примеру HTTP/2 может работать и без согласования через TLS, при помощи собственного механизма. Но эту фичу никто не использует. Через TLS удобнее, быстрее и логичнее.

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП> Ссылку на демку я дал выше. Она наглядно показывает что дает.

Во-первых, я не понял к чему ссылка на преимущество в latency в ответ на мое замечание, что и сервер и клиент дополнительно занимаюся криптографией.
Во-вторых, я уже писал про уже существующие keep-alive и кэши.

ВП> TLS дает общий стандарт для реализации альтернативных протоколов, позволяющих оптимизировать использование существующих каналов связи, сохраняя при этом совместимость с браузерным клиентским уровнем веб приложений. К примеру HTTP/2 может работать и без согласования через TLS, при помощи собственного механизма. Но эту фичу никто не использует. Через TLS удобнее, быстрее и логичнее.

Стоп-стоп-стоп. TLS дает только S в TL. Откуда тут еще альтернативные протоколы? Альтернативные чему? И этим альтернативным протоколам кровь из носа нужно шифрование? Как TLS может оптимизировать существующие каналы связи и ,если может, то почему сейчас не оптимизирует? И уж совсем не понятно звучит, что TLS поможет сохранить "совместимость с браузерным клиентским уровнем веб приложений".

И еще раз — я ЗА эти протоколы, но против навязывания https. Точнее, даже не против, а, как в сабже написано, "принципиально не понимаете".

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП>Так и есть. Через расширение TLS прокола происходит согласование переключения на альтернативные протоколы SPDY и HTTP/2 вместо обычного HTTP.
чтож за ахинею ты несёшь
пожалуйста, обрати внимание, на каких уровнях OSI находятся TLS и http/2

Здравствуйте, _Raz_, Вы писали:
_R_>Здравствуйте, kochetkov.vladimir, Вы писали:

_R_>Вот утомили борцы за мою безопасность.

Да я только начал

_R_>Может грамотность повышать, а не ножи тупить и спички прятать? Только хуже ведь делаете. Внушаете чувство ложной безопасности

Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь?

_R_>Мое чувство толкует мне, что я товар и мной торгуют.

Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе.

_R_>И что бы товарищи большие братья не резались на проксях и нужен этот хайп по поводу "безопасности" (да-да, в кавычках).

Так себе аргумент. Если клиенты доверяют прокси-серверу (иначе с чего бы им гнать через него весь свой трафик?), то порезать всё что нужно на прикладном уровне TLS-сессии можно и на стороне прокси.

Здравствуйте, Anton Batenev, Вы писали:

AB>Разве его навязывают?

яблоко навязывает

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Грамотность повышать определенно стоит. Правда, не вполне понятно, каким образом грамотность пользователя защитит его от воткнувшегося посередине в канал атакующего. Пояснишь?

А зачем ограничиваться MITM? Вбиваем в поисковик "подделка ssl сертификатов" и наслаждаемся. И что получается? А голый король получается. И это в сфере безопасности Да и еще и выдается за панацею

KV>Так и есть. Если ты, конечно, сам подписался под этим, регистрируясь на очередном "бесплатном" ресурсе.

Помним-помним А куда я денусь с подводной лодки?

KV>Так себе аргумент. Если клиенты доверяют прокси-серверу (иначе с чего бы им гнать через него весь свой трафик?), то порезать всё что нужно на прикладном уровне TLS-сессии можно и на стороне прокси.

Да понимаю, что так себе. Но других нет, а уверенность в том, что гугл не корпорация добра и ради моей безопасности и пальцем не шевельнет есть. Вот в чем профит гугла во всеобщем https?

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП>Пример демонстрирует как работает переключение на HTTP/2, и как с этим протоколом увеличивается скорость загрузки страниц с большим количеством элементов. В данном случае два раза.

Это же искуственный пример. Для сайта с одной строкой ввода и кнопкой GO разницу в микроскоп не видно будет

ВП>Влияние шифрования при этом минимальное.

Но оно есть! А в масштабах гугла копеечка-к-копеечке. Так и получается, что им обидно, что они оплачивают, а другие, панимаш нет.

ВП>...
ВП>keep-alive на уровне HTTP поддерживаются.

Мы же боремся с количеством подключений. Пожалуйста — готовое и рабочее решение для переиспользования подключения.

ВП>А кого в 21 веке волнуют кэши в промежуточных прокси я хз.

Корпоративщиков. Да даже дома — поставь на роутер кэширующий прокси и будет вся домашняя сетка бегать один хоп.

ВП>Это механизм для согласования переключения на протоколы альтернативные HTTP. Это удобно, закреплено в RFC и уже поддержано в основных браузерах.

И что мы видим?

The initial set of registrations for this registry is as follows:

   Protocol:  HTTP/1.1
   Identification Sequence:
      0x68 0x74 0x74 0x70 0x2f 0x31 0x2e 0x31 ("http/1.1")
   Reference:  [RFC7230]

   Protocol:  SPDY/1
   Identification Sequence:
      0x73 0x70 0x64 0x79 0x2f 0x31 ("spdy/1")
   Reference:
      http://dev.chromium.org/spdy/spdy-protocol/spdy-protocol-draft1

   Protocol:  SPDY/2
   Identification Sequence:
      0x73 0x70 0x64 0x79 0x2f 0x32 ("spdy/2")
   Reference:
      http://dev.chromium.org/spdy/spdy-protocol/spdy-protocol-draft2
      
   Protocol:  SPDY/3
   Identification Sequence:
      0x73 0x70 0x64 0x79 0x2f 0x33 ("spdy/3")
   Reference:
      http://dev.chromium.org/spdy/spdy-protocol/spdy-protocol-draft3

А видим мы тут полное засилье гугла
Что-ж пойдем почитаем википедию. https://en.wikipedia.org/wiki/SPDY

SPDY is a now-deprecated open-specification networking protocol

Вот так новость

ВП>Для кода браузеров связанного передачей HTTP переключение на альтернативный протокол происходит прозрачно. То есть добавляется только еще один уровень абстракции над TLS, а существующие методы HTTP клиента в браузерах при этом остаются без изменений.
опс

Security Support Provider Interface (SSPI) from Microsoft have not implemented the NPN extension to its TLS implementation.

и еще опс

After version 11, IE will drop the support of SPDY

ВП>Видимо есть смысл самостоятельно оценить разницу. Можно отключить в Chrome поддержку SPDY, HTTP/2 и QUIC, и сравнить как youtube будет открываться по-старинке, раза в два медленнее. Может в этот момент и пройдет это самое, принципиальное непонимание

Есть разница, есть.

А теперь убойный аргумент ()wiki

HTTP/2 is defined for both HTTP URIs (i.e. without encryption) and for HTTPS URIs

И как обычно в вебе

Although the standard itself does not require usage of encryption, most client implementations (Firefox, Chrome, Safari, Opera, IE, Edge) have stated that they will only support HTTP/2 over TLS, which makes encryption de facto mandatory.

Здравствуйте, _Raz_, Вы писали:

_R_>Может грамотность повышать, а не ножи тупить и спички прятать?

Ну так пойди и повысь свою грамотность, поняв наконец что такое HTTPS и нахрена он нужен.

Здравствуйте, Лось Чтостряслось, Вы писали:

ЛЧ> AB>Разве его навязывают?
ЛЧ> яблоко навязывает

Тут я пас ибо совсем не в теме про яблочную продукцию.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Ох уж эта мнительность. Его проталкивают для того, чтобы очередной самоутверждающийся прыщавый юнец, засевший в wife-кафе с aircrack-ng или interceptor'ом, не увёл у тебя креды от почты, мессенджера и прочих вконтактиков. А большому брату (особливо вон тому, который якобы проталкивает HTTPS во всевозможных гуглах) подавляющее большинство местных аборигенов в гробу не снилось, как бы не хотелось обратного их ЧСВ.

Но есть нюанс. Проталкивают его везде, даже на read-only ресурсах, где уводить нечего. Простой статический сайт без https будет хуже ранжироваться:

For these reasons, over the past few months we’ve been running tests taking into account whether sites use secure, encrypted connections as a signal in our search ranking algorithms. We've seen positive results, so we're starting to use HTTPS as a ranking signal. For now it's only a very lightweight signal — affecting fewer than 1% of global queries, and carrying less weight than other signals such as high-quality content — while we give webmasters time to switch to HTTPS. But over time, we may decide to strengthen it, because we’d like to encourage all website owners to switch from HTTP to HTTPS to keep everyone safe on the web.

здесь?

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Затем, что иного предназначения, нежели защита от этой атаки, у этого протокола нет.

Тогда возникает вопрос — почему именно https? Эпидемии троянов-вымогателей, ботнеты — а мировым злом объявлен парень уводящий пароль от контактика Кардеры, что-ли массово используют mitm? Нет

KV>В поисковиках много чего пишут. Покажи пожалуйста подделанный сертификат для RSDN. Раз голый король, поисковики — вот это вот всё, тогда оно ведь труда не составит, верно?

Провоцируем на преступление? Да и сперва добейся в соседнем отделе

KV>Нет, HTTPS определенно не панацея. И может быть сколь-нибудь эффективен только в том случае, если пользователь осознанно и явным образом впервые зайдёт на сайт по HTTPS. И всё же — конкретную ссылку, где это выдаётся за панацею, подскажешь?

HTTPS as a ranking signal (2014 год )

switch from HTTP to HTTPS to keep everyone safe on the web.

У меня складывается впечатление, что во всех статьях пропагандирующих https, его внедрение выдается за "счастье всем даром и никто не уйдет обиженным".

KV>Просто ужас, что с людьми этот коварный HTTPS делает

Не я увел разговор в сторону лицензий

KV>Ну, это примерно как автомобили с подушками безопасности и без. Какими будут предпочитать пользоваться и зачем это их производителю?

Это, примерно, как наличие или отсутствие мультилока.

Здравствуйте, Anton Batenev, Вы писали:


AB>Разве его навязывают?

Да, Гугл обещает понижать сайты на http в выдаче.

C>Я приципиально не понимаю, откуда вообще столько любви к веб-приложениям. Они кривые, глючные, тормозные и убогие вообще по всем аспектам.
Зато пользователям их донести проще -- не требуют установки и кросс-платформенны.

Здравствуйте, Васисуалий Пупкиндт, Вы писали:

ВП>Дополнительно нужно что-то объяснять?

нет, я тупой, спасибо.

Здравствуйте, Ops, Вы писали:

Ops>Но есть нюанс. Проталкивают его везде, даже на read-only ресурсах, где уводить нечего.

Почему только уводить? А как же content-spoofing?

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Это не значит, что MitM не представляет собой угрозу и что с ним не нужно бороться. Правильно реализованный на стороне сервера HTTPS позволяет практически полностью исключить вероятность этой атаки. Рекомендуют его потому, что это средство защиты из разряда "настроил и забыл", так почему бы не закрыть хотя бы эту проблему? Что касается массовости MitM, то находясь в любом более-менее крупном аэропорту или гостинице, поищи в списке сетей все с подстрокой "FREE" в названии и допускающие WEP-аутентификацию. Подключись к любой из них и посмотри открытые порты ОС/производителя гейта этой сети. Сильно удивишься. Или, подключившись к заведомо-"честному" хотспоту, помониторь количество пролетающих там arp-ответов. Хосты, на которые приходится на порядки больший объём arp-трафика, чем у гейта сети — и есть наши прыщавые юнцы. Масштаб проблемы оценишь сам.

Вот! А потом спрашиваем про панацею. Вместо повышения квалификации админов публичных сетей проталкиваем https. Это же разные задачи. Вот почему ошибки в настройках хотспотов пытаемся решить средствами не предназначенными для этого? Почему не прилагаются усилия для уменьшения угрозы в публичных сетях? Проблема же в их настройках, как я понял? Так почему это касается остальных? И главный вопрос — почему это навязывается всем.

KV>Зачем сразу преступление? Неужели тебя останавливает только отсутствие нотариально-заверенного скриншота о том, что администрация RSDN не возвражает против этого и даже просит? Да вообще не вопрос. Берёшься?

Провоцируешь?

KV>Что касается "сперва добейся", то это скорее "сперва изучи предмет спора в достаточной степени". Просто пытаюсь помочь тебе выглядеть в этом споре чуть более солидно, чем получается в данный момент.

Я тут не самоутверждаюсь, а пытаюсь получить ответ на интересный мне вопрос. И, да — это-таки сперва добейся

KV>Я неоднократно эксплуатировал уязвимости в различных реализациях и TLS, и HTTPS, а со спекой TLS работал настолько плотно, что отдельные её фрагменты до сих пор помню наизусть. И свои слова аргументирую собственным опытом.

Нет ли тут цеховой солидарности вкупе с проф. деформацией?

KV>Ты же аппелируешь к абстрактным результатам поисковой выдачи,

Хм, может рассказать об этом некому Кочеткову Владимиру из блога Позитив Технолоджис, статьи которого не на последних местах в той самой выдаче?

KV>что со стороны выглядит возможно и забавно, но явно не в твою пользу

Была бы польза, а на забавность плевать.

_R_>>

switch from HTTP to HTTPS to keep everyone safe on the web.

KV>Во-первых, фраза полне корректна и ни о какой панацее не утверждает.

Ну а как еще понять эту фразу? По-моему все однозначно — ставится равенство между переходом на https и безопасностью в вебе.

KV>Во-вторых, статьи на гуглоблоге пишут маркетологи. Статьи, написанные технарями для гуглоблога, вычитывают и правят маркетологи с тем, чтобы они решали и задачи маркетинга в том числе.

Значит лешить премии тех маркотологов. До меня вот они не смогли до нести почему должен остаться только один протокол.

KV>Разве ты здесь видишь хоть одного маркетолога?

Так я и ответов по существу не вижу. Во всей подветке только два предположения — mitm и spdy-http/2 (в части убирания latency).

Первое объясняет суть https, но не объясняет причины по которым такой перекос в одну сторону. Допустим я бы предложил понижать в выдаче сайты с разметкой не по стандартам — было бы намного больше пользы и бесплатно для владельцев сайтов.

Со вторым разобрались в оригинальной подветке.

Здравствуйте, marcopolo, Вы писали:

m> AB>Разве его навязывают?
m> Да, Гугл обещает понижать сайты на http в выдаче.

Гугл много что обещает. Если у тебя хороший сайт, то ничего ему не сделается и ты можешь спокойно игнорировать слова гугла

P.S. Жду не дождусь когда гугл пообещает понижать сайты не имеющие IPv6 адреса

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Почему только уводить? А как же content-spoofing?

Это ты про про домашнюю страничку Джо Неуловимого с котиками? Джо наплевать на риск подобной атаки, его посетителям тоже. Однако, если он хочет побольше посещений из поисковиков, то вынужден использовать https. Одно хорошо, сейчас хотя бы появились дешевые и даже бесплатные сертификаты. Но даже при этом многим пофигу эти риски. Пример — этот сайт, где даже по https, как говорит браузер, используется смешанный контент.

Здравствуйте, _Raz_, Вы писали:

_R_>Вот! А потом спрашиваем про панацею. Вместо повышения квалификации админов публичных сетей проталкиваем https. Это же разные задачи. Вот почему ошибки в настройках хотспотов пытаемся решить средствами не предназначенными для этого? Почему не прилагаются усилия для уменьшения угрозы в публичных сетях? Проблема же в их настройках, как я понял? Так почему это касается остальных? И главный вопрос — почему это навязывается всем.

Главный вопрос — что именно может сделать квалифицированный админ, чтобы защитить свой спот от этого класса атак и какие именно ошибки в настройках ты имеешь в виду?

_R_>Провоцируешь?

На что?

_R_>Я тут не самоутверждаюсь, а пытаюсь получить ответ на интересный мне вопрос. И, да — это-таки сперва добейся

Да нет, ты не спрашиваешь, а утверждаешь.

Навязывание https
Дошло до того, что гугл говорил о том, что сайты по https работают быстрее
Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.

В каком именно месте твоего исходного сообщения я здесь не вижу знак вопроса?

_R_>Нет ли тут цеховой солидарности вкупе с проф. деформацией?

Это стремление прочитать спеку и понимать как работает протокол ты называешь профдеформацией? Ну хоть не генетической предрасположенностью и на том спасибо =/ Да и отношусь уже без малого 5-ый год, скорее к атакующим, нежели к защищающим.

_R_>Хм, может рассказать об этом некому Кочеткову Владимиру из блога Позитив Технолоджис, статьи которого не на последних местах в той самой выдаче?

Расскажи. Нет серьёзно, давай, с конкретными ссылками — обсудим.

_R_>Ну а как еще понять эту фразу? По-моему все однозначно — ставится равенство между переходом на https и безопасностью в вебе.

Где утверждается, что безопасность в вебе, достижимая с переходом на HTTPS, является панацей (т.е. универсальным решением всех возможных проблем с безопасностью)?

_R_>Значит лешить премии тех маркотологов. До меня вот они не смогли до нести почему должен остаться только один протокол.

У маркетологов не стоит задача рекламировать протоколв. У них стоит задача рекламировать продукты своей компании как самые-самые и свою компанию, как напрочь социально-ответственную. В этом и была цель той статьи.

_R_>Так я и ответов по существу не вижу. Во всей подветке только два предположения — mitm и spdy-http/2 (в части убирания latency).

Защита MitM — не предположение, а прописанное в спеке предназначение этого протокола:

The primary goal of the TLS protocol is to provide privacy and data integrity between two communicating applications.

Что, означает подтверждение аутентичности источника информации и обеспечение её целостности при передаче к приёмнику. Что, в условиях веб-инфраструктуры, означает подтверждение аутентичности сервера и/или клиента и обеспечение целостности циркулирующего между ними трафика. Т.е. защиту от атак класса man-in-the-middle.

_R_>Первое объясняет суть https, но не объясняет причины по которым такой перекос в одну сторону.

Причины чисто маркетинговые, как я уже сказал выше.

Здравствуйте, Ops, Вы писали:

Ops>Это ты про про домашнюю страничку Джо Неуловимого с котиками? Джо наплевать на риск подобной атаки, его посетителям тоже. Однако, если он хочет побольше посещений из поисковиков, то вынужден использовать https.

За всё надо платить Тем более, что:

Ops>Одно хорошо, сейчас хотя бы появились дешевые и даже бесплатные сертификаты.



Ops>Но даже при этом многим пофигу эти риски. Пример — этот сайт, где даже по https, как говорит браузер, используется смешанный контент.

Не пофигу. Дай pls ссылки, где конкретно ты видел такое предупреждение.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Главный вопрос — что именно может сделать квалифицированный админ, чтобы защитить свой спот от этого класса атак и какие именно ошибки в настройках ты имеешь в виду?

Не допустить гадского мена в зону своей ответственности. В этом случае проблема исчезает. Я правильно понял?

KV>Да нет, ты не спрашиваешь, а утверждаешь.

Вопрос в теме: есть ли вещи, которые вы принципиально не понимаете?
Да, я не понимаю...
KV>

KV>Навязывание https
KV>Дошло до того, что гугл говорил о том, что сайты по https работают быстрее
KV>Только не говорите мне про безопасность. Это он задумывался для безопасности, а проталкивают его в интересах большого брата.

KV>Где утверждается, что безопасность в вебе, достижимая с переходом на HTTPS, является панацей (т.е. универсальным решением всех возможных проблем с безопасностью)?

А где там обратное утверждается? Там говорится о безопасности без всяких оговорок.

KV>У маркетологов не стоит задача рекламировать протоколв. У них стоит задача рекламировать продукты своей компании как самые-самые и свою компанию, как напрочь социально-ответственную. В этом и была цель той статьи.

Вот, подбираемся к сути. Разве https — продукт гугла?

KV>Причины чисто маркетинговые, как я уже сказал выше.

Секунду. Причины или степень технических деталей в статье? Если речь действительно о причинах, то

Здравствуйте, Anton Batenev, Вы писали:

AB>Гугл много что обещает. Если у тебя хороший сайт, то ничего ему не сделается и ты можешь спокойно игнорировать слова гугла
Даже несколько % могут вылиться в неплохие деньги.

AB>P.S. Жду не дождусь когда гугл пообещает понижать сайты не имеющие IPv6 адреса
Для сайтов это как раз не проблема, надо портить выдачу клиентам, заходящим с v4, может тогда провайдеры зашевелятся.

Здравствуйте, b0r3d0m, Вы писали:

B>Я вот, например, никак не могу понять повальную моду на SPA. Что, спрашивается, в таком подходе офигенного?

Так это не сколько мода на SPA, сколько мода на трехуровневую архитектуру. Очень удобно для поддержания ЧСВ.

Здравствуйте, _Raz_, Вы писали:

R> Дошло до того, что гугл говорил о том, что сайты по https работают быстрее Только не говорите мне про безопасность.

К слову, я тут вспомнил кейс, когда https действительно работает быстрее (иногда на десятичные порядки), правда не в силу скорости работы реализации.

Есть один провайдер, который очень любит смотреть во внутрь трафика. Вероятно у него это получается не очень хорошо и когда соединение идет не шифрованным, передача данных адски тормозит. Как только переходишь на HTTPS или TOR, трафик начинает просто летать, т.к. в него похоже лезть пока даже не пытаются (хотя то ли еще будет с такими производителями шпионского ПО).

И таки да, Б — безопасность

Здравствуйте, Ops, Вы писали:

Ops>Понятно, что речь скорее всего только о картинках

Раз в год и картинки стреляют: http://kestas.kuliukas.com/JavaScriptImage/ — клиентсайд, https://rdot.org/forum/showthread.php?t=2780 — серверсайд.

Здравствуйте, _Raz_, Вы писали:

_R_>Да, я не понимаю...

Ок, давай попробуем без пикировки. Не понимаешь, чем этот протокол хорош с технической точки зрения (тут я могу пролить свет) или почему его так активно форсят (тут я могу только пофантазировать, поскольку с техническим аспектом, это IMO не связано)?

Здравствуйте, b0r3d0m, Вы писали:

B>Сабж.

Не понимаю, за что можно любить C++. Серьёзно, что в нём такого, что заставляет людей именно любить этот язык (а не быть вынужденными писать на нём)?

Здравствуйте, kochetkov.vladimir, Вы писали:

B>>Сабж.
KV>Не понимаю, за что можно любить C++. Серьёзно, что в нём такого, что заставляет людей именно любить этот язык (а не быть вынужденными писать на нём)?

А про какие языки ты понимаешь за что их можно любить (чтобы это не значило)? Какой твой самый любимый? Почему?

Здравствуйте, kochetkov.vladimir, Вы писали:

_>>"Любить" — это какой-то странный эмоциональный термин для инженерного форума.
KV>Т.е. ты утверждаешь, что те потоки говн, которые на протяжении многих лет здесь выливали друг на друга оппоненты всевозможных срачей на тему "whatever vs C++" — это плоды полёта холодной инженерной мысли?

Ну естественно тут на форуме полно различных необоснованных тезисов, эмоциональных псевдоаргументов и даже местами оскорблений. От этого никуда не деться. Но в большинстве случаев в ответ на такое вменяемые участники дискуссии предлагают привести конкретные технические аргументы (код, тесты и т.п.), после чего автор всего этого безобразие благополучно сливается. )

KV>Ну и потом:
KV>

Нет у меня никаких мечтаний о JS. Я собственно его совсем не люблю.

KV>https://rsdn.org/forum/flame.comp/6351296.1

Автор: alex_public
Дата: 16.02.16

KV>

Я вполне себе люблю писать на динамических языка (мой любимчик — Python)

KV>https://rsdn.org/forum/philosophy/6117076.1

Автор: alex_public
Дата: 17.07.15

KV>Ну и так далее, лень весь поиск копипастить. Так вот я это к чему... У тебя какой ник в этом вашем космополитене?

Во-первых все процитированные тобой высказывания не имели никакого отношения к непосредственно обсуждаемым там техническим темам (в обоих случае это было всего лишь утверждением о неангажированности защищаемой в дискуссии стороной, причём в виде отдельного постскриптума). А во-вторых, не смотря на наличие там слова "люблю", реальный смысл данных фраз совершенно другой, что очевидно каждому читателю. К примеру последнюю фразу можно было бы с полным сохранением смысла переписать в виде "я не чураюсь программирования с динамической типизацией". Если ты под своей фразой о любви к C++ тоже имел в виду какие-то конкретные технические вппросы, то я вполне готов подискутировать на эту тему (т.к. использую C++ на практике). Если же ты реально спрашивал про эмоции, то тут я пасс — никаких чувств к C++ у меня нет. )))

Прошу прощения, но ты забыл ответить на вот эту мысль:

_R_>>Хм, может рассказать об этом некому Кочеткову Владимиру из блога Позитив Технолоджис, статьи которого не на последних местах в той самой выдаче?
KV>Расскажи. Нет серьёзно, давай, с конкретными ссылками — обсудим.

Здравствуйте, _Raz_, Вы писали:

_R_>Вот! А потом спрашиваем про панацею. Вместо повышения квалификации админов публичных сетей проталкиваем https. Это же разные задачи.

Правильно, две разные. Решаются независимо. При чем одна решаема, а другая, про квалификацию админов — нисколько.

>Почему не прилагаются усилия для уменьшения угрозы в публичных сетях? Проблема же в их настройках, как я понял? Так почему это касается остальных? И главный вопрос — почему это навязывается всем.

Проблемы с угрозой в публичных сетях решаются органами внутренних дел. Ни гугл, ни провайдеры здесь ничего решить не могут.

KV>Не понимаю, за что можно любить C++. Серьёзно, что в нём такого, что заставляет людей именно любить этот язык (а не быть вынужденными писать на нём)?

Это да, я вот и не пишу на нем почти. Ну иногда для души возьмешься что то поковырять, так приятно блин! Волшебство какое-то!

Здравствуйте, std.denis, Вы писали:

_R_>>>Хм, может рассказать об этом некому Кочеткову Владимиру из блога Позитив Технолоджис, статьи которого не на последних местах в той самой выдаче?
KV>>Расскажи. Нет серьёзно, давай, с конкретными ссылками — обсудим.

SD>Прошу прощения, но ты забыл ответить на вот эту мысль

Прошу прощения, но не забыл.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV> почему его так активно форсят (тут я могу только пофантазировать, поскольку с техническим аспектом, это IMO не связано)?

Вот именно этот вопрос, именно так сформулированный, мне и интересен. Моей фантазии не хватает

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Не понимаю, за что можно любить C++. Серьёзно, что в нём такого, что заставляет людей именно любить этот язык (а не быть вынужденными писать на нём)?

Стокгольмский синдром Если человек когда-то разобрался, как сделать что-то на MFC, очень трудно признаться себе, что итог этого насилия над мозгом объективно очень скромный. Пишу только "MFC", чтобы не сильно обижать людей, потому что дело уже давнее...