Здравствуйте, Shmj, Вы писали:
S>Так вот, введя поголовный HTTPS — провайдеров связи лишили куска пирога. Теперь их данные не особо ценны, ведь браузеры могут "нарыть" на человека намного больше и правительство будет платить Гуглу, а не провайдерам связи.
Браузер может нарыть информацию как с https так и с http.
Здравствуйте, Doom100500, Вы писали:
S>>Так вот, введя поголовный HTTPS — провайдеров связи лишили куска пирога. Теперь их данные не особо ценны, ведь браузеры могут "нарыть" на человека намного больше и правительство будет платить Гуглу, а не провайдерам связи.
D>Браузер может нарыть информацию как с https так и с http.
Здравствуйте, wl., Вы писали:
wl.>Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS. wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что? wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Считаю что HTTPS\SSL нужен везде, кроме соединения в локальной сети. Считаю что PKI с корневыми сертами в ОС немного устарела. Считаю покупка дорогих сертов не нужна. Считаю что нужно больше сервисов типа lestencrypt.
Протухание и самоподписанные серты не отменяют преимуществ SSL в виде шифрования.
Здравствуйте, wl., Вы писали:
wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Моё мнение на эту тему таково.
SSL очень активно продвигает Гугль. Тут и ранжирование поисковой выдачи, которая задвигает не-HTTPS сайты в конец списка, и запрет по дефолту не-HTTPS сайтов в гугловом бровсере на Андроиде, и не очень гласная финансовая поддержка Let's Encrypt, технологии, которая делает реализацию HTTPS простой, удобной и бесплатной для сайтов.
Гугль прежде всего америнакская компания, и основной рынок у него — США. Гугль живет с размещения рекламы в Интернете. Конкурентное преимущество Гугля заключается в том, что гугль многое знает про пользователей. Что позволяет продвигать ему адресную рекламу. Плюс, большое количество площадок, где пользователь встречается с рекламой, либо принадлежат Гуглю, либо получают рекламный контент через него.
Тут надо учесть особенности рынка доступа в Интернет в США. Подавляющее большинство пользователей получают интернет через крупные телефонные копании, такие, как AT&T, Verison и T-Mobail. Фактически, весь рынок поделен между ними; там нет кучи мелких независимых провайдеров, как, например, в России.
Незашифрованный интернет позволяет легко просмтривать пользовательский контент и профилировать пользователей. Если ты — крупный провайдер, тебе это делать удобно.
Фактически, зашифровав HTTP-траффик, Гугль отжал у америнакских интернет-провайдеров этот рынок. Под видом заботы о безопасности пользователей, разумеется.
Они, кстати, и DNS через себя пустили, стачала через 8.8.8.8, а потом и через DoH, зашифрованный DNS с HTTP-транспортом, который, как несложно догадаться, в бровсерах от Гугля включем по умолчанию и терминируется на серверах Гугля. Изучение DNS-трафика пользователей даёт очень много информации для составления профиля пользователей, которая теперь интернет-провайдерам тоже недоступна.
Здравствуйте, vsb, Вы писали:
vsb>Вот банальный Clipboard API. Это чтобы я на гитхабе нажал кнопочку и содержимое просматриваемого файла скопировалось бы в буфер обмена в исходном виде.
Если для типичного пользователя гитахаба эта возможность является сколько-нибудь важной, то мне очень печально от того, что уровень этого типичного пользователя настолько близок к уровню плинтуса.
vsb>Или Geolocation API — каждый первый магазин хочет знать, из какого я города, по вполне разумной причине (чтобы показывать мне наличие товара, например).
Здравствуйте, Stanislaw K, Вы писали:
SK>В выдаче поисковиков нет сайтов без https.
Наберите в гугле и яндексе запрос "андрей столяров" — первым пунктом будет ссылка на его личный сайт, где он принципиально не использует HTTPS (именно поэтому первым в голову и пришло).
Когда что-то вдумчиво ищу — регулярно попадаю из выдачи поисковиков на HTTP-only сайты. Ну да, поисковики ранжируют HTTPS выше, но, практически по любому мало-мальски нетривиальному запросу, первые несколько страниц один хрен забиты рекламным говном.
SK>Браузеры, с настройками по умолчанию, пугают очень страшными красными словами и просто не открывают сайты по https, без сложных телодвижений.
Вы не попутали с HTTPS и протухшим сертификатом? Я свои Firefox и Chrome никогда и ничего в этом плане не настраивал, и никаких "сложных телодвижений" не совершал — открывают без предупреждений. Разумеется, показывают заметный значок слева от адресной строки, но и только.
Если в общих чертах, в кибер-безопасности это обычное дело — перебор средств и мер и наоборот, неадекватно слабая защита. Не только потому что спецов мало, а потому что риски сложно оценить. С небезопаснической функциональностью софта всё просто — есть фидбек пользователя, и есть реакция производителя (или нет, но пользователям понятен расклад). В случае с безопасностью — это очень часто большой сюрприз, как внезапный взрыв непонятной хрени, которая моментально касается всех пользователей. В случае с TLS его отсутствия — это что-то типа использования кэша в США. Типа, да, можно при мелких покупках, но вообще — средство для бандитов.
Здравствуйте, Евгений Музыченко, Вы писали:
SK>>В выдаче поисковиков нет сайтов без https.
ЕМ>Наберите в гугле и яндексе запрос "андрей столяров" — первым пунктом будет ссылка на его личный сайт,
Шестым.
ЕМ>где он принципиально не использует HTTPS (именно поэтому первым в голову и пришло).
Первым в результатах выдачи яндекса, и что первым приходит в голову — "ФСБ" http://www.fsb.ru/ (и, кажется, "кремль" http://www.kremlin.ru/ да)
ЕМ>Когда что-то вдумчиво ищу — регулярно попадаю из выдачи поисковиков на HTTP-only сайты. Ну да, поисковики ранжируют HTTPS выше, но, практически по любому мало-мальски нетривиальному запросу, первые несколько страниц один хрен забиты рекламным говном.
(галка {никогда не показывать мне "результаты" с этого "сайта"} была бы у поисковиков киллерфичей для продвинутых)
SK>>Браузеры, с настройками по умолчанию, пугают очень страшными красными словами и просто не открывают сайты по https, без сложных телодвижений.
ЕМ>Вы не попутали с HTTPS и протухшим сертификатом? Я свои Firefox и Chrome никогда и ничего в этом плане не настраивал, и никаких "сложных телодвижений" не совершал — открывают без предупреждений. Разумеется, показывают заметный значок слева от адресной строки, но и только.
firefox да, более лоялен.
А хромоподобное постоянно показывает красные плакаты-предупреждения о "мошеннических сайтах", не дает скачать файл разнообразно "глючит", даже с локальными(!) сайтами если к ним "ходить" по именам. или по ip отличающимися от 192.168/16 (милое дело, у меня несколько в 172.32.хх.хх и много в 10.х.х.х)
и всегда оно упорно пытается перейти на https, что доставляет неудобства и тормозит.
Здравствуйте, cppguard, Вы писали:
wl.>>Зачем их заставили выписывать сертификаты для соединения?
C>Никто не заставлял. Без HTTPS любой посредник в цепочке передачи пакетов может прочитать и/или подменить входящую и исходящую информацию. Чем это плохо, должно быть очевидно.
Да нет, не должно быть. Кто-то вместе со мной прочитает статью в википедии? Да и пусть его читает. Кто-то подменит мой пост на RSDN? Экспериментом установлено, что это никому не нужно; с другой стороны, да и шут бы с ним, подменяй. Так что нет, совершенно не очевидно, чем это плохо.
Здравствуйте, Anton Batenev, Вы писали:
wl.>> по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
AB>Считаю, что TLS (или любая другая технология защиты от MITM) должны быть абсолютно везде, где идет передача к-л данных.
Здравствуйте, Stanislaw K, Вы писали:
SK>А хромоподобное постоянно показывает красные плакаты-предупреждения о "мошеннических сайтах"
Ни разу такого не видел именно на факт использования HTTP — оно реагирует на содержимое, рейтинг и подобное.
SK>разнообразно "глючит", даже с локальными(!) сайтами если к ним "ходить" по именам.
Ну, в этом есть определенный смысл — при том, что в большинстве локалок имеет место бардак, нетрудно поднять на каком-нибудь узле сайт-ловушку для доверчивых соседей.
SK>и всегда оно упорно пытается перейти на https, что доставляет неудобства и тормозит.
Здравствуйте, wl., Вы писали:
wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Я не считаю, я знаю, что некоторые пидорасы, вроде Билайна, встраивали в HTTP-трафик свою рекламу. С https это не получится.
Здравствуйте, Евгений Музыченко, Вы писали:
SK>>разнообразно "глючит", даже с локальными(!) сайтами если к ним "ходить" по именам.
ЕМ>Ну, в этом есть определенный смысл — при том, что в большинстве локалок имеет место бардак, нетрудно поднять на каком-нибудь узле сайт-ловушку для доверчивых соседей.
Какие у вас криминальные мыслишки...
SK>>и всегда оно упорно пытается перейти на https, что доставляет неудобства и тормозит.
ЕМ>"Оно" — это кто,
хромоподобное.
ЕМ>и как именно "пытается"?
У меня иногда встречается что на хосте на 80 порту висит один сервис, а на 443 другой сервис. хромоподелки всё время пытаются без спросу "перейти на защищенный".
Здравствуйте, Слава, Вы писали:
wl.>>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
С>Я не считаю, я знаю, что некоторые пидорасы, вроде Билайна, встраивали в HTTP-трафик свою рекламу. С https это не получится.
ну ради бога, я же вовсе не против шифрования, мне не очень понятен смысл, зачем для этого нужны сертификаты, заверенные удостоверяющим центром. Вот это — лишнее звено.
Как будто всех сгребли под одну гребенку, что банки, что хомяков
Здравствуйте, wl., Вы писали:
С>>Я не считаю, я знаю, что некоторые пидорасы, вроде Билайна, встраивали в HTTP-трафик свою рекламу. С https это не получится.
wl.>ну ради бога, я же вовсе не против шифрования, мне не очень понятен смысл, зачем для этого нужны сертификаты, заверенные удостоверяющим центром. Вот это — лишнее звено. wl.>Как будто всех сгребли под одну гребенку, что банки, что хомяков
А как по-твоему можно шифровать без защиты от mitm?
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Pzz, Вы писали:
Pzz> Звучит, как религиозная догма.
Это просто новая реальность, у которой даже есть свое название "zero-trust". И появилось оно не на пустом месте а благодаря множеству инцидентов с разной степенью урона.
