Здравствуйте, DOOM, Вы писали:
M>>Вроде FF так и делает, если с сертификатом какие-то проблемы. Если все вообще блокировано, похоже это не только из-за поведения FF. DOO>Ну вот специально попробовал:
У меня вообще говорит что "Firefox can’t find the server at crm.ussc.ru."
Но обычно при проблемах с сертификатом он предлагает сходить на свой страх и риск добавив временный exception.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Michael7, Вы писали:
M>Сейчас не могу воспроизвести, но то ли по "подробнее", то ли "попробовать снова" есть мелким шрифтом что-то про добавление исключения. Да оно как-то сходу неочевидно запрятано, но должно быть.
Это только для самоподписанных сертификатов, с теми — да, можно выбирать.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Peregrin, Вы писали:
P>В твоем случае сертификат был отозван. Т.е. FF точно знает, что сертификат скомпрометирован и доверять ему ни в коем случае нельзя. Какой смысл предлагать добавлять его в исключения?
Такой, что на сайт надо зайти, хоть с сертификатом, хоть без. И абсолютно пофиг, если кто-то там попробует имеет небольшой шанс влезть в это подключение, ибо никакой отправки критичной для меня информации не предполагается.
А с легкой руки гугла, скоро все сайты-визитки будут по https работать, и будут отваливаться, когда хозяин забудет обновить сертификат.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Sheridan, Вы писали:
S>В смысле — "просочился"? о0
Он с некоторых пор любит в инсталляторах другого софта в виде галочки присутствовать, плюс с апдейтами флеша все время просился на комп, можно не уследить и установить. Наверное, речь про это.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Ops, Вы писали:
Ops> Такой, что на сайт надо зайти, хоть с сертификатом, хоть без. И абсолютно пофиг, если кто-то там попробует имеет небольшой шанс влезть в это подключение, ибо никакой отправки критичной для меня информации не предполагается.
Я так на одном заграничном курорте сделал открытую WiFi точку доступа на пляже и пустил трафик через прокси. Так вот, людям очень надо было (на халяву, т.к. и-нет в отеле был платный) зайти во вконтактик / ок, чтобы выложить свои пляжные фотки на зависть товаркам. Хоть с сертификатом, хоть без (и им было абсолютно пофиг на недоверенный сертификат)...
Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу. То, что некоторые браузеры убрали кнопку типа "добавить исключение" — абсолютно правильное направление развития, позволяющее эту самую ломку вылечить ("Ну не работает сайт, ну и фиг с ним, пойдем на другой, тысячи их").
Ops> А с легкой руки гугла, скоро все сайты-визитки будут по https работать, и будут отваливаться, когда хозяин забудет обновить сертификат.
Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь. В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.
I>>Удалил Касперского, https стали доступны в фаерфоксе. Что за чепуха?
САД>простите, но зачем вы пользуетесь этим г..м?
Касперским? Или https? Или фаерфоксом?
I>>>Удалил Касперского, https стали доступны в фаерфоксе. Что за чепуха?
САД>>простите, но зачем вы пользуетесь этим г..м? S>Касперским? Или https? Или фаерфоксом? S>
Здравствуйте, CaptainFlint, Вы писали:
CF>Здравствуйте, Aniskin, Вы писали:
A>>Возможно, мы говорим о разных вещах. К примеру, К поддерживает проверку файлов, проверку http, проверку https. Я могу понять, когда пользователь по каким то причинам захочет разрешить или только проверку файлов, или только проверку http/https. Но на мой взгляд разрешение проверки файлов и проверки http, но запрет проверки https выглядит несколько странным, если не бессмысленным.
CF>Любая проверка — это компромисс. В случае с HTTP негативные моменты заключаются только в дополнительной нагрузке на систему и замедлении загрузки страниц. Для HTTPS эти проблемы дополняются невозможностью ручного контроля сертификатов. То есть, улучшив один параметр безопасности, Касперский ухудшил другой параметр (я имею в виду не столько обеспечение безопасности, сколько удобство контроля: если с сертификатом что-то не то, я уже не смогу проверить его, добавить в исключения и всё такое). Поэтому вполне реально, что для кого-то проверка HTTP является приемлемым компромиссом, а проверка HTTPS — уже нет.
Мы действительно говорим о разных вещах. Повторюсь, я могу понять частные случаи. Но я не понимаю таких диалогов:
Вопрос: Я поставил антивирус (что бы он занимался контролем безопасности), но возникла проблема A, как ее решить?
Ответ: Отключи антивирус.
Здравствуйте, Peregrin, Вы писали:
P>Проигнорировать, однако, можно не любую проблему. В случае, описанном ТС, используется HSTS, который явно запрещает игнорирование невалидных сертификатов: P>
When a web application issues HSTS Policy to user agents, conformant user agents behave as follows:
P>...
P> If the security of the connection cannot be ensured (e.g. the server's TLS certificate is not trusted), show an error message and do not allow the user to access the web application.
P>Поскольку FF старается быть conformant user agent, он не позволяет игнорировать невалидный сертификат в случае HSTS.
Интересно, но это уже таки неправильно, пользователь должен иметь возможность делать все что ему захочется. Даже если это идиотизм.
Здравствуйте, Anton Batenev, Вы писали:
AB>Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу. То, что некоторые браузеры убрали кнопку типа "добавить исключение" — абсолютно правильное направление развития, позволяющее эту самую ломку вылечить ("Ну не работает сайт, ну и фиг с ним, пойдем на другой, тысячи их").
Неправильно. Это к вопросу кто кого имеет: пользователь систему или наоборот. Если пользователь идиот — это его право быть идиотом и делать глупости, браузер должен только предостеречь.
Ops>> А с легкой руки гугла, скоро все сайты-визитки будут по https работать, и будут отваливаться, когда хозяин забудет обновить сертификат.
AB>Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь. В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.
Здравствуйте, Aniskin, Вы писали:
A>Мы действительно говорим о разных вещах. Повторюсь, я могу понять частные случаи. Но я не понимаю таких диалогов:
A>Вопрос: Я поставил антивирус (что бы он занимался контролем безопасности), но возникла проблема A, как ее решить? A>Ответ: Отключи антивирус.
В исходном посте не было ни словечка о необходимости проверки HTTPS. Было, процитирую:
Поставил КАВ для проверки системы. Вирусов не находит.
То есть проверка трафика в задачу не включалась. А раз так, то возможность отключения этой проверки вполне имеет смысл, выбор лишь за пользователем: хочет он оставить проверку, но потерять контроль за сертификатами, или ему не нужна такая проверка. Я лишь напомнил про существование этого выбора.
Здравствуйте, Anton Batenev, Вы писали:
AB>Я так на одном заграничном курорте сделал открытую WiFi точку доступа на пляже и пустил трафик через прокси. Так вот, людям очень надо было (на халяву, т.к. и-нет в отеле был платный) зайти во вконтактик / ок, чтобы выложить свои пляжные фотки на зависть товаркам. Хоть с сертификатом, хоть без (и им было абсолютно пофиг на недоверенный сертификат)...
Еще раз: мне надо получить информацию, а не отправить. А браузер из-за гребаного HSTS даже по обычному http не пускает.
AB>Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу. То, что некоторые браузеры убрали кнопку типа "добавить исключение" — абсолютно правильное направление развития, позволяющее эту самую ломку вылечить ("Ну не работает сайт, ну и фиг с ним, пойдем на другой, тысячи их").
Альтернативы может не быть. И не надо решать за меня, что мне нужно, а что нет. Мне вообще эта "безопасность" нафиг не сдалась в 95% случаев, я в основном за общедоступной информацией в инет хожу.
AB>Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь.
С хостингом все плохо, а домен можно и локально прописать, если позарез. Ты бы, наверное, и эту возможность запретил — только по одобренным гуглом адресам, и ни шагу в сторону.
AB>В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.
Только срок там очень короткий, а нормально настроить для многих сложно. Но это не единственная проблема в связи с этим навязанным обсертификачиванием: кривые настройки, когда у одних пользователей работает, а у других — нет, "устаревшие" шифры, которые только тем же ТНК вроде гугла и по силам сломать.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Ops>А нет других. И свой написать нельзя, потому что ему на рынок не пробиться, а без этого он не окупится. Это называется сговор монополистов.
Насчет своего не совсем прав. Firefox можно и самому скомпилировать, отключив такое поведение. Это уж всяко проще написания нового браузера.
Вообще еще надо посмотреть, нет ли в about:config настроек, убирающих такие запреты.
Здравствуйте, Michael7, Вы писали:
P>>Поскольку FF старается быть conformant user agent, он не позволяет игнорировать невалидный сертификат в случае HSTS.
M>Интересно, но это уже таки неправильно, пользователь должен иметь возможность делать все что ему захочется. Даже если это идиотизм.
Пользователь может воспользоваться другим, non-conformant user agent. Выкатывать претензии к браузеру за то, что он пытается следовать RFC — это как-то странно.
Здравствуйте, Ops, Вы писали:
Ops>Еще раз: мне надо получить информацию, а не отправить. А браузер из-за гребаного HSTS даже по обычному http не пускает.
Еще раз: претензия не по адресу. Хозяин сервера отключил http, включил hsts, не озаботился наличием правильного сертификата, но претензия почему-то к браузеру. Очень надо получить информацию — возьми другой user agent, да тот же curl -k если прям позарез.
Здравствуйте, Peregrin, Вы писали:
P>Еще раз: претензия не по адресу. Хозяин сервера отключил http, включил hsts, не озаботился наличием правильного сертификата, но претензия почему-то к браузеру. Очень надо получить информацию — возьми другой user agent, да тот же curl -k если прям позарез.
Ты просто не понял, к чему претензия. Хозяину сервера ваш https нафиг не уперся, он бы и без него отлично жил, благо никаких данных не собирает, и вообще делает полезное дело. Но его вынудили перейти на него, просто чтобы не выпасть из поиска, который внезапно разлюбил все "незащищенные" сайты и обещает их вообще забанить, несмотря на то, что угроз доступ к ним практически не несет.
Вот зачем мне и хозяину сервера создают такие сложности?
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, Ops, Вы писали:
S>>В смысле — "просочился"? о0 Ops>Он с некоторых пор любит в инсталляторах другого софта в виде галочки присутствовать, плюс с апдейтами флеша все время просился на комп, можно не уследить и установить. Наверное, речь про это.
Здравствуйте, Ops, Вы писали:
Ops>Ты просто не понял, к чему претензия. Хозяину сервера ваш https нафиг не уперся, он бы и без него отлично жил, благо никаких данных не собирает, и вообще делает полезное дело. Но его вынудили перейти на него, просто чтобы не выпасть из поиска, который внезапно разлюбил все "незащищенные" сайты и обещает их вообще забанить, несмотря на то, что угроз доступ к ним практически не несет. Ops>Вот зачем мне и хозяину сервера создают такие сложности?
Ок, я был не в курсе, что поисковики занижают "незащищенные" сайты в выдаче, потому и недоумевал, зачем вообще нужен доступ по https для подобного рода сайтов. Поэтому у меня пару уточняющих вопросов:
1. Упадет ли сайт в выдаче, если будет доступен и по http и по https одновременно?
2. Упадет ли сайт в выдаче, если будет доступен только по https но без hsts?
