Здравствуйте, Ops, Вы писали:

Ops> Еще раз: мне надо получить информацию, а не отправить. А браузер из-за гребаного HSTS даже по обычному http не пускает.

Гнев. Получить, отправить — здесь без разницы. А HSTS обычно включают не просто так, а именно для того, чтобы защитить своих пользователей от непреднамеренного хождения по http.

Ops> AB>Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу.
Ops> Альтернативы может не быть. И не надо решать за меня, что мне нужно, а что нет. Мне вообще эта "безопасность" нафиг не сдалась в 95% случаев, я в основном за общедоступной информацией в инет хожу.

Отрицание. Не имеет никакого значения за какого рода информацией ты ходишь в интернет — HTTPS он не про это.

Ops> AB>Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь.
Ops> С хостингом все плохо, а домен можно и локально прописать, если позарез. Ты бы, наверное, и эту возможность запретил — только по одобренным гуглом адресам, и ни шагу в сторону.

Торг. Ты уже умеешь править hosts. Еще немного терпения и жажды познания и научишься управляться с сертификатами. Прогресс сделал розетки недоступными большинству детей — умирают самые одаренные.

Ops> AB>В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.
Ops> Только срок там очень короткий, а нормально настроить для многих сложно. Но это не единственная проблема в связи с этим навязанным обсертификачиванием: кривые настройки, когда у одних пользователей работает, а у других — нет, "устаревшие" шифры, которые только тем же ТНК вроде гугла и по силам сломать.

Депрессия и принятие неизбежного.

Короткий срок сертификатов от LE сделан намеренно для стимулирования автоматизации. Раньше как было — купил сертификат на год-два, благополучно про него забыл и он истек — сайт потерял трафик, пользователи огорчены и т.д. С LE ты пару-тройку раз забудешь, руками это все повыписываешь, тебе надоест, ты найдешь 10 минут и сделаешь чтобы все было автоматически — все счастливы.

Ничего сложного в настройках LE нет — реально пара команд + куча "мурзилок" разной степени полезности в интернете + для совсем уж ленивых его уже поддерживают практически все панели управления. Если человек смог создать и настроить сайт, то с LE точно справится.

Google / Mozilla здесь являются лишь локомотивами для решения давно назревших общих проблем, а не инициаторами этих проблем (как некоторым может показаться). Пройдет некоторое время и о HTTP мы будем вспоминать как о каких-нибудь BBS сегодня.

P.S. Попробую пованговать, следующим шагом гугла будет учет в ранжировании доступности сайта по IPv6.

Здравствуйте, Michael7, Вы писали:

M> AB>Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу. То, что некоторые браузеры убрали кнопку типа "добавить исключение" — абсолютно правильное направление развития, позволяющее эту самую ломку вылечить ("Ну не работает сайт, ну и фиг с ним, пойдем на другой, тысячи их").
M> Неправильно. Это к вопросу кто кого имеет: пользователь систему или наоборот. Если пользователь идиот — это его право быть идиотом и делать глупости, браузер должен только предостеречь.

Предупреждения не работают. При чем не работают не просто среди "массового пользователя", который составляет пожалуй процентов 90, но и в профессиональной среде (там процент чуть ниже, но все равно очень большой, хотя казалось бы).

Потакание пользователям в игнорировании предупреждений приводит к:

* проблемам самого пользователя (но на его проблемы обычно как раз всем пофиг)
* негативному PR для браузера — пользователь обычно считает виноватым кого угодно только не себя.
* лишней головной боли для владельца сайта (дополнительная нагрузка на саппорт, откат финансовых транзакций, так же страдает репутация).

Тем не менее для профессионалов всегда остается возможность обойти все эти ограничения. Например, у хрома есть (по крайней мере были, пока сертификаты были платные) ключи командной строки, которые позволяли отключить подобные проверки (и еще много чего). У FF список HSTS сайтов хранится в обычном текстовом файле. Все браузеры позволяют открыть "Приватную вкладку", где не учитывались бы данные (типа Strict-Transport-Security) предыдущих сеансов. В конечном итоге у нас есть curl и telnet (или openssl s_client если мы говорим про https).

Для обычного массового пользователя это все крайне неудобно и, поскольку человек ленив по своей природе, это скорее всего его остановит от глупости. У людей, которые с этим постоянно работают, все нужные профили/ключи/версии запускаются по хоткеям и не доставляют никаких неудобств.

M> Ops>> А с легкой руки гугла, скоро все сайты-визитки будут по https работать, и будут отваливаться, когда хозяин забудет обновить сертификат.
M> AB>Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь. В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.
M> С LE не совсем все так просто на практике.

Чего уж проще — одна команда на выписку, другая на продление, один дополнительный location в nginx (или его аналог).

Здравствуйте, Peregrin, Вы писали:

P> 1. Упадет ли сайт в выдаче, если будет доступен и по http и по https одновременно?
P> 2. Упадет ли сайт в выдаче, если будет доступен только по https но без hsts?

На все три вопроса для хорошего сайта ответ "нет". Первый не заданный вопрос должен был быть "Упадет ли сайт в выдаче, если будет доступен только по http". Правда есть одно "но" — сайт становится хорошим, когда им занимаются, холят и лелеют и в этом случае владелец сайта сам придет к тому, чтобы он был доступен по HTTPS с учетом современных реалий.

Здравствуйте, Anton Batenev, Вы писали:

AB>Гнев. Получить, отправить — здесь без разницы. А HSTS обычно включают не просто так, а именно для того, чтобы защитить своих пользователей от непреднамеренного хождения по http.

Нет. Оно в большинстве случаев сделано из-за того, что авторитетные гуру-безопасники говорят, что так хорошо и правильно, а всякие ssltest дают при его наличии выше оценку. Изучать же, зачем это нужно, владельцу сайта совсем не обязательно, он просто копипастит готовый конфиг.

AB>Отрицание. Не имеет никакого значения за какого рода информацией ты ходишь в интернет — HTTPS он не про это.
Так зачем его навязывают там, где не про это?

AB>Торг. Ты уже умеешь править hosts. Еще немного терпения и жажды познания и научишься управляться с сертификатами. Прогресс сделал розетки недоступными большинству детей — умирают самые одаренные.
И он же сделал 10 разных стандартов на розетки, требующие костылей-переходников при поездках, а при их отсутствии, лишающих тебя к ним доступа.

AB>Короткий срок сертификатов от LE сделан намеренно для стимулирования автоматизации. Раньше как было — купил сертификат на год-два, благополучно про него забыл и он истек — сайт потерял трафик, пользователи огорчены и т.д. С LE ты пару-тройку раз забудешь, руками это все повыписываешь, тебе надоест, ты найдешь 10 минут и сделаешь чтобы все было автоматически — все счастливы.

Раньше не надо было никакого сертификата. Не надо решать выдуманные проблемы.

AB>Google / Mozilla здесь являются лишь локомотивами для решения давно назревших общих проблем, а не инициаторами этих проблем (как некоторым может показаться). Пройдет некоторое время и о HTTP мы будем вспоминать как о каких-нибудь BBS сегодня.

Да нет никаких проблем у сайта-визитки. Покажи мне хоть один пример, когда против подобного сайта проводилась MITM атака.

AB>P.S. Попробую пованговать, следующим шагом гугла будет учет в ранжировании доступности сайта по IPv6.

И по обязательному заголовку "Ку, Гугл" с приседанием.

Здравствуйте, Ops, Вы писали:

Ops> Нет. Оно в большинстве случаев сделано из-за того, что авторитетные гуру-безопасники говорят, что так хорошо и правильно, а всякие ssltest дают при его наличии выше оценку. Изучать же, зачем это нужно, владельцу сайта совсем не обязательно, он просто копипастит готовый конфиг.

Бывает и такое, увы. Но это не только к HTTPS относится, но и абсолютно ко всему остальному. По этому я бы не стал здесь выделять copy-paste головного мозга в отдельную категорию.

Ops> AB>Google / Mozilla здесь являются лишь локомотивами для решения давно назревших общих проблем, а не инициаторами этих проблем (как некоторым может показаться). Пройдет некоторое время и о HTTP мы будем вспоминать как о каких-нибудь BBS сегодня.
Ops> Да нет никаких проблем у сайта-визитки. Покажи мне хоть один пример, когда против подобного сайта проводилась MITM атака.

Пока ты не поймешь, что во всей этой экосистеме есть не только сайт визитка, но и ты, как потребитель контента, и сеть, как общая среда передачи данных, и другие участники этой сети, и все это как-то постоянно взаимодействует, ты не сможешь понять зачем это нужно и какие проблемы решаются.

В классической схеме "Алиса-Боб" нет ничего про "сайт визитку" Алисы или про то, что Боб потребляет только официально разрешенный в его стране контент, или про то, что Мэллори есть какое-то дело до отношений этих двух личностей.

Ops> AB>P.S. Попробую пованговать, следующим шагом гугла будет учет в ранжировании доступности сайта по IPv6.
Ops> И по обязательному заголовку "Ку, Гугл" с приседанием.

Еще раз — гугл и компания здесь всего лишь локомотив для решения общих давно назревших проблем, а не единоличный диктатор-самодур.

Здравствуйте, Anton Batenev, Вы писали:

AB>В классической схеме "Алиса-Боб" нет ничего про "сайт визитку" Алисы или про то, что Боб потребляет только официально разрешенный в его стране контент, или про то, что Мэллори есть какое-то дело до отношений этих двух личностей.

Так это потому, что схема очень далека от реального мира, в котором есть и сайты-визитки, и неуловимые Джо, и техническая сложность такого рода атак, и юридические законы.
На практике, в 99% случаев Боб с Алисой могут вообще ничего не предпринимать, поскольку всем насрать, что они друг другу пишут. А из-за риска в 1% случаев, вы насильно заставляете и все остальные "защищать", что от безысходности люди и делают как умеют.
Это такая попытка заработать на консалтинге, окучив побольше народу? Или в чем твоя выгода, что ты это так поддерживаешь?

AB>Еще раз — гугл и компания здесь всего лишь локомотив для решения общих давно назревших проблем, а не единоличный диктатор-самодур.

Это у вас были проблемы, у меня не было, пока вы свои решать за мой счет не начали.

Здравствуйте, Ops, Вы писали:

Ops> Это такая попытка заработать на консалтинге, окучив побольше народу? Или в чем твоя выгода, что ты это так поддерживаешь?

Моя личная выгода в том, что мой личный трафик не летает по сети открытым текстом и не подлежит изменению. Потому что меня парит возможность подсунуть в код загружаемой мной страницы какой-нибудь тупой рекламный банер, возможность отслеживать мои интересы/перемещения/etc совершенно посторонними по отношению к трафику людьми и т.д. Тут я не говорю про передачу сколь-либо чувствительных данных (сайты с авторизацией, специализированные сайты типа сайтов клиник, страховых компаний), т.к. для их передачи защищенный канал должен использоваться без вариантов.

Моя выгода в том, что в сети развелось слишком много "мусорных" сайтов, не несущих полезной нагрузки (дорвеи, сателлиты, "отправь SMS"), т.к. их созданием может заниматься любой школьник. Если небольшое повышение (технологическое и/или финансовое) порога вхождения в сайтостроение приведет к отмиранию части подобных сайтов, мне придется тратить меньше времени при поиске нужной мне информации.

Моя выгода в том, что в РФ принимаются очень плохие (мягко говоря) законы в области регулирования сети и поддержка/распространение/разработка технологий, которые бы делали подобные законы абсурдными (или хотя бы нивелировали их негативный эффект) — это такая своеобразная гражданская позиция.

Я был бы не против, если бы мне за это платили (и желательно на соседнем континенте), т.к. хорошо зарабатывать любимым делом — мечта наверное любого человека. Но данный процесс не является сколь-либо технологически сложным или уникальным, по этому особо на нем не заработаешь.

Ops> AB>Еще раз — гугл и компания здесь всего лишь локомотив для решения общих давно назревших проблем, а не единоличный диктатор-самодур.
Ops> Это у вас были проблемы, у меня не было, пока вы свои решать за мой счет не начали.

Ты просто о них не подозревал

Здравствуйте, Anton Batenev, Вы писали:

AB>Ты просто о них не подозревал

Вот это и хорошо. Я, как тупой пользователь, ничего и не должен о них подозревать. И пока это бурление "за безопасность" не началось, так и было. А теперь то сайт не откроешь, то браузер неправильный (прямо как во времена войны с ослом, ага). Но виноватыми оказываются все, кроме тех, кто эту волну гонит.