Поставил КАВ для проверки системы. Вирусов не находит.
Но зато на все https (и на гугл в том числе) теперь firefox выдает:

Your connection is not secure

The owner of www.google.com has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.

This site uses HTTP Strict Transport Security (HSTS) to specify that Firefox may only connect to it securely. As a result, it is not possible to add an exception for this certificate.

Сейчас удалю Касперского, посмотрю на результат.

UPD:

Удалил Касперского, https стали доступны в фаерфоксе. Что за чепуха?

Здравствуйте, ivan2016, Вы писали:

I>Удалил Касперского, https стали доступны в фаерфоксе. Что за чепуха?
Касперский выступает в роли дополнительного прокси, чтобы просматривать зашифрованный трафик. Файрфокс не доверяет сертификату, который использует капсерский для реализации легального MITM. Отсюда и блокировка доступа.

Т.е. блокирует доступ не касперский, а браузер из-за жестких настроек HTTPS и отсутствия доверия сертификату каспера.

Здравствуйте, ivan2016, Вы писали:

I>Но зато на все https (и на гугл в том числе) теперь firefox выдает:

КАВ, скажем так, осуществляет MITM, подсовывая свой сертификат. Что бы проблем не было, нужно ставить его сертификат ручками в хранилище FF.

Здравствуйте, Aniskin, Вы писали:

A>КАВ, скажем так, осуществляет MITM, подсовывая свой сертификат. Что бы проблем не было, нужно ставить его сертификат ручками в хранилище FF.

Или отключить проверку HTTPS в Касперском.

Здравствуйте, ivan2016, Вы писали:

Попробуй очистить SiteSecurityServiceState.txt в профиле.

Здравствуйте, ivan2016, Вы писали:

i> Поставил КАВ для проверки системы. Вирусов не находит.
i> Но зато на все https (и на гугл в том числе) теперь firefox выдает:
i> Your connection is not secure

Правильно говорит.

i> Удалил Касперского, https стали доступны в фаерфоксе. Что за чепуха?

Касперский для сбора телеметрии и отсылки куда надо а так же вставки рекламных банеров в код страницы осуществляет MITM-атаку, а единственное предназначение HTTPS — это защита от подобных атак. По этому надо или отключить этот функционал (можно вместе с удалением поганца), или прогнуться поставив его сертификат в список доверенных и постараться получать удовольствие.

А на стороне сервера, возможно ли его настроить так, чтобы в подобных случаях был редирект на ту же страницу, но http?

Озадачился переводом сайта на https, но вот из-за таких приколов как-то это не радует. Начал разбираться, и не смог зайти из хрома (Windows XP) на один из сайтов, посвященных SSL в деталях — ошибка несоответствия шифров ERR_SSL_VERSION_OR_CIPHER_MISMATCH. На Windows 7 проблем с заходом нет. Причем сайт первым в поиске вылез.

Если уж переводить на https, то делать, чтобы в случае ошибок был автоматический редирект на http. Вот только возможно ли это?

Здравствуйте, prrt, Вы писали:

p> А на стороне сервера, возможно ли его настроить так, чтобы в подобных случаях был редирект на ту же страницу, но http?

Тут два ответа:

1) Нет, невозможно т.к. сервер в этот момент ничего не знает о том, что происходит на стороне клиента.
2) Это противоречит базовому предназначению HTTPS.

p> Озадачился переводом сайта на https, но вот из-за таких приколов как-то это не радует. Начал разбираться, и не смог зайти из хрома (Windows XP) на один из сайтов, посвященных SSL в деталях — ошибка несоответствия шифров ERR_SSL_VERSION_OR_CIPHER_MISMATCH.

Если скажешь название сайта, можно посмотреть точнее, т.к. там может быть много причин: нет поддержки SNI, нет поддержки сертификатов SHA-256 без какого-то обновления, поддерживаются далеко не все современные шифры.

Можешь сам вставить название сайта в SSL Server Test и посмотреть результат.

p> Если уж переводить на https, то делать, чтобы в случае ошибок был автоматический редирект на http. Вот только возможно ли это?

Если тебе требуется поддержка устаревших\неподдерживаемых ОС\браузеров, то придется несколько заморочиться (выделенный IP для сайта, набор шифров с fallback на поддерживаемыми данными ОС\браузерами).

Здравствуйте, Anton Batenev, Вы писали:

AB>Касперский для сбора телеметрии и отсылки куда надо а так же вставки рекламных банеров в код страницы осуществляет MITM-атаку, а единственное предназначение HTTPS — это защита от подобных атак.

Не единственное.

Здравствуйте, Anton Batenev, Вы писали:

AB>Если скажешь название сайта, можно посмотреть точнее, т.к. там может быть много причин: нет поддержки SNI, нет поддержки сертификатов SHA-256 без какого-то обновления, поддерживаются далеко не все современные шифры.
AB>Можешь сам вставить название сайта в SSL Server Test и посмотреть результат.
Сайт вот этот — https://dxdt.ru
Ну и как раз мой случай: Chrome 49 / XP SP3 Server sent fatal alert: handshake_failure

AB>Если тебе требуется поддержка устаревших\неподдерживаемых ОС\браузеров, то придется несколько заморочиться (выделенный IP для сайта, набор шифров с fallback на поддерживаемыми данными ОС\браузерами).
Выделенный IP — это не проблема, это и так есть. А вот по поводу fallback шифров хотелось бы узнать поподробнее — набор шифров же задаётся исключительно конфигурацией сервера (т.е. это зона ответственности openssl)? Или еще и сам покупаемый сертификат не каждый подойдет? Если всё-таки переводить, то покупать сертификат придется, т.к. нужен wildcard, на все поддомены тоже.
А поддержка всего старого нужна. Иногда на работе стоит старьё, админы не обновляют специально, т.к. не нужно. Таких людей мало, но терять их не хотелось бы.

В идеале хотелось бы сделать базовую простейшую http версия сайта, которая работает всегда и везде, и https для современных браузеров и систем. Вот только проблема в том, что если из поиска кто-то перейдет по https ссылке, и сайт не откроется, то сам он вряд ли исправит адрес на http.

Здравствуйте, Aniskin, Вы писали:

A>Здравствуйте, ivan2016, Вы писали:

I>>Но зато на все https (и на гугл в том числе) теперь firefox выдает:

A>КАВ, скажем так, осуществляет MITM, подсовывая свой сертификат. Что бы проблем не было, нужно ставить его сертификат ручками в хранилище FF.

А какие проблемы с безопасностью возможны если добавить сертификат вручную в броузер? Вот скажем если случится настоящий mitm (кроме mitm касперского), файерфокс ругаться же уже не будет?

Здравствуйте, IID, Вы писали:

IID>Не единственное.

Здравствуйте, DOOM, Вы писали:

DOO>Здравствуйте, ivan2016, Вы писали:

I>>Удалил Касперского, https стали доступны в фаерфоксе. Что за чепуха?
DOO>Касперский выступает в роли дополнительного прокси, чтобы просматривать зашифрованный трафик. Файрфокс не доверяет сертификату, который использует капсерский для реализации легального MITM. Отсюда и блокировка доступа.

DOO>Т.е. блокирует доступ не касперский, а браузер из-за жестких настроек HTTPS и отсутствия доверия сертификату каспера.

Интересно почему касперский сам не добавляет свои сертификаты во все установленные браузеры, неужели рассчитывают что пользователи будут сами во всем разбираться? Или добавляет?

Здравствуйте, DOOM, Вы писали:

DOO>Т.е. блокирует доступ не касперский, а браузер из-за жестких настроек HTTPS и отсутствия доверия сертификату каспера.
Как по мне так браузер как раз делает всё правильно.

Здравствуйте, prrt, Вы писали:

p> AB>Можешь сам вставить название сайта в SSL Server Test и посмотреть результат.
p> Сайт вот этот — https://dxdt.ru
p> Ну и как раз мой случай: Chrome 49 / XP SP3 Server sent fatal alert: handshake_failure

А, ну тут все просто — "кривой" набор шифров на сервере. Этот сайт не только в XP не откроется, но и, скажем, в Opera Presto вне зависимости от ОС.

p> AB>Если тебе требуется поддержка устаревших\неподдерживаемых ОС\браузеров, то придется несколько заморочиться (выделенный IP для сайта, набор шифров с fallback на поддерживаемыми данными ОС\браузерами).
p> Выделенный IP — это не проблема, это и так есть. А вот по поводу fallback шифров хотелось бы узнать поподробнее — набор шифров же задаётся исключительно конфигурацией сервера (т.е. это зона ответственности openssl)? Или еще и сам покупаемый сертификат не каждый подойдет? Если всё-таки переводить, то покупать сертификат придется, т.к. нужен wildcard, на все поддомены тоже.

Сертификаты сейчас только SHA-256, и для их поддержки в XP нужен Service Pack 3. По этому с технической точки зрения у тебя здесь выбора нет. Дальше тебе нужно проверить, что корневой сертификат того центра сертификации, у которого ты будешь приобретать сертификат, присутствует в нужной тебе ОС/браузере (у некоторых браузеров собственные наборы корневых сертификатов отличающиеся от системных). Большинство центров имеют сводную табличку по поддержке типа такой, такой, или такой.

Возможный набор шифров задается пересечением множеств поддерживаемых шифров клиента и сервера. Конкретный шифр выбирается или сервером, если на сервере установлена соответствующая настройка (обычно установлена), или первым из пересечения.

Что касается самих шифров, то если ты не силен в расшифровке селекторов типа:

kEECDH+AES128:kEECDH+AES256:kRSA+AES128:kRSA+AES256:!aNULL

то просто идешь по знакомой ссылке скажем для google.com и явно прописываешь шифры в порядке их следования. Например, конфигурация для nginx:

server {
    listen [::]:443 ssl default_server ipv6only=off;

    server_name example.com *.example.com;

    ssl_certificate           /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key       /etc/nginx/ssl/example.com.key;
    ssl_dhparam               /etc/nginx/ssl/dh2048.pem;
    ssl_session_cache         shared:SSL:1m;
    ssl_session_timeout       5m;
    ssl_protocols             TLSv1 TLSv1.1 TLSv1.2;
    ssl_ciphers               ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-CBC-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:...;
    ssl_prefer_server_ciphers on;
...
}

Проверяешь на всякий случай через вызов:

$ openssl ciphers -v 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-CBC-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:...'

На выходе у тебя должен получиться тот же набор шифров (или меньше в зависимости от openssl) в том же порядке.

Тут весь смысл в том, что сначала идут PFS ECDHE-* шифры (при чем AES128 перед AES256, т.к. AES256 раза в два медленней, а стойкость у него близка к AES128) для современных браузеров, потом обычные RSA-* для Android / Opera Presto, и последний шанс в виде 3DES дается совсем уж древним клиентам (IE 8 / XP). Список шифров "имени гугла", конечно же, не является последней истиной и ты волен составлять список по своему усмотрению, но в интернет-гигантах обычно данный вопрос тщательно исследуют на предмет поддержки разного рода legacy (и сертификат у них обычно от "правильного" центра сертификации).

Строка с явным заданием списка шифров достаточно большая, по этому можно ее сократить написав селектор. Всякие CAMELIA, PSK, SRP, SEED и GOST (если вдруг он каким-то чудом пробрался в список поддерживаемых) можно смело выпиливать (по аналогии с "!aNULL"), т.к. ими никто не пользуется.

Файл dh2048.pem получается вызовом типа:

$ openssl dhparam -out /etc/nginx/ssl/dh2048.pem 2048

и не является обязательным (в этом случае будет использовано значение по умолчанию).

p> В идеале хотелось бы сделать базовую простейшую http версия сайта, которая работает всегда и везде, и https для современных браузеров и систем. Вот только проблема в том, что если из поиска кто-то перейдет по https ссылке, и сайт не откроется, то сам он вряд ли исправит адрес на http.

Если я правильно понимаю текущие тенденции, то скоро у HTTP-сайтов не будет шансов открыться в современном браузере и тебе придется делать выбор "или-или". Доля HTTPS трафика уже более 50% и растет.

Здравствуйте, IID, Вы писали:

IID> AB>Касперский для сбора телеметрии и отсылки куда надо а так же вставки рекламных банеров в код страницы осуществляет MITM-атаку, а единственное предназначение HTTPS — это защита от подобных атак.
IID> Не единственное.

Здравствуйте, kochetkov.vladimir, Вы писали:

KV>Здравствуйте, IID, Вы писали:

IID>>Не единственное.

KV>

Ещё прослушка (sniffing).
От MITM можно защититься просто подписав пакеты, не шифруя их.

Здравствуйте, Михaил, Вы писали:

М>А какие проблемы с безопасностью возможны если добавить сертификат вручную в броузер? Вот скажем если случится настоящий mitm (кроме mitm касперского), файерфокс ругаться же уже не будет?

Я думаю, в этом случае руганется сам Касперкий. Не проверял.

Здравствуйте, CaptainFlint, Вы писали:

CF>Или отключить проверку HTTPS в Касперском.

Не совсем понятно, для чего ставить программу для контроля безопасности, но при этом не давать ей контролировать безопасность.

Здравствуйте, Anton Batenev, Вы писали:

p>> Сайт вот этот — https://dxdt.ru
p>> Ну и как раз мой случай: Chrome 49 / XP SP3 Server sent fatal alert: handshake_failure
AB>А, ну тут все просто — "кривой" набор шифров на сервере. Этот сайт не только в XP не откроется, но и, скажем, в Opera Presto вне зависимости от ОС.

Шаман, однако! (c)

P.S. Только что проверил — для Opera Presto этого сайта как будто не существует, зато в Firefox он открывается без проблем.

Здравствуйте, Михaил, Вы писали:


DOO>>Т.е. блокирует доступ не касперский, а браузер из-за жестких настроек HTTPS и отсутствия доверия сертификату каспера.

М>Интересно почему касперский сам не добавляет свои сертификаты во все установленные браузеры, неужели рассчитывают что пользователи будут сами во всем разбираться? Или добавляет?

А кто ж ему даст? Может, и хотел бы, но...

Здравствуйте, Михaил, Вы писали:

М>Интересно почему касперский сам не добавляет свои сертификаты во все установленные браузеры, неужели рассчитывают что пользователи будут сами во всем разбираться? Или добавляет?
Предположу, что в системное хранилище сертификатов таки добавляет, но Firefox слишком крут, чтобы пользоваться системным и он держит свое

Здравствуйте, CreatorCray, Вы писали:

CC>Здравствуйте, DOOM, Вы писали:

DOO>>Т.е. блокирует доступ не касперский, а браузер из-за жестких настроек HTTPS и отсутствия доверия сертификату каспера.
CC>Как по мне так браузер как раз делает всё правильно.
Как по мне — решать должен я, а не браузер. А то и получается, что гугл поссорился со StartSLL — и что? Мне теперь на половину сайтов просто не зайти?

Здравствуйте, IID, Вы писали:

IID>Здравствуйте, kochetkov.vladimir, Вы писали:

KV>>Здравствуйте, IID, Вы писали:

IID>>>Не единственное.

KV>>

IID>Ещё прослушка (sniffing).
IID>От MITM можно защититься просто подписав пакеты, не шифруя их.

Зануда моде он: вообще, MITM — скорее техника, которая позволяет реализовывать различные атаки на протоколы — в том числе прослушку (при успешном MITM как раз нет проблемы трафик слушать, что и нужно касперу).
Если говорить об атаках на протокол, то там как раз есть перехват (sniffing, taping), модификация, реплей атаки (когда я пересылаю пакет из другого сеанса и он, внезапно, работает, пусть даже содержимое зашифровано и я не умею его расшифровать), спуфинг (подмена адресата), отказ в обслуживании (ну и так понятно), спамминг (по сути, DoS, но на семантическом уровне).

Server side SSL в данном случае защищает от спуфинга сервера, от пассивного перехвата, от модификации, от реплея (из-за короткоживущего сеансового ключа), сильно усложняет атаки на отказ в обслуживании (если конечная цель — сервис, а не канал или промежуточное оборудование).

Здравствуйте, ivan2016, Вы писали:

I>Поставил КАВ для проверки системы. Вирусов не находит.
I>Но зато на все https (и на гугл в том числе) теперь firefox выдает:
I>Your connection is not secure
А мне ФФ такое и без КАВ выдает. Правда, маккафи на комп когда-то просочился. Может, он гадит?

Здравствуйте, DOOM, Вы писали:

DOO>Как по мне — решать должен я, а не браузер.
Ты ещё airbag в машине сам решай когда раскрывать а когда нет.

Браузеру подсовывают левый сертификат и он ему совершенно справедливо не верит.
В этом его работа и заключается — проверять надёжность соединения до того как юзер по нему что нить важное передавать начнёт.

Здравствуйте, IID, Вы писали:

IID>Ещё прослушка (sniffing).
IID>От MITM можно защититься просто подписав пакеты, не шифруя их.

Только не от MitM, а от spoofing'а. MitM же используется для обозначения всех возможных последствий неавторизованного взаимодействия с защищённым каналом, включая и sniffing, и spoofing.

Здравствуйте, Aniskin, Вы писали:

CF>>Или отключить проверку HTTPS в Касперском.

A>Не совсем понятно, для чего ставить программу для контроля безопасности, но при этом не давать ей контролировать безучастность.

Например, чтобы она контролировала лишь те факторы, которые я хочу, чтобы она контролировала. Иначе зачем вообще существуют KAV и KIS? Оставить только KTS и выпилить оттуда все опции, а то ишь чего выдумали, безопасность свою под угрозу ставить…

Здравствуйте, CreatorCray, Вы писали:


CC>Ты ещё airbag в машине сам решай когда раскрывать а когда нет.
Внезапно косвенно я решаю — могу ремень не пристегнуть, если ССЗБ и не сработает

CC>Браузеру подсовывают левый сертификат и он ему совершенно справедливо не верит.
CC>В этом его работа и заключается — проверять надёжность соединения до того как юзер по нему что нить важное передавать начнёт.
Угу. Про Start SSL, естественно, проигнорировал.

Браузер может меня предупреждать. Настойчиво предупреждать. Но решение должно быть за мной.
И да — браузер должен выдать мне максимум информации про проблему с сертификатом, чтобы я мог принять корректное решение, а хром сейчас не дает никакой информации: либо ты признаешь за ним правоту, либо отключаешь жесктий режим и должен доверять вслепую.

Здравствуйте, Mihas, Вы писали:

M> Правда, маккафи на комп когда-то просочился.

В смысле — "просочился"? о0

Здравствуйте, CreatorCray, Вы писали:

CC>Ты ещё airbag в машине сам решай когда раскрывать а когда нет.
Обычно я так и делаю...

Здравствуйте, DOOM, Вы писали:

DOO>Браузер может меня предупреждать. Настойчиво предупреждать. Но решение должно быть за мной.
DOO>И да — браузер должен выдать мне максимум информации про проблему с сертификатом, чтобы я мог принять корректное решение, а хром сейчас не дает никакой информации: либо ты признаешь за ним правоту, либо отключаешь жесктий режим и должен доверять вслепую.

Вроде FF так и делает, если с сертификатом какие-то проблемы. Если все вообще блокировано, похоже это не только из-за поведения FF.

Здравствуйте, Michael7, Вы писали:

M>Вроде FF так и делает, если с сертификатом какие-то проблемы. Если все вообще блокировано, похоже это не только из-за поведения FF.
Ну вот специально попробовал:

Нельзя ему сказать, чтоб забил.
Да и информация — типа пользователь должен понять, что значит SEC_ERROR_REVOKED_CERTIFICATE? Ссылка "подробнее", как и в хроме, ведет на общую статью про HTTPS и никакого реально более подробного объяснения там не найти.

И я напомню, как это выглядело в том же IE6, который ругали все кому не лень:


Мне показывали:
1. Экспресс диагностику валидности сертификата с указанием проблем человеческим языком.
2. У меня была возможность посмотреть сертификат, чтобы изучить проблему более подробно
3. У меня был выбор игнорировать проблему или нет.

Здравствуйте, CaptainFlint, Вы писали:

CF>>>Или отключить проверку HTTPS в Касперском.

A>>Не совсем понятно, для чего ставить программу для контроля безопасности, но при этом не давать ей контролировать безучастность.

CF>Например, чтобы она контролировала лишь те факторы, которые я хочу, чтобы она контролировала. Иначе зачем вообще существуют KAV и KIS? Оставить только KTS и выпилить оттуда все опции, а то ишь чего выдумали, безопасность свою под угрозу ставить…

Возможно, мы говорим о разных вещах. К примеру, К поддерживает проверку файлов, проверку http, проверку https. Я могу понять, когда пользователь по каким то причинам захочет разрешить или только проверку файлов, или только проверку http/https. Но на мой взгляд разрешение проверки файлов и проверки http, но запрет проверки https выглядит несколько странным, если не бессмысленным.

Здравствуйте, DOOM, Вы писали:

DOO>Ну вот специально попробовал:

Я точно помню, что FF позволяет проигнорировать проблему сертификата. А если нажать ссылку "подробнее"?

Здравствуйте, DOOM, Вы писали:

DOO>Да и информация — типа пользователь должен понять, что значит SEC_ERROR_REVOKED_CERTIFICATE? Ссылка "подробнее", как и в хроме, ведет на общую статью про HTTPS и никакого реально более подробного объяснения там не найти.

Сейчас не могу воспроизвести, но то ли по "подробнее", то ли "попробовать снова" есть мелким шрифтом что-то про добавление исключения. Да оно как-то сходу неочевидно запрятано, но должно быть.

Здравствуйте, Aniskin, Вы писали:

A>Возможно, мы говорим о разных вещах. К примеру, К поддерживает проверку файлов, проверку http, проверку https. Я могу понять, когда пользователь по каким то причинам захочет разрешить или только проверку файлов, или только проверку http/https. Но на мой взгляд разрешение проверки файлов и проверки http, но запрет проверки https выглядит несколько странным, если не бессмысленным.

Любая проверка — это компромисс. В случае с HTTP негативные моменты заключаются только в дополнительной нагрузке на систему и замедлении загрузки страниц. Для HTTPS эти проблемы дополняются невозможностью ручного контроля сертификатов. То есть, улучшив один параметр безопасности, Касперский ухудшил другой параметр (я имею в виду не столько обеспечение безопасности, сколько удобство контроля: если с сертификатом что-то не то, я уже не смогу проверить его, добавить в исключения и всё такое). Поэтому вполне реально, что для кого-то проверка HTTP является приемлемым компромиссом, а проверка HTTPS — уже нет.

Здравствуйте, ivan2016, Вы писали:

I>Поставил КАВ для проверки системы. Вирусов не находит.

классическая MITM атака. с такими антивирусами никакие вирусы не нужны..

Здравствуйте, DOOM, Вы писали:

M>>Вроде FF так и делает, если с сертификатом какие-то проблемы. Если все вообще блокировано, похоже это не только из-за поведения FF.
DOO>Ну вот специально попробовал:
DOO>Image: 87307-clip-28kb.png
DOO>Нельзя ему сказать, чтоб забил.
Сказать чтобы забил можно тогда, когда FF не доверяет сертификату, потому что тот подписан неизвестным лицом. Это сделано для того, чтобы можно было тестировать что-то свое используя самоподписанные сертификаты.
DOO>Да и информация — типа пользователь должен понять, что значит SEC_ERROR_REVOKED_CERTIFICATE? Ссылка "подробнее", как и в хроме, ведет на общую статью про HTTPS и никакого реально более подробного объяснения там не найти.
В твоем случае сертификат был отозван. Т.е. FF точно знает, что сертификат скомпрометирован и доверять ему ни в коем случае нельзя. Какой смысл предлагать добавлять его в исключения?

DOO>И я напомню, как это выглядело в том же IE6, который ругали все кому не лень:
DOO>https://www.sslshopper.com/assets/images/ie6-certificate-not-trusted.png

DOO>Мне показывали:
DOO>1. Экспресс диагностику валидности сертификата с указанием проблем человеческим языком.
DOO>2. У меня была возможность посмотреть сертификат, чтобы изучить проблему более подробно
DOO>3. У меня был выбор игнорировать проблему или нет.

FF тоже показывает эту инфу в случае сертификата, подписанного хз кем:
1. FF указывает проблему человеческим языком (The certificate is not trusted because it is self-signed.)
2. Если нажать на SEC_ERROR_UNKNOWN_ISSUER можно посмотреть сертификат и изучить проблему более подробно.
3. Можно проигнорировать проблему нажав кнопку Add Exception...

Проигнорировать, однако, можно не любую проблему. В случае, описанном ТС, используется HSTS, который явно запрещает игнорирование невалидных сертификатов:

When a web application issues HSTS Policy to user agents, conformant user agents behave as follows:
...
If the security of the connection cannot be ensured (e.g. the server's TLS certificate is not trusted), show an error message and do not allow the user to access the web application.

Поскольку FF старается быть conformant user agent, он не позволяет игнорировать невалидный сертификат в случае HSTS.

I>Удалил Касперского, https стали доступны в фаерфоксе. Что за чепуха?

простите, но зачем вы пользуетесь этим г..м?

Здравствуйте, DOOM, Вы писали:

M>>Вроде FF так и делает, если с сертификатом какие-то проблемы. Если все вообще блокировано, похоже это не только из-за поведения FF.
DOO>Ну вот специально попробовал:

У меня вообще говорит что "Firefox can’t find the server at crm.ussc.ru."
Но обычно при проблемах с сертификатом он предлагает сходить на свой страх и риск добавив временный exception.

Здравствуйте, Michael7, Вы писали:

M>Сейчас не могу воспроизвести, но то ли по "подробнее", то ли "попробовать снова" есть мелким шрифтом что-то про добавление исключения. Да оно как-то сходу неочевидно запрятано, но должно быть.

Это только для самоподписанных сертификатов, с теми — да, можно выбирать.

Здравствуйте, Peregrin, Вы писали:

P>В твоем случае сертификат был отозван. Т.е. FF точно знает, что сертификат скомпрометирован и доверять ему ни в коем случае нельзя. Какой смысл предлагать добавлять его в исключения?

Такой, что на сайт надо зайти, хоть с сертификатом, хоть без. И абсолютно пофиг, если кто-то там попробует имеет небольшой шанс влезть в это подключение, ибо никакой отправки критичной для меня информации не предполагается.
А с легкой руки гугла, скоро все сайты-визитки будут по https работать, и будут отваливаться, когда хозяин забудет обновить сертификат.

Здравствуйте, Sheridan, Вы писали:

S>В смысле — "просочился"? о0

Он с некоторых пор любит в инсталляторах другого софта в виде галочки присутствовать, плюс с апдейтами флеша все время просился на комп, можно не уследить и установить. Наверное, речь про это.

Здравствуйте, Ops, Вы писали:

Ops> Такой, что на сайт надо зайти, хоть с сертификатом, хоть без. И абсолютно пофиг, если кто-то там попробует имеет небольшой шанс влезть в это подключение, ибо никакой отправки критичной для меня информации не предполагается.

Я так на одном заграничном курорте сделал открытую WiFi точку доступа на пляже и пустил трафик через прокси. Так вот, людям очень надо было (на халяву, т.к. и-нет в отеле был платный) зайти во вконтактик / ок, чтобы выложить свои пляжные фотки на зависть товаркам. Хоть с сертификатом, хоть без (и им было абсолютно пофиг на недоверенный сертификат)...

Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу. То, что некоторые браузеры убрали кнопку типа "добавить исключение" — абсолютно правильное направление развития, позволяющее эту самую ломку вылечить ("Ну не работает сайт, ну и фиг с ним, пойдем на другой, тысячи их").

Ops> А с легкой руки гугла, скоро все сайты-визитки будут по https работать, и будут отваливаться, когда хозяин забудет обновить сертификат.

Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь. В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.

Здравствуйте, DOOM, Вы писали:

DOO>И да — браузер должен выдать мне максимум информации про проблему с сертификатом

Браузер лично вам ничего не должен. Не нравится — используйте другой/напишите свой.

Здравствуйте, СвободуАнжелеДевис, Вы писали:


I>>Удалил Касперского, https стали доступны в фаерфоксе. Что за чепуха?

САД>простите, но зачем вы пользуетесь этим г..м?
Касперским? Или https? Или фаерфоксом?

I>>>Удалил Касперского, https стали доступны в фаерфоксе. Что за чепуха?

САД>>простите, но зачем вы пользуетесь этим г..м?
S>Касперским? Или https? Или фаерфоксом?
S>

касперским, конечно же

Здравствуйте, CaptainFlint, Вы писали:

CF>Здравствуйте, Aniskin, Вы писали:

A>>Возможно, мы говорим о разных вещах. К примеру, К поддерживает проверку файлов, проверку http, проверку https. Я могу понять, когда пользователь по каким то причинам захочет разрешить или только проверку файлов, или только проверку http/https. Но на мой взгляд разрешение проверки файлов и проверки http, но запрет проверки https выглядит несколько странным, если не бессмысленным.

CF>Любая проверка — это компромисс. В случае с HTTP негативные моменты заключаются только в дополнительной нагрузке на систему и замедлении загрузки страниц. Для HTTPS эти проблемы дополняются невозможностью ручного контроля сертификатов. То есть, улучшив один параметр безопасности, Касперский ухудшил другой параметр (я имею в виду не столько обеспечение безопасности, сколько удобство контроля: если с сертификатом что-то не то, я уже не смогу проверить его, добавить в исключения и всё такое). Поэтому вполне реально, что для кого-то проверка HTTP является приемлемым компромиссом, а проверка HTTPS — уже нет.

Мы действительно говорим о разных вещах. Повторюсь, я могу понять частные случаи. Но я не понимаю таких диалогов:

Вопрос: Я поставил антивирус (что бы он занимался контролем безопасности), но возникла проблема A, как ее решить?
Ответ: Отключи антивирус.

Здравствуйте, Peregrin, Вы писали:

P>Проигнорировать, однако, можно не любую проблему. В случае, описанном ТС, используется HSTS, который явно запрещает игнорирование невалидных сертификатов:
P>

When a web application issues HSTS Policy to user agents, conformant user agents behave as follows:
P>...
P> If the security of the connection cannot be ensured (e.g. the server's TLS certificate is not trusted), show an error message and do not allow the user to access the web application.

P>Поскольку FF старается быть conformant user agent, он не позволяет игнорировать невалидный сертификат в случае HSTS.

Интересно, но это уже таки неправильно, пользователь должен иметь возможность делать все что ему захочется. Даже если это идиотизм.

Здравствуйте, Anton Batenev, Вы писали:

AB>Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу. То, что некоторые браузеры убрали кнопку типа "добавить исключение" — абсолютно правильное направление развития, позволяющее эту самую ломку вылечить ("Ну не работает сайт, ну и фиг с ним, пойдем на другой, тысячи их").

Неправильно. Это к вопросу кто кого имеет: пользователь систему или наоборот. Если пользователь идиот — это его право быть идиотом и делать глупости, браузер должен только предостеречь.

Ops>> А с легкой руки гугла, скоро все сайты-визитки будут по https работать, и будут отваливаться, когда хозяин забудет обновить сертификат.

AB>Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь. В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.

С LE не совсем все так просто на практике.

Здравствуйте, Aniskin, Вы писали:

A>Мы действительно говорим о разных вещах. Повторюсь, я могу понять частные случаи. Но я не понимаю таких диалогов:

A>Вопрос: Я поставил антивирус (что бы он занимался контролем безопасности), но возникла проблема A, как ее решить?
A>Ответ: Отключи антивирус.

В исходном посте не было ни словечка о необходимости проверки HTTPS. Было, процитирую:

Поставил КАВ для проверки системы. Вирусов не находит.

То есть проверка трафика в задачу не включалась. А раз так, то возможность отключения этой проверки вполне имеет смысл, выбор лишь за пользователем: хочет он оставить проверку, но потерять контроль за сертификатами, или ему не нужна такая проверка. Я лишь напомнил про существование этого выбора.

Здравствуйте, Anton Batenev, Вы писали:

AB>Я так на одном заграничном курорте сделал открытую WiFi точку доступа на пляже и пустил трафик через прокси. Так вот, людям очень надо было (на халяву, т.к. и-нет в отеле был платный) зайти во вконтактик / ок, чтобы выложить свои пляжные фотки на зависть товаркам. Хоть с сертификатом, хоть без (и им было абсолютно пофиг на недоверенный сертификат)...

Еще раз: мне надо получить информацию, а не отправить. А браузер из-за гребаного HSTS даже по обычному http не пускает.

AB>Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу. То, что некоторые браузеры убрали кнопку типа "добавить исключение" — абсолютно правильное направление развития, позволяющее эту самую ломку вылечить ("Ну не работает сайт, ну и фиг с ним, пойдем на другой, тысячи их").

Альтернативы может не быть. И не надо решать за меня, что мне нужно, а что нет. Мне вообще эта "безопасность" нафиг не сдалась в 95% случаев, я в основном за общедоступной информацией в инет хожу.

AB>Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь.

С хостингом все плохо, а домен можно и локально прописать, если позарез. Ты бы, наверное, и эту возможность запретил — только по одобренным гуглом адресам, и ни шагу в сторону.

AB>В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.

Только срок там очень короткий, а нормально настроить для многих сложно. Но это не единственная проблема в связи с этим навязанным обсертификачиванием: кривые настройки, когда у одних пользователей работает, а у других — нет, "устаревшие" шифры, которые только тем же ТНК вроде гугла и по силам сломать.

Здравствуйте, mogikanin, Вы писали:

M>Браузер лично вам ничего не должен. Не нравится — используйте другой/напишите свой.

А нет других. И свой написать нельзя, потому что ему на рынок не пробиться, а без этого он не окупится. Это называется сговор монополистов.

Здравствуйте, Ops, Вы писали:


Ops>А нет других. И свой написать нельзя, потому что ему на рынок не пробиться, а без этого он не окупится. Это называется сговор монополистов.

Насчет своего не совсем прав. Firefox можно и самому скомпилировать, отключив такое поведение. Это уж всяко проще написания нового браузера.
Вообще еще надо посмотреть, нет ли в about:config настроек, убирающих такие запреты.

Здравствуйте, Michael7, Вы писали:

P>>Поскольку FF старается быть conformant user agent, он не позволяет игнорировать невалидный сертификат в случае HSTS.

M>Интересно, но это уже таки неправильно, пользователь должен иметь возможность делать все что ему захочется. Даже если это идиотизм.

Пользователь может воспользоваться другим, non-conformant user agent. Выкатывать претензии к браузеру за то, что он пытается следовать RFC — это как-то странно.

Здравствуйте, Ops, Вы писали:

Ops>Еще раз: мне надо получить информацию, а не отправить. А браузер из-за гребаного HSTS даже по обычному http не пускает.

Еще раз: претензия не по адресу. Хозяин сервера отключил http, включил hsts, не озаботился наличием правильного сертификата, но претензия почему-то к браузеру. Очень надо получить информацию — возьми другой user agent, да тот же curl -k если прям позарез.

Здравствуйте, Peregrin, Вы писали:

P>Еще раз: претензия не по адресу. Хозяин сервера отключил http, включил hsts, не озаботился наличием правильного сертификата, но претензия почему-то к браузеру. Очень надо получить информацию — возьми другой user agent, да тот же curl -k если прям позарез.

Ты просто не понял, к чему претензия. Хозяину сервера ваш https нафиг не уперся, он бы и без него отлично жил, благо никаких данных не собирает, и вообще делает полезное дело. Но его вынудили перейти на него, просто чтобы не выпасть из поиска, который внезапно разлюбил все "незащищенные" сайты и обещает их вообще забанить, несмотря на то, что угроз доступ к ним практически не несет.
Вот зачем мне и хозяину сервера создают такие сложности?

Здравствуйте, Ops, Вы писали:

S>>В смысле — "просочился"? о0
Ops>Он с некоторых пор любит в инсталляторах другого софта в виде галочки присутствовать, плюс с апдейтами флеша все время просился на комп, можно не уследить и установить. Наверное, речь про это.

Ох как далеки от меня все эти виндопроблемы...

Здравствуйте, Ops, Вы писали:

Ops>Ты просто не понял, к чему претензия. Хозяину сервера ваш https нафиг не уперся, он бы и без него отлично жил, благо никаких данных не собирает, и вообще делает полезное дело. Но его вынудили перейти на него, просто чтобы не выпасть из поиска, который внезапно разлюбил все "незащищенные" сайты и обещает их вообще забанить, несмотря на то, что угроз доступ к ним практически не несет.
Ops>Вот зачем мне и хозяину сервера создают такие сложности?
Ок, я был не в курсе, что поисковики занижают "незащищенные" сайты в выдаче, потому и недоумевал, зачем вообще нужен доступ по https для подобного рода сайтов. Поэтому у меня пару уточняющих вопросов:
1. Упадет ли сайт в выдаче, если будет доступен и по http и по https одновременно?
2. Упадет ли сайт в выдаче, если будет доступен только по https но без hsts?

Здравствуйте, Ops, Вы писали:

Ops> Еще раз: мне надо получить информацию, а не отправить. А браузер из-за гребаного HSTS даже по обычному http не пускает.

Гнев. Получить, отправить — здесь без разницы. А HSTS обычно включают не просто так, а именно для того, чтобы защитить своих пользователей от непреднамеренного хождения по http.

Ops> AB>Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу.
Ops> Альтернативы может не быть. И не надо решать за меня, что мне нужно, а что нет. Мне вообще эта "безопасность" нафиг не сдалась в 95% случаев, я в основном за общедоступной информацией в инет хожу.

Отрицание. Не имеет никакого значения за какого рода информацией ты ходишь в интернет — HTTPS он не про это.

Ops> AB>Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь.
Ops> С хостингом все плохо, а домен можно и локально прописать, если позарез. Ты бы, наверное, и эту возможность запретил — только по одобренным гуглом адресам, и ни шагу в сторону.

Торг. Ты уже умеешь править hosts. Еще немного терпения и жажды познания и научишься управляться с сертификатами. Прогресс сделал розетки недоступными большинству детей — умирают самые одаренные.

Ops> AB>В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.
Ops> Только срок там очень короткий, а нормально настроить для многих сложно. Но это не единственная проблема в связи с этим навязанным обсертификачиванием: кривые настройки, когда у одних пользователей работает, а у других — нет, "устаревшие" шифры, которые только тем же ТНК вроде гугла и по силам сломать.

Депрессия и принятие неизбежного.

Короткий срок сертификатов от LE сделан намеренно для стимулирования автоматизации. Раньше как было — купил сертификат на год-два, благополучно про него забыл и он истек — сайт потерял трафик, пользователи огорчены и т.д. С LE ты пару-тройку раз забудешь, руками это все повыписываешь, тебе надоест, ты найдешь 10 минут и сделаешь чтобы все было автоматически — все счастливы.

Ничего сложного в настройках LE нет — реально пара команд + куча "мурзилок" разной степени полезности в интернете + для совсем уж ленивых его уже поддерживают практически все панели управления. Если человек смог создать и настроить сайт, то с LE точно справится.

Google / Mozilla здесь являются лишь локомотивами для решения давно назревших общих проблем, а не инициаторами этих проблем (как некоторым может показаться). Пройдет некоторое время и о HTTP мы будем вспоминать как о каких-нибудь BBS сегодня.

P.S. Попробую пованговать, следующим шагом гугла будет учет в ранжировании доступности сайта по IPv6.

Здравствуйте, Michael7, Вы писали:

M> AB>Это я к тому, что желание зайти на сайт любой ценой сродни тому, как наркоман в ломке ищет дозу. То, что некоторые браузеры убрали кнопку типа "добавить исключение" — абсолютно правильное направление развития, позволяющее эту самую ломку вылечить ("Ну не работает сайт, ну и фиг с ним, пойдем на другой, тысячи их").
M> Неправильно. Это к вопросу кто кого имеет: пользователь систему или наоборот. Если пользователь идиот — это его право быть идиотом и делать глупости, браузер должен только предостеречь.

Предупреждения не работают. При чем не работают не просто среди "массового пользователя", который составляет пожалуй процентов 90, но и в профессиональной среде (там процент чуть ниже, но все равно очень большой, хотя казалось бы).

Потакание пользователям в игнорировании предупреждений приводит к:

* проблемам самого пользователя (но на его проблемы обычно как раз всем пофиг)
* негативному PR для браузера — пользователь обычно считает виноватым кого угодно только не себя.
* лишней головной боли для владельца сайта (дополнительная нагрузка на саппорт, откат финансовых транзакций, так же страдает репутация).

Тем не менее для профессионалов всегда остается возможность обойти все эти ограничения. Например, у хрома есть (по крайней мере были, пока сертификаты были платные) ключи командной строки, которые позволяли отключить подобные проверки (и еще много чего). У FF список HSTS сайтов хранится в обычном текстовом файле. Все браузеры позволяют открыть "Приватную вкладку", где не учитывались бы данные (типа Strict-Transport-Security) предыдущих сеансов. В конечном итоге у нас есть curl и telnet (или openssl s_client если мы говорим про https).

Для обычного массового пользователя это все крайне неудобно и, поскольку человек ленив по своей природе, это скорее всего его остановит от глупости. У людей, которые с этим постоянно работают, все нужные профили/ключи/версии запускаются по хоткеям и не доставляют никаких неудобств.

M> Ops>> А с легкой руки гугла, скоро все сайты-визитки будут по https работать, и будут отваливаться, когда хозяин забудет обновить сертификат.
M> AB>Хозяин так же может забыть оплатить доменное имя или хостинг и мало кого это расстраивает. Ну добавится сертификат, подумаешь. В случае, если сертификат от LE, так его вообще можно автоматически продлять — один раз настроил и забыл.
M> С LE не совсем все так просто на практике.

Чего уж проще — одна команда на выписку, другая на продление, один дополнительный location в nginx (или его аналог).

Здравствуйте, Peregrin, Вы писали:

P> 1. Упадет ли сайт в выдаче, если будет доступен и по http и по https одновременно?
P> 2. Упадет ли сайт в выдаче, если будет доступен только по https но без hsts?

На все три вопроса для хорошего сайта ответ "нет". Первый не заданный вопрос должен был быть "Упадет ли сайт в выдаче, если будет доступен только по http". Правда есть одно "но" — сайт становится хорошим, когда им занимаются, холят и лелеют и в этом случае владелец сайта сам придет к тому, чтобы он был доступен по HTTPS с учетом современных реалий.

Здравствуйте, Anton Batenev, Вы писали:

AB>Гнев. Получить, отправить — здесь без разницы. А HSTS обычно включают не просто так, а именно для того, чтобы защитить своих пользователей от непреднамеренного хождения по http.

Нет. Оно в большинстве случаев сделано из-за того, что авторитетные гуру-безопасники говорят, что так хорошо и правильно, а всякие ssltest дают при его наличии выше оценку. Изучать же, зачем это нужно, владельцу сайта совсем не обязательно, он просто копипастит готовый конфиг.

AB>Отрицание. Не имеет никакого значения за какого рода информацией ты ходишь в интернет — HTTPS он не про это.
Так зачем его навязывают там, где не про это?

AB>Торг. Ты уже умеешь править hosts. Еще немного терпения и жажды познания и научишься управляться с сертификатами. Прогресс сделал розетки недоступными большинству детей — умирают самые одаренные.
И он же сделал 10 разных стандартов на розетки, требующие костылей-переходников при поездках, а при их отсутствии, лишающих тебя к ним доступа.

AB>Короткий срок сертификатов от LE сделан намеренно для стимулирования автоматизации. Раньше как было — купил сертификат на год-два, благополучно про него забыл и он истек — сайт потерял трафик, пользователи огорчены и т.д. С LE ты пару-тройку раз забудешь, руками это все повыписываешь, тебе надоест, ты найдешь 10 минут и сделаешь чтобы все было автоматически — все счастливы.

Раньше не надо было никакого сертификата. Не надо решать выдуманные проблемы.

AB>Google / Mozilla здесь являются лишь локомотивами для решения давно назревших общих проблем, а не инициаторами этих проблем (как некоторым может показаться). Пройдет некоторое время и о HTTP мы будем вспоминать как о каких-нибудь BBS сегодня.

Да нет никаких проблем у сайта-визитки. Покажи мне хоть один пример, когда против подобного сайта проводилась MITM атака.

AB>P.S. Попробую пованговать, следующим шагом гугла будет учет в ранжировании доступности сайта по IPv6.

И по обязательному заголовку "Ку, Гугл" с приседанием.

Здравствуйте, Ops, Вы писали:

Ops> Нет. Оно в большинстве случаев сделано из-за того, что авторитетные гуру-безопасники говорят, что так хорошо и правильно, а всякие ssltest дают при его наличии выше оценку. Изучать же, зачем это нужно, владельцу сайта совсем не обязательно, он просто копипастит готовый конфиг.

Бывает и такое, увы. Но это не только к HTTPS относится, но и абсолютно ко всему остальному. По этому я бы не стал здесь выделять copy-paste головного мозга в отдельную категорию.

Ops> AB>Google / Mozilla здесь являются лишь локомотивами для решения давно назревших общих проблем, а не инициаторами этих проблем (как некоторым может показаться). Пройдет некоторое время и о HTTP мы будем вспоминать как о каких-нибудь BBS сегодня.
Ops> Да нет никаких проблем у сайта-визитки. Покажи мне хоть один пример, когда против подобного сайта проводилась MITM атака.

Пока ты не поймешь, что во всей этой экосистеме есть не только сайт визитка, но и ты, как потребитель контента, и сеть, как общая среда передачи данных, и другие участники этой сети, и все это как-то постоянно взаимодействует, ты не сможешь понять зачем это нужно и какие проблемы решаются.

В классической схеме "Алиса-Боб" нет ничего про "сайт визитку" Алисы или про то, что Боб потребляет только официально разрешенный в его стране контент, или про то, что Мэллори есть какое-то дело до отношений этих двух личностей.

Ops> AB>P.S. Попробую пованговать, следующим шагом гугла будет учет в ранжировании доступности сайта по IPv6.
Ops> И по обязательному заголовку "Ку, Гугл" с приседанием.

Еще раз — гугл и компания здесь всего лишь локомотив для решения общих давно назревших проблем, а не единоличный диктатор-самодур.

Здравствуйте, Anton Batenev, Вы писали:

AB>В классической схеме "Алиса-Боб" нет ничего про "сайт визитку" Алисы или про то, что Боб потребляет только официально разрешенный в его стране контент, или про то, что Мэллори есть какое-то дело до отношений этих двух личностей.

Так это потому, что схема очень далека от реального мира, в котором есть и сайты-визитки, и неуловимые Джо, и техническая сложность такого рода атак, и юридические законы.
На практике, в 99% случаев Боб с Алисой могут вообще ничего не предпринимать, поскольку всем насрать, что они друг другу пишут. А из-за риска в 1% случаев, вы насильно заставляете и все остальные "защищать", что от безысходности люди и делают как умеют.
Это такая попытка заработать на консалтинге, окучив побольше народу? Или в чем твоя выгода, что ты это так поддерживаешь?

AB>Еще раз — гугл и компания здесь всего лишь локомотив для решения общих давно назревших проблем, а не единоличный диктатор-самодур.

Это у вас были проблемы, у меня не было, пока вы свои решать за мой счет не начали.

Здравствуйте, Ops, Вы писали:

Ops> Это такая попытка заработать на консалтинге, окучив побольше народу? Или в чем твоя выгода, что ты это так поддерживаешь?

Моя личная выгода в том, что мой личный трафик не летает по сети открытым текстом и не подлежит изменению. Потому что меня парит возможность подсунуть в код загружаемой мной страницы какой-нибудь тупой рекламный банер, возможность отслеживать мои интересы/перемещения/etc совершенно посторонними по отношению к трафику людьми и т.д. Тут я не говорю про передачу сколь-либо чувствительных данных (сайты с авторизацией, специализированные сайты типа сайтов клиник, страховых компаний), т.к. для их передачи защищенный канал должен использоваться без вариантов.

Моя выгода в том, что в сети развелось слишком много "мусорных" сайтов, не несущих полезной нагрузки (дорвеи, сателлиты, "отправь SMS"), т.к. их созданием может заниматься любой школьник. Если небольшое повышение (технологическое и/или финансовое) порога вхождения в сайтостроение приведет к отмиранию части подобных сайтов, мне придется тратить меньше времени при поиске нужной мне информации.

Моя выгода в том, что в РФ принимаются очень плохие (мягко говоря) законы в области регулирования сети и поддержка/распространение/разработка технологий, которые бы делали подобные законы абсурдными (или хотя бы нивелировали их негативный эффект) — это такая своеобразная гражданская позиция.

Я был бы не против, если бы мне за это платили (и желательно на соседнем континенте), т.к. хорошо зарабатывать любимым делом — мечта наверное любого человека. Но данный процесс не является сколь-либо технологически сложным или уникальным, по этому особо на нем не заработаешь.

Ops> AB>Еще раз — гугл и компания здесь всего лишь локомотив для решения общих давно назревших проблем, а не единоличный диктатор-самодур.
Ops> Это у вас были проблемы, у меня не было, пока вы свои решать за мой счет не начали.

Ты просто о них не подозревал

Здравствуйте, Anton Batenev, Вы писали:

AB>Ты просто о них не подозревал

Вот это и хорошо. Я, как тупой пользователь, ничего и не должен о них подозревать. И пока это бурление "за безопасность" не началось, так и было. А теперь то сайт не откроешь, то браузер неправильный (прямо как во времена войны с ослом, ага). Но виноватыми оказываются все, кроме тех, кто эту волну гонит.