Реально ли гугл опускает в серпе сайты без https сейчас? Есть ли смысл устанавливать его на сайте с программами для Windows? Гугл прислал пару писем, что из-за форм с запросом email (восстановление ключей и прочий саппорт) Crome пометит сайты как неблагонадежные сайты.
Здравствуйте, telavi, Вы писали:
T>Реально ли гугл опускает в серпе сайты без https сейчас? Есть ли смысл устанавливать его на сайте с программами для Windows? Гугл прислал пару писем, что из-за форм с запросом email (восстановление ключей и прочий саппорт) Crome пометит сайты как неблагонадежные сайты.
https бесполезен и не защищает пользователя, конторы, занимающиеся персонифицированным фишингом, тратят на пользователя до 20 долларов, это позволят окупить любые сертификаты, хоть по 500 баксов от Симантика.
Здравствуйте, telavi, Вы писали:
T>Гугл прислал пару писем, что из-за форм с запросом email (восстановление ключей и прочий саппорт) Crome пометит сайты как неблагонадежные сайты.
Здравствуйте, extazy42, Вы писали:
E>Здравствуйте, telavi, Вы писали:
E>https бесполезен и не защищает пользователя, конторы, занимающиеся персонифицированным фишингом, тратят на пользователя до 20 долларов, это позволят окупить любые сертификаты, хоть по 500 баксов от Симантика.
Поясните свою мысль? Как минимум, https защищает ваши логин/пароль/номер кредитки в открытых сетях, и не позволяет кому-то подменить сайт, на который вы заходите, фальшивым.
Здравствуйте, telavi, Вы писали:
t> Реально ли гугл опускает в серпе сайты без https сейчас?
Если и да, то на уровне статистической погрешности. Убедительных доказательств этому пока не встречалось.
t> Есть ли смысл устанавливать его на сайте с программами для Windows?
E>>https бесполезен и не защищает пользователя, конторы, занимающиеся персонифицированным фишингом, тратят на пользователя до 20 долларов, это позволят окупить любые сертификаты, хоть по 500 баксов от Симантика.
М>Поясните свою мысль? Как минимум, https защищает ваши логин/пароль/номер кредитки в открытых сетях, и не позволяет кому-то подменить сайт, на который вы заходите, фальшивым.
И вы таки считаете, что все юзеры, заходя на сайт с https — тут же кидаются проверять кем и кому выдан сертификат и делают это каждый раз при заходе на сайт? Кроме программистов никто и не знает о сертификатах. Поэтому никакой защиты от фишинга они не дают.
Это просто способ выжать лишнюю денежку — сейчас всех подсадят на бесплатные сертификаты от летсенкрипта — а потом введут плату.
T>И вы таки считаете, что все юзеры, заходя на сайт с https — тут же кидаются проверять кем и кому выдан сертификат и делают это каждый раз при заходе на сайт?
Здравствуйте, Михaил, Вы писали:
М>Поясните свою мысль? Как минимум, https защищает ваши логин/пароль/номер кредитки в открытых сетях, и не позволяет кому-то подменить сайт, на который вы заходите, фальшивым.
Здравствуйте, std.denis, Вы писали:
SD>Плохой пример. Все три современных браузера, которые есть под рукой (safari, chrome, firefox) отобразили второй вариант как http://www.xn--sberbnk-6fg.ru/en/individualclients
E>>>https бесполезен и не защищает пользователя, конторы, занимающиеся персонифицированным фишингом, тратят на пользователя до 20 долларов, это позволят окупить любые сертификаты, хоть по 500 баксов от Симантика.
М>>Поясните свою мысль? Как минимум, https защищает ваши логин/пароль/номер кредитки в открытых сетях, и не позволяет кому-то подменить сайт, на который вы заходите, фальшивым.
T>И вы таки считаете, что все юзеры, заходя на сайт с https — тут же кидаются проверять кем и кому выдан сертификат и делают это каждый раз при заходе на сайт? Кроме программистов никто и не знает о сертификатах. Поэтому никакой защиты от фишинга они не дают.
https защищает от прослушивания и подмены трафика между браузером и сайтом назначения, более того, браузер сам проверяет соответствие сертификата и сайта в адресной строке. Кстати, насколько я знаю, не все мобильные браузеры показывают разницу между платным сертификатом и бесплатным (DV), поэтому по сути между ними разницы особой нет.
https не защитит от фишинга. Если ты зашел на сайт PayPal.vasyan.xyz и в сертификате указан этот же адрес, то https промолчит (от фишинга защищает база фишинговых сайтов, которая есть в каждом браузере и такие сайты после создания в нее попадают в течение 2-х суток).
https не защищает от прослушивания твоего трафика антивирусами и АНБ (антивирусам это нужно для вылавливания вирусов, поэтому они ставят свой сертификат в браузер, ну, а у контор, которые ловят террористов свои методы).
Зато HTTPS защищает от подмены и прослушивания трафика мамкиными хацкерами и ушлыми провайдерами (например, предоставляющими бесплатный доступ в интернет в метро), которые вставляют в закачиваемые страницы свои скрипты для сбора статистики и показа рекламы. В том числе HTTPS защитит от прослушивания третьими лицами данных, вводимых в формах (явки, логины, пароли, имена домашних питомцев, номера кредиток, адреса доставки товара из интернет магазина). Данные из браузера пойдут на сервер получателя и никто другой их не увидит. Впрочем из-за TLS SNI, адрес сайта, к которому идет подключение, похоже, можно увидеть и с https, но только домен, да и то, только при первом подключении.
В общем, если хочешь, чтобы в страницы твоего сайта провайдер клиента не вставлял свои скрипты и данные из форм не утекали чужим дядям — используй HTTPS. Достаточно LetsEncrypt, причем его нужно только один раз настроить, дальше сертификат будет обновляться скриптами, но если хочется заморочек — плати денег и делай все руками.
T>Это просто способ выжать лишнюю денежку — сейчас всех подсадят на бесплатные сертификаты от летсенкрипта — а потом введут плату.
Cisco, Google, Mozilla сговорились, чтобы отжать бизнес у компаний, выдающих сертификаты? Очень сомневаюсь.
Здравствуйте, telavi, Вы писали:
T>Реально ли гугл опускает в серпе сайты без https сейчас? Есть ли смысл устанавливать его на сайте с программами для Windows? Гугл прислал пару писем, что из-за форм с запросом email (восстановление ключей и прочий саппорт) Crome пометит сайты как неблагонадежные сайты.