Как отмечается, начиная с марта пользователи начнут получать уведомления при попытке загрузить файл с незащищённого сервера. Будет говориться о загрузке «сомнительного контента». Начиная с июня, система будет принудительно блокировать загрузку файлов с расширением .exe, а также начнёт сообщать о «сомнительности» ZIP-архивов и ISO-образов.
В будущем список ещё больше расширится. А с выходом Chrome 86 в октябре все закачки по протоколу HTTP заблокируют.
Кто сидит на последнем хроме, как там с закачками по HTTP, запрещает уже?
Что это вообще такое за беспредел? У меня статика на сайте сплошная, зачем мне HTTPS?
Re: Google Chrome будет блокировать загрузку файлов по HTTP
Здравствуйте, vsb, Вы писали:
ДП>>Что это вообще такое за беспредел? У меня статика на сайте сплошная, зачем мне HTTPS?
vsb>Чтобы провайдер не подменил юзеру закачку.
Это проблема между провайдером и юзером, нефига меня впутывать в их взаимоотношения.
Re[3]: Google Chrome будет блокировать загрузку файлов по HTTP
Здравствуйте, Sharowarsheg, Вы писали:
vsb>>Чтобы провайдер не подменил юзеру закачку.
S>Это проблема между провайдером и юзером, нефига меня впутывать в их взаимоотношения.
ну тогда дайте юзеру инструкции как скачать ваш файл через другой браузер, раз уж на его безопасность и собственную репутацию вам плевать.
Re[3]: Google Chrome будет блокировать загрузку файлов по HTTP
Здравствуйте, Sharowarsheg, Вы писали:
ДП>>>Что это вообще такое за беспредел? У меня статика на сайте сплошная, зачем мне HTTPS?
vsb>>Чтобы провайдер не подменил юзеру закачку.
S>Это проблема между провайдером и юзером, нефига меня впутывать в их взаимоотношения.
И как ты предлагаешь решать эту проблему? Задача гугла — обеспечить безопасный интернет пользователю, даже в условиях, когда враги контролируют его трафик. Для решения этой задачи придумали HTTPS. Других вариантов не придумали. Если ты не способен обеспечить безопасную передачу своего файла, значит браузер пометит его, как небезопасный. Вроде всё логично.
Re[4]: Google Chrome будет блокировать загрузку файлов по HT
Здравствуйте, vsb, Вы писали:
vsb>Здравствуйте, Sharowarsheg, Вы писали:
ДП>>>>Что это вообще такое за беспредел? У меня статика на сайте сплошная, зачем мне HTTPS?
vsb>>>Чтобы провайдер не подменил юзеру закачку.
S>>Это проблема между провайдером и юзером, нефига меня впутывать в их взаимоотношения.
vsb>И как ты предлагаешь решать эту проблему? Задача гугла — обеспечить безопасный интернет пользователю, даже в условиях, когда враги контролируют его трафик.
Ты как-то дофига позволяешь гуглу. Задача гугла, в целом, найти урл по запросу. Задача браузера — отрендерить страницу. Не слишком хорошая идея давать корпорации решать, какие страницы хорошие, а какие плохие, и кто именно враги пользователя.
vsb>Для решения этой задачи придумали HTTPS. Других вариантов не придумали.
Это неправда. Придумали ещё, например, контракты и суд. Если провайдер подменяет файлы при передаче, на него можно подать в суд, если эта подмена не соответствует контракту. А в некоторых случаях, может быть, даже и соответствует. Например, некоторые архивы заворачивали дистрибутивы, которые им сабмитили, в свой инсталлер, в котором был drive-by download. Я сейчас не помню точно, но, кажется, download.com этим баловался, и кто-то ещё. Ну то есть таких было больше одного. И это было написано в контракте, вместе с бесплатным хостингом дистрибутивов или что-то типа того. Некоторые провайдеры, по крайней мере в РФ, скажем, иногда суют свою рекламу между страницами, или там может объявления, где написано "ваш баланс будет ноль через три дня". Это тоже написано в контракте, если поискать. Не дело гугля и не дело сайта лезть в это.
vsb>Если ты не способен обеспечить безопасную передачу своего файла, значит браузер пометит его, как небезопасный. Вроде всё логично.
Нет, я не занимаюсь бизнесом по передаче данных, и мне не платят за это. Бизнесом по передаче данных занимается провайдер, и он получает за это деньги или другую компенсацию. Это его обязанность обеспечивать даже не достоверность передачи, а соответствие передачи условиям контракта.
Хз, не вижу смысла тут дискутировать. У гугла есть своё мнение (данные должны шифроваться от сервера до браузера). Это мнение на стороне пользователя в данном случае, поэтому лично я только рад этому. Гугл имеет возможность отстаивать свою позицию. С точки зрения сервера получить валидный HTTPS сертификат несложно и бесплатно, поэтому тут тоже непонятно, о чём спорить, никакого злодейства тут нет. Если ты работаешь на провайдера и гугл отжимает у тебя возможность следить за пользователем и совать ему рекламу, ну что могу сказать, сочувствия всё равно не вызовешь.
Ни один пользователь в своём уме не согласится на то, чтобы ему сували рекламу. Это всё называется кабальные условия контракта, вот и всё.
Здравствуйте, vsb, Вы писали:
vsb> С точки зрения сервера получить валидный HTTPS сертификат несложно и бесплатно, поэтому тут тоже непонятно, о чём спорить, никакого злодейства тут нет.
Несложно и бесплатно получить валидный сертификат только и исключительно милостью гугла. Милость гугла, однако, переменчива. С сертификатами и безопасностью будет такая же фигня, как с числом бесплатных результатов на первой странице поиска, которых со временем становится всё меньше и меньше.
Re[7]: Google Chrome будет блокировать загрузку файлов по HT
Здравствуйте, Sharowarsheg, Вы писали:
S>Несложно и бесплатно получить валидный сертификат только и исключительно милостью гугла. Милость гугла, однако, переменчива. С сертификатами и безопасностью будет такая же фигня, как с числом бесплатных результатов на первой странице поиска, которых со временем становится всё меньше и меньше.
Letsencrypt это too big to fail. Никуда он уже не денется. На нём полинтернета работает.
Re[8]: Google Chrome будет блокировать загрузку файлов по HT
Здравствуйте, vsb, Вы писали:
S>>Несложно и бесплатно получить валидный сертификат только и исключительно милостью гугла. Милость гугла, однако, переменчива. С сертификатами и безопасностью будет такая же фигня, как с числом бесплатных результатов на первой странице поиска, которых со временем становится всё меньше и меньше.
vsb>Letsencrypt это too big to fail. Никуда он уже не денется. На нём полинтернета работает.
Too big to fail не бывает. Даже Солнце погаснет, если достаточно подождать. Число бесплатных результатов на первой странице уменьшалось сколько? лет десять-пятнадцать? Вот статья 2012 года — https://searchengineland.com/7-new-10-google-showing-fewer-results-131006 — ну вот и извращение https займёт те же самые десять-пятнадцать лет. Начало истории с https примерно в 2017, к 2030 примерно будет видно, что получилось.
Re[4]: Google Chrome будет блокировать загрузку файлов по HTTP
Здравствуйте, vsb, Вы писали:
vsb>И как ты предлагаешь решать эту проблему? Задача гугла — обеспечить безопасный интернет пользователю, даже в условиях, когда враги контролируют его трафик. Для решения этой задачи придумали HTTPS. Других вариантов не придумали. Если ты не способен обеспечить безопасную передачу своего файла, значит браузер пометит его, как небезопасный. Вроде всё логично.
У гугля нет задачи обеспечить пользователю бесплатный интернет. Это — задача оператора связи. Я полагаю, гугль хочет добиться, чтобы операторы связи не могли анализировать, чем там пользователи занимаются, а гугль — мог. Затем и нужно повсеместное внедрение криптографии, в т.ч. на сайтах, не имеющих к гуглю никакого отношения.
Re[6]: Google Chrome будет блокировать загрузку файлов по HT
Здравствуйте, vsb, Вы писали:
vsb>Хз, не вижу смысла тут дискутировать. У гугла есть своё мнение (данные должны шифроваться от сервера до браузера). Это мнение на стороне пользователя в данном случае, поэтому лично я только рад этому. Гугл имеет возможность отстаивать свою позицию. С точки зрения сервера получить валидный HTTPS сертификат несложно и бесплатно, поэтому тут тоже непонятно, о чём спорить, никакого злодейства тут нет. Если ты работаешь на провайдера и гугл отжимает у тебя возможность следить за пользователем и совать ему рекламу, ну что могу сказать, сочувствия всё равно не вызовешь.
Мне не нравится, что решения такого рода принимаются одной отдельно взятой частной компанией. Совершенно не обязательно, что все ее решения будут в интересах пользователя, но скоро настанет время, когда поделать с этим будет ничего нельзя.
Re[7]: Google Chrome будет блокировать загрузку файлов по HT
Здравствуйте, Sharowarsheg, Вы писали:
S>Несложно и бесплатно получить валидный сертификат только и исключительно милостью гугла. Милость гугла, однако, переменчива. С сертификатами и безопасностью будет такая же фигня, как с числом бесплатных результатов на первой странице поиска, которых со временем становится всё меньше и меньше.
Разве letsencrypt существует по милости гугля?
Re[5]: Google Chrome будет блокировать загрузку файлов по HTTP
Здравствуйте, Pzz, Вы писали:
vsb>>И как ты предлагаешь решать эту проблему? Задача гугла — обеспечить безопасный интернет пользователю, даже в условиях, когда враги контролируют его трафик. Для решения этой задачи придумали HTTPS. Других вариантов не придумали. Если ты не способен обеспечить безопасную передачу своего файла, значит браузер пометит его, как небезопасный. Вроде всё логично.
Pzz>У гугля нет задачи обеспечить пользователю бесплатный интернет. Это — задача оператора связи.
Безопасный, а не бесплатный.
Pzz>Я полагаю, гугль хочет добиться, чтобы операторы связи не могли анализировать, чем там пользователи занимаются, а гугль — мог. Затем и нужно повсеместное внедрение криптографии, в т.ч. на сайтах, не имеющих к гуглю никакого отношения.
Может быть и так. Хотя требование TLS для скачивания файлов с этой теорией не стыкуется. Ну да ладно. Суть в том, что чем меньше за мной следят, тем лучше. Тем более, что слежку гугла зачастую я могу ограничить или убрать, модифицировав свой браузер (адблоки и тд). А слежку оператора я убрать не могу никак.
Re[6]: Google Chrome будет блокировать загрузку файлов по HTTP
Здравствуйте, vsb, Вы писали:
Pzz>>У гугля нет задачи обеспечить пользователю бесплатный интернет. Это — задача оператора связи.
vsb>Безопасный, а не бесплатный.
Я опечатался, разумеется.
vsb>Может быть и так. Хотя требование TLS для скачивания файлов с этой теорией не стыкуется.
Стыкуется. Гугль делает все, что может, чтобы незашифрованный трафик перестал проходить через операторов связи.
vsb>Ну да ладно. Суть в том, что чем меньше за мной следят, тем лучше. Тем более, что слежку гугла зачастую я могу ограничить или убрать, модифицировав свой браузер (адблоки и тд). А слежку оператора я убрать не могу никак.
Слежку гугля ты еще в меньшей степени можешь убрать. Даже на государственном сайте по выдаче ковидовских пропусков в Москве стояла капча от гугля — так что гугль в курсе, сколько людей получали эти пропуска, с каких устройств они это делали, и какие другие сайты с запчастями от гугля они посещали.
Браузер ты можешь модифицировать, по большей части, заменив гуглевский хром с одной мордой, на гуглевский хром с другой мордой. Да, пока еще существует мазила и сафари, но гугль старательно работает над устранением этого упущения.
Re[7]: Google Chrome будет блокировать загрузку файлов по HTTP
Здравствуйте, Pzz, Вы писали:
Pzz>>>У гугля нет задачи обеспечить пользователю бесплатный интернет. Это — задача оператора связи.
vsb>>Безопасный, а не бесплатный.
Pzz>Я опечатался, разумеется.
Тогда я не согласен. У провайдера нет никакой заинтересованности в том, чтобы дать пользователю безопасный интернет, т.к. вставка рекламы это прямое вмешательство в работу сайта, которое иными словами называется "атака человек посередине". И этой вставкой рекламы баловались многие. Пассивную слежку так просто не обнаружишь, но и про неё у меня сомнений нет. Не будь сейчас шифрования везде, в мой физический почтовый ящик сыпалась бы реклама автосалонов после хождения по drom.ru (и боюсь представить что, после хождения по порнхабу).
vsb>>Ну да ладно. Суть в том, что чем меньше за мной следят, тем лучше. Тем более, что слежку гугла зачастую я могу ограничить или убрать, модифицировав свой браузер (адблоки и тд). А слежку оператора я убрать не могу никак.
Pzz>Слежку гугля ты еще в меньшей степени можешь убрать. Даже на государственном сайте по выдаче ковидовских пропусков в Москве стояла капча от гугля — так что гугль в курсе, сколько людей получали эти пропуска, с каких устройств они это делали, и какие другие сайты с запчастями от гугля они посещали.
Это частный и достаточно редкий случай. Обычно гугл следит за пользователями с помощью рекламы и аналитики. Это всё внешние скрипты и их можно отключить блокиратором.
Pzz>Браузер ты можешь модифицировать, по большей части, заменив гуглевский хром с одной мордой, на гуглевский хром с другой мордой. Да, пока еще существует мазила и сафари, но гугль старательно работает над устранением этого упущения.
Система расширений хрома позволяет блокировать всё, что нужно. Другие браузеры от гугла и вовсе берут только движок.
Re[8]: Google Chrome будет блокировать загрузку файлов по HTTP
Здравствуйте, vsb, Вы писали:
vsb>Тогда я не согласен. У провайдера нет никакой заинтересованности в том, чтобы дать пользователю безопасный интернет, т.к. вставка рекламы это прямое вмешательство в работу сайта, которое иными словами называется "атака человек посередине". И этой вставкой рекламы баловались многие. Пассивную слежку так просто не обнаружишь, но и про неё у меня сомнений нет. Не будь сейчас шифрования везде, в мой физический почтовый ящик сыпалась бы реклама автосалонов после хождения по drom.ru (и боюсь представить что, после хождения по порнхабу).
Ну, водопроводчики бы тоже с удовольствием соединили вход водопровода с выходом канализации, да им санэпиднадзор не велит.
В общем, я хочу сказать, что Интернет — это общенародное достояние, и нехорошо, что крупная частная компания его почти полностью контролирует.
vsb>Это частный и достаточно редкий случай. Обычно гугл следит за пользователями с помощью рекламы и аналитики. Это всё внешние скрипты и их можно отключить блокиратором.
Гуглевская аналитика есть чуть менее, чем на каждом сайте. Более того, она измудрилась вычислить, что мои устройства каким-то образом связаны с устройствами моей жены, и теперь у нас на двоих реклама общая. Это ли не семейное счастье!
