Jump to content
Калькуляторы

Google будет маркировать http-сайты, как небезопасные

Материал: В Google собираются маркировать все сайты, работающие по протоколу HTTP, как потенциально опасные. Компания планирует оказать таким образом давление на web-разработчиков, стимулируя их перейти на использование HTTPS-шифрования. В Google объясняют инициативу стремлением обезопасить своих пользователей от потенциальных уязвимостей. Нововведения вступят в силу летом нынешнего годы. Полный текст

Share this post


Link to post
Share on other sites

Google такая корпорация бобра...аха. Но больше всего улыбает то, что требуется что бы всё на сайте было через https...

Share this post


Link to post
Share on other sites

3 минуты назад, stalker86 сказал:

Но больше всего улыбает то, что требуется что бы всё на сайте было через https...

Ну да, а что тут такого?

 

Да и новость уже давняя, и ни для кого не секрет, что http сайты опускаются в результатах поиска перед https.

Edited by korsakik

Share this post


Link to post
Share on other sites

14 минут назад, stalker86 сказал:

Google такая корпорация бобра...аха. Но больше всего улыбает то, что требуется что бы всё на сайте было через https...

А вот так (справа) по версии 146% россиян выглядит Google.

5d4f0ea940bc9393488d.jpg

 

Share this post


Link to post
Share on other sites

4 часа назад, stalker86 сказал:
Google такая корпорация бобра...аха. Но больше всего улыбает то, что требуется что бы всё на сайте было через https...

Не холивора для, но более лучшего понимания. Назови, пожалуйста, примеров, когда у Гугла что-то утекло или сломали и получили доступ к данным? Или когда Гугл что-то неправильно сделал с данными, выходящее за рамки пользовательского соглашения, где сказано только то, что информация может использоваться для чего-то другого, кроме релевантной рекламы?

Share this post


Link to post
Share on other sites

https эт true. Тут спорить бесполезно. Надо ли помечать? Ну вот фиг знает. Кому легче от этой пометки станет? Чаще проблема не в протоколе,а в содержимом ресурса (вирусня и прочее, благо хоть только для виндов большей частью).

 

Проталкивать схему с принудительным https всяко надо, но вот пометки эти ИМХО врятли помогут.

Share this post


Link to post
Share on other sites

Да вообще не понятно, зачем эта маркировка нужна. Где-то месяц назад Хром стал помечать https-сайты в адресной строке как "Защищено", а не как "Надежный". "Защищено" все-таки немного лучше чем "Надежный", но все равно создает у простого пользователя иллюзию, что на ресурсе, который получил бесплатный сертификат от Lets Encrypt, можно вводить любые данные и все будет ОК.

Share this post


Link to post
Share on other sites

1 час назад, wanderer_from сказал:

Не холивора для, но более лучшего понимания. Назови, пожалуйста, примеров, когда у Гугла что-то утекло или сломали и получили доступ к данным? Или когда Гугл что-то неправильно сделал с данными, выходящее за рамки пользовательского соглашения, где сказано только то, что информация может использоваться для чего-то другого, кроме релевантной рекламы?

Я не говорю, что у них что-то утекло. Я про то что они всем навязывают своё мнение.  Ну вот скажи на какой раздавать с использованием https шрифты, стили и так далее?

 

Share this post


Link to post
Share on other sites

32 минуты назад, Умник сказал:

Да вообще не понятно, зачем эта маркировка нужна. Где-то месяц назад Хром стал помечать https-сайты в адресной строке как "Защищено", а не как "Надежный". "Защищено" все-таки немного лучше чем "Надежный", но все равно создает у простого пользователя иллюзию, что на ресурсе, который получил бесплатный сертификат от Lets Encrypt, можно вводить любые данные и все будет ОК.

Маркировка немного не для того служит. Задача маркировки - чтобы пользователь понял, что вводить что-либо, а особенно платежные данные и пароли там, где шифрования - это не ОК. Собственно, новость именно об этом. Более того,

в свое время они обещали, что когда-нибудь http вообще будут не бледным серым 'Not secure' помечать, как сейчас в новости, а большим, красным и страшным треугольником небезопасного соединения. А https, как я понимаю, вообще без всяких значков вида 'Защищено' и 'Надежно' оставят.

 

5 минут назад, stalker86 сказал:

Ну вот скажи на какой раздавать с использованием https шрифты, стили и так далее?

 

Чтобы не запутывать ситуацию и уменьшить вероятность того, что что-то (печенька какая-нибудь с авторизационным токеном) убежит по каналу без шифрования вместе с запросом на все эти шрифты и картинки.

Share this post


Link to post
Share on other sites

4 часа назад, stalker86 сказал:

Я не говорю, что у них что-то утекло. Я про то что они всем навязывают своё мнение.  Ну вот скажи на какой раздавать с использованием https шрифты, стили и так далее?

 

Во избежание подмен содержимого. Сотовые операторы уже давно врезали в http страницы свой код (услуги типа "оптимизация трафика" и тд). С переменными результатами, отзывы можно на хабре поискать.

Вот прилетит специально подпиленный jQuery по http, а подпилен он будет точкой доступа wifi, которую кто-то поставил, с именем типа Free Wi-Fi. И будет оно слать содержимое всех полей ввода на странице на отдельный сервер. Мощности процессоров современных точек доступа для такой штуки уже вполне должно хватить.

Share this post


Link to post
Share on other sites

14 часов назад, stalker86 сказал:

Я не говорю, что у них что-то утекло. Я про то что они всем навязывают своё мнение.  Ну вот скажи на какой раздавать с использованием https шрифты, стили и так далее?

 

Л - логика.

Я однажды пришел на Красную площадь, а там мне навязывали мнение, что крепостные стены должны быть гранитно-красные. Не нравится гугл - не пользуйся гуглом. Не нравятся гей-браки - не вступай в гей-браки. И далее по списку. 

стили, библиотеки и шрифты - очень хорошо раздавать в шифре. Это повышает безопасность этих наших интернетов. Не вижу ничего плохого в этом вообще. Кроме хорошего.

Share this post


Link to post
Share on other sites

6 минут назад, wanderer_from сказал:

Не вижу ничего плохого в этом вообще.

Повышенная нагрузка.

Сложность траблшутинга.

Точка отказа в CA и все с этим связанное (проблемы на неточных часах, старых автономных системах).

 

У HTTP и HTTPS есть свое назначение. Все переносить в HTTPS не соответствует первоначальному назначению HTTPS.

Share this post


Link to post
Share on other sites

19 часов назад, stalker86 сказал:

Я не говорю, что у них что-то утекло. Я про то что они всем навязывают своё мнение

Ну станьте поисковиком №1 в мире и то же всем будете навязывать,а все под вас будут подстраиваться. Автоматически.

Share this post


Link to post
Share on other sites

12 часов назад, alibek сказал:

Повышенная нагрузка.

CPU давно не проблема, тем более, что все больше и больше load вываливают на сторону клиента в скриптах.

 

12 часов назад, alibek сказал:

Все переносить в HTTPS не соответствует первоначальному назначению HTTPS.

Поэтому та же корпорация добра придумала HTTP/2, в котором уже надо специально делать нешифрованное (и никто так пока не делает).

Share this post


Link to post
Share on other sites

13 часов назад, alibek сказал:

Повышенная нагрузка.

 

Как показала практика, на свежих процах не такая там уже и нагрузка вышла, при переходе с http на https. ну процентов 20 на E3-1270 v6. На более старом железе да, заметно.

 

Share this post


Link to post
Share on other sites

В 12.02.2018 в 09:04, alibek сказал:

Повышенная нагрузка.

Сложность траблшутинга.

Точка отказа в CA и все с этим связанное (проблемы на неточных часах, старых автономных системах).

 

У HTTP и HTTPS есть свое назначение. Все переносить в HTTPS не соответствует первоначальному назначению HTTPS.

К сожалению для HTTP нет общепринятых механизмов проверки целостности. Для многих применений гарантированной целостности доставки бы хватило (в примере того же CDN/шрифтов и тд).

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.