Robot_NagNews Posted February 11, 2018 · Report post Материал: В Google собираются маркировать все сайты, работающие по протоколу HTTP, как потенциально опасные. Компания планирует оказать таким образом давление на web-разработчиков, стимулируя их перейти на использование HTTPS-шифрования. В Google объясняют инициативу стремлением обезопасить своих пользователей от потенциальных уязвимостей. Нововведения вступят в силу летом нынешнего годы. Полный текст Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stalker86 Posted February 11, 2018 · Report post Google такая корпорация бобра...аха. Но больше всего улыбает то, что требуется что бы всё на сайте было через https... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
korsakik Posted February 11, 2018 (edited) · Report post 3 минуты назад, stalker86 сказал: Но больше всего улыбает то, что требуется что бы всё на сайте было через https... Ну да, а что тут такого? Да и новость уже давняя, и ни для кого не секрет, что http сайты опускаются в результатах поиска перед https. Edited February 11, 2018 by korsakik Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted February 11, 2018 · Report post 14 минут назад, stalker86 сказал: Google такая корпорация бобра...аха. Но больше всего улыбает то, что требуется что бы всё на сайте было через https... А вот так (справа) по версии 146% россиян выглядит Google. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted February 11, 2018 · Report post 4 часа назад, stalker86 сказал: Google такая корпорация бобра...аха. Но больше всего улыбает то, что требуется что бы всё на сайте было через https... Не холивора для, но более лучшего понимания. Назови, пожалуйста, примеров, когда у Гугла что-то утекло или сломали и получили доступ к данным? Или когда Гугл что-то неправильно сделал с данными, выходящее за рамки пользовательского соглашения, где сказано только то, что информация может использоваться для чего-то другого, кроме релевантной рекламы? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sfstudio Posted February 11, 2018 · Report post https эт true. Тут спорить бесполезно. Надо ли помечать? Ну вот фиг знает. Кому легче от этой пометки станет? Чаще проблема не в протоколе,а в содержимом ресурса (вирусня и прочее, благо хоть только для виндов большей частью). Проталкивать схему с принудительным https всяко надо, но вот пометки эти ИМХО врятли помогут. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Умник Posted February 11, 2018 · Report post Да вообще не понятно, зачем эта маркировка нужна. Где-то месяц назад Хром стал помечать https-сайты в адресной строке как "Защищено", а не как "Надежный". "Защищено" все-таки немного лучше чем "Надежный", но все равно создает у простого пользователя иллюзию, что на ресурсе, который получил бесплатный сертификат от Lets Encrypt, можно вводить любые данные и все будет ОК. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stalker86 Posted February 11, 2018 · Report post 1 час назад, wanderer_from сказал: Не холивора для, но более лучшего понимания. Назови, пожалуйста, примеров, когда у Гугла что-то утекло или сломали и получили доступ к данным? Или когда Гугл что-то неправильно сделал с данными, выходящее за рамки пользовательского соглашения, где сказано только то, что информация может использоваться для чего-то другого, кроме релевантной рекламы? Я не говорю, что у них что-то утекло. Я про то что они всем навязывают своё мнение. Ну вот скажи на какой раздавать с использованием https шрифты, стили и так далее? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted February 11, 2018 · Report post 32 минуты назад, Умник сказал: Да вообще не понятно, зачем эта маркировка нужна. Где-то месяц назад Хром стал помечать https-сайты в адресной строке как "Защищено", а не как "Надежный". "Защищено" все-таки немного лучше чем "Надежный", но все равно создает у простого пользователя иллюзию, что на ресурсе, который получил бесплатный сертификат от Lets Encrypt, можно вводить любые данные и все будет ОК. Маркировка немного не для того служит. Задача маркировки - чтобы пользователь понял, что вводить что-либо, а особенно платежные данные и пароли там, где шифрования - это не ОК. Собственно, новость именно об этом. Более того, в свое время они обещали, что когда-нибудь http вообще будут не бледным серым 'Not secure' помечать, как сейчас в новости, а большим, красным и страшным треугольником небезопасного соединения. А https, как я понимаю, вообще без всяких значков вида 'Защищено' и 'Надежно' оставят. 5 минут назад, stalker86 сказал: Ну вот скажи на какой раздавать с использованием https шрифты, стили и так далее? Чтобы не запутывать ситуацию и уменьшить вероятность того, что что-то (печенька какая-нибудь с авторизационным токеном) убежит по каналу без шифрования вместе с запросом на все эти шрифты и картинки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fhunter Posted February 11, 2018 · Report post 4 часа назад, stalker86 сказал: Я не говорю, что у них что-то утекло. Я про то что они всем навязывают своё мнение. Ну вот скажи на какой раздавать с использованием https шрифты, стили и так далее? Во избежание подмен содержимого. Сотовые операторы уже давно врезали в http страницы свой код (услуги типа "оптимизация трафика" и тд). С переменными результатами, отзывы можно на хабре поискать. Вот прилетит специально подпиленный jQuery по http, а подпилен он будет точкой доступа wifi, которую кто-то поставил, с именем типа Free Wi-Fi. И будет оно слать содержимое всех полей ввода на странице на отдельный сервер. Мощности процессоров современных точек доступа для такой штуки уже вполне должно хватить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
wanderer_from Posted February 12, 2018 · Report post 14 часов назад, stalker86 сказал: Я не говорю, что у них что-то утекло. Я про то что они всем навязывают своё мнение. Ну вот скажи на какой раздавать с использованием https шрифты, стили и так далее? Л - логика. Я однажды пришел на Красную площадь, а там мне навязывали мнение, что крепостные стены должны быть гранитно-красные. Не нравится гугл - не пользуйся гуглом. Не нравятся гей-браки - не вступай в гей-браки. И далее по списку. стили, библиотеки и шрифты - очень хорошо раздавать в шифре. Это повышает безопасность этих наших интернетов. Не вижу ничего плохого в этом вообще. Кроме хорошего. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 12, 2018 · Report post 6 минут назад, wanderer_from сказал: Не вижу ничего плохого в этом вообще. Повышенная нагрузка. Сложность траблшутинга. Точка отказа в CA и все с этим связанное (проблемы на неточных часах, старых автономных системах). У HTTP и HTTPS есть свое назначение. Все переносить в HTTPS не соответствует первоначальному назначению HTTPS. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alexwin Posted February 12, 2018 · Report post 19 часов назад, stalker86 сказал: Я не говорю, что у них что-то утекло. Я про то что они всем навязывают своё мнение Ну станьте поисковиком №1 в мире и то же всем будете навязывать,а все под вас будут подстраиваться. Автоматически. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
jffulcrum Posted February 12, 2018 · Report post 12 часов назад, alibek сказал: Повышенная нагрузка. CPU давно не проблема, тем более, что все больше и больше load вываливают на сторону клиента в скриптах. 12 часов назад, alibek сказал: Все переносить в HTTPS не соответствует первоначальному назначению HTTPS. Поэтому та же корпорация добра придумала HTTP/2, в котором уже надо специально делать нешифрованное (и никто так пока не делает). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
st_re Posted February 12, 2018 · Report post 13 часов назад, alibek сказал: Повышенная нагрузка. Как показала практика, на свежих процах не такая там уже и нагрузка вышла, при переходе с http на https. ну процентов 20 на E3-1270 v6. На более старом железе да, заметно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fhunter Posted February 13, 2018 · Report post В 12.02.2018 в 09:04, alibek сказал: Повышенная нагрузка. Сложность траблшутинга. Точка отказа в CA и все с этим связанное (проблемы на неточных часах, старых автономных системах). У HTTP и HTTPS есть свое назначение. Все переносить в HTTPS не соответствует первоначальному назначению HTTPS. К сожалению для HTTP нет общепринятых механизмов проверки целостности. Для многих применений гарантированной целостности доставки бы хватило (в примере того же CDN/шрифтов и тд). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...