HTTPS
- Max1024
- Advanced Member
- Сообщения: 876
- Зарегистрирован: 29.12.2014,15:15
- Откуда: Беларусь, Могилев
- Контактная информация:
-
Конкурсы
Вчера ставил на виртульную машину бэта версию хп, пришлось перевести дату на 2003 год. Хром отказался открывать практически все https сайты, но нужно было зайти сюда на форум и зашло! )) В данном случае я лично вообще не вижу смысла в https, реальной пользы нет, а проблемы могут быть, случаи ведь бывают разные.
Мои статьи: https://overclockers.ru/tag/show/10017/max1024
А я вот почему-то не вижу смысла с наслаждением вспоминать 2000-й год: 386SX+RAM=4Mb + IExplorer v3.0 + модем 31.2Kbit/s + спаренная полусгнившая телефонная линия + повременная оплата $2/часMax1024 писал(а):Вчера ставил на виртульную машину бэта версию хп, пришлось перевести дату на 2003 год. Хром отказался открывать практически все https сайты, но нужно было зайти сюда на форум и зашло! )) В данном случае я лично вообще не вижу смысла в https, реальной пользы нет, а проблемы могут быть, случаи ведь бывают разные.
Я вот не могу зайти на форум с RT-11 (ДВК-2), захожу с Win8 (нетбук) - и почему-то не делаю проблемы из первого. Юзаю второе.
-
- Advanced Member
- Сообщения: 1110
- Зарегистрирован: 17.02.2008,16:07
- Откуда: Ставрополь
- Контактная информация:
-
Вклад в сообщество
ИМХО хттпс на обычном форуме не очень нужен. Всё равно народ начинает цеплять внешние картинки с разношёрстных сайтов и любой браузер начинает ругаться на смешанный контент. Вон, соседи с ZX-PK поставили SSL, теперь постоянно сверху экрана висит грустная надпись.
Полностью согласен с aleksvolgin по выносу торговой площадки на сторону со всеми "необходимыми" плюшками (да, как у соседей).
А вообще париться по поводу "сниффания трафика", персональных данных и аналогичной фигни - ей-догу, не стоит. Ерунда всё это.
Полностью согласен с aleksvolgin по выносу торговой площадки на сторону со всеми "необходимыми" плюшками (да, как у соседей).
А вообще париться по поводу "сниффания трафика", персональных данных и аналогичной фигни - ей-догу, не стоит. Ерунда всё это.
http://rw6hrm.qrz.ru - Мои поделки
- ATauenis
- Advanced Member
- Сообщения: 5527
- Зарегистрирован: 30.04.2015,21:30
- Откуда: Москва
- Контактная информация:
-
Вклад в сообщество
Одно время были снифферы, которые успешно проворачивали атаку на понижение стойкости шифра (вмешивались в процедуру рукопожатия и умоляли сервер общаться с клиентом с шифром, который по зубам снифферу - прим. для юзеров). Собственно, это причина почему серверы крупных компаний сейчас работают только по серьёзным алгоритмам защиты (TLS 1.2) с недетскими шифрами. Поэтому сейчас эта метода слива полезной информации у лохов не актуальна, и я не слышал, чтобы кто-то ещё использовал этот способ. Но включение старых версий SSL и слабых шифров - дыра в безопасности.alecv писал(а):Можно хоть 3DES/RC4 разрешить для совместимости с MSIE 3. есть еще чудесный cipher NULL то есть SSL без шифрования канала вообще.
Другое дело,
Аудитория форума очень специфическая. Чтобы украденный трафик пригодился, надо написать софт, выковыривающий из ЛС домашние адреса и телефоны, а также e-mail из профиля. И это всё, что можно сделать (по крайней мере, именно на этом сайте). Ещё возможность угона аккаунта с целью рассылки спама возможна. Но движок очень редкий, чтобы кто-то писал под него софт.rw6hrm писал(а):А вообще париться по поводу "сниффания трафика", персональных данных и аналогичной фигни - ей-догу, не стоит. Ерунда всё это.
Насколько я слышал, все угоны учётных записей здесь были из-за простых паролей.
И старый, v2.22.ATauenis писал(а):И количество потенциально добытой тяжким трудом информации будет не соразмерно с расходами заказчиков на неё. Движок сравнительно редкий.
Еще 3,5 года назад капитально обновился.
Текущая версия: 3.00 (сборка от 1 сентября 2016)
тема почищена (см. http://www.phantom.sannata.ru/forum/ind ... 0#pp482020)
прошу воздержаться от неумеренного флуда
прошу воздержаться от неумеренного флуда
-
- Advanced Member
- Сообщения: 1607
- Зарегистрирован: 27.08.2012,11:38
- Откуда: Красноярск
- Контактная информация:
-
Конкурсы
Вклад в сообщество
Предлагаю вернуться к вопросу включения https
1. так как не все могут/хотят использовать https включить его можно опционально - те не делать реврайта на https
2. сертификат можно взять бесплатный - Let's Encrypt включается легко и просто. сам использую и могу ответственно рекомендовать.
3. включать слабые шифры смысла нет, это наоборот может создать проблемы
Поясню необходимость иметь возможность работать через https: если ранее утечки паролей и прочей информации могли быть только через транзитные открытые прокси, общественные wi-fi сети и прочие изначально скомпрометированные точки, то сейчас ситуация для России серьезно усугубляются из-за закона яровой, а именно из-за развертывания у провайдеров DPI (Deep Packet Inspection) и системами хранения данных и трафика.
Сами по себе DPI нам не мешают, но вот то что трафик будет хранится у каждого провайдера и доступ к этим данным будет (точнее уже) иметь почти любой - это проблема.
Как пример использования трафика - мошенники делают грамотные фейковые письма используя данные из реальной переписки. И это уже реальность - первые такие письма были замечены мной уже летом 2018ого. Что будут делать с накопленной базой паролей и email я думаю объяснять не надо.
Соответственно, моя рекомендация, как руководителя ИБ, включить https. Да, это не панацея, но от глупых мошенников убережет. По технической части готов проконсультировать.
1. так как не все могут/хотят использовать https включить его можно опционально - те не делать реврайта на https
2. сертификат можно взять бесплатный - Let's Encrypt включается легко и просто. сам использую и могу ответственно рекомендовать.
3. включать слабые шифры смысла нет, это наоборот может создать проблемы
Поясню необходимость иметь возможность работать через https: если ранее утечки паролей и прочей информации могли быть только через транзитные открытые прокси, общественные wi-fi сети и прочие изначально скомпрометированные точки, то сейчас ситуация для России серьезно усугубляются из-за закона яровой, а именно из-за развертывания у провайдеров DPI (Deep Packet Inspection) и системами хранения данных и трафика.
Сами по себе DPI нам не мешают, но вот то что трафик будет хранится у каждого провайдера и доступ к этим данным будет (точнее уже) иметь почти любой - это проблема.
Как пример использования трафика - мошенники делают грамотные фейковые письма используя данные из реальной переписки. И это уже реальность - первые такие письма были замечены мной уже летом 2018ого. Что будут делать с накопленной базой паролей и email я думаю объяснять не надо.
Соответственно, моя рекомендация, как руководителя ИБ, включить https. Да, это не панацея, но от глупых мошенников убережет. По технической части готов проконсультировать.