Google запретит скачивать файлы через HTTP. Ну, не всем запретит, а через свой браузер.
Призываю тыжпрограммиста для объяснения последствий
а тред мы читаем жопой
зайти
нужно только жить в другой стране
нужно только жить в другой стране
Если владелец сайта не озаботится заведение сертификата для https (мне лень объяснять какой это дорогой гемор), то вполне возможно что ты не скачаешь нужный тебе файлик. В перспективе:
>>Значит, IE станет нужен не тоько для установки Хрома, но и в качестве загрузчика.
P.S. если верить этому посту, самый ад начнется с 86 версии https://habr.com/ru/news/t/487472/
>>Значит, IE станет нужен не тоько для установки Хрома, но и в качестве загрузчика.
P.S. если верить этому посту, самый ад начнется с 86 версии https://habr.com/ru/news/t/487472/
Выглядит страшно.
или на оперу
Данное поведение можно выкинуть без ведома гугля.
А https, я так понимаю, защищённее http?
Ну как бы "S" значит - secure.
Ты так говоришь, будто это можно понять из аббревиатуры
Может там sad, или specific, или вообще sexy O_o
Может там sad, или specific, или вообще sexy O_o
с каких пор ssl сертефикат стал дорогим удовольствием, если есть тьма бесплатных?
Что значит "нельза поднять свой веб сервер для личного использования"??? Делаеш тулзой сертификат, меняеш протокол и вперед. Только надо будет нажимать кнопочку - "да, я знаю что сертефикат самоподписан, продолжить...", и это не должно быть проблемой если сайт для личного использования
Если бы Let’s Encrypt решал все проблемы...
- поднять файловый хост для максимально шустрой отдачи не получится. Теперь будьте добры навесить на него https. Шифрование\подпись на лету не бесплатная операция, что просаживает пропускные способности такого хоста.
- сертификаты нужно сапортить. Т.е. раз в 3 месяца нужно обновлять (либо изначально закладывать автообновление, которое тоже не панацея ибо хер тебе, а не гарантии что через полгода процесс продления не изменится).
- привет разработчикам. Теперь все проекты нужно создавать сразу с https (порой приходится повозиться), и тестовые инварменты также настраивать с https. Эти вещи вообще вне интернета живут (либо в VPN, либо вообще на внутреней локалке), а значит онли самоподписные серитификаты.
- привет всем легаси. Т.е. если Васе сайт делал Петя сто лет назад, то будь добр выложи дополнительные бабосики на его поддержку. И хорошо если это просто залезть в настройки хостинга, а не какой-нибудь MySite.exe исходники которого канули в лету...
Плюс ты реально считаешь что все так радостно кинулись, и стали прикручивать https?!
- поднять файловый хост для максимально шустрой отдачи не получится. Теперь будьте добры навесить на него https. Шифрование\подпись на лету не бесплатная операция, что просаживает пропускные способности такого хоста.
- сертификаты нужно сапортить. Т.е. раз в 3 месяца нужно обновлять (либо изначально закладывать автообновление, которое тоже не панацея ибо хер тебе, а не гарантии что через полгода процесс продления не изменится).
- привет разработчикам. Теперь все проекты нужно создавать сразу с https (порой приходится повозиться), и тестовые инварменты также настраивать с https. Эти вещи вообще вне интернета живут (либо в VPN, либо вообще на внутреней локалке), а значит онли самоподписные серитификаты.
- привет всем легаси. Т.е. если Васе сайт делал Петя сто лет назад, то будь добр выложи дополнительные бабосики на его поддержку. И хорошо если это просто залезть в настройки хостинга, а не какой-нибудь MySite.exe исходники которого канули в лету...
Плюс ты реально считаешь что все так радостно кинулись, и стали прикручивать https?!
- cdn, кеширования, другие способы отдачи
- крон
- пусть работают, а то совсем обленились
- если легаси не поддерживается нормально - на кой вообще оно тогда сдалось?
Зато с шифрованными файлами товарищи в форме обломаются подсматривать твои картинки-видио-фанфики с мальчиками-кошко-девочками.
- крон
- пусть работают, а то совсем обленились
- если легаси не поддерживается нормально - на кой вообще оно тогда сдалось?
Зато с шифрованными файлами товарищи в форме обломаются подсматривать твои картинки-видио-фанфики с мальчиками-кошко-девочками.
Не обломаются, потому, что централизованные центры поддержки сертификатов мгновенно по шевелению бровью спецслужб сделают для товарища майора прозрачными все данные на любом сайте. И хоба, к тебе уже стучат в дверь за рисунок пятисотлетней лоли.
я только что осознал с комента коки насколько все плохо на самом деле такая принудиловка в наших реалиях...
http://joyreactor.cc/post/4014105#comment18772966
http://joyreactor.cc/post/4014105#comment18772966
тогда нахуя вся эта защита раз спецслужбы могут шариться где и как угодно и безконтрольно использовать инфу
>>cdn, кеширования, другие способы отдачи
Мне реально обьяснять насколько это сложнее просто плюхнуть файлы в нужную папку на диске?
>>крон
не панацея. Я уже писал, что если что-либо поменяется\сломается, то узнаешь об этом не сразу, а когда сайт уже недоступен как неделю. Банальный пример: на одном из проектов, на котором я тусил, был настроен таскменеджер для запуска иморта даных на сайт. Когда сайт перенесли на другую машину, то про задачу забыли. Угадай через сколько вспомнили? Или скажешь что нужно было юзать докер?
>>пусть работают, а то совсем обленились
действительно, хули я выебываюсь
>>если легаси не поддерживается нормально - на кой вообще оно тогда сдалось?
А накой что-либо менять, если до этого прекрасно справлялось с задачей? учитывая сколько нытья выгребаем про принудительный перевод на windows 10 (и сполько за это башляют организации) что-то мне подсказывает что продажи сертификатов таки чуточку подымутся.
Мне реально обьяснять насколько это сложнее просто плюхнуть файлы в нужную папку на диске?
>>крон
не панацея. Я уже писал, что если что-либо поменяется\сломается, то узнаешь об этом не сразу, а когда сайт уже недоступен как неделю. Банальный пример: на одном из проектов, на котором я тусил, был настроен таскменеджер для запуска иморта даных на сайт. Когда сайт перенесли на другую машину, то про задачу забыли. Угадай через сколько вспомнили? Или скажешь что нужно было юзать докер?
>>пусть работают, а то совсем обленились
действительно, хули я выебываюсь
>>если легаси не поддерживается нормально - на кой вообще оно тогда сдалось?
А накой что-либо менять, если до этого прекрасно справлялось с задачей? учитывая сколько нытья выгребаем про принудительный перевод на windows 10 (и сполько за это башляют организации) что-то мне подсказывает что продажи сертификатов таки чуточку подымутся.
Мне объясни. А то я не понимаю, почему ткнуть в кнопку "publish" тебе сложно, а "плюхать файлы" - нет. Заодно расскажи, на кой хер тебе вообще вручную файлы куда-то перекидывать после настройки сайта.
> то узнаешь об этом не сразу,
LetsEncrypt-овый бот начинает слать оповещения при неудаче продления за месяц. И худшее, что тебе грозит - это устаревший сертификат, т.е. пользователям придется ткнуть в "да, мы понимаем, что сайт хостят ленивые дегенераты, но все равно хотим посмотреть".
> А накой что-либо менять, если до этого прекрасно справлялось с задачей
На кой в России https? Действительно, чего это все выебываются, пусть провайдер и товарищ майор видят твои комментарии и высказывания, план-то по посадкам надо выполнять.
> то узнаешь об этом не сразу,
LetsEncrypt-овый бот начинает слать оповещения при неудаче продления за месяц. И худшее, что тебе грозит - это устаревший сертификат, т.е. пользователям придется ткнуть в "да, мы понимаем, что сайт хостят ленивые дегенераты, но все равно хотим посмотреть".
> А накой что-либо менять, если до этого прекрасно справлялось с задачей
На кой в России https? Действительно, чего это все выебываются, пусть провайдер и товарищ майор видят твои комментарии и высказывания, план-то по посадкам надо выполнять.
1. AWS. Если у тебя не свой сервис уровня Google Drive а какой-то стартапчик с стоней-другой гигов фоток, это будет еще и сильно дешевле чем расширять дисковое пространство выделенного или виртуального сервера.
2. Certbot при установке добавляет задачу в cron.
3. localhost - отдельная тема, для него есть флаг в настройках. Хотя в чем проблема развернуть тот же контейнер, что используется на prod/staging с другими переменными среды?
4. Немножко аналогий: в то время как весь мир использует современные стандарты качества и безопасности при производстве автомобилей, некоторые производители ложат на это болт, продолжая выпускать гнилые тазы. Потому что, оказывается, менять техпроцес таки стоит денег. Тут нужно определиться что важнее: защита данных либо сэкономить на своем драгоценном легаси. Если оно не приносит достаточно денег для его поддержки...то нахрен оно вообще нужно?
2. Certbot при установке добавляет задачу в cron.
3. localhost - отдельная тема, для него есть флаг в настройках. Хотя в чем проблема развернуть тот же контейнер, что используется на prod/staging с другими переменными среды?
4. Немножко аналогий: в то время как весь мир использует современные стандарты качества и безопасности при производстве автомобилей, некоторые производители ложат на это болт, продолжая выпускать гнилые тазы. Потому что, оказывается, менять техпроцес таки стоит денег. Тут нужно определиться что важнее: защита данных либо сэкономить на своем драгоценном легаси. Если оно не приносит достаточно денег для его поддержки...то нахрен оно вообще нужно?
>> AWS
не все хостятся на облаках
>>Certbot
деплой\перенос не всегда происходит через тулзы\инсталеры. Я уже писал, на практике реально провмыкивали перенос задачи на новую машину.
>>localhost
Проблема не в ткнуть флаг, а в том что самоподписные сертификаты не котируются браузерами\приложениями.
Аналогия не в тему, т.к. тут скорее походит обязательный пароль на винду: вроде как и понятно зачем он нужен, но блять найдется 100500 кейсов когда это вредит.
не все хостятся на облаках
>>Certbot
деплой\перенос не всегда происходит через тулзы\инсталеры. Я уже писал, на практике реально провмыкивали перенос задачи на новую машину.
>>localhost
Проблема не в ткнуть флаг, а в том что самоподписные сертификаты не котируются браузерами\приложениями.
Аналогия не в тему, т.к. тут скорее походит обязательный пароль на винду: вроде как и понятно зачем он нужен, но блять найдется 100500 кейсов когда это вредит.
Пидорская аналогия.
Не нужна эта "защита данных https" на каждом первом сайте.
Для пользователя не важно, вирус ему владелец с файлом раздал, или хакер по MITM.
Для важных файлов выкладывают хэши на втором сервере или добавляют подпись.
На сайтах с картиночками вроде реактора не критично, если кто-то подменит картинку.
Легаси просто блять работает. Должен ли сайт с книжками классиков как-то меняться? Должен ли он приносить деньги? Нет и нет. Он сделан для удобства читателей и продолжает работать, пока идиоты не запретят скачивание pdf.
Не нужна эта "защита данных https" на каждом первом сайте.
Для пользователя не важно, вирус ему владелец с файлом раздал, или хакер по MITM.
Для важных файлов выкладывают хэши на втором сервере или добавляют подпись.
На сайтах с картиночками вроде реактора не критично, если кто-то подменит картинку.
Легаси просто блять работает. Должен ли сайт с книжками классиков как-то меняться? Должен ли он приносить деньги? Нет и нет. Он сделан для удобства читателей и продолжает работать, пока идиоты не запретят скачивание pdf.
да и да.
или как минимум "нет и да"
или как минимум "нет и да"
Проблема в том что браузеру не отличить твой сайт с классиками от сайта с бесплатными детскими мультиками, куда могут впихнуть хуйцов и снафа. Либо мониторить трафик чтобы подсовывать детям таргетированную рекламу(в цивилизованных странах сбор аналитики и показ рекламы на ресурсах, ориентированных на детей, очень сильно ограничен). Почему разработчики браузеров на уровне менеджмента так активно продвигают HTTPS, сказать с 100% точностью, к сожалению, не могу. Очевидная причина - они хотят снять с себя риски, связанные с уязвиомстью данных пользователя на транспортном уровне. Учитывая различные API, предоставляемые сейчас браузерами(push, audio/video, payments, geolocation, и т.п.), это вполне логичный шаг, так как хоть браузер и предоставляет API, прием данных обеспечивает сервер. Также это неплохая защита от DPI, реализация MITM атаки на весь трафик провайдеров потребует невероятного количества ресусров.
Что касается твоего примера сайта с книжками, если это конкретный случай, и это не пиратский ресурс, могу настроить HTTPS или помочь организовать миграцию, если текущий хостинг не дает такой возможности.
Что касается твоего примера сайта с книжками, если это конкретный случай, и это не пиратский ресурс, могу настроить HTTPS или помочь организовать миграцию, если текущий хостинг не дает такой возможности.
> Эти вещи вообще вне интернета живут (либо в VPN, либо вообще на внутреней локалке), а значит онли самоподписные серитификаты.
Одна тачка с выходом в инет и домен для тестовых сред второго уровня = универсальное комбо для получения wildcard-сертификатов от LE. Берёшь wildcard, распихиваешь по тачкам без инета, ?????, PROFIT.
Неваш админ в полуторалитровой банке.
Одна тачка с выходом в инет и домен для тестовых сред второго уровня = универсальное комбо для получения wildcard-сертификатов от LE. Берёшь wildcard, распихиваешь по тачкам без инета, ?????, PROFIT.
Неваш админ в полуторалитровой банке.
Это может быть дорого только если ебануться^w покупать сертификаты Symantec. Даже если ты не тыжпрограмист и хостишь сайт на каком-то шейред говнохосте - у них должны быть сертификаты от Let's Encrypt. Если нету - самое время переехать, лучше всего на VPS от Hetzner или Digital Ocean. По мануалам от того же DO даже весьма делекие от системного администрирования люди спокойно могут установить базовый стек для веб-сервера и обмазать поверх SSL при помощи certboot(у него из коробки есть плагины для автоматического обновления конфигураций наиболее популярных веб-серверов).
Зачем это: любой кулхацкер Вася из 8-Б может в кафешке поднять WiFi точку доступа, установив ей вызывающий доверие идентификатор. Более прокачанный Вася из 9-Б может даже определить канал оригинального хотспота и глушить его своим устройством(не всегда маршрутизаторы настраиват на автоматическое переключение каналов, да и с этим можно бороться). Если у сайта нету защиты транспортного уровня в виде SSL, все данные отправляются "как есть": фото, тексты, аудиозаписи, и т.д. При помощи несложных манипуляций с iptables или похожей софтиной весь трафик, проходящий через сетевой интерфейс хотспота вохможно отправлять в т.н. "прозрачный" прокси - программу, пропускающую через себя этот самый трафик, параллельно позволяя сохранять данные или даже изменять их перед отправкой следующему узлу. Соответственно, сидя в кафешке, и заливая фотки с суровым космодесантом на глангу ты можешь "случайно" залить не совсем то, что собирался, но о чем втайне мечтал. Либо тебе можно подсунуть ридерект на страницу логина, либо стырить куки и войти под твоим аккаунтом. В общем, все ограничено только фантазией Васи.
Зачем это: любой кулхацкер Вася из 8-Б может в кафешке поднять WiFi точку доступа, установив ей вызывающий доверие идентификатор. Более прокачанный Вася из 9-Б может даже определить канал оригинального хотспота и глушить его своим устройством(не всегда маршрутизаторы настраиват на автоматическое переключение каналов, да и с этим можно бороться). Если у сайта нету защиты транспортного уровня в виде SSL, все данные отправляются "как есть": фото, тексты, аудиозаписи, и т.д. При помощи несложных манипуляций с iptables или похожей софтиной весь трафик, проходящий через сетевой интерфейс хотспота вохможно отправлять в т.н. "прозрачный" прокси - программу, пропускающую через себя этот самый трафик, параллельно позволяя сохранять данные или даже изменять их перед отправкой следующему узлу. Соответственно, сидя в кафешке, и заливая фотки с суровым космодесантом на глангу ты можешь "случайно" залить не совсем то, что собирался, но о чем втайне мечтал. Либо тебе можно подсунуть ридерект на страницу логина, либо стырить куки и войти под твоим аккаунтом. В общем, все ограничено только фантазией Васи.
Вопрос не в зачем https, а накой его навязывать в обязательном безальтернативном порядке. Я уже привел пример что для отдающих хостов вполне логично держать только http. Выше кока уже писал что в реалиях РФ https влечет полный бан всего сайта. Легаси опять же (я не удивлюсь если существуют ресурсы, к которым доступ вообще потерян, но ими еще пользуются).
Выглядит как стрельба себе же в ногу. Гугл хочет потерять аудиторию пользователей, или что? И коснется ли эта фигня других браузеров? Насколько я понял, я на опере не почувствую проблем, или нет?
Я в целом за инициативу перехода на https, но блин, просто интересно - как часто в реальной жизни кто-то пользуется именно этим способом взлома?
Нет, он только очень сильно усложняет
https://www.anti-malware.ru/analytics/Threats_Analysis/man-in-the-middle-attack
В общем-то да -- https вроде как добро, никто с этим не спорит. Но очень странно что это добро навязывают в принудительном порядке.
https://www.anti-malware.ru/analytics/Threats_Analysis/man-in-the-middle-attack
В общем-то да -- https вроде как добро, никто с этим не спорит. Но очень странно что это добро навязывают в принудительном порядке.
гугль заставляет всех переходить на хттпс с одной простой целью - чтобы его рекламу не подменяли на открытых каналах. Обычно дело во всяких бесплатных wifi-сетях, что они вырезают или подменяют рекламу на показываемых сайтах. А это минус деньги для гугла. Заставить всех перейти на хттпс они не могут, но могут потихоньку так "душить".
Они заменяют чужую рекламу своей. Т.е. есть сайт "для-пацанов" который вставил виджет от гугла. Гугл за это занес пару-сотен зеленых, в свою очередь компания "Чулки-для-пацанов" занесла гуглу за свою рекламу. Провайдер выкинул из http-странички виджет гугла, и вставил на его место свой рекламный банер компании "Трусы-для-пацанов" (угадай кто кому занес). В итоге чулки спрашивают с гугла, какого на сайте не их реклама, гугл спрашивает с сайта. Владелец хоста разводит руками, а провайдер в это цепочке клал на всех прибор, т.к. он монополист в данном регионе и пользователь от него никуда не денется.
Даже Аниме и Полит фэндомы? :3
и links
Вивальди. Охуенный браузер, кстати.
Может, проблема в тебе? У меня на семерке и десятке стоит вивальди. Не крашился ни разу. Вы скажете чудо? Я скажу норма.
я это говно наблюдал на нескольких тачках
но претензия даже не в том, что оно крашится, а в том, что по этому поводу нихуя не делается
вместо этого свистелки и перделки наворачиваются из релиза в релиз
я этим пидорам описывал проблему, я предлагал им пособирать дебажной инфы, если им чего-то не хватает для решения проблемы - им просто похуй
но претензия даже не в том, что оно крашится, а в том, что по этому поводу нихуя не делается
вместо этого свистелки и перделки наворачиваются из релиза в релиз
я этим пидорам описывал проблему, я предлагал им пособирать дебажной инфы, если им чего-то не хватает для решения проблемы - им просто похуй
вивальди и опера давно хромые
Как же я вовремя съебал на ФФ полгода назад
Это хорошая новость больше пользователей перейдут на нормальные браузеры, а то Гугл уже заебал мучить бедных создателей сайтов своими санкциями не на их рекламу. Судя по тенденции конечная их цель вместо 95% мировой рекламы в интернете захватить все 100%. Как же я их ненавижу.
Я конечно понимаю, но я прочитал новость в инглише и хоть мой английский не супер пупер, но в новости говорится что будут не блокировать сайты с http, а блокировать сайты, которые маскируются под https, но при этом файл вы будете скачивать по http...
никогда не пользовался хромом и никогда не буду. надеюсь когда обыватель увидит что его типичный браузинг пошел по пизде по абсолютно непонятной причине, тоже свапнется на фаерфокс
я тебя удивлю, но в типичном браузинге и не должно быть смешанного http/https контента (именно о запрете подобного и идет речь а не о запрете http в принципе. кстати лиса тоже жестко помечает http сайты взять хотя бы джой, где показывает замок с красной чертой), слава богу, хоть кто-то пытается это хитрожопство искоренить и очень надеюсь лиса пойдет тем же путем
у меня нету проблем с безопасностью, и мне не надо чтобы какой-то пидар решал, что мне позволено сохранять из интернета, а что нет
Чтобы написать коммент, необходимо залогиниться
Отличный комментарий!