Форумы-->Форум для внеигровых тем-->
| Автор | Chrome начнёт помечать небезопасными страницы, открытые по HTTP |
|---|
Многие наверно заметили, что при открытии главной страницы нашей игры https://mirror.heroeswm.ru/ в многих браузерах теперь пишет "Не защищено".
http://savepic.ru/12860815.png - пример было/стало.
Компания Google сообщила, что с января 2017 (с Chrome версии 56) при просмотре в Chrome сайты, которые передают пароли и номера кредиток по протоколу HTTP (т.е. не по HTTPS), будут маркироваться как небезопасные. Это делается в рамках долгосрочного плана перехода к маркировке всех не-HTTPS сайтов как небезопасных, что должно подтолкнуть владельцев сайтов поголовно переходить на использование HTTPS.
На самом деле, анализ будет проще: браузер станет помечать страницы, полученные по протоколу HTTP, и в которых есть поля для ввода паролей или номеров кредиток — анализ на «передачу паролей и номеров карт по http», судя по всему, делаться не будет. Визуально нововведение будет выглядеть как на картинке выше.
Позиция Google по поводу того, почему еще не так давно считавшимися «нормальными» страницы, получаемые по HTTP, становятся «небезопасными», состоит в том, что в передаваемые по протоколу HTTP объекты (код страниц, содержимое файлов) легко внести изменения в процессе передачи, а содержимое передаваемых данных крайне легко перехватить. Этого риска нет при использовании протокола HTTPS. С учетом этого, корпорация стремится дать пользователям визуальный индикатор риска при использовании конкретных сайтов и их страниц. По сообщениям Google, более половины из загружаемых на десктопах сайтов сегодня уже перешли на использование HTTPS.
В ближайшем будущем Chrome начнет помечать все загруженные по HTTP в режиме «Инкогнито» страницы как небезопасные. В дальнейшем Google планирует помечать все страницы, получаемые по протоколу HTTP, как небезопасные, и помечать их красным треугольником, который сегодня помечают страницы, полученные по «неправильному» HTTPS.
Так что если однажды вы зайдёте в героев и увидите красный фон и сообщение:
Осторожно, поддельный сайт!
Посещение сайта www.heroeswm.ru может привести к установке вредоносного ПО или хищению вашей личной информации (например, паролей, телефонных номеров и данных кредитных карт).
То не пугайтесь, это просто гугл пытается перевести всех на https. Нажимаем Подробнее и кликаем "перейти на страницу." | Спасибо,ты настоящий експерт.
И маг. | Противники подхода «все на HTTPS» называют свои контраргументы, среди которых:
— не всем сайтам необходимо прятать свое содержимое от посторонних глаз. Скажем, онлайн библиотека или энциклопедия по сути направлены на распространение знаний, и, вероятно, нуждаются в шифровании менее, чем сайт банка.
— не все сайты работают «через» имя домена, масса ресурсов (в т.ч. в интранет) работает с использованием либо IP-адресов, либо «плюшевых» имен (либо действующих только в локальной сети, либо вообще прописанных чуть не в hosts), и на такие «ненормальные» (на самом деле, совершенно обычные) адреса не получить «легальных» сертификатов.
— шифрование создает дополнительную нагрузку как на серверное оборудование, так и на устройства клиентов, что, в частности, может привести к более быстрому разряду смартфона в процессе пользования работающего по HTTPS сайта.
— подозрения в лукавстве Google, которые за благой целью защиты от модификации страниц прячут свою потребность затруднить фильтрацию собственной рекламы и модулей слежения на страницах сайтов мира.
— дополнительные проблемы, которые возникнут у правоохранительных органов и провайдеров при попытке отслеживания трафика в рамках программ, подобных СОРМ, и блокировки тех или иных ресурсов по предписаниям судов, что, вероятнее всего, приведет к форсированию пользователей интернет к установке государственного сертификата на все устройства, с целью обеспечения работы теперь уже государственного, «законного» MITM-решения, по примеру того, как это предполагалось сделать в Казахстане и некоторых других странах.
https://geektimes.ru/post/280288/ | Спасибо,ты настоящий експерт.
И маг.
канешн. Только в следующий раз с большой буквы пожалуйста
Ну а у нас как всегда выбор невелик
Какие перспективы у блокировок в России при поголовном переходе сайтов на HTTPS?
-Будут блочить по IP
-Реализуют государственный CA
Думаю для многих стран такое пока рано вводить, но гугл ничьего мнения не спрашивает. | Подскажите пожалуйста можно ли как-то в настройках, в Мозиле, отключить всплывающие сообщение при вводе логина и пароля("Это сообщение не защищено...")?
Неудобно логин вручную вводить постоянно. | | Бывает | для Ниов:
Неудобно логин вручную вводить постоянно.
Правой кнопкой мыши на окне ввода и пункт "ввести логин" внизу меню. | | главное,чтоб прон работал. | | у меня ничего не менялось. | По сообщениям Google, более половины из загружаемых на десктопах сайтов сегодня уже перешли на использование HTTPS.
Враки, враки. | Противники подхода «все на HTTPS» называют свои контраргументы, среди которых:
Главный аргумент, сертификат SSL - стоит денег. А хороший сертификат - хороших денег, так сертификат EV типа стоит примерно 200 баксов в год.
Ну, а то что больше половины сайтов на ПК перешли на SSL - брехня, хоть бы 5% набралось. | | Т.е. мне теперь нужно покупать доменное имя и регистрировать сертификат на свой домашний комп? Ща только шнурки поглажу. | Надо просто не пользоваться хромом, к примеру.
Да и вообще, зачем гуглу то чтобы сайты переходили на HTTPS?
для FireSwarm:
Нет, это для владельцев сайтов. | для ElfRush:
А что, на домашнем компе проблема сайт поднять? | для FireSwarm:
Нет, статический IP покупай и вперед. Или DynDNS если любишь приключения. | для ElfRush:
Статический есть давно. Он копейки стоит. И что, теперь доменное имя и сертификат покупать? | для FireSwarm:
В зависимости от целей. У меня, к примеру, висит сайт на VPS без имени и сертификата. Потому что не нужны. | для ElfRush:
Да и вообще, зачем гуглу то чтобы сайты переходили на HTTPS?
Не думаю, что у гугла есть какой-то коммерческий интерес в этом. Разве что они в доле с поставщиками сертификатов. | VPS
ИП дешевле купить. | По сообщениям Google, более половины из загружаемых на десктопах сайтов сегодня уже перешли на использование HTTPS.
В конце концов, где пруфы? |
К списку тем
|
