Поддержка HTTPS (на форуме)

Внимание! Если у вас проблемы с регистрацией, пишем сюда свои жалобы.
Если вас что-то не устраивает, вы нашли ошибку или хотите что-то предложить - Пишите сюда, ваша просьба обязательно будет рассмотрена!

Модератор: Модераторы разделов

Аватара пользователя
rm_
Сообщения: 3340
Статус: It's the GNU Age
ОС: Debian

Поддержка HTTPS

Сообщение rm_ »

"Есть мнение, и не только моё", что пора бы постепенно переводить весь HTTP на HTTPS. А уж сайты, где надо логиниться, вводить личную информацию, пароли - уж и подавно. https://www.eff.org/press/archives/2011/04/19-0
Почему бы не включить опционально SSL на форуме? Затрат никаких не надо, доступны бесплатные сертификаты:
- от CACert, http://www.cacert.org/ (но этот не везде признаётся валидным);
- либо от StartSSL https://www.startssl.com/ (на один домен).
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8255
Статус: Маньяк
ОС: Arch, CentOS, Ubuntu

Re: Поддержка HTTPS

Сообщение serzh-z »

rm_ писал(а):
27.04.2011 23:30
"Есть мнение, и не только моё", что пора бы постепенно переводить весь HTTP на HTTPS
Ммм... ЗАЧЕМ?

Это _обычный_ форум.
Спасибо сказали:

Аватара пользователя
rm_
Сообщения: 3340
Статус: It's the GNU Age
ОС: Debian

Re: Поддержка HTTPS

Сообщение rm_ »

serzh-z
1) because we can
2) многие используют один пароль вообще на всё, это неправильно, тем не менее встречается.
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8255
Статус: Маньяк
ОС: Arch, CentOS, Ubuntu

Re: Поддержка HTTPS

Сообщение serzh-z »

rm_ писал(а):
27.04.2011 23:36
2) многие используют один пароль вообще на всё, это неправильно, тем не менее встречается.
1. А ещё мы можем чего-нибудь, например, взорвать.
2.1 Это их проблемы и это не имеет отношения к безопасности этого форума. Как HTTPS поможет дырявой голове пользователя?
2.2 Чем грозит форуму утечка пароля одного пользователя? Восстановить свой старый аккаунт не столь сложно.
Спасибо сказали:

Аватара пользователя
rm_
Сообщения: 3340
Статус: It's the GNU Age
ОС: Debian

Re: Поддержка HTTPS

Сообщение rm_ »

serzh-z писал(а):
27.04.2011 23:40
2.1 Это их проблемы и это не имеет отношения к безопасности этого форума.

HTTPS не для безопасности форума, а для защиты пользовательской информации (пароля, а также например содержимого ЛС) от перехвата по пути от его компьютера к серверу форума, в частности на недоверяемом вайфае.

serzh-z писал(а):
27.04.2011 23:40
2.2 Чем грозит форуму утечка пароля одного пользователя?

Форуму грозить может в случае, если этот пользователь входит в состав администраторов или модераторов.
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Поддержка HTTPS

Сообщение sash-kan »

некоторые администраторы только open-id-ом пользуются для аутентфикации на этом форуме.

не понимаю, почему среди светлых голов со светлыми идеями так мало внимательных?
ведь нынешняя схема подключения неоднократно озвучивалась.
форум работает на виртуальной машине, доступной _только_ из локальной сети etersoft-а.
извне машина недоступна.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
ieleja
Сообщения: 307
ОС: Debian 9, macOS, Windows

Re: Поддержка HTTPS

Сообщение ieleja »

YES!
ad infinitum
Спасибо сказали:

Аватара пользователя
rm_
Сообщения: 3340
Статус: It's the GNU Age
ОС: Debian

Re: Поддержка HTTPS

Сообщение rm_ »

sash-kan писал(а):
27.04.2011 23:58
некоторые администраторы только open-id-ом пользуются для аутентфикации на этом форуме.

Замечтательно.

sash-kan писал(а):
27.04.2011 23:58
не понимаю, почему среди светлых голов со светлыми идеями так мало внимательных?
ведь нынешняя схема подключения неоднократно озвучивалась.
форум работает на виртуальной машине, доступной _только_ из локальной сети etersoft-а.
извне машина недоступна.

А вот это перечитывал на несколько раз, так и не понял, какое отношение имеет к сабжу.
На виртуальную машину проблема пробросить ещё и 443-й порт?
Спасибо сказали:

Аватара пользователя
/dev/random
Администратор
Сообщения: 5105
ОС: Gentoo

Re: Поддержка HTTPS

Сообщение /dev/random »

rm_ писал(а):
28.04.2011 06:58
А вот это перечитывал на несколько раз, так и не понял, какое отношение имеет к сабжу.
На виртуальную машину проблема пробросить ещё и 443-й порт?

Проблема. https требует, чтобы каждый сайт имел отдельный IP. В нашем случае это не вариант. На "внешней" машине этерсофта крутится nginx, который в зависимости от поля "Host:" в http-запросе переадресует запрос разным машинам в локалке. Это невыполнимо для https.
Спасибо сказали:

lav
Модератор
Сообщения: 192

Re: Поддержка HTTPS

Сообщение lav »

/dev/random писал(а):
28.04.2011 08:57
rm_ писал(а):
28.04.2011 06:58
А вот это перечитывал на несколько раз, так и не понял, какое отношение имеет к сабжу.
На виртуальную машину проблема пробросить ещё и 443-й порт?

Проблема. https требует, чтобы каждый сайт имел отдельный IP. В нашем случае это не вариант. На "внешней" машине этерсофта крутится nginx, который в зависимости от поля "Host:" в http-запросе переадресует запрос разным машинам в локалке. Это невыполнимо для https.


Кстати, в nginx уже появилась поддержка виртуальных SSL-хостов, так что сейчас не проблема сделать 443-порт для форума, если надо.
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Поддержка HTTPS

Сообщение sash-kan »

lav писал(а):
04.09.2012 13:15
/dev/random писал(а):
28.04.2011 08:57
rm_ писал(а):
28.04.2011 06:58
А вот это перечитывал на несколько раз, так и не понял, какое отношение имеет к сабжу.
На виртуальную машину проблема пробросить ещё и 443-й порт?

Проблема. https требует, чтобы каждый сайт имел отдельный IP. В нашем случае это не вариант. На "внешней" машине этерсофта крутится nginx, который в зависимости от поля "Host:" в http-запросе переадресует запрос разным машинам в локалке. Это невыполнимо для https.


Кстати, в nginx уже появилась поддержка виртуальных SSL-хостов, так что сейчас не проблема сделать 443-порт для форума, если надо.
сгенерировал самоподписанный сертификат и перенастроил apache·
давайте протестируем?

p.s. с локалхоста https-версия грузится, но ссылки генерируются на http: это надо в админке менять·
p.p.s. если всё заработает, на http-версии поставлю редирект, а сертификат сгенерирую в startcom-е (оно же startssl)·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
rm_
Сообщения: 3340
Статус: It's the GNU Age
ОС: Debian

Re: Поддержка HTTPS

Сообщение rm_ »

Не понял что и как тестировать:
$ curl https://unixforum.org/
curl: (7) couldn't connect to host
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Поддержка HTTPS

Сообщение sash-kan »

rm_
lav — это Виталий Липатов, генеральный директор компании etersoft, предоставляющей форуму бесплатный хостинг·
предложение протестировать относилось к нему·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8255
Статус: Маньяк
ОС: Arch, CentOS, Ubuntu

Re: Поддержка HTTPS

Сообщение serzh-z »

sash-kan
Не понимаю, зачем небольшому дырявому IPB-форуму SSL. Ну если только мощности сервера девать некуда... Ну и ещё если хочется поломать кеширование на проксях у посетителей.
Спасибо сказали:

Kopilov
Сообщения: 821
ОС: [K]Ubuntu, Debian

Re: Поддержка HTTPS

Сообщение Kopilov »

Чтобы законопатить дыры, разумеется.
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Поддержка HTTPS

Сообщение sash-kan »

serzh-z писал(а):
05.09.2012 13:35
зачем небольшому дырявому IPB-форуму SSL
пароли идут в прямом эфире, например

serzh-z писал(а):
05.09.2012 13:35
поломать кеширование на проксях
поломать???
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:

Аватара пользователя
serzh-z
Бывший модератор
Сообщения: 8255
Статус: Маньяк
ОС: Arch, CentOS, Ubuntu

Re: Поддержка HTTPS

Сообщение serzh-z »

sash-kan писал(а):
05.09.2012 14:58
поломать???
У тебя прокси кеширует чужой SSL-трафик? =) В лучшем случае - он его пропускает через себя as-is.
Спасибо сказали:

Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU

Re: Поддержка HTTPS

Сообщение sash-kan »

serzh-z писал(а):
06.09.2012 17:10
У тебя прокси кеширует чужой SSL-трафик?
1. у меня, естественно, нет никаких http-proxy-серверов
2. даже если бы был, то, естественно, кэшировать было бы нечего

«нечего кэшировать» == «поломано»·
ну, океу·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали: