Поддержка HTTPS (на форуме)
Модератор: Модераторы разделов
Поддержка HTTPS
"Есть мнение, и не только моё", что пора бы постепенно переводить весь HTTP на HTTPS. А уж сайты, где надо логиниться, вводить личную информацию, пароли - уж и подавно. https://www.eff.org/press/archives/2011/04/19-0
Почему бы не включить опционально SSL на форуме? Затрат никаких не надо, доступны бесплатные сертификаты:
- от CACert, http://www.cacert.org/ (но этот не везде признаётся валидным);
- либо от StartSSL https://www.startssl.com/ (на один домен).
Почему бы не включить опционально SSL на форуме? Затрат никаких не надо, доступны бесплатные сертификаты:
- от CACert, http://www.cacert.org/ (но этот не везде признаётся валидным);
- либо от StartSSL https://www.startssl.com/ (на один домен).
Re: Поддержка HTTPS
serzh-z
1) because we can
2) многие используют один пароль вообще на всё, это неправильно, тем не менее встречается.
1) because we can
2) многие используют один пароль вообще на всё, это неправильно, тем не менее встречается.
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: Поддержка HTTPS
1. А ещё мы можем чего-нибудь, например, взорвать.
2.1 Это их проблемы и это не имеет отношения к безопасности этого форума. Как HTTPS поможет дырявой голове пользователя?
2.2 Чем грозит форуму утечка пароля одного пользователя? Восстановить свой старый аккаунт не столь сложно.
Re: Поддержка HTTPS
HTTPS не для безопасности форума, а для защиты пользовательской информации (пароля, а также например содержимого ЛС) от перехвата по пути от его компьютера к серверу форума, в частности на недоверяемом вайфае.
Форуму грозить может в случае, если этот пользователь входит в состав администраторов или модераторов.
Re: Поддержка HTTPS
некоторые администраторы только open-id-ом пользуются для аутентфикации на этом форуме.
не понимаю, почему среди светлых голов со светлыми идеями так мало внимательных?
ведь нынешняя схема подключения неоднократно озвучивалась.
форум работает на виртуальной машине, доступной _только_ из локальной сети etersoft-а.
извне машина недоступна.
не понимаю, почему среди светлых голов со светлыми идеями так мало внимательных?
ведь нынешняя схема подключения неоднократно озвучивалась.
форум работает на виртуальной машине, доступной _только_ из локальной сети etersoft-а.
извне машина недоступна.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
Re: Поддержка HTTPS
Замечтательно.
А вот это перечитывал на несколько раз, так и не понял, какое отношение имеет к сабжу.
На виртуальную машину проблема пробросить ещё и 443-й порт?
- /dev/random
- Администратор
- Сообщения: 5282
- ОС: Gentoo
Re: Поддержка HTTPS
Проблема. https требует, чтобы каждый сайт имел отдельный IP. В нашем случае это не вариант. На "внешней" машине этерсофта крутится nginx, который в зависимости от поля "Host:" в http-запросе переадресует запрос разным машинам в локалке. Это невыполнимо для https.
Спасибо сказали:
Re: Поддержка HTTPS
/dev/random писал(а): ↑28.04.2011 08:57
Проблема. https требует, чтобы каждый сайт имел отдельный IP. В нашем случае это не вариант. На "внешней" машине этерсофта крутится nginx, который в зависимости от поля "Host:" в http-запросе переадресует запрос разным машинам в локалке. Это невыполнимо для https.
Кстати, в nginx уже появилась поддержка виртуальных SSL-хостов, так что сейчас не проблема сделать 443-порт для форума, если надо.
Re: Поддержка HTTPS
сгенерировал самоподписанный сертификат и перенастроил apache·lav писал(а): ↑04.09.2012 13:15/dev/random писал(а): ↑28.04.2011 08:57
Проблема. https требует, чтобы каждый сайт имел отдельный IP. В нашем случае это не вариант. На "внешней" машине этерсофта крутится nginx, который в зависимости от поля "Host:" в http-запросе переадресует запрос разным машинам в локалке. Это невыполнимо для https.
Кстати, в nginx уже появилась поддержка виртуальных SSL-хостов, так что сейчас не проблема сделать 443-порт для форума, если надо.
давайте протестируем?
p.s. с локалхоста https-версия грузится, но ссылки генерируются на http: это надо в админке менять·
p.p.s. если всё заработает, на http-версии поставлю редирект, а сертификат сгенерирую в startcom-е (оно же startssl)·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
Re: Поддержка HTTPS
Не понял что и как тестировать:
$ curl https://unixforum.org/
curl: (7) couldn't connect to host
Re: Поддержка HTTPS
rm_
lav — это Виталий Липатов, генеральный директор компании etersoft, предоставляющей форуму бесплатный хостинг·
предложение протестировать относилось к нему·
lav — это Виталий Липатов, генеральный директор компании etersoft, предоставляющей форуму бесплатный хостинг·
предложение протестировать относилось к нему·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
- serzh-z
- Бывший модератор
- Сообщения: 8259
- Статус: Маньяк
- ОС: Arch, Fedora, Ubuntu
- Контактная информация:
Re: Поддержка HTTPS
sash-kan
Не понимаю, зачем небольшому дырявому IPB-форуму SSL. Ну если только мощности сервера девать некуда... Ну и ещё если хочется поломать кеширование на проксях у посетителей.
Не понимаю, зачем небольшому дырявому IPB-форуму SSL. Ну если только мощности сервера девать некуда... Ну и ещё если хочется поломать кеширование на проксях у посетителей.
Re: Поддержка HTTPS
Чтобы законопатить дыры, разумеется.
Re: Поддержка HTTPS
пароли идут в прямом эфире, например
поломать???
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
Re: Поддержка HTTPS
1. у меня, естественно, нет никаких http-proxy-серверов
2. даже если бы был, то, естественно, кэшировать было бы нечего
«нечего кэшировать» == «поломано»·
ну, океу·
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог