[NIXP] Mozilla Foundation предлагает объявить незашифрованный протокол HTTP устаревшим

[Dmitry Shurupov]

Mozilla Foundation продолжает работу по подготовке поэтапного отказа от использования незащищенного протокола HTTP, о котором было впервые объявлено в официальном блоге проекта в конце прошлого месяца. В частности, опубликован подробный FAQ с ответами на вопросы о возможных проблемах в ходе перехода с HTTP на HTTPS. Наиболее сложной проблемой, для которой пока нет удовлетворительного решения, является использование сертификатов безопасности для веб-интерфейсов сетевых маршрутизаторов и других локальных устройств, которым невозможно выдать сертификат по аналогии с сайтом. Тем не менее разработчики Mozilla надеются, что эта проблема в скором будущем будет решена. Что касается проблемы получения сертификатов для небольших/личных сайтов, то в ответ на этот вопрос приводится список организаций, выдающих бесплатные сертификаты всем желающим, а также ссылка на генератор конфигурации HTTPS для выделенных серверов. Разумеется, решение о полном переходе на HTTPS по-прежнему остается весьма спорным, но помимо Mozilla за него в последнее время высказались такие организации, как IETF, W3C и правительственные организации США. Кроме того, Mozilla Foundation не так давно приняла еще одно достаточно спорное решение, на этот раз касающееся поддержки бинарных компонентов XPCOM в дополнениях к своим программным продуктам. С релизом стабильной версии Firefox 40 поддержка таких компонентов будет прекращена во всех продуктах Mozilla на основе Gecko. Принятие такого решения объясняется желанием повысить стабильность ПО. Следует отметить, что на данный момент такие компоненты уже практически не используются разработчиками дополнений.


оригинал на www.nixp.ru

[azsx]

как владелец нескольких веб сайтов, на которых нет регистрации и секретных данных - никак не могу понять, зачем они хотят чтобы все вебсайты перешли на https???

[Bizdelnick]

azsx
FAQ же есть.

[azsx]

на нерусском опять

[Bizdelnick]

https://translate.google.com/#en/ru/HTTPS%2...20overall%20Web.

[azsx]

бред сивой кобылы для 99,9 % сайтов видимых в серпе. Но понятно какие у них аргументы.

[Bizdelnick]

бред сивой кобылы для 99,9 % сайтов видимых в серпе.

В где?

[azsx]

серп - эта часть поисковой выдачи по запросу. То есть набираем в гугле "форум по линукс" получаем поисковую выдачу, в том числе в топ 10 есть unixforum.org. Вот эта поисковая выдача есть серп.
зы
из вашего перевода я понял, они зачем то хотят провести паспортизацию инета. Ну понятно гугл, они признались, что внезапно (после сбитого боинга видать) узнали что инет сильно зашумлен и невозможно оценить достоверность данных в выдаче. Но зачем это надо мозилле - они ведь вроде за наших были!

[Bizdelnick]

из вашего перевода я понял, они зачем то хотят провести паспортизацию инета. Ну понятно гугл, они признались, что внезапно (после сбитого боинга видать) узнали что инет сильно зашумлен и невозможно оценить достоверность данных в выдаче. Но зачем это надо мозилле - они ведь вроде за наших были!

Вот это как раз и есть

бред сивой кобылы

Ну назовите это паспортизацией сайтов. Тогда я — за паспортизацию. Потому что я хочу быть уверенным, что то, куда я пишу это сообщение, — это действительно unixforum.org, а не то, что мне подсунул вместо него не то провайдер, не то ФСБ.

[azsx]

Bizdelnick - это форум у каждого свое мнение. Я против. 1. сайтов куда стоит писать сообщения мало, а работа рос надзора еще больше снизит их количество. 2. Если вам подменяют сайт на уровне провайдера или фсб - то флаг им в руки, сертификаты всё равно от срока не спасут.

[Bizdelnick]

сайтов куда стоит писать сообщения мало

Да причём тут сообщения? Я хочу быть уверенным, что запрошенная мной страница приходит именно оттуда, откуда я её запросил, и что в неё не подпихнули, например, дополнительных скриптов. Ни на каком уровне: ни на уровне хостера и его провайдера, ни на каком-либо из промежуточных узлов, ни на уровне моего провайдера, ни на уровне моего роутера или локалхоста (я-то роутер и локалхост скорее всего не дам поломать, а Вася Пупкин даст и ничего не заметит).

Если вам подменяют сайт на уровне провайдера или фсб - то флаг им в руки, сертификаты всё равно от срока не спасут.

А если Вам? Вам нечего скрывать? Почему-то Ваш IP-адрес говорит об обратном.
Речь ведь не обо мне и даже не о Вас, речь всё о том же Васе Пупкине. Который знать не знает, что такое TLS и зачем он нужен и, что характерно, знать не хочет и думать головой не привык. Вот за него товарищи из Mozilla и подумали.

Я против.

Если не секрет — почему? Настроить лень, или есть какие-то объективные причины?

[azsx]

Почему-то Ваш IP-адрес говорит об обратном.

мне не очень хочется чтобы люди разбирающиеся в линуксах намного лучше меня сразу знали мой ip. Элементарно домашний комп ломанут. От фсб у меня секретов нет.

Настроить лень, или есть какие-то объективные причины?

сложно и лень настраивать для нескольких сайтов. Будет ежегодно сбоить это удовольствие.
зы
вот такой вопрос, есть ли какая то статистика, насколько часто ломают хостеров и провайдеров для цели выдачи лома вместо нормальных сайтов?

[Bizdelnick]

есть ли какая то статистика, насколько часто ломают хостеров и провайдеров для цели выдачи лома вместо нормальных сайтов?

Чаще ломают сами сайты — брутфорсят или от FTP пароли снифят. У хостеров и провайдеров я бы больше боялся злонамеренных действий какого-нибудь админа, решившего подзаработать. Но где HTTPS чаще всего может помочь — это на клиентской машине, где стоит какой-нибудь троян-прокси. Опять-таки, в мозилловском FAQ есть ссылка на пример, когда провайдер встраивал в страницы рекламу; до России такая мода ещё не дошла, но это не значит, что не дойдёт.
Кстати, любым сервисам анонимизации IMHO нельзя доверять по определению. Чего это они такие добрые, разрешают через себя трафик гонять? Что они с ним творят по пути? Был бы повсеместный HTTPS — об этом можно было бы не беспокоиться, а так — смотрите, от здешних модеров спрячетесь, а добрый анонимизатор Вас и ломанёт.

[Rassol2]

России такая мода ещё не дошла, но это не значит, что не дойдёт.

В РФ тоже есть билаин таким занимается. Недавно чистал.

[Rassol2]

категорически против.
У меня должен быть выбор. И точка.

Я сам решу что мне использовать, и мазиле не стоит навязывать свое видение.

А если говорит что мазила за меня побеспокоилась так это вообще преступление. Вон в РФ сейчас тоже беспокоятся о том что бы детки не лазили по плохим сайтам, так что кому то это помогло кроме гос депа ?

[Bizdelnick]

Ну рассмотрим такую ситуацию. Вася Пупкин почитал журнал «Ксакеп» и вычитал, что круто ходить в Интернет через Tor. Пошёл на один из сайтов azsx, которому влом настроить HTTPS, но пошёл через выходную ноду, админ которой, скажем так, не очень хороший человек. В итоге в страницу был внедрён скрипт, который ломанул васин браузер и посадил ему трояна. Что можно сделать, чтобы предотвратить такую ситуацию? Как подсказал azsx же в соседней теме, желать Васе или редакции журнала «Ксакеп» убиться об стену незаконно, тем более что вась и журналов очень много.

[NickLion]

Ну, для проверки на подлинность достаточно снабдить цифровой подписью, шифровать полностью трафик — лишние затраты. Я не в курсе, может HTTPS позволяет проводить верификацию без шифрования, тогда имеет смысл выбросить HTTP, а если нет, то остаётся куча инфы, те же общедоступные картинки, например, которые нет смысла шифровать.

[NickLion]

категорически против.
У меня должен быть выбор. И точка.

Я сам решу что мне использовать, и мазиле не стоит навязывать свое видение.

А если говорит что мазила за меня побеспокоилась так это вообще преступление. Вон в РФ сейчас тоже беспокоятся о том что бы детки не лазили по плохим сайтам, так что кому то это помогло кроме гос депа ?

Ваш выбор всё равно ограничен стандартами, серверами и клиентами. Поэтому как-то неубедительно. А так, да, на своём сервере и своё клиенте хоть в виде YAML'а передавайте страницы, никто же не запрещает.

[Bizdelnick]

Я не в курсе, может HTTPS позволяет проводить верификацию без шифрования

Никогда не пробовал, но теоретически позволяет. Шифр eNULL для OpenSSL.
Но это ж придётся статику, которую не нужно шифровать, на отдельный сервер выносить со своим (под)доменом. Для CDN может и будет какая-то выгода, в остальных случаях — трудностей больше.

[Kopilov]

Интересно, на что работодатели заменят вопрос "Как с помощью nc скачать страницу?" и потребуют ли использовать HTTPS в "интернетах вещей".

К слову, я на днях накидал программку, которая делает запрос и выводит ответ подобно nc, а предварительно помогает его составить. Конечно, есть средства и покруче, но тут целью было именно показать запрос (и ответ) plain-текстом, в процессе помощи одному разработчику, не имевшему опыта работы с HTTP, но пытавшемуся выполнить специфический запрос со встраиваемого аппаратного обеспечения.

[azsx]

Ну рассмотрим такую ситуацию.

забыли о такой проблеме. А если васе пофиг на вирусы?
Ну поставят васе трояна с багами - переустановит винду. Так как по опыту такие как вася посещают очень малое число сайтов постоянно, большой вопросы выйдет ли еще когда либо вася на мой мелкий сайт. А винда без вирусов на домашнем ноуте - это фантастика.
Но azsx обязан делать https, хотя вроде как васям пофиг.
зы
говоря о вирусах, может их реально сильно вирусы с подменой выдачи пугают. Настолько сильно что даже мозилла требует чего то от веб владельцев. хз, мне кажется просто принудительная паспортизация в госдепе.

[Bizdelnick]

А если васе пофиг на вирусы?

А Вам пофиг, что Ваши же сайты потом будут DDoSить с ботнета из таких вась?
И Васе точно не пофиг, если троян уведёт данные его карточки, и с неё исчезнет его зряплата.

Так как по опыту такие как вася посещают очень малое число очень крупных сайтов большой вопросы выйдет ли еще когда либо вася на мой сайт.

Зато вась очень много. Данный конкретный может и не зайдёт, зато пара сотен других — обязательно. А этот зайдёт на пару сотен других сайтов, админы которых поленились настроить HTTPS...

[azsx]

А Вам пофиг, что Ваши же сайты потом будут DDoSить с ботнета из таких вась?

вот это мне совсем не пофиг, "хакеры", которые умнее меня в пхп и никс меня достали. Но я отношусь как к данности винде и андроиду необходимы дыры для вирусов и троянов - у них эти дырыы есть. Хоть разревитесь вы.

И Васе точно не пофиг, если троян уведёт данные его карточки, и с неё исчезнет его зряплата.

это уже совсем оффтопик, это особенность современного капиталистического мира что вирус может увести всю зп у васи. У меня лично сберкнижка.

[Janik]

Считаю, что HTTPS для большинства сайтов нужен как акваланг рыбе.

[Bizdelnick]

Но я отношусь как к данности винде и андроиду необходимы дыры для вирусов и троянов - у них эти дырыы есть.

Напрасно. И в любом случае это не повод добавлять ещё одну дыру.

[NickLion]

Кстати, в HTTP2 вроде собирались только шифрование оставить. Или уже сдались?

[Bizdelnick]

Кстати, в HTTP2 вроде собирались только шифрование оставить. Или уже сдались?

Вроде так и будет.