PDA

Просмотр полной версии : Доступ по HTTPS



Chel
19.11.2017, 18:33
Сделайте, пожалуйста, доступ к сайту (хотя бы к форуму) по защищённому соединению (https). Это можно уже считать правилом хорошего тона в наше время. LetsEncrypt раздаёт бесплатные сертификаты.

karavan
19.11.2017, 21:58
А что в него прятать?
При текущей схеме работы сайта пароль передается в виде хэша md5.
А больше прятать нечего, это ж не интернет-магазин с оплатой товаров пластиковыми картами.
И для текущего хостинга letsencrypt может быть проблематичен - насколько мне известно, сейчас шаред.

Eagle
20.11.2017, 11:23
Я разворачивал LetsEncrypt. Это актуально для VPS где можно любой софт ставить.
Веб-хостинг же далеко не факт, что это поддерживает.

Chel
21.11.2017, 00:29
И для текущего хостинга letsencrypt может быть проблематичен - насколько мне известно, сейчас шаред.

Веб-хостинг же далеко не факт, что это поддерживает.

Здесь (https://letsencrypt.org/getting-started/) советуют сначала проверить, может хостинг-провайдер поддерживает. Если нет, то попросить о поддержке. Если нет, то использовать manual mode (https://certbot.eff.org/docs/using.html#manual). Как я понял, это запуск certbot на доступном компьютере и размещение на сервере в /.well-known/acme-challenge/ заданного файла для проверки.


А что в него прятать?
При текущей схеме работы сайта пароль передается в виде хэша md5.
А больше прятать нечего, это ж не интернет-магазин с оплатой товаров пластиковыми картами.

Не хочу начинать тему про «мне нечего скрывать». В век тотальной слежки и автоматического сбора данных всего и обо всех я считаю, прятать надо всё и по умолчанию.

Не знаю, как в деталях всё работает, но передача неподписанных данных в открытом виде — это значит, смотри, кто хочешь, и меняй, как хочешь.
md5 давно взломан. Даже если не md5, и не просто хеш пароля, а надёжная процедура проверки подлинности, то дальше что? Передача всех данных открытым текстом? Смысла тогда в пароле не особо много.

Update:
В крайнем случае меня лично устроит просто самоподписанный сертификат, меняющийся раз в несколько лет.

Cliff
21.11.2017, 09:05
Chel,
Вы слишком высокого мнения о шифровании и подписи. К слову, подпись - вообще для другого, никак не для закрытия пароля.
https имеет смысл только как подпись. Т.е. чтобы идентифицировать оригинальный ресурс от двойника. Но вы часто смотрите в информацию подписи?

Что касается сокрытия пароля. В его передаче участвует множество элементов (клавиатура, ОС, браузер, сетевой стек ОС, сеть, сервер, скрипты сервера, БД). HTTPS делает безопасным только пункт "сеть". Однако в настоящее время - в век коммутаторов и vlan-per-user-доступа, даже если не использовать https, для перехвата паролей "сеть" используется в самую последнюю очередь, т.к. остальные пункты несомненно проще.

Да, https сейчас стал "модной фишкой", "трендом", и очень многие считают жизнь без него "дурным тоном". Но его значение явно многие преувеличивают.

Мы обязательно займёмся этим вопросом, когда будет время, пусть даже и ради "правила хорошего тона" (без сарказма). За предложение спасибо.

Chel
22.11.2017, 00:42
https имеет смысл только как подпись.

И шифрование.

Я знаю, что дыры есть везде. Но защищаться всё равно надо. С https к содержимому имеет доступ администратор сервера и те, кто https (или другие элементы) взломает. Без — ещё и все посредники при передаче по сети, причём взламывать ничего не надо. Да, я имею в виду и своего провайдера интернета, и Wi-Fi в метро и других местах.


Но вы часто смотрите в информацию подписи?

У меня установлен Certificate Patrol для Firefox :).


Мы обязательно займёмся этим вопросом, когда будет время

Спасибо.

vejed
22.11.2017, 01:11
И шифрование.

Я знаю, что дыры есть везде. Но защищаться всё равно надо. С https к содержимому имеет доступ администратор сервера и те, кто https (или другие элементы) взломает. Без — ещё и все посредники при передаче по сети, причём взламывать ничего не надо. Да, я имею в виду и своего провайдера интернета, и Wi-Fi в метро и других местах.

Пароль в этом движке, как уже писалось выше, на сервер передается в виде хеша.
Какие еще конфиденциальные данные передаются с/на этот форум? Большинство топиков в открытом доступе, в закрытых чего-то потенциально интересного злоумышленникам тоже нет, личными сообщениями, подозреваю, пользуются не особо активно и опять же, вряд ли что-то там обсуждают, интересное потенциальным злоумышленникам.

Сам по себе https - это, конечно, всегда хорошо. Но в данном случае, ИМХО, острой необходимости нет.

Кстати, по поводу бесплатных сертификатов. Были же скандалы, когда их отзывали из-за плохой процедуры проверки владельца сайта. Нафиг с ними связываться.

П
22.11.2017, 01:17
Я посмотрел процедуру установки бесплатного сертификата, и что-то ужаснулся.

maniac
22.11.2017, 08:39
В концепции данного форума тема попахивает ветряными мельницами и жидомасонским заговором....

Chel
22.11.2017, 23:46
Ещё раз повторюсь, в качестве компромисса можно создать просто свой самоподписанный сертификат лет на 5 и, используя его, сделать доступ по https параллельно с http.

malin
23.11.2017, 21:43
Может, лучше че полезного сделать?)
Кому нахрен наш форум нужен?
Опишите потенциального нарушителя, его мотивы, и, самое главное - какие данные тут можно украсть???

Лучше мне расскажите, как аватарку поставить здесь.

ashly
15.12.2017, 17:23
Может, лучше че полезного сделать?)


+1
раз уж Chel настолько технически подкован, то может он захочет поучаствовать в улучшении IT-инфраструктуры дз? У нас есть много чего еще поделать ;)

П
15.12.2017, 17:54
Лучше мне расскажите, как аватарку поставить здесь.
Есть следующие варианты:


Самостоятельно (самый дешевый);
Консультация у консультанта (оптимальный);
Установка аватара под ключ (самый дорогой);
ВИП-обслуживание (предыдущий варант + стихи, блэк-джек и так далее).


=)

Tsvet
17.12.2017, 12:59
... (самый дешевый) ... =)
Самый дешевый — помощь Друга. Но это, похоже, не сюда.

По теме ветки: HTTPS здесь (закалякано) не нужен. При всём уважении, Chel

karavan
28.05.2018, 16:32
Не смотря на то, что здесь использование https рассматривалось как бесполезная фича, интернет гугл навязывает (https://www.emaro-ssl.ru/blog/google-%D1%83%D0%B4%D0%B0%D0%BB%D0%B8%D1%82-%D0%B8%D0%BD%D0%B4%D0%B8%D0%BA%D0%B0%D1%82%D0%BE%D 1%80-%D0%B7%D0%B0%D1%89%D0%B8%D1%89%D0%B5%D0%BD%D0%BE-%D0%B2-%D1%81%D0%B5%D0%BD%D1%82/) "безопасный вебсерфинг".
А т.к. гугл диктатор цифровой моды, то за ним подтянутся и остальные.
И это единственная причина, по которой сайт и форум придется перевести на https когда-нибудь, а пока есть время к этому подготовиться.

Вкратце, новые версии хрома будут всячески акцентировать внимание пользователя на том, что сайт работает по незащищенному протоколу.