Сделайте, пожалуйста, доступ к сайту (хотя бы к форуму) по защищённому соединению (https). Это можно уже считать правилом хорошего тона в наше время. LetsEncrypt раздаёт бесплатные сертификаты.
Сделайте, пожалуйста, доступ к сайту (хотя бы к форуму) по защищённому соединению (https). Это можно уже считать правилом хорошего тона в наше время. LetsEncrypt раздаёт бесплатные сертификаты.
А что в него прятать?
При текущей схеме работы сайта пароль передается в виде хэша md5.
А больше прятать нечего, это ж не интернет-магазин с оплатой товаров пластиковыми картами.
И для текущего хостинга letsencrypt может быть проблематичен - насколько мне известно, сейчас шаред.
Я разворачивал LetsEncrypt. Это актуально для VPS где можно любой софт ставить.
Веб-хостинг же далеко не факт, что это поддерживает.
Здесь советуют сначала проверить, может хостинг-провайдер поддерживает. Если нет, то попросить о поддержке. Если нет, то использовать manual mode. Как я понял, это запуск certbot на доступном компьютере и размещение на сервере в /.well-known/acme-challenge/ заданного файла для проверки.
Не хочу начинать тему про «мне нечего скрывать». В век тотальной слежки и автоматического сбора данных всего и обо всех я считаю, прятать надо всё и по умолчанию.
Не знаю, как в деталях всё работает, но передача неподписанных данных в открытом виде — это значит, смотри, кто хочешь, и меняй, как хочешь.
md5 давно взломан. Даже если не md5, и не просто хеш пароля, а надёжная процедура проверки подлинности, то дальше что? Передача всех данных открытым текстом? Смысла тогда в пароле не особо много.
Update:
В крайнем случае меня лично устроит просто самоподписанный сертификат, меняющийся раз в несколько лет.
Крайний раз редактировалось Chel; 21.11.2017 в 03:05. Причина: забыл про самоподписанный сертификат
Chel,
Вы слишком высокого мнения о шифровании и подписи. К слову, подпись - вообще для другого, никак не для закрытия пароля.
https имеет смысл только как подпись. Т.е. чтобы идентифицировать оригинальный ресурс от двойника. Но вы часто смотрите в информацию подписи?
Что касается сокрытия пароля. В его передаче участвует множество элементов (клавиатура, ОС, браузер, сетевой стек ОС, сеть, сервер, скрипты сервера, БД). HTTPS делает безопасным только пункт "сеть". Однако в настоящее время - в век коммутаторов и vlan-per-user-доступа, даже если не использовать https, для перехвата паролей "сеть" используется в самую последнюю очередь, т.к. остальные пункты несомненно проще.
Да, https сейчас стал "модной фишкой", "трендом", и очень многие считают жизнь без него "дурным тоном". Но его значение явно многие преувеличивают.
Мы обязательно займёмся этим вопросом, когда будет время, пусть даже и ради "правила хорошего тона" (без сарказма). За предложение спасибо.
И шифрование.
Я знаю, что дыры есть везде. Но защищаться всё равно надо. С https к содержимому имеет доступ администратор сервера и те, кто https (или другие элементы) взломает. Без — ещё и все посредники при передаче по сети, причём взламывать ничего не надо. Да, я имею в виду и своего провайдера интернета, и Wi-Fi в метро и других местах.
У меня установлен Certificate Patrol для Firefox .
Спасибо.
Пароль в этом движке, как уже писалось выше, на сервер передается в виде хеша.И шифрование.
Я знаю, что дыры есть везде. Но защищаться всё равно надо. С https к содержимому имеет доступ администратор сервера и те, кто https (или другие элементы) взломает. Без — ещё и все посредники при передаче по сети, причём взламывать ничего не надо. Да, я имею в виду и своего провайдера интернета, и Wi-Fi в метро и других местах.
Какие еще конфиденциальные данные передаются с/на этот форум? Большинство топиков в открытом доступе, в закрытых чего-то потенциально интересного злоумышленникам тоже нет, личными сообщениями, подозреваю, пользуются не особо активно и опять же, вряд ли что-то там обсуждают, интересное потенциальным злоумышленникам.
Сам по себе https - это, конечно, всегда хорошо. Но в данном случае, ИМХО, острой необходимости нет.
Кстати, по поводу бесплатных сертификатов. Были же скандалы, когда их отзывали из-за плохой процедуры проверки владельца сайта. Нафиг с ними связываться.
Я посмотрел процедуру установки бесплатного сертификата, и что-то ужаснулся.
Это то, ради чего я сюда пришел...
В концепции данного форума тема попахивает ветряными мельницами и жидомасонским заговором....
Ещё раз повторюсь, в качестве компромисса можно создать просто свой самоподписанный сертификат лет на 5 и, используя его, сделать доступ по https параллельно с http.
Может, лучше че полезного сделать?)
Кому нахрен наш форум нужен?
Опишите потенциального нарушителя, его мотивы, и, самое главное - какие данные тут можно украсть???
Лучше мне расскажите, как аватарку поставить здесь.
Найди себя, узнай товарища. © lurkmore.to/Парашют
just for lulz — чисто поржать
Я тоже люблю бред и чушь, но... — это не то, ради чего я сюда пришел...
Не смотря на то, что здесь использование https рассматривалось как бесполезная фича,интернетгугл навязывает "безопасный вебсерфинг".
А т.к. гугл диктатор цифровой моды, то за ним подтянутся и остальные.
И это единственная причина, по которой сайт и форум придется перевести на https когда-нибудь, а пока есть время к этому подготовиться.
Вкратце, новые версии хрома будут всячески акцентировать внимание пользователя на том, что сайт работает по незащищенному протоколу.
Эту тему просматривают: 2 (пользователей: 0 , гостей: 2)