Показано с 1 по 11 из 11

Тема: Доступ по HTTPS

  1. #1
    Скромный Аватар для Chel
    Регистрация
    23.07.2006
    Откуда
    Москва
    Сообщений
    34

    Доступ по HTTPS

    Сделайте, пожалуйста, доступ к сайту (хотя бы к форуму) по защищённому соединению (https). Это можно уже считать правилом хорошего тона в наше время. LetsEncrypt раздаёт бесплатные сертификаты.

  2. #2
    Постоялец Аватар для karavan
    Регистрация
    17.02.2013
    Откуда
    Армавир-Таганрог-Москва
    Сообщений
    429
    А что в него прятать?
    При текущей схеме работы сайта пароль передается в виде хэша md5.
    А больше прятать нечего, это ж не интернет-магазин с оплатой товаров пластиковыми картами.
    И для текущего хостинга letsencrypt может быть проблематичен - насколько мне известно, сейчас шаред.

  3. #3
    Постоялец Аватар для Eagle
    Регистрация
    24.05.2008
    Сообщений
    140
    Я разворачивал LetsEncrypt. Это актуально для VPS где можно любой софт ставить.
    Веб-хостинг же далеко не факт, что это поддерживает.

  4. #4
    Скромный Аватар для Chel
    Регистрация
    23.07.2006
    Откуда
    Москва
    Сообщений
    34
    Цитата Сообщение от karavan Посмотреть сообщение
    И для текущего хостинга letsencrypt может быть проблематичен - насколько мне известно, сейчас шаред.
    Цитата Сообщение от Eagle Посмотреть сообщение
    Веб-хостинг же далеко не факт, что это поддерживает.
    Здесь советуют сначала проверить, может хостинг-провайдер поддерживает. Если нет, то попросить о поддержке. Если нет, то использовать manual mode. Как я понял, это запуск certbot на доступном компьютере и размещение на сервере в /.well-known/acme-challenge/ заданного файла для проверки.

    Цитата Сообщение от karavan Посмотреть сообщение
    А что в него прятать?
    При текущей схеме работы сайта пароль передается в виде хэша md5.
    А больше прятать нечего, это ж не интернет-магазин с оплатой товаров пластиковыми картами.
    Не хочу начинать тему про «мне нечего скрывать». В век тотальной слежки и автоматического сбора данных всего и обо всех я считаю, прятать надо всё и по умолчанию.

    Не знаю, как в деталях всё работает, но передача неподписанных данных в открытом виде — это значит, смотри, кто хочешь, и меняй, как хочешь.
    md5 давно взломан. Даже если не md5, и не просто хеш пароля, а надёжная процедура проверки подлинности, то дальше что? Передача всех данных открытым текстом? Смысла тогда в пароле не особо много.

    Update:
    В крайнем случае меня лично устроит просто самоподписанный сертификат, меняющийся раз в несколько лет.
    Крайний раз редактировалось Chel; 21.11.2017 в 03:05. Причина: забыл про самоподписанный сертификат

  5. #5
    Новенький Аватар для Cliff
    Регистрация
    01.09.2012
    Сообщений
    384
    Chel,
    Вы слишком высокого мнения о шифровании и подписи. К слову, подпись - вообще для другого, никак не для закрытия пароля.
    https имеет смысл только как подпись. Т.е. чтобы идентифицировать оригинальный ресурс от двойника. Но вы часто смотрите в информацию подписи?

    Что касается сокрытия пароля. В его передаче участвует множество элементов (клавиатура, ОС, браузер, сетевой стек ОС, сеть, сервер, скрипты сервера, БД). HTTPS делает безопасным только пункт "сеть". Однако в настоящее время - в век коммутаторов и vlan-per-user-доступа, даже если не использовать https, для перехвата паролей "сеть" используется в самую последнюю очередь, т.к. остальные пункты несомненно проще.

    Да, https сейчас стал "модной фишкой", "трендом", и очень многие считают жизнь без него "дурным тоном". Но его значение явно многие преувеличивают.

    Мы обязательно займёмся этим вопросом, когда будет время, пусть даже и ради "правила хорошего тона" (без сарказма). За предложение спасибо.

  6. #6
    Скромный Аватар для Chel
    Регистрация
    23.07.2006
    Откуда
    Москва
    Сообщений
    34
    Цитата Сообщение от Cliff Посмотреть сообщение
    https имеет смысл только как подпись.
    И шифрование.

    Я знаю, что дыры есть везде. Но защищаться всё равно надо. С https к содержимому имеет доступ администратор сервера и те, кто https (или другие элементы) взломает. Без — ещё и все посредники при передаче по сети, причём взламывать ничего не надо. Да, я имею в виду и своего провайдера интернета, и Wi-Fi в метро и других местах.

    Цитата Сообщение от Cliff Посмотреть сообщение
    Но вы часто смотрите в информацию подписи?
    У меня установлен Certificate Patrol для Firefox .

    Цитата Сообщение от Cliff Посмотреть сообщение
    Мы обязательно займёмся этим вопросом, когда будет время
    Спасибо.

  7. #7
    Постоялец
    Регистрация
    18.11.2010
    Откуда
    msk
    Сообщений
    621
    И шифрование.

    Я знаю, что дыры есть везде. Но защищаться всё равно надо. С https к содержимому имеет доступ администратор сервера и те, кто https (или другие элементы) взломает. Без — ещё и все посредники при передаче по сети, причём взламывать ничего не надо. Да, я имею в виду и своего провайдера интернета, и Wi-Fi в метро и других местах.
    Пароль в этом движке, как уже писалось выше, на сервер передается в виде хеша.
    Какие еще конфиденциальные данные передаются с/на этот форум? Большинство топиков в открытом доступе, в закрытых чего-то потенциально интересного злоумышленникам тоже нет, личными сообщениями, подозреваю, пользуются не особо активно и опять же, вряд ли что-то там обсуждают, интересное потенциальным злоумышленникам.

    Сам по себе https - это, конечно, всегда хорошо. Но в данном случае, ИМХО, острой необходимости нет.

    Кстати, по поводу бесплатных сертификатов. Были же скандалы, когда их отзывали из-за плохой процедуры проверки владельца сайта. Нафиг с ними связываться.

  8. #8
    Инструктор Аватар для П
    Регистрация
    19.09.2003
    Откуда
    Москва
    Сообщений
    4,358
    Я посмотрел процедуру установки бесплатного сертификата, и что-то ужаснулся.
    Это то, ради чего я сюда пришел...

  9. #9
    Постоялец Аватар для maniac
    Регистрация
    04.01.2008
    Откуда
    Москва
    Сообщений
    675
    В концепции данного форума тема попахивает ветряными мельницами и жидомасонским заговором....

  10. #10
    Скромный Аватар для Chel
    Регистрация
    23.07.2006
    Откуда
    Москва
    Сообщений
    34
    Ещё раз повторюсь, в качестве компромисса можно создать просто свой самоподписанный сертификат лет на 5 и, используя его, сделать доступ по https параллельно с http.

  11. #11
    Скромный
    Регистрация
    09.03.2009
    Сообщений
    58
    Может, лучше че полезного сделать?)
    Кому нахрен наш форум нужен?
    Опишите потенциального нарушителя, его мотивы, и, самое главное - какие данные тут можно украсть???

    Лучше мне расскажите, как аватарку поставить здесь.

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)