Показано с 1 по 15 из 15

Тема: Доступ по HTTPS

  1. #1
    Скромный Аватар для Chel
    Регистрация
    23.07.2006
    Откуда
    Москва
    Сообщений
    35

    Доступ по HTTPS

    Сделайте, пожалуйста, доступ к сайту (хотя бы к форуму) по защищённому соединению (https). Это можно уже считать правилом хорошего тона в наше время. LetsEncrypt раздаёт бесплатные сертификаты.

  2. #2
    Постоялец Аватар для karavan
    Регистрация
    17.02.2013
    Сообщений
    447
    А что в него прятать?
    При текущей схеме работы сайта пароль передается в виде хэша md5.
    А больше прятать нечего, это ж не интернет-магазин с оплатой товаров пластиковыми картами.
    И для текущего хостинга letsencrypt может быть проблематичен - насколько мне известно, сейчас шаред.

  3. #3
    Постоялец Аватар для Eagle
    Регистрация
    24.05.2008
    Сообщений
    142
    Я разворачивал LetsEncrypt. Это актуально для VPS где можно любой софт ставить.
    Веб-хостинг же далеко не факт, что это поддерживает.

  4. #4
    Скромный Аватар для Chel
    Регистрация
    23.07.2006
    Откуда
    Москва
    Сообщений
    35
    Цитата Сообщение от karavan Посмотреть сообщение
    И для текущего хостинга letsencrypt может быть проблематичен - насколько мне известно, сейчас шаред.
    Цитата Сообщение от Eagle Посмотреть сообщение
    Веб-хостинг же далеко не факт, что это поддерживает.
    Здесь советуют сначала проверить, может хостинг-провайдер поддерживает. Если нет, то попросить о поддержке. Если нет, то использовать manual mode. Как я понял, это запуск certbot на доступном компьютере и размещение на сервере в /.well-known/acme-challenge/ заданного файла для проверки.

    Цитата Сообщение от karavan Посмотреть сообщение
    А что в него прятать?
    При текущей схеме работы сайта пароль передается в виде хэша md5.
    А больше прятать нечего, это ж не интернет-магазин с оплатой товаров пластиковыми картами.
    Не хочу начинать тему про «мне нечего скрывать». В век тотальной слежки и автоматического сбора данных всего и обо всех я считаю, прятать надо всё и по умолчанию.

    Не знаю, как в деталях всё работает, но передача неподписанных данных в открытом виде — это значит, смотри, кто хочешь, и меняй, как хочешь.
    md5 давно взломан. Даже если не md5, и не просто хеш пароля, а надёжная процедура проверки подлинности, то дальше что? Передача всех данных открытым текстом? Смысла тогда в пароле не особо много.

    Update:
    В крайнем случае меня лично устроит просто самоподписанный сертификат, меняющийся раз в несколько лет.
    Крайний раз редактировалось Chel; 21.11.2017 в 03:05. Причина: забыл про самоподписанный сертификат

  5. #5
    Новенький Аватар для Cliff
    Регистрация
    01.09.2012
    Сообщений
    422
    Chel,
    Вы слишком высокого мнения о шифровании и подписи. К слову, подпись - вообще для другого, никак не для закрытия пароля.
    https имеет смысл только как подпись. Т.е. чтобы идентифицировать оригинальный ресурс от двойника. Но вы часто смотрите в информацию подписи?

    Что касается сокрытия пароля. В его передаче участвует множество элементов (клавиатура, ОС, браузер, сетевой стек ОС, сеть, сервер, скрипты сервера, БД). HTTPS делает безопасным только пункт "сеть". Однако в настоящее время - в век коммутаторов и vlan-per-user-доступа, даже если не использовать https, для перехвата паролей "сеть" используется в самую последнюю очередь, т.к. остальные пункты несомненно проще.

    Да, https сейчас стал "модной фишкой", "трендом", и очень многие считают жизнь без него "дурным тоном". Но его значение явно многие преувеличивают.

    Мы обязательно займёмся этим вопросом, когда будет время, пусть даже и ради "правила хорошего тона" (без сарказма). За предложение спасибо.

  6. #6
    Скромный Аватар для Chel
    Регистрация
    23.07.2006
    Откуда
    Москва
    Сообщений
    35
    Цитата Сообщение от Cliff Посмотреть сообщение
    https имеет смысл только как подпись.
    И шифрование.

    Я знаю, что дыры есть везде. Но защищаться всё равно надо. С https к содержимому имеет доступ администратор сервера и те, кто https (или другие элементы) взломает. Без — ещё и все посредники при передаче по сети, причём взламывать ничего не надо. Да, я имею в виду и своего провайдера интернета, и Wi-Fi в метро и других местах.

    Цитата Сообщение от Cliff Посмотреть сообщение
    Но вы часто смотрите в информацию подписи?
    У меня установлен Certificate Patrol для Firefox .

    Цитата Сообщение от Cliff Посмотреть сообщение
    Мы обязательно займёмся этим вопросом, когда будет время
    Спасибо.

  7. #7
    Постоялец
    Регистрация
    18.11.2010
    Откуда
    msk
    Сообщений
    648
    И шифрование.

    Я знаю, что дыры есть везде. Но защищаться всё равно надо. С https к содержимому имеет доступ администратор сервера и те, кто https (или другие элементы) взломает. Без — ещё и все посредники при передаче по сети, причём взламывать ничего не надо. Да, я имею в виду и своего провайдера интернета, и Wi-Fi в метро и других местах.
    Пароль в этом движке, как уже писалось выше, на сервер передается в виде хеша.
    Какие еще конфиденциальные данные передаются с/на этот форум? Большинство топиков в открытом доступе, в закрытых чего-то потенциально интересного злоумышленникам тоже нет, личными сообщениями, подозреваю, пользуются не особо активно и опять же, вряд ли что-то там обсуждают, интересное потенциальным злоумышленникам.

    Сам по себе https - это, конечно, всегда хорошо. Но в данном случае, ИМХО, острой необходимости нет.

    Кстати, по поводу бесплатных сертификатов. Были же скандалы, когда их отзывали из-за плохой процедуры проверки владельца сайта. Нафиг с ними связываться.

  8. #8
    Инструктор Аватар для П
    Регистрация
    19.09.2003
    Откуда
    Москва
    Сообщений
    4,677
    Я посмотрел процедуру установки бесплатного сертификата, и что-то ужаснулся.
    Это то, ради чего я сюда пришел...

  9. #9
    Постоялец Аватар для maniac
    Регистрация
    04.01.2008
    Откуда
    Москва
    Сообщений
    735
    В концепции данного форума тема попахивает ветряными мельницами и жидомасонским заговором....

  10. #10
    Скромный Аватар для Chel
    Регистрация
    23.07.2006
    Откуда
    Москва
    Сообщений
    35
    Ещё раз повторюсь, в качестве компромисса можно создать просто свой самоподписанный сертификат лет на 5 и, используя его, сделать доступ по https параллельно с http.

  11. #11
    Скромный Аватар для malin
    Регистрация
    09.03.2009
    Сообщений
    57
    Может, лучше че полезного сделать?)
    Кому нахрен наш форум нужен?
    Опишите потенциального нарушителя, его мотивы, и, самое главное - какие данные тут можно украсть???

    Лучше мне расскажите, как аватарку поставить здесь.

  12. #12
    Модератор Аватар для ashly
    Регистрация
    17.12.2009
    Сообщений
    1,952
    Цитата Сообщение от malin Посмотреть сообщение
    Может, лучше че полезного сделать?)

    +1
    раз уж Chel настолько технически подкован, то может он захочет поучаствовать в улучшении IT-инфраструктуры дз? У нас есть много чего еще поделать
    Да

  13. #13
    Инструктор Аватар для П
    Регистрация
    19.09.2003
    Откуда
    Москва
    Сообщений
    4,677
    Цитата Сообщение от malin Посмотреть сообщение
    Лучше мне расскажите, как аватарку поставить здесь.
    Есть следующие варианты:

    • Самостоятельно (самый дешевый);
    • Консультация у консультанта (оптимальный);
    • Установка аватара под ключ (самый дорогой);
    • ВИП-обслуживание (предыдущий варант + стихи, блэк-джек и так далее).


    =)
    Это то, ради чего я сюда пришел...

  14. #14
    Постоялец Аватар для Tsvet
    Регистрация
    08.05.2008
    Откуда
    Москва
    Сообщений
    183
    Цитата Сообщение от П Посмотреть сообщение
    ... (самый дешевый) ... =)
    Самый дешевый — помощь Друга. Но это, похоже, не сюда.

    По теме ветки: HTTPS здесь (закалякано) не нужен. При всём уважении, Chel
    Найди себя, узнай товарища. © lurkmore.to/Парашют
    just for lulz — чисто поржать
    Я тоже люблю бред и чушь, но... это не то, ради чего я сюда пришел...

  15. #15
    Постоялец Аватар для karavan
    Регистрация
    17.02.2013
    Сообщений
    447
    Не смотря на то, что здесь использование https рассматривалось как бесполезная фича, интернет гугл навязывает "безопасный вебсерфинг".
    А т.к. гугл диктатор цифровой моды, то за ним подтянутся и остальные.
    И это единственная причина, по которой сайт и форум придется перевести на https когда-нибудь, а пока есть время к этому подготовиться.

    Вкратце, новые версии хрома будут всячески акцентировать внимание пользователя на том, что сайт работает по незащищенному протоколу.

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)