Перейти к содержанию

Добро пожаловать на «Наш транспорт»

Добро пожаловать на «Наш транспорт» — интернет-проект о транспорте в России и мире, крупнейшее русскоязычное сообщество, посвящённое транспорту! Здесь вы можете найти:

Наши самые популярные разделы — это «Строительство и проекты» Московского метрополитена и Железные дороги Москвы и области.

Зарегистрируйтесь или войдите с помощью любимой социальной сети, чтобы не пропустить ничего интересного!

HTTPS


Oleg2
 Поделиться

Рекомендуемые сообщения

Добрый день.

 

Нет ли планов перевода форума (или хотя бы авторизации) на протокол https?

52 Firefox в окне авторизации объявляет сайт небезопасным, вывешивая под полем ввода пароля объявление "Это соединение не защищено. Логины введённые здесь могут быть скомпрометированы." Насколько я знаю, у разработчиков Chrome были планы сделать что-то подобное.

 

Бесплатный сертификат можно сделать от Lets`s Encrypt.

Ссылка на комментарий
Поделиться на другие сайты

  • 11 месяцев спустя...

Удваиваю http://kolobok.us/smiles/artists/laie/Laie_11.gif

 

Тема становится всё важнее с каждым годом. Я прошу администрацию в долгий ящик не откладывать и когда-нибудь в ближайшее время внедрить https на форум.

Изменено пользователем Rackasta
Ссылка на комментарий
Поделиться на другие сайты

Если планы осуществятся - то просьба не забивать на пользователей WinXp. И разрешить хотя бы один профиль с ECDHE_RSA, так как последние версии Хрома и Хроперы под WinXp не умеют в ECDHE_ECDSA.

Ссылка на комментарий
Поделиться на другие сайты

Нет ли планов перевода форума (или хотя бы авторизации) на протокол https?

Планы есть. Но на этом сервере ничего не получится, уже пытались. До переезда и обновления ничего делать не будем. Обновление пока откладывается до апреля.

Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...
Нет ли планов перевода форума (или хотя бы авторизации) на протокол https?

Планы есть. Но на этом сервере ничего не получится, уже пытались. До переезда и обновления ничего делать не будем. Обновление пока откладывается до апреля.

Администраторы, с сегодня Apple начала маркировать сайты http как не безопасные при вводе логина/пароля (что логично) следующий щаг - блокировка ввода, так же как и Chrome.

 

Если у вас сложности с настройкой на текущем сервере - почему бы вам не использовать бесплатный http://cloudflare.com - он вам и https сделает и от DDOS защитит, закрывая ваш настоящий IP адрес сервера

Изменено пользователем iShift
Ссылка на комментарий
Поделиться на другие сайты

Йожкин котик! На русский переведите, чего вы хотите, а то не все понимают ваши пожелания с этими аббревиатурами.

Ссылка на комментарий
Поделиться на другие сайты

Если взглянуть на адрес сайта, то перед www идёт http:// или https://

 

Последний является более безопасным протоколом. Высказывается предположение, что скоро на сайты без его поддержки зайти через новые версии браузеров будет невозможно.

Изменено пользователем Loader
Ссылка на комментарий
Поделиться на другие сайты

почему бы вам не использовать бесплатный http://cloudflare.com - он вам и https сделает и от DDOS защитит, закрывая ваш настоящий IP адрес сервера

С ним тормоза неимоверные. Я побаловался на своем trackmap с одним статичным html и дюжиной картинок в несколько десятков килобайт - :facepalm:

И поставил Lets Encrypt, благо на моем хостинге это делов на пару кликов мышей.

Ссылка на комментарий
Поделиться на другие сайты

почему бы вам не использовать бесплатный http://cloudflare.com - он вам и https сделает и от DDOS защитит, закрывая ваш настоящий IP адрес сервера

С ним тормоза неимоверные. Я побаловался на своем trackmap с одним статичным html и дюжиной картинок в несколько десятков килобайт - :facepalm:

И поставил Lets Encrypt, благо на моем хостинге это делов на пару кликов мышей.

Я такого не наблюдал, если есть возможность Lets Encrypt поставить - лучше его конечно, он сейчас wilcart сертификаты даёт, можно сразу взять на весь *.nashtransport.ru

 

Для тех кто не в теме, простыми словами что такое https и зачем оно надо: при не шифрованном подключении (http) весь ваш трафик до сайта видит провайдер/хостер да и вообще кто угодно и можно украсть пароли например, в случае https - он зашифрован и заходя на nashtransport.ru - вы знаете, что вы гарантировано зашли именно на жтот сайт а не на поддельный.

 

Около года назад, Google/Apple/Lets Encrypt релиши продвигать шифрование в массы - раньше сертификаты стоили денег, Letc Encrypt предлагает бесплатно, а Google в Chrome и Apple в Safari и Firefox начали помечать сайты http как не безопасные, ближе к августу будет запрещен ввод логинов/паролей на таких сайтах а в 2019 году - вообще любых форм - будет всплывать красное предупреждение о том, что это не безопасно.

 

Собственно говоря, https - добро, которое не позволяет подслушивать ваш трафик и вставлять чужую рекламу на сайт (так например иногда делают в wifi в метро).

Кроме того, после включения https - следующим этапом надо включить http/2 - это протокол который позволяет более быстро взаимодействовать с сайтом. Пример - https://http2.akamai.com/demo

 

А ну и хозяйке на заметку - если вы зашли на сайт о посещении которого, вы не хотите рассказывать вашему провайдеру - следите что бы там был HTTPS

Изменено пользователем iShift
Ссылка на комментарий
Поделиться на другие сайты

А ну и хозяйке на заметку - если вы зашли на сайт о посещении которого, вы не хотите рассказывать вашему провайдеру - следите что бы там был HTTPS

HTTPS скроет от провайдера, какую конкретно страницу сайта вы посетили, но факт посещения сайта будет всё равно засвечен.

Ссылка на комментарий
Поделиться на другие сайты

А ну и хозяйке на заметку - если вы зашли на сайт о посещении которого, вы не хотите рассказывать вашему провайдеру - следите что бы там был HTTPS

HTTPS скроет от провайдера, какую конкретно страницу сайта вы посетили, но факт посещения сайта будет всё равно засвечен.

Домен / IP - да, а вот конкретный URL - и что вы смотрели/вводили - скрыто

 

Если вспомнить, что сегодня 2018 год, и что сервисы в основном в облаках и сегодня этот IP ваш а завтра уже нет - связать даже с конкретным сайтом - сложно. + нужен DPI который стоит дорого и есть не у всех.

Изменено пользователем iShift
Ссылка на комментарий
Поделиться на другие сайты

Это давно, во времена "России Онлайн", когда знали что без https небезопасно

Это понимали что при возникновении интернет-продаж https дорого. Да и банковских карт нет. Поэтому про основу забыли даже кто знает...

И кстати подвох в том что google при входе на метрошный вай-фай блокирует жёстко если введено https (страница входа выходит при http)

Если вспомнить, что сегодня 2018 год, и что сервисы в основном в облаках и сегодня этот IP ваш а завтра уже нет - связать даже с конкретным сайтом - сложно.

У сотовых операторов IP на десяток человек....

wilcart

Wildcard

Изменено пользователем Ефимов Павел
Ссылка на комментарий
Поделиться на другие сайты

И кстати подвох в том что google при входе на метрошный вай-фай блокирует жёстко если введено https (страница входа выходит при http)

В "метрошном вай-фае" никакой https не работает, не должен и блокируется, это еще в ТЗ было специально указано.

Ссылка на комментарий
Поделиться на другие сайты

Это давно, во времена "России Онлайн", когда знали что без https небезопасно

Это понимали что при возникновении интернет-продаж https дорого. Да и банковских карт нет. Поэтому про основу забыли даже кто знает...

И кстати подвох в том что google при входе на метрошный вай-фай блокирует жёстко если введено https (страница входа выходит при http)

Если вспомнить, что сегодня 2018 год, и что сервисы в основном в облаках и сегодня этот IP ваш а завтра уже нет - связать даже с конкретным сайтом - сложно.

У сотовых операторов IP на десяток человек....

wilcart

Wildcard

NAT не мешает вашей идентификации %username% :)

 

И кстати подвох в том что google при входе на метрошный вай-фай блокирует жёстко если введено https (страница входа выходит при http)

В "метрошном вай-фае" никакой https не работает, не должен и блокируется, это еще в ТЗ было специально указано.

При captive portal https не может работать. Это особенность перенаправления для авторизации, только по нормальному - устройство само открывает страницу с авторизацией а не ждёт введения google.com и ошибки сертификата...

Изменено пользователем iShift
Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

До переустановки сервера ничего не будет точно. А после — будет всё.

Ссылка на комментарий
Поделиться на другие сайты

  • 5 месяцев спустя...
До переустановки сервера ничего не будет точно. А после — будет всё.

Как успехи с переустановкой?

Ссылка на комментарий
Поделиться на другие сайты

До переустановки сервера ничего не будет точно. А после — будет всё.

Как успехи с переустановкой?

А после тоже будет не сразу, потому что в момент перестанут грузиться все картинки посторонних ресурсов, вставленные через http.

Ссылка на комментарий
Поделиться на другие сайты

перестанут грузиться все картинки посторонних ресурсов, вставленные через http

Это если кодом принудительно не переводить ссылки http -> https. А так будет только ошибка - в адресной строке жёлтый треугольник с восклицательный знаком маячить. Я так с одним своим сайтом намаялся после включения https - ошибка и ошибка, потом только нашёл, что осталась ссылка с http.

Ссылка на комментарий
Поделиться на другие сайты

перестанут грузиться все картинки посторонних ресурсов, вставленные через http

Это если кодом принудительно не переводить ссылки http -> https.

Это если сайт с картинками https поддерживает. ЖЖ, например, и IPS 4 загружают такие картинки, сохраняют у себя и подставляют вместо картинок с удалённого сервера картинки от себя.

Ссылка на комментарий
Поделиться на другие сайты

Может для начала просто сертификат прикрутить? И объявить тестирование, а проблему с картинками решать постепенно, что бы на время переходного периода был доступен и http и https?

Ссылка на комментарий
Поделиться на другие сайты

Это если сайт с картинками https поддерживает.

Я вот это имел ввиду: где зеленый замочек - там нет никаких вставленных картинок с http, где желтый треугольник с предупреждением "части этой страницы (такие как изображения) не защищены" - там вставлена картинка отсюда из галереи (с http естественно). Картинка показывается (внизу страницы) или я не понял твоего в момент перестанут грузиться все картинки посторонних ресурсов...

 

http://c.radikal.ru/c39/1811/d4/5f5dc89dee80.gif

Ссылка на комментарий
Поделиться на другие сайты

Я вот это имел ввиду: где зеленый замочек - там нет никаких вставленных картинок с http, где желтый треугольник с предупреждением "части этой страницы (такие как изображения) не защищены" - там вставлена картинка отсюда из галереи (с http естественно).

У меня, например, при попытке страницы с HTTPS загрузить откуда-то картинку или что-то ещё через HTTP — это просто не грузится, браузер даже не пытается что-то грузить по HTTP.

Ссылка на комментарий
Поделиться на другие сайты

Я вот это имел ввиду: где зеленый замочек - там нет никаких вставленных картинок с http, где желтый треугольник с предупреждением "части этой страницы (такие как изображения) не защищены" - там вставлена картинка отсюда из галереи (с http естественно).

У меня, например, при попытке страницы с HTTPS загрузить откуда-то картинку или что-то ещё через HTTP — это просто не грузится, браузер даже не пытается что-то грузить по HTTP.

Так почему бы не попробовать параллельно https запустить, автоматически средствами веб-сервер заменять http на https, в качестве обменниках фоток на будущие рекомендовать использовать форум или imgur

Ссылка на комментарий
Поделиться на другие сайты

У меня, например, при попытке страницы с HTTPS загрузить откуда-то картинку или что-то ещё через HTTP — это просто не грузится, браузер даже не пытается что-то грузить по HTTP.

Вот зайди по https на trackmap.ru - там справа в самом низу вставил картинку отсюда из галереи НТ (начало адреса с http), она видна (там кусочек схемки ТПК)? Я сейчас вижу на планшете в Хроме для Андроида...

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Восстановить форматирование

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

 Поделиться

×
×
  • Создать...