HTTPS

Разнообразная белиберда
Аватара пользователя
ATauenis
Advanced Member
Сообщения: 5525
Зарегистрирован: 30.04.2015,21:30
Откуда: Москва
Контактная информация:

Вклад в сообщество

Сообщение ATauenis » 12.03.2018,17:29

Что SSL хорошая штука, вроде, никто не спорит. Другое дело,она должна быть добровольной. Это как с дверью квартиры - можно запирать и быть спокойным, а можно не запирать и вспоминать сказки про дядю Стёпу, что милиция всех спасёт. И при этом проблемы возникают у всех в равных пропорциях. :)

Аватара пользователя
Max1024
Advanced Member
Сообщения: 876
Зарегистрирован: 29.12.2014,15:15
Откуда: Беларусь, Могилев
Контактная информация:

Конкурсы

Сообщение Max1024 » 16.11.2018,10:31

Вчера ставил на виртульную машину бэта версию хп, пришлось перевести дату на 2003 год. Хром отказался открывать практически все https сайты, но нужно было зайти сюда на форум и зашло! )) В данном случае я лично вообще не вижу смысла в https, реальной пользы нет, а проблемы могут быть, случаи ведь бывают разные.

RT11SJ
Member
Сообщения: 177
Зарегистрирован: 26.03.2018,21:13
Откуда: Столица Сибири (была)

Сообщение RT11SJ » 16.11.2018,16:11

Max1024 писал(а):Вчера ставил на виртульную машину бэта версию хп, пришлось перевести дату на 2003 год. Хром отказался открывать практически все https сайты, но нужно было зайти сюда на форум и зашло! )) В данном случае я лично вообще не вижу смысла в https, реальной пользы нет, а проблемы могут быть, случаи ведь бывают разные.
А я вот почему-то не вижу смысла с наслаждением вспоминать 2000-й год: 386SX+RAM=4Mb + IExplorer v3.0 + модем 31.2Kbit/s + спаренная полусгнившая телефонная линия + повременная оплата $2/час
Я вот не могу зайти на форум с RT-11 (ДВК-2), захожу с Win8 (нетбук) - и почему-то не делаю проблемы из первого. Юзаю второе.

Аватара пользователя
alecv
Advanced Member
Сообщения: 6993
Зарегистрирован: 05.10.2004,11:13
Откуда: Санкт-Петербург
Контактная информация:

Вклад в сообщество

Сообщение alecv » 20.11.2018,20:05

Коллеги, в настройках SSL сервера можно поставить набор допустимых кодеков. Можно хоть 3DES/RC4 разрешить для совместимости с MSIE 3. есть еще чудесный cipher NULL то есть SSL без шифрования канала вообще.

rw6hrm
Advanced Member
Сообщения: 1110
Зарегистрирован: 17.02.2008,16:07
Откуда: Ставрополь
Контактная информация:

Вклад в сообщество

Сообщение rw6hrm » 21.11.2018,18:27

ИМХО хттпс на обычном форуме не очень нужен. Всё равно народ начинает цеплять внешние картинки с разношёрстных сайтов и любой браузер начинает ругаться на смешанный контент. Вон, соседи с ZX-PK поставили SSL, теперь постоянно сверху экрана висит грустная надпись.
Полностью согласен с aleksvolgin по выносу торговой площадки на сторону со всеми "необходимыми" плюшками (да, как у соседей).
А вообще париться по поводу "сниффания трафика", персональных данных и аналогичной фигни - ей-догу, не стоит. Ерунда всё это.
http://rw6hrm.qrz.ru - Мои поделки

Аватара пользователя
ATauenis
Advanced Member
Сообщения: 5525
Зарегистрирован: 30.04.2015,21:30
Откуда: Москва
Контактная информация:

Вклад в сообщество

Сообщение ATauenis » 21.11.2018,20:30

alecv писал(а):Можно хоть 3DES/RC4 разрешить для совместимости с MSIE 3. есть еще чудесный cipher NULL то есть SSL без шифрования канала вообще.
Одно время были снифферы, которые успешно проворачивали атаку на понижение стойкости шифра (вмешивались в процедуру рукопожатия и умоляли сервер общаться с клиентом с шифром, который по зубам снифферу - прим. для юзеров). Собственно, это причина почему серверы крупных компаний сейчас работают только по серьёзным алгоритмам защиты (TLS 1.2) с недетскими шифрами. Поэтому сейчас эта метода слива полезной информации у лохов не актуальна, и я не слышал, чтобы кто-то ещё использовал этот способ. Но включение старых версий SSL и слабых шифров - дыра в безопасности.

Другое дело,
rw6hrm писал(а):А вообще париться по поводу "сниффания трафика", персональных данных и аналогичной фигни - ей-догу, не стоит. Ерунда всё это.
Аудитория форума очень специфическая. Чтобы украденный трафик пригодился, надо написать софт, выковыривающий из ЛС домашние адреса и телефоны, а также e-mail из профиля. И это всё, что можно сделать (по крайней мере, именно на этом сайте). Ещё возможность угона аккаунта с целью рассылки спама возможна. Но движок очень редкий, чтобы кто-то писал под него софт.
Насколько я слышал, все угоны учётных записей здесь были из-за простых паролей.

RT11SJ
Member
Сообщения: 177
Зарегистрирован: 26.03.2018,21:13
Откуда: Столица Сибири (была)

Сообщение RT11SJ » 21.11.2018,21:52

ATauenis писал(а):И количество потенциально добытой тяжким трудом информации будет не соразмерно с расходами заказчиков на неё. Движок сравнительно редкий.
И старый, v2.22.
Еще 3,5 года назад капитально обновился.
Текущая версия: 3.00 (сборка от 1 сентября 2016)

Гость

Сообщение Гость » 26.11.2018,21:30

тема почищена (см. http://www.phantom.sannata.ru/forum/ind ... 0#pp482020)

прошу воздержаться от неумеренного флуда

Аватара пользователя
admin
Администратор
Сообщения: 746
Зарегистрирован: 06.04.2019,10:04

Сообщение admin » 27.11.2018,23:47

Часть сообщений этой темы была выделена в тему "<a href="index.php?t=31041">Тема для отзывов и предложений</a>"
а тут подпись

SuperMax
Advanced Member
Сообщения: 1605
Зарегистрирован: 27.08.2012,11:38
Откуда: Красноярск
Контактная информация:

Конкурсы

Вклад в сообщество

Сообщение SuperMax » 07.01.2019,13:16

Предлагаю вернуться к вопросу включения https

1. так как не все могут/хотят использовать https включить его можно опционально - те не делать реврайта на https
2. сертификат можно взять бесплатный - Let's Encrypt включается легко и просто. сам использую и могу ответственно рекомендовать.
3. включать слабые шифры смысла нет, это наоборот может создать проблемы


Поясню необходимость иметь возможность работать через https: если ранее утечки паролей и прочей информации могли быть только через транзитные открытые прокси, общественные wi-fi сети и прочие изначально скомпрометированные точки, то сейчас ситуация для России серьезно усугубляются из-за закона яровой, а именно из-за развертывания у провайдеров DPI (Deep Packet Inspection) и системами хранения данных и трафика.
Сами по себе DPI нам не мешают, но вот то что трафик будет хранится у каждого провайдера и доступ к этим данным будет (точнее уже) иметь почти любой - это проблема.

Как пример использования трафика - мошенники делают грамотные фейковые письма используя данные из реальной переписки. И это уже реальность - первые такие письма были замечены мной уже летом 2018ого. Что будут делать с накопленной базой паролей и email я думаю объяснять не надо.

Соответственно, моя рекомендация, как руководителя ИБ, включить https. Да, это не панацея, но от глупых мошенников убережет. По технической части готов проконсультировать.

Аватара пользователя
Кай
Почётный пользователь
Сообщения: 19738
Зарегистрирован: 08.08.2010,21:44
Откуда: СПб, Ульянка-Лигово
Контактная информация:

Вклад в сообщество

Сообщение Кай » 07.01.2019,13:29

- Студент, принесите из вивария живую мышь и подготовьте её к опыту.
Полученную кашицу...

Закрыто