Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Ru.Board » Общие вопросы по Ru.Board » А SSL будет?

Модерирует : batva, DimoN

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6

Открыть новую тему     Написать ответ в эту тему

Voodoo



Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Немного истории:... + "Вход на форум по SSL"

Некоторые вопросы (Q) и ответы (A):
 
Q: А SSL будет?
A: Есть SSL. Но недопиленный, часть скриптов может не грузиться, часть редиректить на http. На свой страх и риск пока.
 
Q: Не планируется ли замена сертификата?
A: Бежать впереди паровоза и менять сертификаты прямо сейчас не будем. Обходной путь прост:... Сертификат уже поменяли.
 
Q: Только, боюсь, любители https везде и вся, когда его наладят, добьются отключения http версии...  
A: Нет. Приоритетом форума с момента его основания было дружелюбие, открытость и доступность для всех. Чекбокс какой-нибудь можно придумать, чтобы бросало на SSL (кому надо), а кому не надо - не стоит создавать лишние проблемы.
 
Q: Этот https никому не нужен.
A: SSL как опция нужен, принудительно заворачивать весь трафик через него все же не стоит. Мы и IE6 все ещё готовы увидеть. Про пассы в куках тоже писал уже ни раз, но там все скрипты надо перелопачивать, чтобы избавиться. В планах. В новом двигле сессионная логика изначально реализована, но оно в неторопливой разработке.
. . . .
/emx/

Всего записей: 342 | Зарегистр. 03-09-2001 | Отправлено: 09:04 20-11-2001 | Исправлено: mithridat1, 03:51 08-08-2017
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ANDE2003

Цитата:
простите, не пойму в чем проблема заменить сертификат на Let’s Encrypt, это же делается примерно за 15 минут и бесплатно.  

Если бы все рекомендующие ещё потом и делали то, что они рекомендуют (за заявленное время!), а когда не получится - то их бы наказывали розгами, или хотя бы брали обязательство не предлагать очевидные (и достаточно сомнительные) решения, то мир определенно стал бы лучше.
 
Undaster

Цитата:
Вообще конечно не понятно, что мешает

Мешает то, что SSL не выводился в продакшн. Предоставляется "КАК ЕСТЬ", в случайно утекшей альфе (сами нашли, а мы не запрещали ). И даже не просто без каких-либо гарантий, но выше уже явно говорил о том, какие проблемы нужно сначала решить. И со скриптами косяки есть, и порядок ципферов далек от хорошего, и если накручивать SSL в нормальном виде - ещё много чего нужно учесть. Плюс вы забываете, что сертификаты юзаются не только на вебе (где вроде у летс энкрипта есть какая-то автоматизация их обновления), но и в куче других мест, где это обновление не всегда удобно. Да и вообще сертификаты с коротким сроком действия чертовски неудобны по многим причинам (самый простой пример - я их не тестил и не знаю как быстро OCSP Let's Encrypt'а отрабатывает выпуск новых сертификатов CA'шкой, и это надо проверить). Вообще нужно что-нибудь дешевенькое и длинное, что ещё поискать придется...
 
Обходной путь вам известен, но предлагается подпрыгнуть и побежать сломя голову, непойми куда и зачем, позабыв про все остальное. У нас внутри сейчас есть гора более приоритетных задач, но вы даже не решение предлагаете, а сомнительную затычку лишь одного аспекта из комплекса мер по обеспечению безопасности, который должен быть реализован в рамках этого подпроекта. Там даже сам SSL-то не на вершине
 
Вопрос не забыт ни в коем случае, но считайте пока это гиковской темой.
Гики способны поставить галку, особенно если накатили себе HTTPS Everywhere
 
С учетом изменений у FF и Chrome - безусловно, приоритет задачи будет существенно повышен.
Но не из ряда "бросить всё и метнуться кабанчиком". Тут сожалею, последовательно и планомерно все решается, а не метаниями по разным участкам. Простите если что

----------
Corruptissima re publica plurimae leges.
ТА! | Изыдите...

Всего записей: 11418 | Зарегистр. 05-06-2002 | Отправлено: 22:23 26-01-2017
ANDE2003



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прикатило обновление на Chrome:
   

Всего записей: 435 | Зарегистр. 21-04-2003 | Отправлено: 13:37 27-01-2017 | Исправлено: ANDE2003, 15:24 27-01-2017
VladDr

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Undaster
Цитата:
вместо предложений всем пользователям
Пpeдлaгaeтcя не всем пользователям, a лoшapикaм, повёвшимся на гнилой лозунг "нaдo oбнoвляццo!".

Цитата:
компетентных специалистов
K cвeдeнью: cпeциалисты бездyмнo нe oбнoвляютcя.

Цитата:
Прикатило обновление на Chrome:

Всего записей: 1557 | Зарегистр. 05-06-2010 | Отправлено: 16:58 27-01-2017
ANDE2003



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
VladDr

Цитата:
a лoшapикaм, повёвшимся на гнилой лозунг "нaдo oбнoвляццo!".  

 
хорошо, что таких кто не обновляет браузер немного
вы наверное еще https считаете ненужной примочкой

Всего записей: 435 | Зарегистр. 21-04-2003 | Отправлено: 00:31 28-01-2017
WatsonRus

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ANDE2003
Цитата:
вы наверное еще https считаете ненужной примочкой

Я, например, для Ру-Борда, точно считаю.  
 
Зачем он тут? Дань моде, когда даже картинки с хостинга по https грузятся? Если блокировки будут, так весь форум забанят, вместо одной странички по http. Для того, чтобы в открытую не светился пароль, https не нужен. Варезник не индексируется.
 
Добавлено:
И да, я браузеры для серфинга тоже не обновляю, работаю с теми версиями, которые удобны в работе, а не новейшие с отломанным функционалом или хуже управляемые. С включенными по умолчанию скриптами гулять по всяким помойкам не нужно, и все. Включать только там, где нужно, и вечнодырявый IE не использовать, и все.
 
Для секьюрных операций есть Firefox ESR линейки, где только затыкают уязвимости, а функционал не отламывают.

Всего записей: 22805 | Зарегистр. 03-05-2004 | Отправлено: 21:29 28-01-2017 | Исправлено: WatsonRus, 21:38 28-01-2017
WildGoblin



Ru-Board Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WatsonRus

Цитата:
Я, например, для Ру-Борда, точно считаю.
Глупость, граничащая с невежеством - хттпс очень нужен и особенно на форуме типа Руборда!

Цитата:
Варезник не индексируется.
Он не индексируется только лишь по доброй воле - если кому-то будет надо, то всё легко проиндескируется.

Всего записей: 14241 | Зарегистр. 15-09-2001 | Отправлено: 12:50 29-01-2017
Undaster

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Благодарность администрации форума за скорое решение вопроса с заменой сертификата! Те, кто не считает нужным пользоваться https - вполне могут продолжать не пользоваться, остальные тоже довольны.

Всего записей: 413 | Зарегистр. 01-03-2003 | Отправлено: 19:46 01-02-2017
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо Хрому, он настолько эпл-лайк (туда не ходи, сюда не делай), что у нас не было особого выбора

----------
Corruptissima re publica plurimae leges.
ТА! | Изыдите...

Всего записей: 11418 | Зарегистр. 05-06-2002 | Отправлено: 20:41 01-02-2017
WatsonRus

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Undaster
Цитата:
Те, кто не считает нужным пользоваться https - вполне могут продолжать не пользоваться, остальные тоже довольны.

Вот это самое верное решение.
 
Только, боюсь, любители https везде и вся, когда его наладят, добьются отключения http версии...

Всего записей: 22805 | Зарегистр. 03-05-2004 | Отправлено: 21:35 01-02-2017
Aleks78



Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А чем это грозит ?

----------
Кешбек на Али до 15%
Digma — лауреат премии pc magazine.

Всего записей: 19197 | Зарегистр. 18-12-2004 | Отправлено: 21:37 01-02-2017
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WatsonRus

Цитата:
Только, боюсь, любители https везде и вся, когда его наладят, добьются отключения http версии...  

Нет. Приоритетом форума с момента его основания было дружелюбие, открытость и доступность для всех. Чекбокс какой-нибудь можно придумать, чтобы бросало на SSL (кому надо), а кому не надо - не стоит создавать лишние проблемы.

----------
Corruptissima re publica plurimae leges.
ТА! | Изыдите...

Всего записей: 11418 | Зарегистр. 05-06-2002 | Отправлено: 22:02 01-02-2017
ANDE2003



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
emx
Спасибо огромное за валидный сертификат!
 
WatsonRus

Цитата:
Только, боюсь, любители https везде и вся, когда его наладят, добьются отключения http версии...  

ужас!!! этих любителей https расстреливать нужно! вот youtube только по https открывается, предлагаю туда не ходить!
Откуда у вас такая боязнь шифрованного трафика, вы хттпсфоб?  
 
P.S. А вообще душераздирающее зрелище (с) Ослик Иа-Иа, вроде компьютерный форум, один предлагает браузеры не обновлять, другой не использовать защищенные соединения. Какая-то ужасающая информационная безграмотность.
 
 

Всего записей: 435 | Зарегистр. 21-04-2003 | Отправлено: 11:22 02-02-2017 | Исправлено: ANDE2003, 11:27 02-02-2017
mithridat1



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WatsonRus

Цитата:
Только, боюсь, любители https везде и вся, когда его наладят, добьются отключения http версии

Вот честно,надоело уже подобное нытье.Наверняка сделают галочку в настройках типа "Использовать SSL".
HTTPS совершенно необходим тем,кто вынужден иметь доступ к форуму через публичные сети.Любители светить своими паролями могут и дальше сидеть на HTTP.

Всего записей: 3965 | Зарегистр. 05-01-2006 | Отправлено: 11:39 02-02-2017
ZlydenGL



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Любители светить своими паролями  
Не надо передергивать: "светить" паролями приходится отнюдь не из-за отсутствия SSL, а из-за подхода борды. Можете навскидку назвать еще хотя бы один форумный движок, даже возраста двухтысячных годов, который при КАЖДОЙ отправке сообщения рвется отправить и пароль пользователя? Дык ото ж: отправляется всегда идентификатор сессии/куки. Поэтому если у разрабов пункт "сделать нормальную привязку к логину" стоит выше "прикрутить SSL" - то это ИМХО абсолютно верный подход.
 
Фанаты безопасности могут ставить собственные секурные VPN гейты и гонять весь трафик через них. Что? Ноете, что дорого? Ну так извините, работа разрабов тоже денег стоит, вы просто этот финансовый поток не видите

Всего записей: 3427 | Зарегистр. 22-06-2002 | Отправлено: 14:58 02-02-2017
mithridat1



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ZlydenGL

Цитата:
Не надо передергивать

 

Цитата:
Фанаты безопасности могут ставить собственные секурные VPN гейты и гонять весь трафик через них.

Передергивание это как раз подобная нелепая "аргументация".
HTTPS давно норма на всех крупных ресурсах,которые дорожат своей пользовательской аудиторией.
 

Цитата:
Поэтому если у разрабов пункт "сделать нормальную привязку к логину" стоит выше "прикрутить SSL" - то это ИМХО абсолютно верный подход.

Ну если передавать пароль в куках открытым текстом это по вашему "абсолютно верный подход" то разговаривать дальше не о чем.

Всего записей: 3965 | Зарегистр. 05-01-2006 | Отправлено: 16:11 02-02-2017
ZlydenGL



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
HTTPS давно норма на всех крупных ресурсах,которые дорожат своей пользовательской аудиторией
Борда дорожит? Дорожит, у нас даже "привилегированных" крыть можно трехэтажным и даже лис не почещется - доказано мной Хобот дорожит? ИМХО дорожит, циферки посещаемости говорят сами за себя. А кто там у нас еще столпом "крупного ресурса" называется, не напомните? Гуглояндекс, естественно, не в счет.
 
Так что не надо свой трясунчик перекладывать на чужие плечи.
 

Цитата:
если передавать пароль в куках открытым текстом это по вашему "абсолютно верный подход"  
А можно прямую цитату, где я подобное говорил? Я наоборот при любой возможности лису пинаю, что текущая схема хранения и передачи пасса не есть гуд. Даже выше я говорил лишь про
Цитата:
идентификатор сессии/куки
Так что повторю призыв: не надо передергивать.

Всего записей: 3427 | Зарегистр. 22-06-2002 | Отправлено: 16:30 02-02-2017
WatsonRus

Platinum Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
mithridat1
Рутрекер дорожит? У него обе версии прекрасно сосуществуют. А пароли не зависят от наличия https. Уже об этом не раз писали.
 
И нечего нагнетать. Тем более, что ответ уже дан администрацией, и он должен устраивать обе стороны:

Цитата:
Нет. Приоритетом форума с момента его основания было дружелюбие, открытость и доступность для всех. Чекбокс какой-нибудь можно придумать, чтобы бросало на SSL (кому надо), а кому не надо - не стоит создавать лишние проблемы.

 
 
Добавлено:
ANDE2003
Цитата:
вот youtube только по https открывается, предлагаю туда не ходить!

Ютуб не форум. Там свои тараканы. К тому же, гугл действует по принципу "я хозаин вся страна", ему плевать на чье-либо мнение.

Всего записей: 22805 | Зарегистр. 03-05-2004 | Отправлено: 21:22 02-02-2017 | Исправлено: WatsonRus, 21:59 02-02-2017
ZlydenGL



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WatsonRus, ну если быть совсем точным, то включение SSL позволит не передавать пароли в открытом виде даже в текущей реализации борды. Т.е. передаваться они, естественно, будут, но в зашифрованном виде - как и все, что "течет" через SSL/TLS. Токмо это все равно неверно и моветон - так часто сабмиттить пасс

Всего записей: 3427 | Зарегистр. 22-06-2002 | Отправлено: 08:06 03-02-2017
ANDE2003



Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
WatsonRus

Цитата:
К тому же, гугл действует по принципу "я хозаин вся страна", ему плевать на чье-либо мнение.

да там вообще идиоты сидят! не понимают что https никому не нужен. Вы им напишите, откройте так сказать глаза, а то они не понимают что шифрованный трафик зло! Шифруют видео ролики! Зачем?
 
Кстати, FF туда же: https://www.opennet.ru/opennews/art.shtml?num=45970
 

Всего записей: 435 | Зарегистр. 21-04-2003 | Отправлено: 11:33 03-02-2017
emx



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Расфлудились вы что-то. О чем спор вообще? SSL как опция нужен, принудительно заворачивать весь трафик через него все же не стоит. Мы и IE6 все ещё готовы увидеть Про пассы в куках тоже писал уже ни раз, но там все скрипты надо перелопачивать, чтобы избавиться. В планах. В новом двигле сессионная логика изначально реализована, но оно в неторопливой разработке.

----------
Corruptissima re publica plurimae leges.
ТА! | Изыдите...

Всего записей: 11418 | Зарегистр. 05-06-2002 | Отправлено: 11:47 03-02-2017
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6

Компьютерный форум Ru.Board » Ru.Board » Общие вопросы по Ru.Board » А SSL будет?

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru