Собственно, нынче куда ни плюнь, попадешь в сайт, поддерживающий безопасное HTTPS соединение. Между тем, никакой пользы в этом нет, а вреда - сколько хочешь. Трафик шифруется, соответственно, на это тратятся вычислительные ресурсы (как клиента, так и сервера), плюс зашифрованные пакеты, естественно, больше, чем обычные, соотвественно все это дерьмо постоянно носится по сети. Вот недавно было дело, вашему покорному слуге надо было написать простейшую утилиту, выполняющую HTTPS-запросы через прокси с basic-авторизацией по логину-паролю. Казалось бы, проще могут быть только два пальца, однако выяснилось, что, т.к. запрос шифруется, его заголовки (в том числе proxy-authorization) для прокси недоступны. Это даже очевидно и даже примерно понятно, как решить этот вопрос, но переписывать для этого половину библиотеки для работы с HTTP/S я явно не готов. В итоге решением стало использование соксов, но это было возможно исключительно потому что провайдер прокси предоставлял и SOCKS5. И это все только из-за того, что овнеры какой-то местечковой помойки, адресом которой я не осмелюсь оскорблять наше коммьюнити, решили, что доступ к их сайту должен осуществляться по HTTPS! Там нет никакой оплаты услуг, не передаются паспортные данные, не спрашивают даже кличку моего пса, которого у меня отродясь не было. Просто держатель ресурса - обезьяна, которая смотрит, что вокруг нее HTTPS, это безопасно, модно и стильно и тоже включает его. А потом его вонючий сервер не выдерживает и отваливается! Это я молчу о постоянных проблемах проверок подлинности сертификатов, которые возникают всегда. Вообще всегда, вообще везде! Я в своей жизни сталкивался с ними более тысячи раз. Я всегда презирал рассуждения о MITM-атаках. Если, не дай боги, где-то есть возможность отключить проверку сертов, то рядом обязательно будет простынь о том, каким уязвимым от этого становится (код/приложение). Вы когда-нибудь слышали, чтобы с помощью такой атаки у Зины Козловой увели ее акк ВК? Зато куча историй о том, как Зина получила письмо, зашла по ссылке, ввела свой пароль, ей на телефон что-то пришло, она нажала, ее выкинуло и больше уже не пускало. Или, может, у кого-то с карты украли 15 рублей, подменив сертификат? Нет, кто-то просто совал свою карту не в тот банкомат или, перезвонив по мобильному номеру мегофона, пришедшему в СМС о яко бы заблокированной карте Сбербанка (которой у него никогда не было) сообщил все данные всех своих счетов и банковских карт. Все эти разговоры - это как говорить, что MD5 не достаточно надежен, т.к. какой-то китаец что-то там намутил (при этом что именно - не важно и то, что никакого практического применения этому нет мало кто понимает). В жизни не бывает никаких MITM-атак, это вымысел. Никто вообще не проверяет, что там написано в браузере, есть ли HTTPS, подлинный ли серт и от того ли сайта. Даже я едва ли когда смотрю на адрес, чтобы понять, что ввожу свои драгоценные данные не на фейке школьника, а уж от обычных пользователей я бы и этого не ожидал. Я всегда и везде отключаю SSL, проверки сертификатов и прочую мерзость, даже когда мне это не мешает. Делаю я это из принципа и призываю всех к тому же.
Согласен отчасти. Зачем сайту со смешными картинками и котиками шифрование? Нет личных данных - не нужен https. Никакому майору котики и прочий информационный шум не интересен - население генерит терабайты трафа в минуту на средний город, кто будет разгребать эти авгиевы конюшни? Для того СОРМ и есть - смотрят выборочно за теми, кто нужен, и там уже роли не играет, шифровался или нет, сам сайт сдаст юзера по первой просьбе властей. Маркетинг с т.н. "платных DPI" у крупнейших провайдеров получает лишь статистику, а не данные реальных людей, тоже нет поводов для беспокойства. А пересаживают всех на https по причине того, что это дает прибыль конторам по выдаче сертификатов и это вводит денежный ценз на право владения сайтом - хочешь-не-хочешь, а $100+ в год выложи за каждый сайт. Есть бесплатные сертификаты, но они то месяц действуют, то их корневые отзывают в браузерах, короче это не вариант даже для никому не известной помойки или визитки с 3.5 посетителями.
Так нахрен в принципе нужен HTTPS? 99.9% не знают, что это такое, 11 из 10 человек на улице харкнут в рожу тому, кто вздумает привязаться к ним с вопросом, что они знают о SSL и шифровании. Это чисто инициатива оунеров сайтов, эти ослы зачем-то включают HTTPS и сами платят за это 100$ в год. Лучше бы мне эту сотку отдали, чем каким-то... Да я даже не знаю и знать не хочу, кому именно, кто выдает эти сраные серты и из-за кого моя и без того нелегкая жизнь делается еще труднее. Пусть они сгниют все к х**м.
по сути центры выдачи сертификатов это торговцы воздухом, сертификат генерируется без проблем в любом месте в любое время, они(цс) лишь являются авторитетным лицом которые говорят "этот серт валиден, мы его выпустили"/"этот серт не валиден, мы его не знаем", по сути и всё собственно вот китайский центр зафакапился https://geektimes.ru/post/281188/ и мозила сказала что их воздух им больше не нужен не хочу накалять обстановку, эм, да и пожалуй не буду) вопрос спорный
Может овнеры сайтов заморачиваются с HTTPS из за того, что поисковики отдают предпочтение таким сайтам? А насчёт MITM, как там в целом дела обстоят я не в курсе, но вот у охотников за соседским вайфаем, это увекательное развлечение. Особенно если за стеной приятной внешности соседка).
Стало быть простому смертному юзеру, который не знает зачем нужен сертификат и что лучше без него, лучше сразу застрелица. Владельцу сайта, помима ранжирования, просто стыдно не иметь сертификата, ибо нищедрот не могущий дать 20$ в год недостоин клика. Да и просто круто, когда твоя фирма в зелёном свиттиться, сразу видно - чёткий пацан, а не не школьник какой
Ага, а ещё нафиг капчи, нафиг U2F, нафиг авторизацию по токенам и прочую не нужную муру, нафиг хеширование паролей -даёшь plaintext, всё это же так сложно внедрять и настраивать. Конечно же лучше сервера святой водой окропить, тогда никакие какеры не страшны.
Зачем тебе порно и котики, которых качает средний юзер? Это можешь спутник поставить, там подобного сотнями гигабайт в сутки само падает. Или ты через прокси связки подсовываешь? Никто же не говорил, чтобы отключали ssl банки и прочие ответственные места, баттхерт именно от того, что этот ssl пихают везде, где надо и где не надо.
Если на сайте есть авторизация, про которую пишет ТС, значит как минимум есть БД с паролями и мылом например. И совсем не феншуй если эта инфа при авторизации будет светиться на весь инет.
А где хоть раз потроянили прова и сняли чью-то базу через MITM? Не слышал о таком ни разу. Всегда отламывают сам сайт для этого, и ssl тут не поможет. Траф слишком велик у среднего или крупного прова, чтобы его смотреть детально - это банально очень дорого по железу. Единственное, где можно ловить данные - это спутник, wifi или мелкий офис, но, опять же, Неуловимый Джо неуловим потому, что никому не нужен. Для тех же, у кого есть нечто ценное в акках, существует VPN. SSL нужен именно для защиты важных данных типа банковских карт от перехвата, но никак не для того, чтобы закрывать им всё подряд, включая порно и смешные картинки. На крайний случай можно завернуть форму логина в SSL на отдельном поддомене, но не весь сайт. Еще один камень в огород SSL - это РКН и аналогичные ему структуры по миру. Одна страница содержит что-то, что не нравится властям или торгашам - банят весь сайт. В Италии, например, так забанен весь ВК, у нас так кратковременно банили гитхаб и википедию, и примеров можно набрать довольно много по миру. Власть позиций не сдаст, и от регулирования сети не откажется никогда уже, так что заворачивать сайты целиком в SSL очень, очень плохая идея.
Сидел я один раз в кафешке, пил кофе, кушал пироженку и от нечего делать снифал с телефона трафик окружающих. А в это время, за соседнем столиком сидела одинокая гражданка - администратор одного довольно крупного научно- популярного издания. Благодаря отсутствию https на сайте журнала были перехвачены печеньки и у меня появился доступ ко всей БД этого журнаола (сайт кстати на 1С битрикс был запилен). В результате можно было опубликовать статьи , слить БД зарегистрированных пользователей и администрации этого научного журнала. Получить конфиденциальную информацию (телефоны и email/ password) о товарищах членах РАН и прочих академиках. которые публиковались в этом журнале и были в нем зарегистрированы. А можно было и просто задифейсить сайт. Благо всё это мне было не очень надо - я просто посмеялся над безопасностью серьезного ресурса и всё. А какой отсюда вывод можно сделать - решать вам.
Что такое ВПН и с чем его едят довольно сложно объяснить блондинкам с правами админа. А вот прикрученный https, от них не требует ни единого действия P.S. Возможно у той девочки-админа даже VPN был настроен на доступ к сайту для целей администрирования. Но она им забыла воспользоваться по каким -то своим только ей ведомым причинам... 0тсюда результат: доступ утёк к постороннему лицу.
В каком месте толсто и почему? А то вот мне Spoiler: не очевидно. - Это не хвост, сказал волк и густо покраснел. З.Ы. Еще один страшный сюжет для Кошки с котёнком: Сидиш ты такой весь секьюрный по срочной надобности в общественной сети , конечно же через эти свои ВПНы... Админишь в полной уверенности в своей секьюрности. И тут бээээмс оказывается , что ВПН то взял и отвалился. А когда он отвалился... и как долго вся твоя секьюрная инфа гуляет по общественной сети? Что там и к кому утекло за это время ...ведь SSL нам не нужен?
Да никто не узнает о том, что ты отдал 20, 200 или 2к$, никто просто не знает, что такое HTTPS. Ты думаешь, что кому-то это интересно, потому что ты каким-то образом связан с IT, потому что сидишь на форуме о веб-безопасности. Вот то, что ты перечислил, как раз реально помогает, а не эта SSL-срань. На какой весь инет? Просто не надо сидеть с левого вайфая. А, если ты с левого вайфая и вводишь свои пароли от банковских аккаунтов, то ты дурак, есть там HTTPS или нет. Аргументов за SSL кроме "так надо и это круто" пока нет. А, ну да, еще если ты с публичного вайфая. Опять же, я не говорю, что шифрование надо полностью запретить, конечно, когда речь идет о деньгах или чем-то подобном, его можно и нужно использовать.
Суммируя аргументы автора: На https тратятся вычислительные ресурсы и пропускная способность сети MITM несущественен по сравнению с другими способами атак Личные технические затруднения автора Аргумент о трате ресурсов голословен, не приведены цифры подтверждающие это. Посмотрите трезво на текущие процессоры и пропускные способности. Вклад https незаметен. В некоторых сценариях https быстрее: https://www.troyhunt.com/i-wanna-go-fast-https-massive-speed-advantage/ MITM не всегда заключается в "воровстве" данных, иногда вам могут насильно вставлять рекламу, или же тихо мониторить ваши запросы, для каких либо целей, вы никогда об этом можете и не узнать. В то же время https позволяет без особых затруднений решить эту проблему. Серверные сертификаты можно получать бесплатно в проекте Let's Encrypt или с помощью Cloudflare. Тут также упоминался md5. Пожалуйста, используйте bcrypt вместо md5. HTTPS и bcrypt — низкоуровневые инструменты, которые используются ВЕЗДЕ, здесь не работают суждения типа "вокруг меня это не актуально". Речь про стандарты индустрии и для них нужно выбирать максимально надёжные решения. Понимаю технические затруднения автора. Такие затруднения вызывают сильные эмоции. Однако пожалуйста, если вы читаете это и у вас нет знаний деталей https, вспомните, что всё остальное человечество, включая компании с лидирующими экспертами индустрии идёт к https, а лишь у Васи с форума античат припекает. PS Понимаю, что скорее всего OP троллил и у меня триггернуло от некомпетентности модераторов форума в удалении таких постов или пометке их как несерьёзные. Серьёзно, если вас заботит компьютерная безопасность и технологии вообще, найдите себе место для обучения лучше, чем этот форум.
