LINUX.ORG.RU

История изменений

Исправление cnst, (текущая версия) :

аутентифицированы в Яндексе и куки для домена yandex.ru могут передаваться открытым текстом в случае обращения к mc.yandex.ru

Ну, блин, тоже мне! Т.е. вы сами хотите до сих пор использовать http, а мне навязываете https? Кто мешает выдавать куки secure, или использовать отдельный домен, как это делает Google-Analytics?

Если https:// так хорош и безпроблемен, почему и yandex, и google, до сих пор можно использовать по «устаревшему» http://?

Google уже объявлял, что Google Analytics будет https-only, но я не следил, сделали они это уже, или нет.

Нет, всё до сих пор работает.

% curl --head http://www.google-analytics.com/ga.js
HTTP/1.1 200 OK
Date: Thu, 17 Dec 2015 03:47:23 GMT
Expires: Thu, 17 Dec 2015 05:47:23 GMT
Last-Modified: Thu, 05 Nov 2015 22:24:16 GMT
X-Content-Type-Options: nosniff
Content-Type: text/javascript
Vary: Accept-Encoding
Server: Golfe2
Cache-Control: public, max-age=7200
Age: 1630
Transfer-Encoding: chunked
Accept-Ranges: none

%

Дополнительно, у них весь API cчётчика открытый: https://developers.google.com/analytics/devguides/collection/protocol/v1/para..., т.е. мало того, что, получается, можно скорее всего их собственный код просто самому себе на сайт залить, и сделать code review, но и использовать GA с более простым кодом счётчика, как на Mail.ru, например. Т.е. они уже предоставляют массу вариантов защиты от атаки.

Ни про какой переход на https я ничего не слышал, и на сайте такого не указано. Более того, это может вызвать многочисленные проблемы на embedded devices, так что очень сомневаюсь, что они будут отключать пиксели по http. Чего и Яндексу рекомендую.

В этой конкретно ситуации я считаю, что проблема находится на стороне браузеров, которые в XXI веке не понимают https — по технологическим или по политическим причинам.

Я привёл личный пример, где лично мне был запрешён https на публичном компе. PHK говорит, что это ситуация, между прочим, встречается очень часто:

http://queue.acm.org/detail.cfm?id=2716278

The so-called «multimedia business,» which amounts to about 30% of all traffic on the net, expresses no desire to be forced to spend resources on pointless encryption. There are even people who are legally barred from having privacy of communication: children, prisoners, financial traders, CIA analysts and so on. Yet, despite this, HTTP/2.0 will be SSL/TLS only, in at least three out of four of the major browsers, in order to force a particular political agenda. The same browsers, ironically, treat self-signed certificates as if they were mortally dangerous, despite the fact that they offer secrecy at trivial cost.

И чем https поможет пользователем Казахстана? Раньше они могли банковские счета проверять без MitM, теперь — нет, всё из-за вездесущего https на каждом левом сайте. Или в ситуации enterprise, использование https — хороший способ несанкционированной передачи коммерческих тайн и секретной информации, распространению вирусов, так что им тоже приходится https либо полностью запрещать, либо ломать. И в чём тогда мне смысл, если мой сайт либо неоткрывается вообще, либо выдаёт ошибки? Яндекс и Гугл не хотят терять ни одного посетителя, а почему я для них должен с HSTS?

Например, мне очевидно, что объяснять выключение https защитой детей — это просто обман.

Это почему ещё так?

В пост-сноуденовскую эпоху использование https является самоочевидным, это должны понимать все, кто претендует на техническую грамотность.

Чушь.

Считаю ли я, что должна быть возможность подписания/шифрования контента интернет ресурсов? Конечно, полностью за.

Нужно ли запрещать http://, или отказываться показывать весь неподписанный контент, для которого никакой аутенфикации пользовательских данных не требуется? Абсолютно нет.

Не вижу никакой необходимости ломать backwards compatibility, которая работала десятилетиями.

Если кафе или автозаправка в России или Кении хочет предложить доступ к моему ресурсу за счёт добавления рекламы, это их дело и их клиентов, а не моё. Пусть клиенты сами решают, где им пользоваться интернетом.

Если Казахстан хочет следить за тем, какой файл является более популярным на моём сайте, флаг им в руки!

Я за то, чтобы информацию на моём ресурсе мог смотреть кто угодно и в любых условиях, а не только обладатели кристально чистого интернета на самых передовых интернет девайсах.

Мою полную позицию по https:// можно почитать здесь: http://lists.w3.org/Archives/Public/ietf-http-wg/2015JanMar/0106.html.

Исходная версия cnst, :

аутентифицированы в Яндексе и куки для домена yandex.ru могут передаваться открытым текстом в случае обращения к mc.yandex.ru

Ну, блин, тоже мне! Т.е. вы сами хотите до сих пор использовать http, а мне навязываете https? Кто мешает выдавать куки secure, или использовать отдельный домен, как это делает Google-Analytics?

Если https:// так хорош и безпроблемен, почему и yandex, и google, до сих пор можно использовать по «устаревшему» http://?

Google уже объявлял, что Google Analytics будет https-only, но я не следил, сделали они это уже, или нет.

Нет, всё до сих пор работает.

% curl --head http://www.google-analytics.com/ga.js
HTTP/1.1 200 OK
Date: Thu, 17 Dec 2015 03:47:23 GMT
Expires: Thu, 17 Dec 2015 05:47:23 GMT
Last-Modified: Thu, 05 Nov 2015 22:24:16 GMT
X-Content-Type-Options: nosniff
Content-Type: text/javascript
Vary: Accept-Encoding
Server: Golfe2
Cache-Control: public, max-age=7200
Age: 1630
Transfer-Encoding: chunked
Accept-Ranges: none

%

Для сравнения:

% curl --head -L mc.yandex.ru/metrika/watch.js
HTTP/1.1 301 Moved Permanently
Server: nginx/1.8.0
Date: Thu, 17 Dec 2015 04:26:42 GMT
Content-Type: text/html
Content-Length: 184
Connection: keep-alive
Location: https://mc.yandex.ru/metrika/watch.js

curl: (60) SSL certificate problem: unable to get local issuer certificate
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

% curl --insecure --head -L mc.yandex.ru/metrika/watch.js
HTTP/1.1 301 Moved Permanently
Server: nginx/1.8.0
Date: Thu, 17 Dec 2015 04:26:49 GMT
Content-Type: text/html
Content-Length: 184
Connection: keep-alive
Location: https://mc.yandex.ru/metrika/watch.js

HTTP/1.1 200 OK
Server: nginx/1.8.0
Date: Thu, 17 Dec 2015 04:26:49 GMT
Content-Type: application/x-javascript
Content-Length: 65960
Connection: keep-alive
P3P: CP="NOI DEVa TAIa OUR BUS UNI STA"
Last-Modified: Tue, 08 Dec 2015 16:44:57 GMT
Expires: Thu, 17 Dec 2015 05:26:49 GMT
Strict-Transport-Security: max-age=31536000

%

Дополнительно, у них весь API cчётчика открытый: https://developers.google.com/analytics/devguides/collection/protocol/v1/para..., т.е. мало того, что, получается, можно скорее всего их собственный код просто самому себе на сайт залить, и сделать code review, но и использовать GA с более простым кодом счётчика, как на Mail.ru, например. Т.е. они уже предоставляют массу вариантов защиты от атаки.

Ни про какой переход на https я ничего не слышал, и на сайте такого не указано. Более того, это может вызвать многочисленные проблемы на embedded devices, так что очень сомневаюсь, что они будут отключать пиксели по http. Чего и Яндексу рекомендую.

В этой конкретно ситуации я считаю, что проблема находится на стороне браузеров, которые в XXI веке не понимают https — по технологическим или по политическим причинам.

Я привёл личный пример, где лично мне был запрешён https на публичном компе. PHK говорит, что это ситуация, между прочим, встречается очень часто:

http://queue.acm.org/detail.cfm?id=2716278

The so-called «multimedia business,» which amounts to about 30% of all traffic on the net, expresses no desire to be forced to spend resources on pointless encryption. There are even people who are legally barred from having privacy of communication: children, prisoners, financial traders, CIA analysts and so on. Yet, despite this, HTTP/2.0 will be SSL/TLS only, in at least three out of four of the major browsers, in order to force a particular political agenda. The same browsers, ironically, treat self-signed certificates as if they were mortally dangerous, despite the fact that they offer secrecy at trivial cost.

И чем https поможет пользователем Казахстана? Раньше они могли банковские счета проверять без MitM, теперь — нет, всё из-за вездесущего https на каждом левом сайте. Или в ситуации enterprise, использование https — хороший способ несанкционированной передачи коммерческих тайн и секретной информации, распространению вирусов, так что им тоже приходится https либо полностью запрещать, либо ломать. И в чём тогда мне смысл, если мой сайт либо неоткрывается вообще, либо выдаёт ошибки? Яндекс и Гугл не хотят терять ни одного посетителя, а почему я для них должен с HSTS?

Например, мне очевидно, что объяснять выключение https защитой детей — это просто обман.

Это почему ещё так?

В пост-сноуденовскую эпоху использование https является самоочевидным, это должны понимать все, кто претендует на техническую грамотность.

Чушь.

Считаю ли я, что должна быть возможность подписания/шифрования контента интернет ресурсов? Конечно, полностью за.

Нужно ли запрещать http://, или отказываться показывать весь неподписанный контент, для которого никакой аутенфикации пользовательских данных не требуется? Абсолютно нет.

Не вижу никакой необходимости ломать backwards compatibility, которая работала десятилетиями.

Если кафе или автозаправка в России или Кении хочет предложить доступ к моему ресурсу за счёт добавления рекламы, это их дело и их клиентов, а не моё. Пусть клиенты сами решают, где им пользоваться интернетом.

Если Казахстан хочет следить за тем, какой файл является более популярным на моём сайте, флаг им в руки!

Я за то, чтобы информацию на моём ресурсе мог смотреть кто угодно и в любых условиях, а не только обладатели кристально чистого интернета на самых передовых интернет девайсах.

Мою полную позицию по https:// можно почитать здесь: http://lists.w3.org/Archives/Public/ietf-http-wg/2015JanMar/0106.html.