Почему https не нужон если владелец сайта не банк и не террорист

это уже другой случай, к проблеме топика не относится

Суть одна и та же — необходимость пользователю доказывать что он не верблюд. Всё остальное — детали.

Уязвимость на сервере - проблема владельца сервера. Уязвимость трафика к подмене и прослушиванию - проблема обоих, пользователя и владельца сервера

Государство не может влиять на все остальные государства, где серверы отдают контент по HTTPS

Но может влиять на местных провайдеров.

Почему https не нужон если владелец сайта не банк и не террорист

В этом случае ты точно будешь знать, что государство смотрит твой трафик

И зачем им информация о породе котиков, которых я смотрю?

И зачем им информация о породе котиков, которых я смотрю?

Когда ты смотришь котиков через HTTP, а ЦП, покупаешь вещества и обсуждаешь планы по свержению строя через HTTPS, государству легче отделить один вид трафик от другого и проанализировать, сопоставить временные метки пакетов и т.д.

Когда и котики, и всё остальное зашифровано, анализировать трафик и выделять интересующую информацию по метаданным сложнее.

Уязвимость на сервере - проблема владельца сервера

Но если об этой уязвимости ещё неизвестно — доказывать всё равно придётся пользователю.

Уязвимость трафика к подмене и прослушиванию - проблема обоих, пользователя и владельца сервера

В случае отсутствия в трафике между сервером и пользователем конфиденциальных данных — нет, это проблема пользователя и его провайдера.

ЦП, покупаешь вещества и обсуждаешь планы по свержению строя

То такому пользователю нужен VPN и это не проблема владельца легального ресурса.

Ну я ведь написал. Если сейчас данных нет, откуда ты знаешь, что их не будет. Вот я сейчас тут выложу адресные данные, номер паспорта и телефон. Все - уже конфиденциалка. Так кстати органы подрабатывают.

То такому пользователю нужен VPN и это не проблема владельца легального ресурса.

в таком случае всех немногочисленных пользователей VPN можно считать педофилами и террористами

когда условным VPN-ом пользуются все, в том числе для просмотра котиков, так сделать уже не получится

Ты владелец квартиры которую сдаешь... Все.

Защиты от кого? Если в данные лезет провайдер — нужно голосовать рублём и менять провайдера.

Кого на кого менять. Этих провайдеров собственно 4. TTK - госконтора, Ростелеком - госконтора. МТС и Билайн покупают каналы Ростелекома....

Все будущее где всем правят КОРПОРАЦИИ наступило (только не так, как в книжках написано)

Вот я сейчас тут выложу адресные данные, номер паспорта и телефон. Все - уже конфиденциалка.

От этого https тоже не защищает.

в таком случае всех немногочисленных пользователей VPN можно считать педофилами и террористами

Можно. Опять же, неадекватность государства пользователя не проблема владельца ресурса.

Именно - только если такое не ловят СОРМОМ. А вот если у тебя HTTPS уже тебе легче.

А так разговор как про «неуловимого джо». Если у тебя нет таких данных, то конечно HTTPS тебе не нужен.

Опять же, неадекватность государства пользователя не проблема владельца ресурса.

Хренасе. А если я владелец магазина и траффик из России 90%, а благодаря неадекватности государства я его потерял????

Опять же, неадекватность государства пользователя не проблема владельца ресурса.

Зато адекватные владельцы ресурсов беспокоятся об удобстве своих пользователей, не все из которых живут в странах с торжеством демократии и прав человека

Именно - только если такое не ловят СОРМОМ. А вот если у тебя HTTPS уже тебе легче.

Легче пользователю, мне вообще пофиг, я в другой стране.

Зато адекватные владельцы ресурсов беспокоятся об удобстве своих пользователей, не все из которых живут в странах с торжеством демократии и прав человека

И каким образом адекватные владельцы ресурсов смогут обеспечить „удобство” своих пользователей в неадекватных странах в случае обязаловки установки самоподписанного сертификата?

Хренасе. А если я владелец магазина и траффик из России 90%, а благодаря неадекватности государства я его потерял????

Нужно просчитывать риски и диверсифицировать рынки, очевидно же.

Когда они пришли за коммунистами, я молчал — я не был коммунистом.
Когда они пришли за социал-демократами, я молчал — я не был социал-демократом.
Когда они пришли за профсоюзными активистами, я молчал — я не был членом профсоюза.
Когда они пришли за мной — уже некому было заступиться за меня.

Можно поподробнее про криворукого провайдера?

Если в трафик между пользователем и сервером могут вмешиваться левые люди — очевидно проблема в трубе.

Зато без HTTPS - какой-нибудь условный пчелайн пихает в твой сайт свои банеры и «панели управления», которые мало того что не отключаются, так ещё и не всегда нормально интегрируются.

Так что, я лично за текущую схему сертификации. Если кто-нибудь придумает лучше - буду агитировать за неё.

Это проблемы пользователей билайна, которые занимают позицию терпилы вместо подачи жалобы в роспотребнадзор.

Это проблемы пользователей билайна, которые занимают позицию терпилы вместо подачи жалобы в роспотребнадзор.

Вы всё правильно говорите, только в нашей стране эти механизмы не действуют от слова совсем. Административное решение проблемы не работает, пока она не станет совсем уж очевидной, так что вой поднимают по центральным каналам. А в случае с опсосами даже это может не помочь, сколько раз уже тот-же ФАС, например, с ними бодались - уже и не перечесть.

Так что HTTPS нужен. Пока операторы не являются «трубой», просто обычным каналом связи, и не гарантируют аутентичность переданных данных, механизмы вроде https - нужны, однозначно. Разумеется не везде, но утверждение «https не нужон если владелец сайта не банк и не террорист» - в корне неверное.

TLS нужен, например, чтобы оператор не инжектил свои рекламные скрипты. Так, на вскидку.

Кстати, тред годен показательной попыткой отстоять своё мнение дилетанта, который даже не пытается понять область, о которой говорит, но мнение имеет. И считает его ценным.

Т.е. если я не использую https, то доступность моего сайта не зависит от кривых ручонок провайдера, хостера, dns и т.п.?

Вся эта история с замком на квартире ненужна. Однажды я забыл ключи на работе и не смог попасть в квартиру, а она у меня новая и там кроме матраца ничего нет и я ничего ценного покупать не собираюсь....

лорчую

Интересно, откуда вдруг появились противники TLS?
Сейчас шифрование вообще практически бесплатное, по производительности AES-NI есть даже в самых поганых атомах.

На савушкина пришло указание, чтобы готовили аудиторию к скорому запрету всего шифрованного трафика?

Самоподписанные серты? Не, не слышал.

хм, может попросим спуфа свой поднять? не гоже на лор ходить с сертификатом от непонятно кого

Как ты будешь проверять, что при обращении к википедии ты попал действительно на википедию?

Хорошо что такие как он законы не принимают... Хотя... Oh Shi...

На савушкина пришло указание, чтобы готовили аудиторию к скорому запрету всего шифрованного трафика?

присоединяюсь к вопросу

Кстати, например, Google AMP вообще только по HTTPS работает.

Т.е. если я не использую https, то доступность моего сайта не зависит от кривых ручонок провайдера, хостера, dns и т.п.?

Зависит, но это необходимое зло. Зачем сюда добавлять ещё одну точку отказа?

На савушкина пришло указание, чтобы готовили аудиторию к скорому запрету всего шифрованного трафика?

А как вы догадались?

Самоподписанные серты? Не, не слышал.

И как же сделать чтобы браузер, увидев самоподписанный сертификат, не ругался пользователю большими буквами на красном фоне что он ВОПАСНОСТЕ?

Кстати, тред годен показательной попыткой отстоять своё мнение дилетанта, который даже не пытается понять область, о которой говорит, но мнение имеет. И считает его ценным.

У людей не открывается википедия и дропбокс, а дилетант почему-то я.

надоел тормозной http. Какие у тебя цифирки выходят тут и тут?

[user@localhost ~]$ time curl http://www.httpvshttps.com/ -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--100 37729    0 37729    0     0  70261      0 --:--:-- --:--:-- --:--:-- 70389

real    0m0.578s
user    0m0.020s
sys     0m0.027s
[user@localhost ~]$ time curl https://www.httpvshttps.com/ -o /dev/null
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--100 37729    0 37729    0     0  28180      0 --:--:--  0:00:01 --:--:-- 28198

real    0m1.377s
user    0m0.142s
sys     0m0.122s

И?

Действительно, почему? А! Наверное потому, что ты не потрудился разобраться почему возникли проблемы! Но мнение имеешь. Это называется дилетантизмом .

А теперь ответь на вопрос «что именно было измерено?».

А теперь ответь на вопрос «что именно было измерено?».

Время загрузки документа по http против времени загрузки того же документа по https. Всякие хендшейки и криптование ожидаемо замедлили загрузку, никакой магии не произошло.

Вся эта история с замком на квартире ненужна. Однажды я забыл ключи на работе и не смог попасть в квартиру, а она у меня новая и там кроме матраца ничего нет и я ничего ценного покупать не собираюсь....

В случае с большинством сайтов речь идет о замке на деревенском сортире. И да, он не нужен.

С какой стати вообще корневые сертификаты контроллируются какими-то левыми коммерческими компаниями? Пусть бы их лучше генерировала специальная международная организация.

У людей не открывается википедия и дропбокс, а дилетант почему-то я.

Это временно и это не трагедия

на деревенском сортире

Это речь не о сайтах в интернете, а о локальных сервисах. Да, например, на веб-интерфейсы роутера https не делают

Все даже проще. 100 баксов за сертификат с валидацией по доменному емайлу

У людей не открывается википедия и дропбокс, а дилетант почему-то я.

Это временно и это не трагедия

это называется «публично обосраться» с причинением убытков и порчей репутации. хотя, конечно, не трагедия.

Делают

И что вы этим хотите сказать??