Почему некоторые против HTTPS Everywhere?

Принципиально не выключаю расширение, приучился брать инфу из кэша или на других сайтах, так что неhttps тупо потеряли клиента в моем лице.

Поддерживаю ананимуса, на пк и в мобиле плагин включен на блокировку не https.

Ну там одни и те же заученные фразы типа HTTPS нужно не всегда, я не доверяю CA, LE единственный игрок, зелёный значок вводит в заблуждение. Пара самых адекватных скажет про реальные полудохлые сайтики которые уже некому переводить на HTTPS или обновлять сертификаты.

Так вот, HTTPS нужно всегда и везде вплоть до самого распоследнего статического бложика, во-первых чтобы избежать внедрения вредоносного кода провайдером, во-вторых чтобы переход действительно был полным, ибо отказаться от HTTP - значит отказаться от массы возможностей обхода шифрования.

LE действительно единственный игрок, но лучше и быть не может ибо если с ним что-то случится, единственной дорогой останется децентрализованная система доверия.

От недоверия доверяю CA спасёт certificate transparency.

Ненависть к зелёному замочку - это от мешанины в мозгах не могущих отличить фишинг от шифрования. И таки он всего лишь временное явление пока полный переход не случится, тогда будет серый для HTTPS и красный для HTTP. И нужен он, чтобы переход случился быстрее.

Сайты которые некому админить - это хотя бы объективная проблема, но к HTTPS она отношения не имеет - они с не меньшей вероятностью сдохнут от неоплаченного хостинга или умершего железа. Дорога им одна - на archive.org.

позор для специалиста

Позор для специалиста - ходить в интернет по паспорту, чем и является использования интернета от обсосов.

Само по себе не зло. А вот то, что многие фичи HTTP/2 будут работать только для HTTPS сайтов — упоротый маразм.

2 заряда пенобетона за эту гермодверь, у нас прорыв!

Зачем ты специалистов параноиками обзываешь?

В 2019 редирект с http на https нужно уже на уровне шлюза делать. Кстати, для openwrt есть такое готовое?

Так вот, HTTPS нужно всегда и везде вплоть до самого распоследнего статического бложика, во-первых чтобы избежать внедрения вредоносного кода провайдером

Откуда у лоровцев эта дебильная привычка экстраполировать проблемы своих российских провайдеров на весь мир?

Откуда вообще идея про «вредоносный код» от провайдера? Шапочка из фольги не сработала?

Как вы вообще в интернет-то выходите с таким набором диагнозов? i2p через тор через тройной впн на левые паспорта и левые симки?

В 2019 редирект с http на https нужно уже на уровне шлюза делать. Кстати, для openwrt есть такое готовое?

теги: дверь, яйца

Это ты про тех, кто не использует https everywhere? Да, согласен.

Откуда у лоровцев эта дебильная привычка экстраполировать проблемы своих российских провайдеров на весь мир?

потому, что российские провайдеры учатся у «лучших» https://news.ycombinator.com/item?id=10795344

У меня wildcard сертификат.

Курица — не птица, убунта не линукс :D

https://i.imgur.com/x45McGE.png

Очередное подтверждение.

В тех благословенных оплотах демократии государственный CA, через который сделают ssl mitm, появится раньше, чем в России. И вот тогда я буду долго и громко смеяться и тыкать пальцем в онанирующих на безопасность. Запомните этот твит.

Откуда у лоровцев эта дебильная привычка экстраполировать проблемы своих российских провайдеров на весь мир?

Их того же места что и привычка экстраполировать на весь мир [i]отсутствие[/i] проблем в своём маленьком мирке.

Как вы вообще в интернет-то выходите с таким набором диагнозов?

Вполне хватает глобального HTTPS.

В тех благословенных оплотах демократии государственный CA, через который сделают ssl mitm

proof о существовании такого у кого либо из провайдеров или владельца hotspot?

Возможно, разработчики брауров того же мнения, потому кнопку и оставили, что адекватный человек поймёт, что к чему, а макака сама себе виновата.

Ну вот я, например, являюсь такой «макакой». Как выше уже верно писали, мне нужна информация с конкретного сайта. Здесь и сейчас. И абсолютно все равно, подменяет провайдер сертификат или нет. И я готов смотреть рекламу от провайдера ради получения нужной мне информации...

У всех разные сценарии пользования Сетью. В моем случае, например, в 99% вполне достаточно http. И совершенно не волнует тот факт, что кто-то может читать трафик - сайты и так публично доступны, никаких секретов там нет.

Полностью с Вами согласен.

это означает что контент мог быть подменена хз кем. HTTPS не только защита данных посылаемых от тебя, но и защита посылаемых к тебе данных от модификации.

Ну и что? Ну вставит провайдер блок с рекламой, ничего страшного. Будет злоупотреблять такой возможностью - сменю провайдера. И он это прекрасно понимает...

и какое доверие у вас к левым hotspot?

Если нет доверия (как в описанном Вами примере), то я бросаю туннель до своего сервера и работаю через него. Но повторю, у всех разные сценарии использования Сети, в моем случае работа через публичные хотспоты - это менее 1% пользования Сетью.

Ну и что? Ну вставит провайдер блок с рекламой, ничего страшного. Будет злоупотреблять такой возможностью - сменю провайдера. И он это прекрасно понимает...

На другого провайдера с другой рекламой? Ведь не только рекламу суют, ещё и контент подменяют.

но проще шифровать тотально всё, чем в каждом случае разбираться насколько это актуально.

Не согласен. Как выше было верно подмечено, шифрование - это лишняя точка отказа. Я думаю, каждый неоднократно сталкивался с проблемой просроченных сертификатов.

А чем система проще, тем она надёжнее.

Совершенно верно. И система без шифрования очевидно проще.

Пользоваться публичным вай-фай, да хоть через ВПН - позор для специалиста.

Что за бред Вы пишете?

Что у нас нет интернета от обсосов с единой ценой по стране?

Во-первых, мир больше, чем одна страна. Во-вторых, зачем платить за то, чем можно пользоваться бесплатно?

туннель до своего сервера и работаю через него

Опять же никакой гарантии, что запрашиваемый контент не был модифицирован по дороге или вы каждый раз всю цепочку проверяете?

в моем случае работа через публичные хотспоты - это менее 1% пользования Сетью.

а в моём это 40%, так как приходится много разъезжать по разным странам, что дальше? Мне дела нет до ваших криворуких админов бложиков про пони. все сайты которые мне интересны в состоянии работать с SSL, которые не в состоянии, не достойны моего времени.

Не понял, какой-то хер с лора запрещает мне HTTP? Да пошел ты на хуй со своими замочками, вот что имею сказать.

Так вот, HTTPS нужно всегда и везде вплоть до самого распоследнего статического бложика,

Я по-прежнему не понимаю, зачем.

во-первых, чтобы избежать внедрения вредоносного кода провайдером,

IMHO, эту проблему гораздо проще решить, выбирая адекватного провайдера. Вы лично хоть раз слышали о внедрении именно вредоносного кода? Не просто рекламы или информации, а действительно вредоносного кода (повредившего данные пользователя)? IMHO, это уголовщина, провайдера, позволившего себе такое, просто по судам затаскают и лицензии лишат...

во-вторых, чтобы переход действительно был полным, ибо отказаться от HTTP - значит отказаться от массы возможностей обхода шифрования.

Погодите, это Вы уже перешли к другому вопросу - как добиться повсеместного https. Давайте, все-таки, вернемся к исходному обсужлению - почему необходимо повсеместное внедрение шифрования?

Другие аргументы помимо защиты от внедрения постороннего кода у Вас есть?

все сайты которые мне интересны в состоянии работать с SSL, которые не в состоянии, не достойны моего времени

Еще один мудак «мне мне мне». Да всем посрать что там тебе.

Позор для специалиста - ходить в интернет по паспорту

Еще одна глупость. И в чем именно позор заключается? А по телефону по паспорту не позорно разговаривать? И в чем разница между, скажем, общением на форуме и разговором по телефону?

В 2019 редирект с http на https нужно уже на уровне шлюза делать.

И как это поможет для сайтов, не поддерживающих hhtps?

все сайты которые мне интересны в состоянии работать с SSL, которые не в состоянии, не достойны моего времени

Поразительная квинтэссенция параноидальности и юношеского максимализма. Оценивать сайт не по его контенту, информационной составляющей, а по зелёному значку в адресной строке.

Где-то я на ЛОРе уже подобное видел. Бегал тут один клоун по вакансиям в Jobs и сайты компаний на ssllabs.com/ssltest проверял.

проблемы своих российских провайдеров на весь мир?

Нет у российских провайдеров таких проблем. Проблемы в головах некоторых участников форума...

Это ты про тех, кто не использует https everywhere? Да, согласен.

Давайте попробуем разобраться серьезно, без клоунады. Пока был озвучен один аргумент в пользу https для сайтов, не предполагающих ввод данных пользователем - защита от внедрения вредоносного кода.

IMHO, это аргумент слабоват - распространение вредоносного кода - это уголовная статья, и ни один вменяемый провайдер таким заниматься не будет.

Другие аргументы в защиту требования о повсеместности https у Вас есть?

Что ценного может быть на сайте, где автор не может обновить сертификат получив с 10 уведомлений о его просрочке? Завтра он забудет про хостинг или доменное имя, уж лучше пользоваться услугами, где следят за ресурсом, чем каким-то прикроватным отстойником.

потому, что российские провайдеры учатся у «лучших» https://news.ycombinator.com/item?id=10795344

Но ведь приведенный по Вашей ссылке пример никак не тянет на вредоносный код. Более того, информирование пользователя о расходе интернет-трафика, вообще говоря, полезно. Я бы, например, не отказался периодически получать такие уведомления...

Так же не отказались бы от замены содержимого и прочих трюков, и кучи поломанных сайтов, когда верстка и js ломались из за кривого кода ембеда?

На другого провайдера с другой рекламой?

Мой провайдер не занимается подменой трафика.

Ведь не только рекламу суют, ещё и контент подменяют.

Что именно подменяют? Есть конкретные примеры?

Не понял, какой-то хер с лора запрещает мне HTTP? Да пошел ты на хуй со своими замочками, вот что имею сказать.

Пойдёшь ты, потому что когда очередной сайт из тех что ты используешь отключит HTTP тебя никто не спросит. А я просто констатирую факт.

Опять же никакой гарантии, что запрашиваемый контент не был модифицирован по дороге или вы каждый раз всю цепочку проверяете?

В смысле? Как Вы себе представляете модификацию контента внутри OpenVPN-туннеля, например? Или внутри любого другого туннеля?

OpenVPN-туннеля

Туннель только до вашего сервера, что пришло на сервер не известно.

Мой провайдер не занимается подменой трафика.

Мой тоже и что? Вы у нас эталон и все должны смотреть на вас? Вы всем до фени, даже владельцам бложиков с просроченными сертификатами пох на вас.

IMHO, эту проблему гораздо проще решить, выбирая адекватного провайдера.

А если их нет, то переехать? А если другие дороже, переплачивать? Нет, это не проще. Да и ради чего? Ради вашего желания раскрывать всем ваш трафик на чтение и запись?

Вы лично хоть раз слышали о внедрении именно вредоносного кода? Не просто рекламы или информации а действительно вредоносного кода (повредившего данные пользователя)?

Даже не думайте их разделять. Внедрение я неоднократно видел.

Другие аргументы помимо защиты от внедрения постороннего кода у Вас есть?

А вам мало? Очевидное сокрытие трафика я даже не упоминаю.

Что именно подменяют? Есть конкретные примеры?

Написано же, водафон пережимал контент, удовольствие от пережатого порно уже не то, детали пропадают.

Еще одна глупость. И в чем именно позор заключается?

В необходимости раскрывать свою личность и собеседнику и прослушивающему.

А по телефону по паспорту не позорно разговаривать?

Естественно позорно.

И в чем разница между, скажем, общением на форуме и разговором по телефону?

В возможности не раскрывать свою личность собеседнику и прослушивающему.

Что ценного может быть на сайте, где автор не может обновить сертификат получив с 10 уведомлений о его просрочке?

Например, некая уникальная информация. Я как-то натыкался на сайт археолога, который выложил туда фотоотчет об экспедиции несколько лет назад и забыл о нем. Ссылку уже не помню, но помню, что с интересом ознакомился с выложенными материалами. И таких примеров полно.

Кстати, по поводу уведомлений - даже крупные организации, бывает, наступают на эти грабли. Где-то полгода назад сайты СПбГУ в течение пары дней были с просроченными сертификатами. Ладно, СПбГУ. Один из моих основных рабочих инструметов - сайт PubMed (http://www.pubmed.com) тоже где-то года полтора назад несколько дней был с просроченным сертификатом. Да, я полностью согласен с Вами, что это косяк админов этих сайтов. Но мне, как пользователю, гораздо важнее получить доступ к информации, чем выяснять, кто виноват, или, тем более, ждать, пока они исправят ситуацию...

Не согласен. Как выше было верно подмечено, шифрование - это лишняя точка отказа.

Нет.

Я думаю, каждый неоднократно сталкивался с проблемой просроченных сертификатов.

Это не проблема (с точки зрения безопасности).

И система без шифрования очевидно проще.

Да, но это неприемлимо.

Так же не отказались бы от замены содержимого и прочих трюков, и кучи поломанных сайтов, когда верстка и js ломались из за кривого кода ембеда?

Вы, видимо, неправильно поимаете мою мысль. Я не говорю, что внедрение кода - это хорошо и правильно. Но если выбирать из двух зол - сайт с поехавшей из-за вставленного провайдером кода версткой, и просто не открывающийся из-за ошибки с сертификатом сайт, то я, безусловно, выберу первый вариант. Потому что первична информация. Верстка - это не более чем красивое оформление. Да, приятно и удобно. Но не критично.

Туннель только до вашего сервера, что пришло на сервер не известно.

Напомню контекст - речь шла о пробросе туннеля при подключении к Сети через провайдера, не вызывающего доверия - например, публичный хотспот. Смысл - защита от потенциально вредоносных действий провайдера. И туннель эту задачу отлично решает.

Поехавшая верстка и не читаемый контент со сломанным функционалом, или пара дней недоступности раз в 10 лет, я выбираю второе, я уверен что сайты лежали по проблемам, не связанным с сертификатом, значительно чаще и дольше.

Мой тоже и что?

Хм, Вы сообщением выше писали о том, что найти провайдера, не подменяющего трафик, является проблемой. Это Ваша цитата?

На другого провайдера с другой рекламой? Ведь не только рекламу суют, ещё и контент подменяют.

А теперь Вы соглашаетесь с тем, что нормальные провайдеры вполне доступны и Вы сами таким пользуетесь... Где логика?

Точно, нах Https вообще, каждому по openvpn туннелю, завтра зайду в Гугл им глаза раскрою, нах им Https, каждая домохозяйка умеет в опенвпн