Почему некоторые против HTTPS Everywhere?

Это Ваша цитата

Нет

Вы сами таким пользуетесь.

Я пользуюсь самым дешовым, из за Https он подменить ничего не может, если мог наверное менял бы ониж не пишут об этом в рекламных буклетах.

Что ценного может быть на сайте, где автор не может обновить сертификат получив с 10 уведомлений о его просрочке? Завтра он забудет про хостинг или доменное имя, уж лучше пользоваться услугами, где следят за ресурсом, чем каким-то прикроватным отстойником.

Я могу лишь порадоваться за вас тому, что все ресурсы, которые вы посещаете, перешли на HTTPS. И ещё посочувствовать вашему узкому кругозору.

Не все люди, имеющие сайты, являются первоклассными IT-специалистами и системными администраторами. Далеко не все из них могут позволить себе нанять таких специалистов. Тем не менее их контент, который они генерируют, и их ресурсы до сих пор обладают ценностью для других людей. Для людей, которым в первую очередь важна информация, а не технические аспекты вроде HTTP или HTTPS.

А если их нет, то переехать? А если другие дороже, переплачивать?

Почему же? Вариантов полно. В том числе и предлагаемый Вами https. Хотя я бы проблему с провайдером решал туннелем - в конце концов, http/https - далеко не единственный протокол в сети. Я же не утверждаю, что эта технология в принципе не нужна. Просто есть сценарии пользования Сетью, где она создает лишние проблемы. Поэтому навязывание ее в обязательном порядке всем, IMHO, недопустимо.

Да и ради чего?

Я выше уже написал, ради чего. Чтобы избежать лишней точки отказа. Не знаю, как Вы, а я, увы, неолнократно наступал на грабли с просроченными сертификатами...

Ради вашего желания раскрывать всем ваш трафик на чтение и запись?

Вот этот момент мне непонятен. Читаю я, скажем, статью с Wikipedia (я в курсе, что Wikipedia работает по https, просто для примера написал), допустим, провайдер читает мой трафик. И зачем? Я же не секретные материалы изучаю, что мешает ему, если интересно, получить эту же информацию из первоисточника? Какой смысл возиться с перехватом трафика?

Даже не думайте их разделять.

Это почему? Я тоже видел внедрения, а вот внедрение именно вредоносного кода - ни разу. Более того, в ряде случаев такие внедрения могут быть даже полезны, как по ссылке выше, например, когда провайдер предупреждает и приближении к лимиту трафика...

А вам мало?

Честно говоря, да, мало. Поймите меня правильно, я не против https. Я за страховку в виде http, если что-то пошло не так. Потому что лучше я получу информацию с внедрением провайдерского кода, чем просто останусь ни с чем при проблемах с сертификатами...

Написано же, водафон пережимал контент, удовольствие от пережатого порно уже не то, детали пропадают.

Не дочитал, прошу прощения. В порно не специалист, возможно, Вы правы.

Но ведь предлагаемая Вами альтернатива - вообще отсутствие любой, даже пережатой картинки (при проблемах с сертификатами). Уверены, что полное отсутствие порно, чем пережатое порно? А если сертификаты в норме, то что мешало пользователям использовать https для получения исходных картинок?

Я могу лишь порадоваться за вас тому, что все ресурсы, которые вы посещаете, перешли на HTTPS

Все ресурсы которые не сделали этого потеряли посетителя.

И ещё посочувствовать вашему узкому кругозору.

всё самое лучшее только на http теперь?

Не все люди, имеющие сайты, являются первоклассными IT-специалистами и системными администраторами.

для таких людей давно есть платформы, где можно публиковать контент и не думать о технической составляющей, вы удивитесь но много ценного контента именно там, где спецы тратят время на свой уникальный контент, а не админство прикроватного дырявого сервера. Если у этих прикроватных сайтов нет нормального SSL, то 100% нет бекапов, и контент пропадёт рано или поздно всё равно, зачем связываться с такими, если есть 100500 альтернатив не хуже.

Но ведь предлагаемая Вами альтернатива - вообще отсутствие любой, даже пережатой картинки (при проблемах с сертификатами). Уверены, что полное отсутствие порно

Я уже писал, проблема с сертификатом это временная проблема, такая же как с упавшим сервером после обновления, а вот с пережатием постоянная, меня же она не затронула, я не использую порно через http, так как альтернатив с https полно.

В необходимости раскрывать свою личность и собеседнику

Хм, и каким же, интересно, образом собеседник сможет установить Вашу личность? Взломав базу данных сотового оператора?

и прослушивающему.

Вообще говоря, факт прослушки надо доказывать ;). Вы же специалист, неужели не понимаете, что тотальная прослушка всех и каждого просто технически невозможна - слушателей не хватит?

Естественно позорно.

Т. е. телефоном Вы в принципе не пользуетесь, я правильно Вас понял? Кстати, а просто сам факт существования паспорта, водительских прав и прочих удостоверений личности не позорен?

В возможности не раскрывать свою личность собеседнику и прослушивающему.

Не уловил, где же разница. И там, и там (по телефону и на форуме) возможно анонимное общение. В обоих случаях есть техническая возможность для компетентных органов установить реальную личность собеседников. При необходимости и там, и там можно защититься от подобной идентификации. В чем же различия?

Я за страховку в виде http, если что-то пошло не так. Потому что лучше я получу информацию с внедрением провайдерского кода, чем просто останусь ни с чем при проблемах с сертификатами...

А при проблемах с сетью/сервером вам тоже каждый сайт зеркало должен держать, желательно на другом континенте и поддерживаемый другой группой лиц. ничего подождёте несколько дней пока админ выйдет из запоя и обновит сертификат, или google cache воспользуетесь.

Нет.

Что значит, нет? Просроченный сертификат - прекрасная иллюстрация реальности данной точки отказа.

Это не проблема (с точки зрения безопасности).

Зато очень серьезная проблема с точки зрения пользователя. Я по-прежнему не понимаю, о какой безопасности может идти речь на информационных сайтах вроде той же Wikipedia, например (речь исключительно про чтение, не про редактирование или создание контента)? Зачем читать мой трафик, когда первоисточник доступен всем желающим?

Да, но это неприемлимо.

Зависит от ситуации. Если мы говорим о вводе пользователем какой-либо конфиденциальной информации, то Вы правы, вопросов нет. А если, например, надо просто прогноз погоды посмотреть, о какой безопасности может идти речь?

А если, например, надо просто прогноз погоды посмотреть, о какой безопасности может идти речь?

чтоб вместо прогноза погоды не показали чёрного властелина, кажется уже не раз объяснили.

всё самое лучшее только на http теперь?

Множество «лучшего» HTTPS+HTTP гораздо больше множества «лучшего» HTTPS.

для таких людей давно есть платформы, где можно публиковать контент и не думать о технической составляющей бла-бла-бла

А ещё у таких платформ есть куча отвратнейшей рекламы, невозможность сделать дизайн «под себя» и множество других ограничений.

Пустой спор. Я понял, что для вас «Https Everywhere» и прочая хипстота гораздо важнее самой информации. Вот только не нужно переносить этот пердолинг или дроч (по-другому тут и не скажешь), на других людей, которым своевременный доступ к общедоступной и не нуждающейся в шифровании информации гораздо важней каких-то там технических аспектов и прочей возни.

Поехавшая верстка и не читаемый контент со сломанным функционалом, или пара дней недоступности раз в 10 лет

Хм, а почему вообще должен стоять вопрос выбора? Какой вред от работы сайта по лдвум протоколам одновременно? Пока все хорошо - пользуемся https. Если возникла проблема с сертификатами - получаем информацию по http, пока проблему не решат...

IMHO, это наиболее адекватный на сегодняшний день подход...

Кстати, вот Вам еще реальная проблема с https, с которой я практически ежедневно сталкиваюсь. У меня старый телефон на втором андроиде, который уже не обновить. Но он работает. Но корневые сертификаты во встроенном браузере безнадежно устарели, поэтому сайты по https он в принципе не открывает, приходится Opera Mini использовать. В принципе, не проблема, пока не сталкиваемся с хотспотами, где идет перенаправление http-запроса на сайт авторизации в сети. И тут Opera уже не поможет :(.

Точно, нах Https вообще, каждому по openvpn туннелю

Вы как-то странно мыслите. Бинарно, по приципу «все или ничего». Если уж https - пихаем его везде, если не https, значит вообще от него отказываемся... Каждому инструменту свое место.

Мысль, которую я пытаюсь до Вас донести, очень проста - бывают ситуации, когда смысла в https нет - например, доверенный провайдер, не занимающийся подменой трафика, и статичный сайт. Я не собираюсь с Вами обсуждать, насколько часто встречаются такие ситуации и для какого процента пользователе они актуальны. Важен сам факт их наличия. И именно из-за их существования нельзя в принудительном порядке всех переводить на https.

И еще - Вас, как приверженца https, никак не ущемляет сам факт возможности доступа к конкретному сайту не только по https, но и по http. Хотите шифроваться - шифруйтесь, никто Вам не мешает. Но не надо лишать других возможности пользоваться сайтом без шифрования, если по каким-то причинам им это нужно...

Хм, а почему вообще должен стоять вопрос выбора? Какой вред от работы сайта по лдвум протоколам одновременно?

а где я это запрещаю?

IMHO, это наиболее адекватный на сегодняшний день подход...

адекватный подход - это настроить https нормально

У меня старый телефон на втором андроиде, который уже не обновить. Но он работает. Но корневые сертификаты во встроенном браузере безнадежно устарели, поэтому сайты по https он в принципе не открывает

у меня старая моторолла, в ней есть только WAP, требую чтоб все сайты его поддерживали!

Что значит, нет?

Шифрование повышает надёжность канала передачи данных. Данные либо передаются правильно, либо не передаются вовсе. И это хорошо.

Я по-прежнему не понимаю, о какой безопасности может идти речь

Это печально.

Нет

Как нет? Вот ссылка на Ваше сообщение с данной фразой.

если мог наверное менял бы

Далеко не факт, на этом рынке довольно жесткая конкуренция. Да и смысла большого в такой подмене нет...

Чёрный властелин это ладно (хотя и неприятно). Де факто, браузер — кривая и переусложнённая виртуальная машина безконтрольно исполняющая программы из интернетов. Переодически в них случаются дыры и скрипты могут сбегать из песочницы. Так что исходный посыл может быть записан как «Я позволяю незнакомым людям удалённо запускать разные программы на моём компьютере. Что может пойти не так?».

Но не надо лишать других возможности пользоваться сайтом без шифрования, если по каким-то причинам им это нужно...

Почему вы претензии мне высказываете, высказывайте их владельцам любимых вами бложиков, пусть настраивают вашу хотелку. Я свою хотелку настроил, поставили HTTPS Everywhere и у меня нет проблем, а вы всё ноете, никто ведь вас не заставляет на https и http2 переходить, можете и дальше продолжать пользоваться неподдерживаемыми сайтами с криворукими админами, нас то зачем на них тащить? А если ваш любимый бложик перешёл на https, то видимо я, как посетитель, ему дороже вас.

а где я это запрещаю?

Формально, не запрещаете, а поддерживаете подобные запреты:

Поехавшая верстка и не читаемый контент со сломанным функционалом, или пара дней недоступности раз в 10 лет, я выбираю второе

То есть вы ратуете за полностью дохлый HTTPS-сайт с протухшим сертификатом, вместо фоллбэка на полнофункциональную HTTP-версию с какой-то там около мнимой вероятностью поехавшей вёрстки.

Вы уже наверное третий раз сами себе же противоречите.

Все ресурсы которые не сделали этого потеряли посетителя.

И что? В Сети полно пользовательских страничек, где авторам совершенно все равно, сколько у них будет посетителей - они выкладывают там контент для себя или для своих друзей. Если Вам данный контент не нужен - замечательно.

Но почему Вы настаиваете на запрете для других пользователей получать к нему доступ?

для таких людей давно есть платформы, где можно публиковать контент и не думать о технической составляющей, вы удивитесь но много ценного контента именно там, где спецы тратят время на свой уникальный контент, а не админство прикроватного дырявого сервера.

Контент мог быть там выложен много лет назад, когда никаких платформ еще не было... Человек мог привыкнуть к своему серверу, ему может быть просто лень мигрировать, да тысячи причин могут быть...

Если у этих прикроватных сайтов нет нормального SSL, то 100% нет бекапов

Странный вывод... Не понимаю, какая связь между бекапами и SSL...

и контент пропадёт рано или поздно всё равно

Может, и так. Но пока-то он есть. Зачем же запрещать людям им пользоваться?

Кстати, именно такие «прикроватные» странички и являются уникальными в Сети. Не имеющими «100500 альтернатив»...

Как нет? Вот ссылка на Ваше сообщение с данной фразой.

вы понятие цитаты точно знаете?

Далеко не факт, на этом рынке довольно жесткая конкуренция. Да и смысла большого в такой подмене нет...

Найдите провайдера, который в UK не занимается подменой DNS например. такие технические детали большинству не интересны, а меньшинство знает, как обойти, вы думаете у владельца сайта есть желание разбираться с 100500+ провайдерами c кривым кодом «улучшим жизнь пользователю», или проще получить тунель посредством https.

Я работаю с универами, вы не представляете сколько ипотни только с их кривыми файрволами и прокси, еслиб не https давно бы повесился.

Я уже писал, проблема с сертификатом это временная проблема

Конечно, временная. Но представьте, что у Вас завтра дедлайн отправки заявки на грант/отчета/статьи. А сегодня сайт PubMed не работает. Сильно Вас утешит тот факт. что через пару дней проблема будет решена?

История, кстати, не вымышленная, а вполне реальная. Спасло меня тогда только то, что сайт http://www.pubmed.com доступен еще и по адресу http://www.ncbi.nlm.nih.gov/pubmed - там сертификат нормальным оказался...

так как альтернатив с https полно.

Это хорошо, когда полно альтернатив. Но часто контент бывает уникалным...

они выкладывают там контент для себя или для своих друзей.

вот уже и на рейтинг в гугле всё равно стало.

Но почему Вы настаиваете на запрете для других пользователей получать к нему доступ?

а где я запретил, получайте. как https everywhere на моём компе запрещает доступ вам до этих сайтов?

Странный вывод... Не понимаю, какая связь между бекапами и SSL...

так прямая зависимость от кривизны рук.

Может, и так. Но пока-то он есть. Зачем же запрещать людям им пользоваться?

кто вам запрещает? оно работает? на http? посещайте, я найду альтернативу, не переживайте так за меня.

А при проблемах с сетью/сервером вам тоже каждый сайт зеркало должен держать, желательно на другом континенте и поддерживаемый другой группой лиц

Мне, как пользователю, вообще никто ничего не должен, думаю, Вы прекрасно это понимаете. Вопрос в другом - как лично Вас, как сторонника запрета http, ущемляет существование данного протокола в качестве резерва? Не хотите - не пользуйтесь, https никто не отменяет. Но зачем другим-то запрещать?

или google cache воспользуетесь.

Далеко не всегда это возможно :(.

Но представьте, что у Вас завтра дедлайн отправки заявки на грант/отчета/статьи. А сегодня сайт PubMed не работает. Сильно Вас утешит тот факт. что через пару дней проблема будет решена?

Если вы проебланили все сроки, то это проблемы не pubmed, так же доступа может не оказаться по 100500 других причин.

Это хорошо, когда полно альтернатив. Но часто контент бывает уникалным...

Вы всё за меня переживаете? я всё найду что мне надо, не переживайте.

Не все люди, имеющие сайты, являются первоклассными IT-специалистами и системными администраторами. Далеко не все из них могут позволить себе нанять таких специалистов. Тем не менее их контент, который они генерируют, и их ресурсы до сих пор обладают ценностью для других людей. Для людей, которым в первую очередь важна информация, а не технические аспекты вроде HTTP или HTTPS.

Я думаю, ради всеобщего блага, каждый второй, если не первый, админ согласится забесплатно настроить HTTPS на сервере, на котором крутится ресурс, приносящий людям пользу.

P.S. Это если владелец ресурса вдруг не удосужится найти галочку «поставить SSL-сертификат», которые нынче стали пихать повсюду и для VPS, а не только шаред-хостингов.

чтоб вместо прогноза погоды не показали чёрного властелина, кажется уже не раз объяснили.

Мы обсуждаем реальные вещи. Вам часто показывали черного властелина? Вас спас от него только полный переход на https? Я рад за Вас, но другие люди не сталкиваются с такой проблемой. Да, потенциально провайдер может мне устроить такую гадость. Но потенциально у меня и аккумулятор в ноуте взорваться может. И что, это повод отказаться от использования ноута?

Вопрос в другом - как лично Вас, как сторонника запрета http, ущемляет существование данного протокола в качестве резерва?

Запрет???? где я сказал про запрет, владелец ресурса может делать, что угодно его право, даже быть http-only, я просто такие ресурсы не буду посещать, у меня ещё 100500 критериев, по которым я ориентируюсь. если ресурс поддерживает оба протокола не проблема, есть https everywhere который всегда будет использовать https версию для меня. Это вы тут устроили истерию по поводу перехода сайтов на https и хотите его запретить.

а где я это запрещаю?

Вы же выступаете за запрет http и повсеместный переход на https.

Или я неправильно Вас понял?

у меня старая моторолла, в ней есть только WAP, требую чтоб все сайты его поддерживали!

Не совсем верная аналогия. http сайты уже поддерживают, Вы же призываете вырезать эту поддержку (если я Вас правильно понял).

Или я неправильно Вас понял?

цитату в студию

Не совсем верная аналогия. http сайты уже поддерживают, Вы же призываете вырезать эту поддержку (если я Вас правильно понял).

мой сайт не поддерживает, вырезать нечего.

Данные либо передаются правильно, либо не передаются вовсе.

Вообще говоря, это особенность протокола tcp. К шифрованию не имеет никакого отношения.

И это хорошо.

Далеко не всегда. Иногда лучше получить испорченную, но читаемую картинку, чем не получить ее вовсе. Вспомните популярность факсов, например.

Но повторю, это не имеет никакого отношения к теме дискуссии - целостность передаваемой информации поддерживается протоколом tcp независимо от шифрования...

Так что исходный посыл может быть записан как «Я позволяю незнакомым людям удалённо запускать разные программы на моём компьютере. Что может пойти не так?».

Добавлю к этому, что под «незнакомыми людьми» Вы понимаете технических специалистов провайдера. С которым у меня, как пользователя, заключен договор о предоставлении услуг определенного качества. И никто из них, будучи в здравом уме, не будет совершать уголовное преступление, запусая на моей машине вредоносный код. По крайней мере, я ни разу не слышал ни о чем подобном. Может, Вы слышали?

никто ведь вас не заставляет на https и http2 переходить

В таком случае, извините, значит, я неправильно Вас понял. Думал, что Вы призываете к повсеместному запрету http и принудительному переходу на https.

Мы обсуждаем реальные вещи. Вам часто показывали черного властелина?

у меня везде https!!!! мне не показывает!!!

Я рад за Вас, но другие люди не сталкиваются с такой проблемой.

говорите только за себя, а не за других https://stackoverflow.com/questions/4113268/stop-mobile-network-proxy-from-in...

И что, это повод отказаться от использования ноута?

ну скажем так, вы пользуетесь ноутом с батарей без термозащиты, в надежде что не рванёт, а я в моём у батареи есть термодатчик, да сложнее, да может начать врать и вырубить даже хорошую батарею, зато мои яйца спокойны, если ноут лежит на коленях.

что Вы призываете к повсеместному запрету http и принудительному переходу на https

Я призываю. Не к запрету, но к поголовному переходу.

И никто из них, будучи в здравом уме, не будет совершать уголовное преступление, запусая на моей машине вредоносный код.

Это прикол такой, да? Крупным игрокам и людям с баблом чхать на УК. В погоне за рубкой бабла такие мелочи не играют погоды. Отмажутся. А, если что, то можно админа или программера под суд таки отдать - их же дофига и всегда можно новых нанять.

В таком случае, извините, значит, я неправильно Вас понял. Думал, что Вы призываете к повсеместному запрету http и принудительному переходу на https.

даже в заголовке указано «Почему некоторые против HTTPS Everywhere?», мы тут призываем к повсеместному переходу на HTTPS, а запрещать что-то не в наших правилах.

С которым у меня, как пользователя, заключен договор о предоставлении услуг определенного качества.

Может быть не совсем в тему, но не слышали ли вы о том, возместил ли кому-нибудь ущерб Роскомнадзор, после того, как заблокировал 18 (если я не ошибаюсь) миллионов ip адресов, на которых чего только небыло?

Может быть не совсем в тему, но не слышали ли вы о том, возместил ли кому-нибудь ущерб Роскомнадзор, после того, как заблокировал 18 (если я не ошибаюсь) миллионов ip адресов, на которых чего только небыло?

Я не слежу за этой информацией, но вроде как говились массовые иски в суды. Не думаю, что процессы уже завершились. Так что не исключено, что кому-то и возместит...

Так что не исключено, что кому-то и возместит...

Мы не в параллельных Вселенных случайно? А то мне что-то смущает...

Гугль на запрос «роскомнадзор возместил» ничего по теме не выдаёт, а вот на запрос «роскомнадзор возбудил» (дело) выдаёт кучу ссылок по теме.

Я не говорил, что были реальные возмещения. Но вроде как процессы идут в разных инстанциях... Иски поданы в том числе ив ЕСПЧ. Так что шансы есть...

Ты из паралельной вселенной, где прогресс обошёл вас стороной? Давно я говен без S не видел.

Но вроде как процессы идут в разных инстанциях... Иски поданы в том числе ив ЕСПЧ. Так что шансы есть...

С колен встаём уже который десяток лет. Но шансы есть. Извините за политоту.

Сама по себе идея такова - нет нужды шифровать все подряд.

Многие крупные провайдеры уже встраивают скрипты со своей рекламой и разной телеметрией в нешифрованный трафик. Нужда шифровать всё подряд уже давно есть на практике.

Ты не повериш, но в 2019 году почти все репы пакетов Linux дистрибутивов идут через HTTP

Это частный случай: проверка целостности пакетов во всех нормальных дистрибутивах происходит на уровне менеджера пакетов (цифровые подписи), так что делать это ещё раз на уровне транспорта смысла нет. А шифрование пакетов редко когда имеет смысл.

Ты из паралельной вселенной, где прогресс обошёл вас стороной? Давно я говен без S не видел.

Только что заходил на сайт магазина dns. HTTPS Everywhere 27 сторонних доменов без S блокнул.

Ты про dns-shop.ru? Там из нужного только *.dns-shop.ru . Остальное - спайварь и рекламный мусор, кому до него есть дело?

А вот найти сайт, что бы в адресной строке у тебя было http - это ещё постараться надо.

Хм, и каким же, интересно, образом собеседник сможет установить Вашу личность? Взломав базу данных сотового оператора?

Сотни способов, от давно утёкших баз до поиска номера в свободных источниках.

Вообще говоря, факт прослушки надо доказывать ;). Вы же специалист, неужели не понимаете, что тотальная прослушка всех и каждого просто технически невозможна - слушателей не хватит?

Факт прослушки чётко прописан в законах. Тотальная прослушка технически элементарна. Слушателя достаточно ровно одного.

Поймите меня правильно, я не против https. Я за страховку в виде http, если что-то пошло не так.

Вы не понимаете простой вещи - не может быть HTTPS пока есть эта «страховка». Пока существует HTTP есть не просто возможность, а широкомасштабное практическое применение как прямых атак по перехвату и подмене трафика, так и атак на HTTPS, в том числе административными средствами