есть ли смысл переводить сайт на https?

например вот этот. Какой в этом смысл вообще?

чтоб сосед-хакер не украл самое ценное, что может быть у ЛОРовца - пароль к его аккаунту

)))) этот сосед где должен подключаться? На стороне провайдера где то?

Этот сайт уже лет 5. Сейчас https стало бесплатно и при этом обеспечивает пользователю значительный прирост защищённости. Открою тебе секрет: каждый раз когда ты пользуешься публичным вайфаем, тебя прослушивают криминальные элементы. Я конечно понимаю,ч то у тебя нет денег и тебе совершенно нечего терять в жизни, но увы не все достигли такого уровня.

сосед может пассивно слушать открытый вайфай либо создать свою точку доступа и обманом подключить тебя к ней (назначить тот же SSID, что и у тебя). Либо это может быть сотрудник провайдера, да

ещё можно врезаться в витую пару в подъезде и тоже просматривать трафик

Потому что на многих сайтах есть авторизация. И у юзера могут спереть пароль, пока он будет сидеть через незапароленный макдаковский Wi-Fi. Просто приходишь в макдак, достаёшь ноутбук со спецсофтом (или даже смартфон, чтобы не привлекать внимание) и тыришь.

а нарен это кому то надо? И что в этом страшного, что рпади этого надо огород городить?

Потому что инъекции. В том числе JS-инъекции.
Кроме шифрования тут ничего не поможет, а шифрование тут поможет от всего.

время на шифрование и расшифровку

14.07.2016

Тебе на три порядка больше времени понадобится на движение импульса по зрительному нерву. Единственная задержка в https может быть при первом посещении в случае удостоверяющего центра в каком-нибудь китае. И задержка эта в районе пары секунд в худшем случае, а тормоза меньше четырёх секунд на отток траффика не влияют.

в связи с пакетом яровой

А хер её знает. Оно пока только на бумаге, процедуры ещё даже не начали разрабатывать, к следующему году посмотрим что будет. Но вангую что русеянам жопа будет вместо шифрования.

Ну выложи тут пароль свой, раз ничего страшного

Авторизация тут не столько важна, сколько важно исключение возможности инъекции. Ибо тебя могут не только прослушивать, но и могут подсунуть в траффик то, что нужно злоумышленнику.

При ранжировании Google отдаёт предпочтение сайтам, использующим протокол HTTPS.

Потому что инъекции. В том числе JS-инъекции

можно поподробней? злоумышленник внедряет код в трафик, который потом исполняется на стороне клиента? Ну, а дальше то что? Если важной инфы на данном домене нет, куда эта инекция может еще залезть?

А в установке HTTPS тоже ничего страшного нету, это просто и для пряморукого человека ненапряжно

Отсутствие доступа по https это по нынешнем временам как минимум неправильно - подвергаешь риску себя и своих пользователей, например открытая передача по публичной сети паролей, регистрационных данных, подмена/увод cookies, упрощение идентификации и т.п.

Словом безопасность никакая.

Но она и не нужна на большинстве сайтов. Что за цирк. Полтреда о какой то безопасности трет, бред сивой кабылы. Речь не идет о сайтаx, где есть конфиденциальная инфа, когда компрометация имеет сколько-нибудь значимые последствия

Она может помешать получить неважную инфу и просто нагадить.

Вот сделаешь ты http сайт про то что «линукс это круто», а злоумышленник возьмёт и подменит слово «круто» на «говно». Мелочь, а неприятно. А панацея от этой мелочи и от всех остальных проблем в мире стоит ноль денег и занимает всего час на настройку и пару килобайт траффика и пару тактов процессора.

В идеальном мире - никуда больше. А в реальном мире в браузерах и их плагинах есть куча уязвимостей. Инжектим эксплойт в код страницы (не обязательно JavaScript, можно вставить какой-нибудь Flash-объект или Java-апплет) и получаем доступ уже к чему угодно, к чему имеет доступ процесс браузера.

И да, большинство пользователей не заморачивается с запуском браузера из-под отдельного пользователя, настройкой seLinux и т. д. Так что выполнение эксплойта в браузере = компрометации всех данных на компьютере (а там уже могут быть и данные кредиток и что угодно).

При чём самое главное, что не обязательно иметь доступ к роутеру (хотя его тоже можно взломать, ибо многие производители выпускают весьма кривые прошивки, а админы не заморачиваются с настройками). Есть способы внести некоторые изменения даже будучи другим рядовым клиентом публичного Wi-Fi (разумеется, от этого есть варианты защиты, но это надо уметь правильно готовить роутер).

Пришёл в макдональс, достал смартфон со спецсофтом - все клиенты получили трояны. Пошёл в следующий макдональс. Конечно, потребуются некоторые вложения (покупка эксплойтов, разработка софта), но это вполне может окупиться.

Поднять ssl на сайте - дело минутное, бесплатное, не требующее включения головы. Мы поняли, что для тебя это слишком сложно и ты ищешь любые предлоги, чтобы не делать этого. Не делай, разрешаю. Какого ответа ты ждешь?

Я понимаю, конечно, когда есть финансовая информация, но сейчас я смотрю, вообще все сайты переходят, например вот этот. Какой в этом смысл вообще?

1. Уважение к пользователю. Например оператор не сможет сувать свои баннеры в HTTPS-трафик.

2. Общее устаревание протокола HTTP. В недалёком будущем заход на HTTP-сайт в популярных браузерах будет выводить разные предупреждения о том, что это небезопасно и тд.

3. HTTP/2 в популярных браузерах работает только через HTTPS, при этом он предоставляет много плюсов для пользователя.

Вот, википедия тоже на нем, там тоже вроде никто ничего не хранит.

Для википедии это особенно важно. Используя HTTPS ты сможешь читать статьи без опасения за свою свободу и жизнь. А если за тобой будет следить государство, оно, например, может посчитать нездоровым твоё увлечение понями и упрятать тебя в застенки.

И заодно еще вопрос. Я так понимаю, что сайты по https работают в целом медленнее, ведь нужно время на шифрование и расшифровку? Или это несущественно?

Время на шифрования и расшифровку несущественно. А использование HTTP/2 даст значительное ускорение загрузки сайтов, особенно с плохой связью.

ЗЫ да, и я так понимаю, в связи с пакетом яровой с шифрованием появляется дополнительный гемор, по поводу хранения и предоставления ключей?

Нет.

Ну можно вафлю поснифать (далеко не все производители и пользователи обновляют очень уязвимые роутеры), но т-с-с, никому не слова.

Могут просто использовать твои вычислительные мощности. Могут показывать рекламу, напоминать оплатить интернет. Или если ты в интернете через опсоса, то он уже всё приготовил, для оплаты без паролей и SMS.

https://linux.org.ru в chromium 16.0.912.63-1 (комментарий)

и да, посмотри на дату по этой ссылке.

Пользователю HTTP-сайта, может быть, и всё равно. Но владельцу и самому сайту как отличить, тот ли это самый пользователь вернулся, введя свои логин-пароль, или это какой-нибудь MitM, подсмотревший их где-то в открытом трафике? А если не отличать, тогда, например, ваш «Пакет» выполняться не будет, со всеми вытекающими.

Пришло время HTTP/2, а без https оно не будет работать. Остальное долго объяснять.

А чо,пароль для юзера твоего на ЛОРе уникальный? Больше нигде его не используешь? Молодец. А у 90% людей один и тот же пароль для всех аккаунтов. Узнал логин к ЛОРу,получил доступ к почте, а оттуда ко всем имеющимся аккам.

1. Если есть аккаунт с логином и паролем то естественно нужен https. Пусть даже на сайте ничего секретного нет, но все же. Зачем мне тратить время на перерегистрацию, если мой аакаунт вдруг угонят, из-за незащищенности логина и пароля?
2. Википедия. Была информация, что в некоторой стране блокировали «нежелательные» страницы из Википедии, когда она была на http. Информация должна быть свободной и доступной, https помогает этому.

Была информация, что в некоторой стране блокировали «нежелательные» страницы из Википедии, когда она была на http. Информация должна быть свободной и доступной, https помогает этому.

на https весь домен блокировали в некоторой стране

Но вангую что русеянам жопа будет вместо шифрования.

У тебя не здоровая фантазия

Естественно, если пошла грубая блокировка всего подряд, то ничего не попишешь. Но от быдло-адиинов-кулхацкеров, вводящих запреты на отдельные страницы или вообще подменяющих их, https спасет.

Сначала говорили, что не будут блокировать. Теперь вот ключи от интернета хотят и весь трафик.

Может я и сгущаю краски, но из-за последних событий вера в невозможность безумных планов всё слабее.

Let's Encrypt же. Да и вообще солидно свой серт иметь. :)

ни про каких админов речь не шла. Если https, нет технической возможности блокировать страницы с незаконным контентом, поэтому блокируют весь ресурс.

Что-то херню городишь, эта возможность у всех, абсолютно всех провайдеров и используется уже лет 5. Пиши жалобу на них.

Ну пока что ничего нового они не придумали. Сайты любят блокировать практически везде, в том числе и в США но в их случае они блокируют доступ к сайтам для других, например какого то хрена заблакировали SourceForge.net для крымчан, мета информацию хранят то же много где, чужие электронные письма вообще читают все кому не лень, на счет записи всего трафика не знаю но от хранения мета информации и чтения писем юридически не сильно отличается.

Что-то херню городишь, эта возможность у всех, абсолютно всех провайдеров и используется уже лет 5. Пиши жалобу на них.

То есть уже 5 лет все провайдеры занимаются подменой сертификатов и дешифруют https трафик?

Именно. Но правда у нас не Китай и пропихнуть в доверенные MITM сертификат пока не удалось. Так что если не соглашаться на левый сертификат, просто не пустит на сайт по https.

*пристально посмотрел на Яндекс-Браузер.

Во первых я ни разу не видел что бы мне предлагали левый сертификат, во вторых я знаком с парой админов в инет провайдерах и у них ничего подобного нету. Есть факты подтверждающие твои слова?

знаком с парой админов

о да, это аргумент. Склоняюсь перед тобой и твоими связями. Ещё скажи что в DNS-трафик не вмешиваются. Какие тебе нужны подтверждения? Чебурашка уже давно на дворе. Зайди на https://www.sankakucomplex.com/

Хотя как погляжу сейчас и правда блокируют https, но это вовсе не потому что не могут в MITM. Может быть несколько затратно это просто.

Ну вариант что https временно не работает. У меня нет возможности проверить. Сейчас больше примеров не скажу.

Ещё скажи что в DNS-трафик не вмешиваются

DNS не шифруется, зачем ты его сюда приплел.

Зайди на https://www.sankakucomplex.com/

Ничего не блокирует и не подменяет сертификат.

но это вовсе не потому что не могут в MITM

Расскажи как это делать не подменяя абоненту браузер и не заставляя его установить свой сертификат.

не подменяя абоненту браузер и не заставляя его установить свой сертифика

как ты это представляешь?

Ничего не блокирует и не подменяет сертификат

ты шифруешь трафик что ли? Из какой ты страны? Напиши жалобу на провайдера.

DNS не шифруется

затем, что провайдер вмешивается в совершенно левый трафик, что он там делает со своим личным DNS меня не беспокоит.

проверь легитимность сертификата, который тебе отдают, где-то вот тут https://www.grc.com/fingerprints.htm

как ты это представляешь?

Никак значит. Тоже мне MITM - «позвольте вас прослушать, вот вам инструкция как нам в этом помочь»

ты шифруешь трафик что ли? Из какой ты страны? Напиши жалобу на провайдера.

В реестре http-страницы, https-страниц там нет, зачем их банить.

меня не беспокоит

Тогда зачем ты упомянул DNS, просто фигура речи?

Никак значит.

Хотя нет, CA могут сотрудничать с спецслужбами.

https-страниц там нет, зачем их банить

ой ли? Что это ещё за фантазии?

позвольте вас прослушать

соглашаешься и вот тебе пожалуйста https, но мы будем смотреть куда ты ходишь и что пишешь. Осталось незаметно доставить левую херню в доверенные сертификаты пользователю или заиметь сертификат доверенного удостоверяющего центра (привет леново, делл, и вообще Китай — тут вообще никаких затрат).

Я не зря упомянул Китай, крупные тамошние центры в этом замечены.

https://reestr.rublacklist.net/search/?q=www.sankakucomplex.com

Что в список внесено, то и банят.

Это странный и не полный список блокируемых страниц. Ну и по твоей же ссылке:

104.25.220.15 | 104.25.221.15 | 104.27.205.93 | 104.27.206.93 | 141.101.120.74 | 141.101.120.75 | 162.159.241.235 | 162.159.242.235 | 190.93.252.29 | 190.93.253.29
Доменов, заблокированных за компанию:
3

https://raw.githubusercontent.com/zapret-info/z-i/master/dump.csv

вот тебе нормальный список, как видишь блокируют не только http

есть ли смысл переводить сайт на https?

да, если тебя волнует приватность для твоих пользователей