LINUX.ORG.RU

Mozilla объявляет устаревшим незащищенный протокол HTTP

 , , ,


4

3

30 апреля 2015 года Ричард Барнс, лидер безопасности проекта Firefox, сделал в блоге Mozilla следующее заявление.

«Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.»

Широко распространено мнение, что HTTPS является шагом вперед для Интернета. В последние месяцы, были заявления от IETF, IAB (также других IAB), W3C и правительства США, призывающих к глобальному использованию шифрования в Интернет-приложенях, которые в случае WWW означает использование протокола HTTPS.

После плодотворного обсуждения в нашем списке рассылки сообщества, Mozilla прикладывает новые усилия в области развития безопасного Интернета, и начинает удалять возможности использования незащищенной сети. Есть два основных элементов этого плана:

  • Установка даты, после которой все новые функции будут доступны только для защищенных веб-сайтов.
  • Постепенно поэтапного отказа доступа к функциям браузера для незащищенных сайтов, особенно функций, которые создают риски для безопасности пользователей и частной жизни.

ЧАВО по теме, в формате PDF (бесплатные, самоподписанные сертификаты и т.п.)

>>> Подробности (на английском языке)

★★★★★

Проверено: maxcom ()
Последнее исправление: Infra_HDC (всего исправлений: 3)

Пытаюсь себе представить HTTP Binding через HTTPS... Норкомане!

DeadEye ★★★★★
()

Гугл отключает джаву, фирефокс отключает дополнения, теперь запрещает HTTP, доколе мы будем терпеть произвол производителей ПО???

Есть задачи, в которых шифрование не нужно и даже опасно.

zenden
()
Последнее исправление: zenden (всего исправлений: 1)

По-моему это перебор. Иногда https - лишнее. Когда речь идёт о локальной доверенной сети, к примеру.

BattleCoder ★★★★★
()
Ответ на: комментарий от BattleCoder

Иногда https - лишнее. Когда речь идёт о локальной доверенной сети, к примеру.

https есть слишком много просит? P90 не справляется с нагрузкой?

anonymous
()

блаблабла, даты где, номер версии лисы где?

backburner
()

правительства США, призывающих к глобальному использованию шифрования

в чем подвох? святые люди, добра хотят учинить, не иначе

I-Love-Microsoft ★★★★★
()

Кто мне объяснит, зачем https какому-нибудь башоргу? Почему его пытаются пропихнуть всюду, а не только там, где это нужно?

alozovskoy ★★★★★
()
Ответ на: комментарий от BattleCoder

надеюсь на локалхост и на роутер под тумбочкой залезть пользователи по http всё же смогут...

I-Love-Microsoft ★★★★★
()

Когда будут массово раздавать бесплатные сертификаты без всяких ограничений - тогда пускай и вводят подобное. А так не нужно.

Ghostwolf ★★★★★
()

отвратительные новости. https нужен достаточно редко.

anonymous
()

давно пользуюсь HTTP Nowhere. очень рад такому решению. хорошо было бы осуществить неотключаемый запрет передачи и хранения незашифрованных данных на уровне ядра, всех сколько-нибудь распространенных ядер, а также ФС. жаль, что это неосуществимо: у зашифрованных данных не всегда есть сигнатура.

Lincor
()
Ответ на: комментарий от PolarFox

Она нужна не только бесплатная, но и автоматическая, чтобы админы-криворучки могли просто нажать кнопку «Сделать https». Что-то такое mozilla уже пилит.

backburner
()
Ответ на: комментарий от I-Love-Microsoft

правительства США, призывающих к глобальному использованию шифрования

в чем подвох? святые люди, добра хотят учинить, не иначе

Если не можешь запретить, то надо возглавить и испортить, а то напридумывают люди сто тысяч _своих_ методов шифрования, расшифровывай их потом.

Napilnik ★★★★★
()

Сегодня мы объявляем о нашем намерении поэтапного отказа от незащищенного протокола HTTP.

Ну и пусть отказываются. Я не так тороплюсь, например.

sT331h0rs3 ★★★★★
()

Как решать задачу для сайтов-локалхостов? Сертификат покупать или на халяву можно взять?

int13h ★★★★★
()

В целях обеспечения доступа пользователей к веб-сайтам, не работающим по протоколу https, провайдерами будут установлены шифрующие прокси.
Инструкции по установке корневых сертификатов будут разосланы по почте.

thesis ★★★★★
()

Mozilla объявляет устаревшим незащищенный протокол HTTP

ЛОР объявляет устаревшим вообще всё.

devl547 ★★★★★
()

Mozilla rip?

anonymous
()

Все это здорово, но во первых, https требует гораздо больше внимания и поддержки. Дата на устройствах, сертификаты и прочее.

А во вторых, все это имеет смысл при переходе на ipv6. Иначе это одна большая симуляция бурной деятельности.

AVL2 ★★★★★
()

Ну так кто там ратовал за настройку роутеров через вебморду? Через пару лет захочешь зайти в настройки, введешь логин/пароль, а фуррифокс тебя и не пустит, ибо не https

cvs-255 ★★★★★
()
Ответ на: комментарий от anonymous

Он просит сертификатов, как минимум. Если в сетке нет доменных имен, какие могут быть сертификаты?

cvs-255 ★★★★★
()

на словах " и правительства США" поперхнулся и почуял неладное

nerfur ★★★
()

Лучше бы html5-плеер на тытрубе починили, ироды. Вообще ничего не воспроизводится. Не было печали, апдейтов накачали... Отправил этот недобраузер в топку.

anonymous
()
Ответ на: комментарий от Ghostwolf

Зачем это мне сертификат от мозиллы? Может я больший параноик чем они, и не доверяю им выдавать мне сертификат.

cvs-255 ★★★★★
()
Ответ на: комментарий от tazhate

Страшно представить)

Оно и понятно, что Сеть плотнее и плотнее входит в нашу жизнь, но как же обратная совместимость)

Twissel ★★★★★
()
Ответ на: комментарий от int13h

Бесплатное != свободное. Может я хочу сертификат на 100 лет для домена и возможностью подписывать им всех своих поддоменов. И бесплатно, да.

cvs-255 ★★★★★
()
Ответ на: комментарий от cvs-255

Зачем это мне сертификат от мозиллы?

Я как бы непременно от Мозиллы сертификатов и не требовал. Просто сейчас бесплатно есть только startssl с чрезвычайно скудным функционалом и возможностями. Этого мало.

Ghostwolf ★★★★★
()
Ответ на: комментарий от neon1ks

И браузеры будут на него ругаться ярко-красным.

Небезопасный http: не ругается.

Вроде бы безопасный (если тебе не подбросили левые корневые серты или правительство не договорилось с выписывающим сертификаты центром): не ругается.

Самоподписанный серт: страшная ругань красными буквами на красном фоне.

PolarFox ★★★★★
()
Ответ на: комментарий от tazhate

Пилить для легаси систем прокси, делающий https из http.

mky ★★★★★
()

Я этот дурдом уже постил. Теперь они создают вид бурной деятельности.

Не понятно зачем. Все решил гугл полгода назад.

mandala ★★★★★
()
Ответ на: комментарий от zenden

Есть задачи, в которых шифрование не нужно и даже опасно.

Нет таких задач в браузере.

anonymous
()
Ответ на: комментарий от Ghostwolf

Я хочу сертификат от себя, но чтобы его признавали и все остальные. Чтоб было не менее удобно, чем http. <dk- mode>Думаешь простого админа локалхост-сайта с owncloud заботят все эти ваши шибко умные нововведения? У него годами все просто работало по http без необходимости что-то там выпрашивать/покупать. Почему раньше просто ставишь апач и все ок, а теперь еще у кого-то соизволения надо просить?</dk- mode>

cvs-255 ★★★★★
()
Последнее исправление: cvs-255 (всего исправлений: 1)

Теперь тормозилла будет тормозить еще тормознее? На нетбуках 5-летней давности оно и так еле шевелицо.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.