URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 105166
[ Назад ]

Исходное сообщение
"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."

Отправлено opennews , 23-Окт-15 11:10 
В ночных сборках (http://nightly.mozilla.org/) Firefox, которые лягут в основу выпуска Firefox 44, предприняты (https://twitter.com/rlbarnes/status/656554266744586240) первые шаги о переводу работе с сайтами по протоколу HTTP в разряд небезопасных операций. В частности, начиная с  Firefox 44 страницы, содержащие формы ввода паролей ("input type=password"), будут помечаться как небезопасные, в случае обращения к ним по протоколу HTTP.

<center><img src="https://www.opennet.me/opennews/pics_base/0_1445587635.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>

URL: https://twitter.com/rlbarnes/status/656554266744586240
Новость: http://www.opennet.me/opennews/art.shtml?num=43189


Содержание

Сообщения в этом обсуждении
"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено tensor , 23-Окт-15 11:10 
Владельцы фишинговых сайтов в срочном порядке отправляются на letsencrypt.org.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено pavlinux , 25-Окт-15 02:58 
Они уже у китайцев затарились.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 11:10 
Давно пора.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Michael Shigorin , 23-Окт-15 14:22 
> Давно пора.

Смысл?  Как совершенно справедливо отметили, те, для кого мошенничество -- "ничего личного, только бизнес", озадачатся гораздо оперативней хозяев тучи ещё полезных страничек, порой даже с гостевушками для обратной связи (изредка даже незаспамленными).


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 23-Окт-15 15:32 
Ну так иначе эти хозяева гостевушек вообще никогда не почешутся.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено rob pike , 23-Окт-15 16:31 
Не почешутся они что так что эдак.
Увеличится только скорость, с которой полезный контент (а не clickbait) переезжает в wayback machine.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 23-Окт-15 19:07 
Если они вообще туда не заходят - полезный контент останется всё там же, где и был. Если заходят - скорее вырубят гостевухи или что там. Чтобы прибили сайт из-за этого - маловероятно.

Впрочем, я вообще не сильно уверен, что хрень, которую погасили из-за халобна гостевую, может быть полезным контентом.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Хомячелло , 24-Окт-15 09:50 
Им и не надо чесаться, т к они не собирают персональных данных, не требуют оставлять откровения о своей интимной жизни и т д. Посмотрите на этот сайт.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Хомячелло , 24-Окт-15 09:52 
> Им и не надо чесаться, т к они не собирают персональных данных,
> не требуют оставлять откровения о своей интимной жизни и т д.
> Посмотрите на этот сайт.

Для большинства ресурсов авторизация - способ проверить, что ты не робот и только. Все доп функции в виде уведомлений на имейл нафиг большинству не уперлись (и имейлы все вводят липовые). Надо понимать, что ты в тырнете, и все, что ты тут оставил уже не твое, неважно где и кому.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Sluggard , 24-Окт-15 14:39 
> доп функции в виде уведомлений на имейл нафиг большинству не уперлись (и имейлы все вводят липовые)

Давай, большинство само решит, что из него кому надо, а ты от имени этого большинства перестанешь говорить?


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 16:39 
> озадачатся гораздо оперативней

по крайней мере им будет сильно сложнее.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено rshadow , 23-Окт-15 18:27 
Это все из серии DNT, CORS и .т.д. Пытаются сделать видимость улучшения защиты, подпирая бесполезными костылями.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено cmp , 23-Окт-15 18:33 
Согласен, решать должен либо пользователь, либо владелец сайта, а диктат условий посредником - этот бред. Хотя последнее время посредники совсем распоясались, производители имеют крохи, покупатели переплачивают в разы, а эти гребут за обе щеки еще и цу раздают.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alexey , 23-Окт-15 19:46 
Тут все отлично. Владелец сайта может ничего не делать, пользователь - пользоваться любой альтернативой.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 11:35 
новый этап засовывания всея интернета в https

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 11:49 
Как будто что то плохое.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 12:29 
хз, я не верю, что это всё только ради нашей безопасности, вся эта движуха не спроста

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено xaxaxa , 23-Окт-15 14:17 
вся эта движуха чтобы кормить нас рекламой, ибо в https резка оной намного геморнее происходит

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 14:20 
Скорее уж наоборот, никакие ушлые "провайдеры", типа точек доступа в московском метро, не будет вклинивать в трафик свою рекламу. Поэтому вопрос в силе, https выглядит как благо.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 14:24 
ну, т.е. гуглу нас кормить рекламой будет можно, а билайну нет

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 23-Окт-15 15:33 
А рекламу гугла порежут uBlock/uMatrix, совершенно спокойно.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 25-Окт-15 13:03 
угу, если их не купят добрые корпорации или если мозилла не решит друг от подобных приложений избавиться (во имя добра, конечно же)

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 23-Окт-15 16:49 
если резать на уровне прокси -- да, геморнее. на уровне браузера -- никакой разницы.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено . , 23-Окт-15 12:33 
> Как будто что то плохое.

да в общем, ничего особо хорошего.
Как, например, "удобно" cтановится отлаживать такое, подумали? (ну или реверс-инжинерить, когда в очередной раз ломается скриптовый даунлоад с rutube)

Я вот уже всерьез озаботился своим наколеночным "сормом", из которого можно достать расшифрованную сессию - потому что иногда нужна именно реальная сессия браузера с сервером, а не ручная ее имитация через openssl client

И, надо заметить, нормального готового решения для этой задачи как-то и нет.

При том что 99% моих паролей нахрен никому не нужны - перехватив его, можешь купить что-нибудь от моего имени на свой адрес, но...опачки, со своей кредитной карты. А бонуспоинты зачислят мне. Удобно?

Пароли от всяких админок-квмов-прочей муры нужны только для того, чтобы самому себе не отстрелить яйца и вообще оставить логи кто именно последним заходил и с кого спросить, зачем он это поменял, доступ все равно ограничен по ip или вообще возможен только из безопасного места.
Пароли плейнтекстом на сервере? А кому они нужны, если у него уже доступ к диску сервера есть? Надеюсь, вы не используете этот же пароль для замка от своего чемодана?

Шифровать хочется совсем другие вещи (например, да, я рад что траффик с гуглем - шифрованный). И хорошо бы выбор этот был - у меня, а не у шибкоумных из мазиллопроекта, обожающих решать за пользователя, что ему нужно, а что нет.

Через пару версий, уверен, добьются что и ввести пароль в открытую форму будет нельзя.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено qwerty , 23-Окт-15 13:14 
Быдло кодерам всегда плохо. Они часто даже просто ПО не обновляют.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 23-Окт-15 13:45 
"нколеночный сорм" в виде расширения к брузеру спасёт, по идее.

А так - пока это всего лишь предупреждение, которое ещё и развернуть надо, чтобы увидеть. Мозилловцы, конечно, странные, но, надеюсь, дальше галки в настройках отказ от HTTP не уйдёт. И это, в общем-то, будет неплохим вариантом - "простой юзер" её редко когда снимет.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено freehck , 23-Окт-15 14:39 
> Пароли плейнтекстом на сервере? А кому они нужны, если у него уже доступ к диску сервера есть? Надеюсь, вы не используете этот же пароль для замка от своего чемодана?

Надейтесь. Как показывает практика, именно так большинство пользователей и поступает: у них есть 1-2 пароля, которые они используют для всех сервисов, которыми пользуются.

Я как-то брал базу с почтовыми адресами и паролями из 10'000 записей, вытянутую с сайта, где программисты решили почему-то хранить их в чистом виде. Где-то 3 года она у меня без дела лежала, а потом я решил всё-таки посмотреть, сколько паролей подходит к ящикам.

И знаете что? 331 аккаунт. Вы понимаете? То есть даже в устаревшей на 3 года базе с тестом, составленным на скорую руку, hit составил более 3%. А какой будет hit в актуальных базах -- даже представить страшно.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено тоже Аноним , 23-Окт-15 14:56 
Мне, обычному пользователю, пришлось нынче регистрироваться в Эльдораде.
Конечно, я к этому личному кабинету придумал, да еще и запомнил, пароль, который ни один хакер не подберет! Эльдорадо, правда, считал его слабым, но мне привычнее вспомнить "123456", когда мне этот личный кабинет вновь понадобится через полгода.

А вот к админке сайта можно и что-то оригинальное придумать. Впрочем, необязательно к каждой админке - разное, если это твой сайт и ты знаешь, что пароли на нем нормально шифруются. Главное, чтобы перебором не подбиралось в этом веке...


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 19:18 
>вспомнить через полгода

В таком случае лучше придумать маску: myOwNm@sk, и все пароли к малонужным сайтам делать навроде:
eldoradomyOwNm@ask
aliexpressmyOwnm@sk


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Aleks Revo , 28-Окт-15 14:21 
> Главное, чтобы перебором не подбиралось в этом веке

Главное не забывать, что нынешний век длится лет 5-10 от силы.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 25-Окт-15 04:58 
Уменя вообще один пароль от 1password и больше знать не знаю.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 16:38 
>> Как будто что то плохое.
> да в общем, ничего особо хорошего.
> Как, например, "удобно" cтановится отлаживать такое, подумали? (ну или реверс-инжинерить,
> когда в очередной раз ломается скриптовый даунлоад с rutube)
> Я вот уже всерьез озаботился своим наколеночным "сормом", из которого можно достать
> расшифрованную сессию - потому что иногда нужна именно реальная сессия браузера
> с сервером, а не ручная ее имитация через openssl client
> И, надо заметить, нормального готового решения для этой задачи как-то и нет.

В chromium есть поддержка для этого:
https://www.imperialviolet.org/2012/06/25/wireshark.html


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Кукаретик , 24-Окт-15 03:59 
Fidler подойдёт для перехвата трафика?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено . , 26-Окт-15 13:39 
> Fidler подойдёт для перехвата трафика?

ну, в качестве аварийного решения - да, а в качестве удобной ручки для "так, что-то поломалось, дай-ка я посмотрю, что у зайчика внутри" - это ж чудовище на .net, то бишь в случае опенсорса - на mono, как обычно, в режиме тут играем, тут рыбу заворачивали, эту версию не поддерживаем, в той ошибка... Угол с mono на их сайте выглядит, кстати, изрядно подзаброшенным.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено anonymous , 23-Окт-15 13:36 
>Как будто что то плохое.

Шифрованный трафик плохо жмётся.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 25-Окт-15 04:59 
>>Как будто что то плохое.
> Шифрованный трафик плохо жмётся.

я тебя удивлю, сначала сжимают, потом шифруют.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено user , 23-Окт-15 13:52 
Плохо, что большинство считает https защищённым каналом.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 14:23 
Все зависит от допущений. HTTP(без S), при надлежащем контроле за физической средой, тоже можно считать защищенным.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено XoRe , 23-Окт-15 23:57 
> Плохо, что большинство считает https защищённым каналом.

Все познается в сравнении.
По сравнению с http, это защищенный канал.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Michael Shigorin , 23-Окт-15 14:22 
> Как будто что то плохое.

Ага, и те же люди будут впаривать про "зелёную энергетику" и прочую "прозрачность", что характерно.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 23-Окт-15 15:34 
И где противоречие?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 11:52 
СОРМ-2 плачет кровавыми слезами.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено qwerty , 23-Окт-15 13:18 
> СОРМ-2 плачет кровавыми слезами.

Не совсем. Там же главная фишка это сравнение времени соединений и размера пакетов.
Так что узнать кто именно соединялся в тот момент когда на форуме появилось сообщение - можно. Естественно только, если есть доступ к инфе о времени (на многих форумах и чатах) или сайт расположен на русском хостинге (тогда на него установлен COMP).


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 23:43 
Узнать можно, а вот доказать будет проблематично.

Хотя согласен - в условиях российского кривосудия, это, конечно, и не требуется.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Aleks Revo , 28-Окт-15 14:26 
> Узнать можно, а вот доказать будет проблематично.
> Хотя согласен - в условиях российского кривосудия, это, конечно, и не требуется.

Там, где актуален СОРМ и прочая - доказывать ничего не требуется, независимо от юрисдикции, — требуется лишь найти того, кто готов поделиться информацией (не важно на каких условиях, но обычно «пальцы в дверь» — достаточное).


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено qwerty , 23-Окт-15 13:22 
> СОРМ-2 плачет кровавыми слезами.

К тому же, есть тип атаки по паттернам трафика - отпечаток сайта. В базе хранится примерный размер пакетов и времени между ними, который может быть уникален для каждого сайта.
На сегодня рандомизирует запросы только TorBrowser, предотвращая составления отпечатка.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 23:45 
Это вообще уже из области паранойи. Паттерны есть только у сайтов с предсказуемым движком, а вот на шаред хостинге, где пара тысяч сайтов с непредсказуемым порядком обращений, посчитайте-ка мне паттерн :)

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено user , 23-Окт-15 13:53 
Это хорошо, нелегитимные органы должны страдать.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Michael Shigorin , 23-Окт-15 14:24 
> Это хорошо, нелегитимные органы должны страдать.

Нелегитимные давно уже протрясли свои пейсбук и гугль добрым словом и, видимо, чем-то потяжелей... так что они-то как раз страдать не собираются; наоборот, не удивлюсь, если к инициативе запихивания всего подряд под ssl также каким-то боком причастны.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено th3m3 , 23-Окт-15 12:21 
Уже давно пора. Очень долго тянули.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Нанобот , 23-Окт-15 12:37 
этот раз вполне может закончиться успехом

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 11:46 
Разумным компромиссом была бы разработка стандарта, позволяющего сосуществование обоих протоколов HTTP и HTTPS в рамках одной страницы. Общедоступный контент по HTTP, приватная информация по HTTPS.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 11:53 
И утечка оного через Javascript. Спасибо, не надо.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено anonymous , 23-Окт-15 13:38 
> И утечка оного через Javascript. Спасибо, не надо.

Вот с этого и надо начинать. Выпилить наконец этот дырявый Javascript.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Nas_tradamus , 23-Окт-15 13:49 
При всей нелюбви ко всему, что содержит в названии "java", таки поинтересуюсь: а что использовать взамен?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено user , 23-Окт-15 13:56 
Перестать путать документы и приложения. Для документов не нужна интерактивность, а для приложений не нужен браузер.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 23-Окт-15 16:42 
можно ссылочку на парочку ваших приложений? кто-то ими пользуется?

вы, наверное, знаете, есть такая компания гугол. так вот: в части ненужности веб-приложений они с вами несогласны. но как-то получилось, что большинство людей пользуют веб-приложения этой компании, а про ваши и не слышали.

в общем, у меня серьёзное впечатление, что вы других учите тому, в чём сами полный ноль.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено user , 23-Окт-15 17:00 
миллионы мух не могут ошибаться

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 23-Окт-15 17:20 
да нет, могут. особенно те, которые кричат в интернетах, что лучше всех знают, как правильно, а сами -- ноль без палочки.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено anonymous , 23-Окт-15 19:18 
>да нет, могут. особенно те, которые кричат в интернетах, что лучше всех знают, как правильно, а сами -- ноль без палочки.

Ага, сперва добейся гугол едишн. Впрочем, подмять весь интернет под себя я не считаю достижением. Скорее, это удачная диверсия.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Aleks Revo , 28-Окт-15 14:32 
>>да нет, могут. особенно те, которые кричат в интернетах, что лучше всех знают, как правильно, а сами -- ноль без палочки.
> Ага, сперва добейся гугол едишн. Впрочем, подмять весь интернет под себя я
> не считаю достижением. Скорее, это удачная диверсия.

Не «сперва», а вообще — «добейся» ;-)
Гугл сотоварищи - добились и пользуются, а на мнение остальных - ложили с прибором.
Миром управляют не те, кто знает как лучше, а те, кто добился ;-)


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Sluggard , 24-Окт-15 14:48 
То есть юзер, которому Вы отвечали, не жаждет пользовательской инфы, не пытается пользователя отслеживать, и не пичкает его рекламой?
Так он же молодец! )

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 27-Окт-15 16:48 
Какой толк от интерактивности? Плавно выезжающая реклама, превращающая не слаый процессор в сковородку?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено . , 23-Окт-15 16:49 
Чувак ... ты не на ту гравицапу нажал, созвездие Лебедя это 150 парсеков на юг, а тут планета Земля ... нет, нет - твой переводчик глючит, это не переводится как грязь" (С) :)

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено dr Equivalent , 23-Окт-15 17:22 
В терии - да. На практике все сложнее.

Вот же ж глупая практика, на ней всегда все сложнее.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 23-Окт-15 17:33 
на практике в голове у людей мусор, поэтому они не могут отличить, где нужно приложение,а  где - документ. Чем и пользуются пройдохи вроде гугла.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 23-Окт-15 17:41 
вот вы щас в приложение или в документ писали?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 23-Окт-15 19:11 
В приложение, разумеется. Документ - штука по определению статическая, писать в него нельзя.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 23-Окт-15 19:58 
ну, тогда к чему недовольствие тем, что современный веб -- это по сути веб-приложения? пишу и плачу?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 24-Окт-15 19:35 
Тем, что из концептуального бардака вырос бардак технологический. В результате - и пишу и плачу, и читаю и плачу. А вот в специфических клиентах и писать, и читать, и хранить хорошо и удобно. И не обновится ничего на новомодную хрень без моей просьбы, и поведение контролируемо мной, и интерфейс, и ресурсов жрёт меньше. Вот только все эти плюсы (кроме ресурсов) для гугла и подобых - минусы.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 26-Окт-15 13:46 
> А вот в специфических
> клиентах и писать, и читать, и хранить хорошо и удобно. И
> не обновится ничего на новомодную хрень без моей просьбы, и поведение
> контролируемо мной, и интерфейс, и ресурсов жрёт меньше.

вы это про скайп написали?


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 23-Окт-15 17:45 
бонусный вопрос: а вот ещё бывают приложения для редактирования документов. любой текстовый редактор, вы же хоть каким-то пользуетесь? они тоже не имеют права существовать?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 23-Окт-15 19:18 
Документ в данном контексте получается на выходе приложения-редактора. Когда там Save жмёшь и оно на диск ложится. А в приложении - просто внутреннее состояние приложения.

Говорю же - тривиальные вещи, в общем-то, но некоторые путаются, не будучи в  состоянии их в голове разложить. В результате имеем документы, прикидывающиеся приложениями (PDF-формы, допустим - они даже в базу лезть умеют!), приложения, кажущиеся документами - весь веб и часть офисных "документов", состоящая практически исключительно из скриптов, и все проблемы с безопасностью, этому сопутствующие.

корень  зла, кстати, очень простой - традиционно приложение устанавливалось на компьютер каким-то явным образом, с ведома того, кто этот компьютер (или его часть) администрирует. Так же традиционно документы прилетали разными способами без особого контроля. И так же традиционно разные персонажи, начиная от вирусописателей и заканчивая гуглом хотели добраться до ресурсов пользователя - хоть вычислительных, хоть его данных - в обход  администратора. И все веб-приложения - именно об этом, о том, чтобы отобрать не то что контроль, а даже само понимание, когда ты запускаешь приложение и что оно должно/не должно делать.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено anonymous , 23-Окт-15 19:35 
Два чая этому господину. Добавлю только, что мощность современных вычислительных устройств такова, что позволяет выполнять большинство задач локально без подключения к внешнему серверу. Но вот в конторах типа гугля совершенно не рады этому, поэтому все их усилия направлены на создание искусственной привязке к их сервисам. Поэтому, я считаю, гуголь является врагом прогресса. Вместо создания быстрых нативных приложений мы видим, как основные денежные и людские ресурсы устремились в сторону самых неэффективных и ресурсоёмких технологий, завязанных по сути на считанное число вендоров.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 23-Окт-15 20:12 
> И все веб-приложения - именно об этом, о том, чтобы отобрать не то что контроль, а даже само понимание, когда ты запускаешь приложение и что оно должно/не должно делать.

да не вопрос, пересылайте дальше документы по uucp. так нет же -- открывают ненавистное веб-приложение и пишут в него, что веб-приложение -- тупиковая ветвь.

пример. любой программист в команде пользуется чем-то для трекинга и планирования задач. к 2015 году я не знаю ни одной вменяемой системы, которая не основана на вебе. вывод один -- профессиональная импотенция всех, кричащих о том, что веб-приложения -- страшно неправильно и скоро умрут. кричать могут, а написать хоть одно правильное приложение -- уже нет.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено rob pike , 23-Окт-15 21:36 
> к 2015 году я не знаю ни одной вменяемой системы, которая не основана на вебе

Что обычно только затрудняет работу с ней через вменяемые интерфейсы типа Emacs с org-mode. Хотя и не фатально, спасибо Лиспу - тот же org-jira.el довольно небольшой и простенький.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Crazy Alex , 24-Окт-15 19:41 
Что там хорошо для корпоратива - песня совершенно отдельная. Я пишу о нормальном пользователе-человеке. А на работе - мне платят достаточно, чтобы с крапом вроде джиры (вот уж тормоз!) можно было смириться. тем более, что нормальные люди используют для этого интерфейс IDE, а не веб-морду.

А, да - я не говорил. что веб-приложения скоро умрут. То, что они всё сожрали - реальность, данная в ощущениях. Более правильными их это вообще никак не делает.

P.S. Пища для размышлений: зачем любой сколько-нибудь крупный проект клепает свои приложения на iOS/Android?


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 26-Окт-15 13:45 
> P.S. Пища для размышлений: зачем любой сколько-нибудь крупный проект клепает свои приложения на iOS/Android?

* оффлайн-режим
* push notifications
* больше контроля за тем, кто и как использует
* больше рекламы приложения

и?


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Aleks Revo , 28-Окт-15 14:41 
> P.S. Пища для размышлений: зачем любой сколько-нибудь крупный проект клепает свои приложения
> на iOS/Android?

Приложение - устанвоил на хорошем канале и пользуйся на плохом (мегабайты веб-морд в пролёте), причём мобильные процессоры, прямо скажем, не готовы обмолачивать столько, сколько требует типичный браузер с типичным сайтом.

В плане безопасности, не знаю как там выкручиваются в яблОС, а в ведроиде все приложения на всякий случай просят все доступные права и без альтернативы ))


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено й , 23-Окт-15 16:43 
> Вот с этого и надо начинать. Выпилить наконец этот дырявый Javascript.

откройте для себя наконец-то lynx и не учите, как остальным жить.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено anonymous , 23-Окт-15 18:43 
>откройте для себя наконец-то lynx и не учите, как остальным жить.

Судя по количеству адблоков и ноускриптов они не живут, а страдают. Вэб в текущем виде скоро похоронит сам себя. И так бровзер сталь настолько жирным, что позволить его разработку может только гуголь. Даже аппл со своим выбкитом того и гляди отвалится.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Sluggard , 24-Окт-15 14:50 
Погоди хоронить. Не все ещё WebGL насладились. =)

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено user , 24-Окт-15 14:56 
Это для 3D-баннеров?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Sluggard , 24-Окт-15 14:57 
> Это для 3D-баннеров?

Наверное. Или чтоб картошку на Ферме сажать объёмную.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено manster , 23-Окт-15 11:51 
т.е. если пароль солится или криптуется по http это конечно не в счет ...

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 11:54 
> т.е. если пароль солится или криптуется по http это конечно не в
> счет ...

А вот кстати да, я уже давно юзаю CRAM-авторизацию в некоторых сервисах, где HTTPS не нужен или не интересен.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено arzeth , 23-Окт-15 12:15 
Всмысле по http подключается JS с реализацией хэш-функции (sha256, …)?
1. Тогда паролем по сути становится уже сам хэш, и его точно так же можно использовать и перехватывать.
2. Этот JS можно подменить.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено manster , 23-Окт-15 13:06 
Можно перехватывать все, что шлется по небезопасному каналу, поэтому нужно в любом случае криптовать на клиенте пароль или соль - все что угодно, что не компрометирует.

В том то и дело, что соль динамическая, а в случае статической соли да: хэш это пароль. Атакующий просто не успеет компрометировать систему при динамической соли.

JS можно подменить- да. Но можно и проверить факт подмены - способы есть.

В конце концов можно открыть файл JS у себя локально на компьютере или вообще использовать стороннее приложение для расчетов.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено тоже Аноним , 23-Окт-15 13:51 
Динамическая соль требует хранения пароля в незашифрованном виде на сайте.
Избавляемся от перехвата, создаем дыру на случай слива.
Незачет.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено manster , 23-Окт-15 14:32 
использование статической соли бессмысленно ибо зная соль несложно сгенерить таблицы, прятать соль сводится к роли пароля, что еще более бессмысленно

храни в зашифрованном виде - что мешает?


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено тоже Аноним , 23-Окт-15 14:53 
Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у каждой записи своя.
А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным с другой солью?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено manster , 23-Окт-15 15:27 
пересолю

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено manster , 23-Окт-15 15:32 
> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у
> каждой записи своя.

Это рентабельнее на много и доступнее, чем тупой перебор.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 23:38 
> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у
> каждой записи своя.
> А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным
> с другой солью?

А кто мешает посчитать хеш, хранимый в базе, на клиенте, и от него посчитать уже разовый хеш?


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 23:36 
> Динамическая соль требует хранения пароля в незашифрованном виде на сайте.
> Избавляемся от перехвата, создаем дыру на случай слива.
> Незачет.

И снова мимо: можно посчитать хеш от челенджа+хеша исходного пароля.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено nuclight , 23-Окт-15 13:32 
Нет, не становится. Читать про CRAM - оно будет каждый раз разным.

...Ну, на самом деле надо предусмотреть тайминги из-за отсутствия постоянного соединения в HTTP, скажем он будет постоянным в течение получаса... но тот же LiveJournal применял этот метод уже более 10 лет назад.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 23:35 
Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом. Перехватить можно, а вот использовать не получится. С другой стороны, от перехвата session id всё равно не спасёт. А вот для безсессионных форм вполне себе катит.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено manster , 23-Окт-15 23:51 
> Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом. Перехватить
> можно, а вот использовать не получится. С другой стороны, от перехвата
> session id всё равно не спасёт. А вот для безсессионных форм
> вполне себе катит.

Речь идет об SCRAM?


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено MidNight_er , 23-Окт-15 12:17 
Отличный велосипед! значит либо у вас нас на сайте в базе данных реальные пароли, а не их хэши с солью, либо перехватив тот хэш что вы передаёт по http можно авторизоваться на сайте

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено manster , 23-Окт-15 13:07 
> Отличный велосипед! значит либо у вас нас на сайте в базе данных
> реальные пароли, а не их хэши с солью, либо перехватив тот
> хэш что вы передаёт по http можно авторизоваться на сайте

Отличный способ узнать, как на самом деле ;)


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 23:38 
> Отличный велосипед! значит либо у вас нас на сайте в базе данных
> реальные пароли, а не их хэши с солью, либо перехватив тот
> хэш что вы передаёт по http можно авторизоваться на сайте

Не можно. Учите матчасть.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено MidNight_er , 24-Окт-15 15:13 
Можно. Учите матчасть.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено тоже Аноним , 24-Окт-15 22:48 
Тут учить нечего, достаточно понимать, что вычисления хэша на сервере и на клиенте взаимозаменяемы.
Если авторизация основана на сравнении готовых хэшей, то, имея данные с сервера, можно повторить расчет на клиенте и получить тот же результат.

Поскольку единственное достоинство хэша в плане безопасности - это сложность восстановления из него исходных данных. А все эти повторные пересаливания и перешифрования известных данных - это пустая профанация, они только человека запутать могут...


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Georges , 23-Окт-15 11:52 
то есть все форумы и всякие админки вордпресса будут должны по HTTPS работать?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено th3m3 , 23-Окт-15 12:23 
Лучше бы - да. А так, это же просто предупреждение.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Имя , 23-Окт-15 13:19 
Не должны. Просто будет помечаться, что не безопасно.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Alex , 23-Окт-15 23:40 
> то есть все форумы и всякие админки вордпресса будут должны по HTTPS
> работать?

Всё, что использует session id, должно работать по HTTPS. Потому что все хеши-пароли бессмысленны, если можно просто перехватить session id и прочие cookie. Прибивка к IP не спасёт - IP спуфится, ну и никто не гарантирует, что злоумышленник не сидит за NAT'ом с того же IP.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 24-Окт-15 00:38 
>IP спуфится

Ну давай, расскажи нам как установить tcp соединение со спуфленным ип и послать хоть один пакет по нему чтоб сервер его принял. Заплачу 1000$, серьезно.


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 12:29 
Ну а что с админками роутерными делать?

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Товарищ Майор , 23-Окт-15 12:55 
не пользоваться.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено имя , 23-Окт-15 12:55 
> Ну а что с админками роутерными делать?

ходить в них из интернет эксплорера. мозиловцы так и делают!


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено manster , 23-Окт-15 13:08 
> Ну а что с админками роутерными делать?

туннели


"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено IZh. , 23-Окт-15 13:32 
Ну, а в чём проблема? Ну, будет warning, и всего-то.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 23-Окт-15 16:27 
Дело в том что глупо показывать предупреждение для подключения по HTTP через шифрованный OpenVPN

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено IZh. , 23-Окт-15 20:35 
Это если VPN идёт прямо до сервера сайта. А если VPN, допустим, в Европу, а далее на сайт в Америке...

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено dr Equivalent , 23-Окт-15 17:27 
Ставить OpenWRT.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено анонимус , 24-Окт-15 00:00 
Админка OpenWRT умееет https. В последнем релизе даже уже в конфиг uhttpd добавили необходимые настройки, хотя оно и раньше легко заводилось после курения их вики.

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Отправлено Аноним , 24-Окт-15 14:53 
Не вижу в этом смысла. Похоже на маркетинговый ход, ведь у юзеров будет создаваться иллюзия безопасности.