Компания Google сообщила (https://blog.chromium.org/2018/05/evolving-chromes-security-...) о готовящихся в осенних выпусках Chrome изменениях индикации безопасности соединения. Так как общей целью является повсеместный переход на HTTPS и начиная с Chrome 68, релиз которого ожидается в июле, все открытые по HTTP страницы будут снабжены индикатором, предупреждающим об установке небезопасного соединения, то теперь нет смысла отдельно помечать HTTPS индикатором безопасного соединения.
В сентябрьском выпуске Chrome 69 для HTTPS перестанет показываться зелёная надпись "Secure", а в октябрьском выпуске Chrome 70 будет убран и значок с изображением замка для HTTPS, но а цвет надписи "Not Secure" для соединений HTTP будет заменён с серого на красный.
По статистике (https://transparencyreport.google.com/https/overview?hl=en) Google доля страниц, открытых по HTTPS, составляет от 65% до 85% в зависимости от платформы (ChromeOS - 85%, macOS - 81%, Windows - 73%, Android - 72%, Linux - 65%). По данным (https://letsencrypt.org/stats/) сервиса Firefox Telemetry доля запросов страниц по HTTPS составляет 69.8%.URL: https://blog.chromium.org/2018/05/evolving-chromes-security-...
Новость: https://www.opennet.me/opennews/art.shtml?num=48617
Вот это улучшение!
Достаточно важное кстати. Много не-айтишников воспринимают зелёное "защищено" как признак безопасного во всех смыслах сайта и с легкостью доверяют свои деньги и личные данные сайтам однодневкам с lets encrypt сертификатом потому, что написано "защищённое соединение" да ещё и зелёным подсвечено.
Как будто для однодневок с сертом от LE в новой схеме предусмотрено како-то отличие.
Не предусмотрено. Но будет отсутствовать успокаивающе-усыпляющий фактор.
> Достаточно важное кстати. Много не-айтишников воспринимают зелёное "защищено" как признак
> безопасного во всех смыслах сайта и с легкостью доверяют свои деньги
> и личные данные сайтам однодневкам с lets encrypt сертификатом потому, что
> написано "защищённое соединение" да ещё и зелёным подсвечено.Это ещё с 2008 так, минимум. И без LE в те времена.
Вы говорите так, как будто бы в этом есть что-то плохое
> Много не-айтишников воспринимают зелёное "защищено" как признак безопасногоЗато айтишники грамотно на родном не могут ).
Вот теперь заживём!
К сожалению, совсем даже не смешно. Я как хостер скажу, вопрос "Почему мой сайт теперь не зелененький в хроме?!", будет в топе. И всем придется объяснять.
Хром сам по себе одна большая дыра в безопасности.
В приватности.
Что почти одно и то же. Кто не верит, может проверить: выкладываете параметры паспорта и креды на публику и смотрите что будет дальше.
Ты какой-то несвязный бред сейчас сказал, иди трезвей
Сомнительное утверждение, учитывая, что самые дегенеративные дыры находят где угодно, но только не в хроме.
Каждый мажорный релиз упоминается, сколько мнадцать тысяч зелени было оплачено за обнаружение уязвимостей. А сколько их обнаружено, но про них не сообщили?
EV сертификаты как будут отображаться?
Всплывающим уведомлением?
А кого они волнуют вообще? Вы хоть раз задумывались, заходя на какой-то сайт, EV он или не EV?
Меня волнует. Один раз я попал на сайт где не было русского интерфейса и ничего связанного с Россией, но был EV сертификат который спалил местонахождение сервера. Было RU.
Не местонахождение сервера, а владеющей организации.
В firefox сразу видно где EV а где не EV, в адресной строке написана организация. В хроме различий нет
Зачем этот сертификат покупают, если в браузере-монополисте хроме различий нет? Можно было халявным LE обойтись.
Надпись давно надо было убрать, она дезинформирующая для хомяков. Там должно быть Encrypted, а не Secure. Тогда бы не было тупых кукареков по поводу малварных и фишинговых сайтов с https и выдаче им DV-сертификатов.
А вот замок зря собираются убрать. Было бы одинаково с файрфоксом.
> Было бы одинаково с файрфоксом.Думаешь, эти лакеи из мозиллы не собезьянничают?
а вот это правильно сам по себе https не означает что оно secure, но то что http not secure это факт и это нужно сообщать.
Перешел с этого тормоза на Firefox Quantum и не жалею.
Смешно. Когда меня тут несколько недель назад убедили попробовать quantum я был удивлен тем, что после многих лет отставания лиса почти догнала chrome по скорости на тяжелых сайтах. Подчеркну "почти догнала", то есть по-прежнему отстает, но уже не в разы. Но некоторым похоже достаточно маркетинговой лапши с мизерным преимуществом на правильно подобранной синтетике и вот они уже клеймят хром тормозом.
А почему ты решил, что твой личный опыт правильнее чужого личного опыта, лол?
И неужели ты не знаешь, что браузеры по-разному ведут себя на разном железе и ОСях? Вплоть до кардинально разных ярлыков тормоза и шустряка.
> А почему ты решил, что твой личный опыт правильнее чужого личного опыта, лол?а почему ты решил, что я так решил? :)
> И неужели ты не знаешь, что браузеры по-разному ведут себя на разном железе и ОСях?
Есть такое дело
> Вплоть до кардинально разных ярлыков тормоза и шустряка.
А вот подобного не наблюдал. Хром всегда впереди, лиса догоняет, разнится лишь степень отставания.
> после многих лет отставания лиса почти догнала chrome по скорости на тяжелых сайтах.Файрвокс давно уже, примерно с 4 версии, быстрее хрома.
У меня такое впечатление, что в этом треде собрались посланцы из альтернативной реальности.
Смешно. Фокс все еще не догнал хром по скорости\аддонам, но зато давно перегнал по жору оперативы и потреблению цп. Да и о приватности теперь о фоксе ходят совсем другие разговоры, хром хоть не скрывает, что сливает данные.
> Фокс все еще не догнал хром по аддонамУже догнал, правда вниз. WebExtensions.
> давно перегнал по жору оперативыНет. Фокс не делает по процессу на вкладку.
> потреблению цпТоже нет. См. выше.
я хоть и добавил https прокол для своих серверов, но отказываться от http принципиально не буду. Нельзя завязываться на хотелки всяких шарашек,хоть и жирных и "уважаемых" (ибо тот кто контролирует са - контролирует весь веб)
Правильно, лучше подвергать пользователей ещё одной опасности в и так диком веб-мирке, им же не привыкать.
Чтобы далеко не ходить, расскажи об опасностях, которые подстерегают меня прямо на этом сайте, который я использую без https.
Кого волнует, есть у тебя опасности или нет? Можешь вообще не заходить никуда, как Столлман.
А вот обычного юзера подстерегает открытость к вставлению и выполнению чужого js-кода от любого, кто находится между ним и сервером. И нет, это не проблема автоисполнения js (отдельная тема), это проблема передачи данных по недоверенному каналу через неизвестно чьи узлы, коими является интернет. Просто вставка js самый наглядный пример эксплуатации передачи голого текста через пол мира.
Поэтому http отомрёт.
Не только JS. Вот пойдет его мама на сайт ленты ру по http, а там написано, что её любимый сынок в ментовке повесился, и инфарктик схватит. А это всего-лишь соседский хулиган пошутил
все это страшилки для серых масс. если веб приложение нормально написано, никакой левый жс не выполнится.а если нет, то хттпыес бесполезен.
И как же он не выполнится, лол? Расскажи.
И как хттпс бесполезен? Даже при отсутствии CSP и прочих защит (которые для хттп бесполезны, т.к. тупо можно вырезать), как ты сумеешь в моё приложение, отправленное Васе с TLS, что-то вставить?
То, что эта s стоит немалых денег, как-то опускается из внимания. На самом деле, этот сертификат очень недёшев. Вот и пропиарили менеджеры от интернета защищённый протокол. А лохи повелись.
Ну выполнится чужой код и что дальше? Пока практической опасности не вижу, чужой js код пользователь получает с каждого сайта и позволяет ему выполнятся, пока никто не умер.
Но простых юзеров это не волнует совсем. Одному моему знакомому вообще плевать, у него позиция "ну и пусть всю мою переписку по электронной почте читают, только зря время потратят". И речь идёт не о спецслужбах, которые, вне сомнения всё читают, а о разработчиках малвари, которую подцепил его комп на windows 10.
И что? Простые люди и тв-3 смотрят про всяких колдунов. Ты хочешь страдать из-за чего-то, что их не волнует?
> Чтобы далеко не ходить, расскажи об опасностях, которые подстерегают меня прямо на
> этом сайте, который я использую без https.Например, ссылочка "Подержать" будет подменена на таковую без HTTPS, а в ту страницу, в свою очередь будут подставлены номера кошельков злоумышленника.
Это не его опасности, а администрации опеннета. Раз не форсируют https, значит не особо им нужны донаты.
Подстановка оператором в страницу JS?
Еще можно перехватить твой session id
Безопасность - это фильтры контента на клиенте, которые ставят не многим более 25% пользователей, а всё что связано с TLS PKI - это вопрос доверия, а не безопасности.
Сайты отвечают за тот JS, который они размещают, HTTPS гарантирует, что именно этот набор данных хотел предоставить сайт и подnверждает это на основе всеобщего доверия к страховой компании (CA). А еще HTTPS позволяет зашифровать трафик между сайтом и клиентом в качестве приятного бонуса. Это лучше чем ничего!
Кстати, в России никогда не будет независимого доверяемого CA верхнего уровня. Нет доверия, и вот почему:У каждого Интернет-провайдера в России есть прозрачный proxy. Спасибо Роскомпозору.
Провайдеры установили инфраструктуру с proxy-серверами на синхронизацию с его списками, чтобы блокировать сайты и приложения, неугодные режиму.
Вопрос: почему от внедрения и отладки данной инфраструктуры не повысилась цена на интернет в стране?
Ответ: потому что провайдерам разрешили на этом зарабатывать.Например, если ты юр. лицо, то ты уже сейчас можешь купить у оператора сотовой связи рассылку, таргетированную на определенную аудиторию, например мужчины от 30-45 лет со средним уровнем достатка таким-то, таким-то и интересами такими-то такими-то. И это услуга с пакетами и тарифами. Информация собирается со всех сторон и вполне легальными с точки зрения российских законов методами, а потом продаётся.
И речь тут не про СОРМы. Это именно B2B-сервис. При этом, если ты еще и банк, то у них есть расширенная версия данных, с твоего смартфона, полный доступ к HLR и подробная история местоположений с отметками по времени, НО не в реальном времени, не до конца актуальная, предоставление оперативной нарушит закон.
В http принято вставлять телеметрию на JS, в основном для того чтобы следить за действиями пользователей, также предлагать ему перейти по нужным рекламным ссылкам, которых в оригинале не было, а затем скачать разные расширения браузера и плагины, чтобы иметь возможность получше следить за пользователем и побольше ему показывать.
Майнинг, опять же. Он уже давно ассоциируется с чем-то злонамеренным, хотя на самом деле это не так. Огромное количество скрытого JS для того чтобы майнить на компьютерах пользователей и ставить им расширения и плагины путём обмана делают такой имидж. Умереть пока никто не умер, но и жить с таким тошно.
Интересный ведь подход: не отказываться от небезопасных соеденений чисто из вредности и бесполезного протеста. Одно дело когда монополист напаривает что-то, что выгодно ему, другое - когда тот использует доступные рычаги чтобы сделать что-то действительно полезное и подвинуть чужие ленивые тушки.
> сделать что-то действительно полезноеИ какая польза от HTTPS в интранете?
> И какая польза от HTTPS в интранете?Дополнительная защита на случай, если в интранете тем или иным способом заведётся посторонняя железка, или будет скомпрометирована одна из тех, которые уже есть.
Роутер может перехватывать данные. Особенно актуально с провайдерской прошивкой.
Ой вот это новость, ой как интересно, держи нас в курсе!
> о статистике Google доля страниц, открытых по HTTPS, составляет от 65% до 85% в зависимости от платформы (ChromeOS - 85%, macOS - 81%, Windows - 73%, Android - 72%, Linux - 65%).Линуксоиды больше всех ходят по "злачным" местам
И/или активнее остальных пользуются блокировщиками рекламы и прочими средствами борьбы со всякой "телеметрией".
> И/или активнее остальных пользуются блокировщиками рекламы и прочими средствами борьбы
> со всякой "телеметрией".Это статистика по браузеру Chromium/Chrome. Там отключить телеметрию невозможно.
https://iridiumbrowser.de/
Эти пацаны отключили, реально!
Зачем эти велосипеды если есть Firefox?
И добавили свою! (см. траффик при запуске браузера)
Линуксоиды чаще других ходят на локалхост. При разработке всякого js как дома, так и на работе в компаниях, не считающих нужным тратить деньги на прошивку для игр на 30 машин для разработки всякого js, которое отлично работает бесплатно. Еще при "разработке" сайтов, да и вообще при разработке чего угодно. При разработке сайта его можно "наоткрывать" на 5 лет его нормального использования. И на локалочку при администрировании всякого. Маршрутизаторы, локальные серверы и сервисы рисуют всякие графики, статистику и свое состояние для администраторов, https для этого редко настраивают, если доступ разрешен только из локалки.Юзкейсы Хром ОС заканчиваются на листании котиков в фейсбуке, выкладывании завтрака в инстаграм и просмотра +100500 на ютубе.
На прошивке для игр тоже иногда разрабатывают всякое js и сайтики и что-то администрируют. Ну и мамаши ходят по "скачать развиваюшую игру веселый лунтик на луне бесплатно", это да.
Когда http будет красным с ссылкой на продолжение открытия сайта?
> Когда http будет красным с ссылкой на продолжение открытия сайта?Когда хотя бы 90% сайтов перейдут на https. Сейчас их чуть больше половины, так что тыкать в кнопку "Продолжить" придется для каждого второго сайта.
>> Когда http будет красным с ссылкой на продолжение открытия сайта?Никогда. Сейчас многие сайты не перешли на https. По-видимому из-за договорённости со спецслужбами, что пока они не встроят СОРМ-3 или его аналог, никакого https не будет. Поэтому даже если гугл так сделает, они и не перейдут. Просто пользователи этих сайтов - люди, которым пофиг на безопасность - перейдут на другой браузер.
Дурак чтоли? В конце прошлого года уже было 80%.
> Дурак чтоли? В конце прошлого года уже было 80%."As of April 2018, 33.2% of Alexa top 1,000,000 websites use HTTPS as default, 57.1% of the Internet's 137,971 most popular websites have a secure implementation of HTTPS, and 70% of page loads (measured by Firefox Telemetry) use HTTPS."
57.1% популярных сайтов используют хттпс.
70% - посещенных с FF (sic!) сайтов были на хттпс.
Посещенные != общему числу сайтов. Просто кто-то так представил данные телеметрии.
Допустим, имеется 4 сайта: два на https и еще два на http. То есть доля https составляет 50%. Если пользователи некоего браузера заходят на оба сайта из первой группы и на один из второй, это НЕ поднимает долю https-сайтов до 66.6%. Смекаешь?
ну шо опять, сколько можно уже, выпускать такие смешные обновы, поработали бы лучше над дизайном, а то он совсем страшный.
> ну шо опять, сколько можно уже, выпускать такие смешные обновы, поработали бы
> лучше над дизайном, а то он совсем страшный.Если что-то не нравится, собрал вещи и вали на лису.
Когда opennet на https переедет?
Когда на onion переедет, тогда и о https говорить можно.
Когда анон на HTTPS Everywhere пеередет? Opennet много лет как HTTPS.
А если у меня простой сайт типа блога или лендинг, где не собираются конфид данные, то клеймо потенциального мошенника зачем?
Точнее пугать неграмотного пользователя утечкой.
Другое дело, что кроме веб-дизайнеров, сеошников и прочих перфекционистов-специалистов вообще не обращают внимания ни на индикаторы, ни на фавиконы.
А потом срединный человек вставит на твою страничку майнер и эксплойт какой-нибудь и поедет. А ты будешь как хол.
Я тя умоляю, на твою страничку скорее, что-то приедет вместе с банером, от любимой банерной сети.
И достанется пользователю по любимому тобой https.
Или же подменять что-то будут уже скорее всего в браузере с каким-нибудь троянским дополнением.
Твой пример не исключает вышесказанного.
Не заботишься о приватности пользователей? Haxpeн твой "простой сайт".
А что там приватить, какие ссылки ходит? У меня не киностудия Private. Разве что через MITM действительно что-то можно пропихнуть клиенту. Дело в чём: из-за простейшего сайта ставить тот же бот Let's Encrypt, и постоянно следить, а обновляет ли он вообще, и то неизвестно, что он там наобновляет.
>> Так как общей целью является повсеместный переход на HTTPSЯ то думал общая цель это глобальный контроль, а тут оказывается переход на HTTPS вот блин.
>>> Так как общей целью является повсеместный переход на HTTPS
> Я то думал общая цель это глобальный контроль, а тут оказывается переход
> на HTTPS вот блин.Глобальный контроль - это без https или других протоколов. А заменить сертрфикат на сервере нетрудно.
Осталось узнать кто контролирует сервер с сертификатами...
Иди работать в Linux Foundation,расскажешь кто контролирует Let's Encrypt. ;)
Цель такой и осталась. Хттпс сертификаты стоят прилично, а бесплатно выдаются одной компанией при условии заглатывания зонда, можешь почитать условия на их сайте, на странице /privacy в параграфе Subscriber.
Далее, когда ты посещаешь сайт с хттпс, все популярные браузеры "проверяют валидность" сертификата, у выдавшего его удостоверяющего центра, само-собой, называясь при этом. И сиди ты хоть под сотней впн-ов с торами, этот центр знает что ты смотришь, и кто это ты. Зарегистрирован тот бесплатный уд. центр, само-собой, в США, со всеми вытекающими, перечисленными на викиликс. Остальные платные не сильно лучше в плане заботы о приватности пользователей, и то и похуже.
52-я лисичка по-моему еще у гугла или амазона спрашивает "а валидный ли это сертификат", но могу ошибаться. Еще она спрашивает у гугла "хороший ли это сайт", без всяких сертификатов, но не знаю как именно это реализовано - либо иногда запрашивая список хешей доменов/ip, что вряд ли, либо каждый раз как ты что-то смотришь, сообщает гуглу, что вероятнее. Я все эту всю заботу затер в about:config, так что теперь не помню у кого что спрашивает. К амазону точно зачем-то подключалась тоже.
Запусти wireshark, открой лису и подивись.
Вообще-то при ocsp-stapling-е запрос с OCSP-серверу ЦС не отправляется клиентом. Также клиент сам может отключить OCSP, если не хочет полагаться на конфигурацию посещаемых сайтов.
Как по мне - это как джинсы с ширинкой на попе.
Ну а почему нет...
https://www.cosmo.ru/fashion/news/18-04-2017/novyy-trend-dzh.../
Нифига себе. Модель Sodomit Edition?
сегодня пишут про новую иконку в хроме, а завтра что? сенсация! разработчик добавил 1 строку кода в программу. фотофакт.
Строку - это сложно. Разработчик добавил комментарий - вот это в духе современного IT.
И проект перестал собираться.