The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от opennews on 23-Окт-15, 11:10 
В ночных сборках (http://nightly.mozilla.org/) Firefox, которые лягут в основу выпуска Firefox 44, предприняты (https://twitter.com/rlbarnes/status/656554266744586240) первые шаги о переводу работе с сайтами по протоколу HTTP в разряд небезопасных операций. В частности, начиная с  Firefox 44 страницы, содержащие формы ввода паролей ("input type=password"), будут помечаться как небезопасные, в случае обращения к ним по протоколу HTTP.

<center><img src="https://www.opennet.me/opennews/pics_base/0_1445587635.png&q... style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></center>

URL: https://twitter.com/rlbarnes/status/656554266744586240
Новость: http://www.opennet.me/opennews/art.shtml?num=43189

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +18 +/
Сообщение от tensor on 23-Окт-15, 11:10 
Владельцы фишинговых сайтов в срочном порядке отправляются на letsencrypt.org.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

107. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от pavlinux (ok) on 25-Окт-15, 02:58 
Они уже у китайцев затарились.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +7 +/
Сообщение от Аноним (??) on 23-Окт-15, 11:10 
Давно пора.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +4 +/
Сообщение от Michael Shigorin email(ok) on 23-Окт-15, 14:22 
> Давно пора.

Смысл?  Как совершенно справедливо отметили, те, для кого мошенничество -- "ничего личного, только бизнес", озадачатся гораздо оперативней хозяев тучи ещё полезных страничек, порой даже с гостевушками для обратной связи (изредка даже незаспамленными).

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

50. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +2 +/
Сообщение от Crazy Alex (ok) on 23-Окт-15, 15:32 
Ну так иначе эти хозяева гостевушек вообще никогда не почешутся.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

55. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от rob pike on 23-Окт-15, 16:31 
Не почешутся они что так что эдак.
Увеличится только скорость, с которой полезный контент (а не clickbait) переезжает в wayback machine.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

72. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от Crazy Alex (ok) on 23-Окт-15, 19:07 
Если они вообще туда не заходят - полезный контент останется всё там же, где и был. Если заходят - скорее вырубят гостевухи или что там. Чтобы прибили сайт из-за этого - маловероятно.

Впрочем, я вообще не сильно уверен, что хрень, которую погасили из-за халобна гостевую, может быть полезным контентом.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

95. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от Хомячелло on 24-Окт-15, 09:50 
Им и не надо чесаться, т к они не собирают персональных данных, не требуют оставлять откровения о своей интимной жизни и т д. Посмотрите на этот сайт.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

96. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Хомячелло on 24-Окт-15, 09:52 
> Им и не надо чесаться, т к они не собирают персональных данных,
> не требуют оставлять откровения о своей интимной жизни и т д.
> Посмотрите на этот сайт.

Для большинства ресурсов авторизация - способ проверить, что ты не робот и только. Все доп функции в виде уведомлений на имейл нафиг большинству не уперлись (и имейлы все вводят липовые). Надо понимать, что ты в тырнете, и все, что ты тут оставил уже не твое, неважно где и кому.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

97. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от Sluggard (ok) on 24-Окт-15, 14:39 
> доп функции в виде уведомлений на имейл нафиг большинству не уперлись (и имейлы все вводят липовые)

Давай, большинство само решит, что из него кому надо, а ты от имени этого большинства перестанешь говорить?

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

57. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Аноним (??) on 23-Окт-15, 16:39 
> озадачатся гораздо оперативней

по крайней мере им будет сильно сложнее.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

69. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от rshadow (ok) on 23-Окт-15, 18:27 
Это все из серии DNT, CORS и .т.д. Пытаются сделать видимость улучшения защиты, подпирая бесполезными костылями.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

70. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от cmp (ok) on 23-Окт-15, 18:33 
Согласен, решать должен либо пользователь, либо владелец сайта, а диктат условий посредником - этот бред. Хотя последнее время посредники совсем распоясались, производители имеют крохи, покупатели переплачивают в разы, а эти гребут за обе щеки еще и цу раздают.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

78. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alexey (??) on 23-Окт-15, 19:46 
Тут все отлично. Владелец сайта может ничего не делать, пользователь - пользоваться любой альтернативой.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

3. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +7 +/
Сообщение от Аноним (??) on 23-Окт-15, 11:35 
новый этап засовывания всея интернета в https
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +6 +/
Сообщение от Аноним (??) on 23-Окт-15, 11:49 
Как будто что то плохое.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

16. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +2 +/
Сообщение от Аноним (??) on 23-Окт-15, 12:29 
хз, я не верю, что это всё только ради нашей безопасности, вся эта движуха не спроста
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

38. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +3 +/
Сообщение от xaxaxa on 23-Окт-15, 14:17 
вся эта движуха чтобы кормить нас рекламой, ибо в https резка оной намного геморнее происходит
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

39. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +6 +/
Сообщение от Аноним (??) on 23-Окт-15, 14:20 
Скорее уж наоборот, никакие ушлые "провайдеры", типа точек доступа в московском метро, не будет вклинивать в трафик свою рекламу. Поэтому вопрос в силе, https выглядит как благо.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

43. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +4 +/
Сообщение от Аноним (??) on 23-Окт-15, 14:24 
ну, т.е. гуглу нас кормить рекламой будет можно, а билайну нет
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

52. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +4 +/
Сообщение от Crazy Alex (ok) on 23-Окт-15, 15:33 
А рекламу гугла порежут uBlock/uMatrix, совершенно спокойно.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

110. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от Аноним (??) on 25-Окт-15, 13:03 
угу, если их не купят добрые корпорации или если мозилла не решит друг от подобных приложений избавиться (во имя добра, конечно же)
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

60. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +3 +/
Сообщение от й on 23-Окт-15, 16:49 
если резать на уровне прокси -- да, геморнее. на уровне браузера -- никакой разницы.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

17. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от . on 23-Окт-15, 12:33 
> Как будто что то плохое.

да в общем, ничего особо хорошего.
Как, например, "удобно" cтановится отлаживать такое, подумали? (ну или реверс-инжинерить, когда в очередной раз ломается скриптовый даунлоад с rutube)

Я вот уже всерьез озаботился своим наколеночным "сормом", из которого можно достать расшифрованную сессию - потому что иногда нужна именно реальная сессия браузера с сервером, а не ручная ее имитация через openssl client

И, надо заметить, нормального готового решения для этой задачи как-то и нет.

При том что 99% моих паролей нахрен никому не нужны - перехватив его, можешь купить что-нибудь от моего имени на свой адрес, но...опачки, со своей кредитной карты. А бонуспоинты зачислят мне. Удобно?

Пароли от всяких админок-квмов-прочей муры нужны только для того, чтобы самому себе не отстрелить яйца и вообще оставить логи кто именно последним заходил и с кого спросить, зачем он это поменял, доступ все равно ограничен по ip или вообще возможен только из безопасного места.
Пароли плейнтекстом на сервере? А кому они нужны, если у него уже доступ к диску сервера есть? Надеюсь, вы не используете этот же пароль для замка от своего чемодана?

Шифровать хочется совсем другие вещи (например, да, я рад что траффик с гуглем - шифрованный). И хорошо бы выбор этот был - у меня, а не у шибкоумных из мазиллопроекта, обожающих решать за пользователя, что ему нужно, а что нет.

Через пару версий, уверен, добьются что и ввести пароль в открытую форму будет нельзя.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

24. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +3 +/
Сообщение от qwerty (??) on 23-Окт-15, 13:14 
Быдло кодерам всегда плохо. Они часто даже просто ПО не обновляют.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

32. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Crazy Alex (ok) on 23-Окт-15, 13:45 
"нколеночный сорм" в виде расширения к брузеру спасёт, по идее.

А так - пока это всего лишь предупреждение, которое ещё и развернуть надо, чтобы увидеть. Мозилловцы, конечно, странные, но, надеюсь, дальше галки в настройках отказ от HTTP не уйдёт. И это, в общем-то, будет неплохим вариантом - "простой юзер" её редко когда снимет.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

46. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +3 +/
Сообщение от freehck email(ok) on 23-Окт-15, 14:39 
> Пароли плейнтекстом на сервере? А кому они нужны, если у него уже доступ к диску сервера есть? Надеюсь, вы не используете этот же пароль для замка от своего чемодана?

Надейтесь. Как показывает практика, именно так большинство пользователей и поступает: у них есть 1-2 пароля, которые они используют для всех сервисов, которыми пользуются.

Я как-то брал базу с почтовыми адресами и паролями из 10'000 записей, вытянутую с сайта, где программисты решили почему-то хранить их в чистом виде. Где-то 3 года она у меня без дела лежала, а потом я решил всё-таки посмотреть, сколько паролей подходит к ящикам.

И знаете что? 331 аккаунт. Вы понимаете? То есть даже в устаревшей на 3 года базе с тестом, составленным на скорую руку, hit составил более 3%. А какой будет hit в актуальных базах -- даже представить страшно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

48. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –3 +/
Сообщение от тоже Аноним email(ok) on 23-Окт-15, 14:56 
Мне, обычному пользователю, пришлось нынче регистрироваться в Эльдораде.
Конечно, я к этому личному кабинету придумал, да еще и запомнил, пароль, который ни один хакер не подберет! Эльдорадо, правда, считал его слабым, но мне привычнее вспомнить "123456", когда мне этот личный кабинет вновь понадобится через полгода.

А вот к админке сайта можно и что-то оригинальное придумать. Впрочем, необязательно к каждой админке - разное, если это твой сайт и ты знаешь, что пароли на нем нормально шифруются. Главное, чтобы перебором не подбиралось в этом веке...

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

74. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от Аноним (??) on 23-Окт-15, 19:18 
>вспомнить через полгода

В таком случае лучше придумать маску: myOwNm@sk, и все пароли к малонужным сайтам делать навроде:
eldoradomyOwNm@ask
aliexpressmyOwnm@sk

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

115. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Aleks Revo (ok) on 28-Окт-15, 14:21 
> Главное, чтобы перебором не подбиралось в этом веке

Главное не забывать, что нынешний век длится лет 5-10 от силы.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

108. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Аноним (??) on 25-Окт-15, 04:58 
Уменя вообще один пароль от 1password и больше знать не знаю.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

56. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Аноним (??) on 23-Окт-15, 16:38 
>> Как будто что то плохое.
> да в общем, ничего особо хорошего.
> Как, например, "удобно" cтановится отлаживать такое, подумали? (ну или реверс-инжинерить,
> когда в очередной раз ломается скриптовый даунлоад с rutube)
> Я вот уже всерьез озаботился своим наколеночным "сормом", из которого можно достать
> расшифрованную сессию - потому что иногда нужна именно реальная сессия браузера
> с сервером, а не ручная ее имитация через openssl client
> И, надо заметить, нормального готового решения для этой задачи как-то и нет.

В chromium есть поддержка для этого:
https://www.imperialviolet.org/2012/06/25/wireshark.html

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

94. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Кукаретик on 24-Окт-15, 03:59 
Fidler подойдёт для перехвата трафика?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

111. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от . on 26-Окт-15, 13:39 
> Fidler подойдёт для перехвата трафика?

ну, в качестве аварийного решения - да, а в качестве удобной ручки для "так, что-то поломалось, дай-ка я посмотрю, что у зайчика внутри" - это ж чудовище на .net, то бишь в случае опенсорса - на mono, как обычно, в режиме тут играем, тут рыбу заворачивали, эту версию не поддерживаем, в той ошибка... Угол с mono на их сайте выглядит, кстати, изрядно подзаброшенным.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

30. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от anonymous (??) on 23-Окт-15, 13:36 
>Как будто что то плохое.

Шифрованный трафик плохо жмётся.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

109. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от Аноним (??) on 25-Окт-15, 04:59 
>>Как будто что то плохое.
> Шифрованный трафик плохо жмётся.

я тебя удивлю, сначала сжимают, потом шифруют.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от user (??) on 23-Окт-15, 13:52 
Плохо, что большинство считает https защищённым каналом.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

42. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +4 +/
Сообщение от Аноним (??) on 23-Окт-15, 14:23 
Все зависит от допущений. HTTP(без S), при надлежащем контроле за физической средой, тоже можно считать защищенным.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

91. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от XoRe (ok) on 23-Окт-15, 23:57 
> Плохо, что большинство считает https защищённым каналом.

Все познается в сравнении.
По сравнению с http, это защищенный канал.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

41. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 23-Окт-15, 14:22 
> Как будто что то плохое.

Ага, и те же люди будут впаривать про "зелёную энергетику" и прочую "прозрачность", что характерно.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

53. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Crazy Alex (ok) on 23-Окт-15, 15:34 
И где противоречие?
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

7. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 11:52 
СОРМ-2 плачет кровавыми слезами.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

25. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от qwerty (??) on 23-Окт-15, 13:18 
> СОРМ-2 плачет кровавыми слезами.

Не совсем. Там же главная фишка это сравнение времени соединений и размера пакетов.
Так что узнать кто именно соединялся в тот момент когда на форуме появилось сообщение - можно. Естественно только, если есть доступ к инфе о времени (на многих форумах и чатах) или сайт расположен на русском хостинге (тогда на него установлен COMP).

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

88. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 23:43 
Узнать можно, а вот доказать будет проблематично.

Хотя согласен - в условиях российского кривосудия, это, конечно, и не требуется.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

116. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Aleks Revo (ok) on 28-Окт-15, 14:26 
> Узнать можно, а вот доказать будет проблематично.
> Хотя согласен - в условиях российского кривосудия, это, конечно, и не требуется.

Там, где актуален СОРМ и прочая - доказывать ничего не требуется, независимо от юрисдикции, — требуется лишь найти того, кто готов поделиться информацией (не важно на каких условиях, но обычно «пальцы в дверь» — достаточное).

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

27. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от qwerty (??) on 23-Окт-15, 13:22 
> СОРМ-2 плачет кровавыми слезами.

К тому же, есть тип атаки по паттернам трафика - отпечаток сайта. В базе хранится примерный размер пакетов и времени между ними, который может быть уникален для каждого сайта.
На сегодня рандомизирует запросы только TorBrowser, предотвращая составления отпечатка.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

89. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 23:45 
Это вообще уже из области паранойи. Паттерны есть только у сайтов с предсказуемым движком, а вот на шаред хостинге, где пара тысяч сайтов с непредсказуемым порядком обращений, посчитайте-ка мне паттерн :)
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

36. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от user (??) on 23-Окт-15, 13:53 
Это хорошо, нелегитимные органы должны страдать.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

44. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –7 +/
Сообщение от Michael Shigorin email(ok) on 23-Окт-15, 14:24 
> Это хорошо, нелегитимные органы должны страдать.

Нелегитимные давно уже протрясли свои пейсбук и гугль добрым словом и, видимо, чем-то потяжелей... так что они-то как раз страдать не собираются; наоборот, не удивлюсь, если к инициативе запихивания всего подряд под ssl также каким-то боком причастны.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

13. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от th3m3 (ok) on 23-Окт-15, 12:21 
Уже давно пора. Очень долго тянули.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от Нанобот (ok) on 23-Окт-15, 12:37 
этот раз вполне может закончиться успехом
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от Аноним (??) on 23-Окт-15, 11:46 
Разумным компромиссом была бы разработка стандарта, позволяющего сосуществование обоих протоколов HTTP и HTTPS в рамках одной страницы. Общедоступный контент по HTTP, приватная информация по HTTPS.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 11:53 
И утечка оного через Javascript. Спасибо, не надо.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

31. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от anonymous (??) on 23-Окт-15, 13:38 
> И утечка оного через Javascript. Спасибо, не надо.

Вот с этого и надо начинать. Выпилить наконец этот дырявый Javascript.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

33. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от Nas_tradamus (ok) on 23-Окт-15, 13:49 
При всей нелюбви ко всему, что содержит в названии "java", таки поинтересуюсь: а что использовать взамен?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +5 +/
Сообщение от user (??) on 23-Окт-15, 13:56 
Перестать путать документы и приложения. Для документов не нужна интерактивность, а для приложений не нужен браузер.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

58. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +2 +/
Сообщение от й on 23-Окт-15, 16:42 
можно ссылочку на парочку ваших приложений? кто-то ими пользуется?

вы, наверное, знаете, есть такая компания гугол. так вот: в части ненужности веб-приложений они с вами несогласны. но как-то получилось, что большинство людей пользуют веб-приложения этой компании, а про ваши и не слышали.

в общем, у меня серьёзное впечатление, что вы других учите тому, в чём сами полный ноль.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

62. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от user (??) on 23-Окт-15, 17:00 
миллионы мух не могут ошибаться
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

63. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от й on 23-Окт-15, 17:20 
да нет, могут. особенно те, которые кричат в интернетах, что лучше всех знают, как правильно, а сами -- ноль без палочки.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

75. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от anonymous (??) on 23-Окт-15, 19:18 
>да нет, могут. особенно те, которые кричат в интернетах, что лучше всех знают, как правильно, а сами -- ноль без палочки.

Ага, сперва добейся гугол едишн. Впрочем, подмять весь интернет под себя я не считаю достижением. Скорее, это удачная диверсия.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

117. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Aleks Revo (ok) on 28-Окт-15, 14:32 
>>да нет, могут. особенно те, которые кричат в интернетах, что лучше всех знают, как правильно, а сами -- ноль без палочки.
> Ага, сперва добейся гугол едишн. Впрочем, подмять весь интернет под себя я
> не считаю достижением. Скорее, это удачная диверсия.

Не «сперва», а вообще — «добейся» ;-)
Гугл сотоварищи - добились и пользуются, а на мнение остальных - ложили с прибором.
Миром управляют не те, кто знает как лучше, а те, кто добился ;-)

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

98. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Sluggard (ok) on 24-Окт-15, 14:48 
То есть юзер, которому Вы отвечали, не жаждет пользовательской инфы, не пытается пользователя отслеживать, и не пичкает его рекламой?
Так он же молодец! )
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

114. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Аноним (??) on 27-Окт-15, 16:48 
Какой толк от интерактивности? Плавно выезжающая реклама, превращающая не слаый процессор в сковородку?
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

61. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от . on 23-Окт-15, 16:49 
Чувак ... ты не на ту гравицапу нажал, созвездие Лебедя это 150 парсеков на юг, а тут планета Земля ... нет, нет - твой переводчик глючит, это не переводится как грязь" (С) :)
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

64. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от dr Equivalent (ok) on 23-Окт-15, 17:22 
В терии - да. На практике все сложнее.

Вот же ж глупая практика, на ней всегда все сложнее.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

66. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от Crazy Alex (ok) on 23-Окт-15, 17:33 
на практике в голове у людей мусор, поэтому они не могут отличить, где нужно приложение,а  где - документ. Чем и пользуются пройдохи вроде гугла.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

67. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от й on 23-Окт-15, 17:41 
вот вы щас в приложение или в документ писали?
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

73. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Crazy Alex (ok) on 23-Окт-15, 19:11 
В приложение, разумеется. Документ - штука по определению статическая, писать в него нельзя.
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

79. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от й on 23-Окт-15, 19:58 
ну, тогда к чему недовольствие тем, что современный веб -- это по сути веб-приложения? пишу и плачу?
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

104. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Crazy Alex (ok) on 24-Окт-15, 19:35 
Тем, что из концептуального бардака вырос бардак технологический. В результате - и пишу и плачу, и читаю и плачу. А вот в специфических клиентах и писать, и читать, и хранить хорошо и удобно. И не обновится ничего на новомодную хрень без моей просьбы, и поведение контролируемо мной, и интерфейс, и ресурсов жрёт меньше. Вот только все эти плюсы (кроме ресурсов) для гугла и подобых - минусы.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

113. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от й on 26-Окт-15, 13:46 
> А вот в специфических
> клиентах и писать, и читать, и хранить хорошо и удобно. И
> не обновится ничего на новомодную хрень без моей просьбы, и поведение
> контролируемо мной, и интерфейс, и ресурсов жрёт меньше.

вы это про скайп написали?

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

68. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от й on 23-Окт-15, 17:45 
бонусный вопрос: а вот ещё бывают приложения для редактирования документов. любой текстовый редактор, вы же хоть каким-то пользуетесь? они тоже не имеют права существовать?
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

76. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +2 +/
Сообщение от Crazy Alex (ok) on 23-Окт-15, 19:18 
Документ в данном контексте получается на выходе приложения-редактора. Когда там Save жмёшь и оно на диск ложится. А в приложении - просто внутреннее состояние приложения.

Говорю же - тривиальные вещи, в общем-то, но некоторые путаются, не будучи в  состоянии их в голове разложить. В результате имеем документы, прикидывающиеся приложениями (PDF-формы, допустим - они даже в базу лезть умеют!), приложения, кажущиеся документами - весь веб и часть офисных "документов", состоящая практически исключительно из скриптов, и все проблемы с безопасностью, этому сопутствующие.

корень  зла, кстати, очень простой - традиционно приложение устанавливалось на компьютер каким-то явным образом, с ведома того, кто этот компьютер (или его часть) администрирует. Так же традиционно документы прилетали разными способами без особого контроля. И так же традиционно разные персонажи, начиная от вирусописателей и заканчивая гуглом хотели добраться до ресурсов пользователя - хоть вычислительных, хоть его данных - в обход  администратора. И все веб-приложения - именно об этом, о том, чтобы отобрать не то что контроль, а даже само понимание, когда ты запускаешь приложение и что оно должно/не должно делать.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

77. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +2 +/
Сообщение от anonymous (??) on 23-Окт-15, 19:35 
Два чая этому господину. Добавлю только, что мощность современных вычислительных устройств такова, что позволяет выполнять большинство задач локально без подключения к внешнему серверу. Но вот в конторах типа гугля совершенно не рады этому, поэтому все их усилия направлены на создание искусственной привязке к их сервисам. Поэтому, я считаю, гуголь является врагом прогресса. Вместо создания быстрых нативных приложений мы видим, как основные денежные и людские ресурсы устремились в сторону самых неэффективных и ресурсоёмких технологий, завязанных по сути на считанное число вендоров.
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

80. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от й on 23-Окт-15, 20:12 
> И все веб-приложения - именно об этом, о том, чтобы отобрать не то что контроль, а даже само понимание, когда ты запускаешь приложение и что оно должно/не должно делать.

да не вопрос, пересылайте дальше документы по uucp. так нет же -- открывают ненавистное веб-приложение и пишут в него, что веб-приложение -- тупиковая ветвь.

пример. любой программист в команде пользуется чем-то для трекинга и планирования задач. к 2015 году я не знаю ни одной вменяемой системы, которая не основана на вебе. вывод один -- профессиональная импотенция всех, кричащих о том, что веб-приложения -- страшно неправильно и скоро умрут. кричать могут, а написать хоть одно правильное приложение -- уже нет.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

82. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от rob pike on 23-Окт-15, 21:36 
> к 2015 году я не знаю ни одной вменяемой системы, которая не основана на вебе

Что обычно только затрудняет работу с ней через вменяемые интерфейсы типа Emacs с org-mode. Хотя и не фатально, спасибо Лиспу - тот же org-jira.el довольно небольшой и простенький.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

105. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Crazy Alex (ok) on 24-Окт-15, 19:41 
Что там хорошо для корпоратива - песня совершенно отдельная. Я пишу о нормальном пользователе-человеке. А на работе - мне платят достаточно, чтобы с крапом вроде джиры (вот уж тормоз!) можно было смириться. тем более, что нормальные люди используют для этого интерфейс IDE, а не веб-морду.

А, да - я не говорил. что веб-приложения скоро умрут. То, что они всё сожрали - реальность, данная в ощущениях. Более правильными их это вообще никак не делает.

P.S. Пища для размышлений: зачем любой сколько-нибудь крупный проект клепает свои приложения на iOS/Android?

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

112. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от й on 26-Окт-15, 13:45 
> P.S. Пища для размышлений: зачем любой сколько-нибудь крупный проект клепает свои приложения на iOS/Android?

* оффлайн-режим
* push notifications
* больше контроля за тем, кто и как использует
* больше рекламы приложения

и?

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

118. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Aleks Revo (ok) on 28-Окт-15, 14:41 
> P.S. Пища для размышлений: зачем любой сколько-нибудь крупный проект клепает свои приложения
> на iOS/Android?

Приложение - устанвоил на хорошем канале и пользуйся на плохом (мегабайты веб-морд в пролёте), причём мобильные процессоры, прямо скажем, не готовы обмолачивать столько, сколько требует типичный браузер с типичным сайтом.

В плане безопасности, не знаю как там выкручиваются в яблОС, а в ведроиде все приложения на всякий случай просят все доступные права и без альтернативы ))

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

59. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от й on 23-Окт-15, 16:43 
> Вот с этого и надо начинать. Выпилить наконец этот дырявый Javascript.

откройте для себя наконец-то lynx и не учите, как остальным жить.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

71. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +4 +/
Сообщение от anonymous (??) on 23-Окт-15, 18:43 
>откройте для себя наконец-то lynx и не учите, как остальным жить.

Судя по количеству адблоков и ноускриптов они не живут, а страдают. Вэб в текущем виде скоро похоронит сам себя. И так бровзер сталь настолько жирным, что позволить его разработку может только гуголь. Даже аппл со своим выбкитом того и гляди отвалится.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

99. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Sluggard (ok) on 24-Окт-15, 14:50 
Погоди хоронить. Не все ещё WebGL насладились. =)
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

101. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от user (??) on 24-Окт-15, 14:56 
Это для 3D-баннеров?
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

102. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Sluggard (ok) on 24-Окт-15, 14:57 
> Это для 3D-баннеров?

Наверное. Или чтоб картошку на Ферме сажать объёмную.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

6. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от manster (ok) on 23-Окт-15, 11:51 
т.е. если пароль солится или криптуется по http это конечно не в счет ...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 11:54 
> т.е. если пароль солится или криптуется по http это конечно не в
> счет ...

А вот кстати да, я уже давно юзаю CRAM-авторизацию в некоторых сервисах, где HTTPS не нужен или не интересен.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от arzeth (ok) on 23-Окт-15, 12:15 
Всмысле по http подключается JS с реализацией хэш-функции (sha256, …)?
1. Тогда паролем по сути становится уже сам хэш, и его точно так же можно использовать и перехватывать.
2. Этот JS можно подменить.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

21. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от manster (ok) on 23-Окт-15, 13:06 
Можно перехватывать все, что шлется по небезопасному каналу, поэтому нужно в любом случае криптовать на клиенте пароль или соль - все что угодно, что не компрометирует.

В том то и дело, что соль динамическая, а в случае статической соли да: хэш это пароль. Атакующий просто не успеет компрометировать систему при динамической соли.

JS можно подменить- да. Но можно и проверить факт подмены - способы есть.

В конце концов можно открыть файл JS у себя локально на компьютере или вообще использовать стороннее приложение для расчетов.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

34. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от тоже Аноним email(ok) on 23-Окт-15, 13:51 
Динамическая соль требует хранения пароля в незашифрованном виде на сайте.
Избавляемся от перехвата, создаем дыру на случай слива.
Незачет.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

45. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от manster (ok) on 23-Окт-15, 14:32 
использование статической соли бессмысленно ибо зная соль несложно сгенерить таблицы, прятать соль сводится к роли пароля, что еще более бессмысленно

храни в зашифрованном виде - что мешает?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

47. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от тоже Аноним email(ok) on 23-Окт-15, 14:53 
Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у каждой записи своя.
А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным с другой солью?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от manster (ok) on 23-Окт-15, 15:27 
пересолю
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

51. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от manster (ok) on 23-Окт-15, 15:32 
> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у
> каждой записи своя.

Это рентабельнее на много и доступнее, чем тупой перебор.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

85. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 23:38 
> Сгенерить радужные таблицы несложно, но на данный момент нерентабельно, если соль у
> каждой записи своя.
> А если пароль хранится в зашифрованном виде, как вы проверите его зашифрованным
> с другой солью?

А кто мешает посчитать хеш, хранимый в базе, на клиенте, и от него посчитать уже разовый хеш?

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

84. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 23:36 
> Динамическая соль требует хранения пароля в незашифрованном виде на сайте.
> Избавляемся от перехвата, создаем дыру на случай слива.
> Незачет.

И снова мимо: можно посчитать хеш от челенджа+хеша исходного пароля.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

29. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от nuclight (??) on 23-Окт-15, 13:32 
Нет, не становится. Читать про CRAM - оно будет каждый раз разным.

...Ну, на самом деле надо предусмотреть тайминги из-за отсутствия постоянного соединения в HTTP, скажем он будет постоянным в течение получаса... но тот же LiveJournal применял этот метод уже более 10 лет назад.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

83. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 23:35 
Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом. Перехватить можно, а вот использовать не получится. С другой стороны, от перехвата session id всё равно не спасёт. А вот для безсессионных форм вполне себе катит.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

90. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от manster (ok) on 23-Окт-15, 23:51 
> Хеш подсолёный, причём challenge однократный, и передаётся вместе со скриптом. Перехватить
> можно, а вот использовать не получится. С другой стороны, от перехвата
> session id всё равно не спасёт. А вот для безсессионных форм
> вполне себе катит.

Речь идет об SCRAM?

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

12. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от MidNight_er on 23-Окт-15, 12:17 
Отличный велосипед! значит либо у вас нас на сайте в базе данных реальные пароли, а не их хэши с солью, либо перехватив тот хэш что вы передаёт по http можно авторизоваться на сайте
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

22. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от manster (ok) on 23-Окт-15, 13:07 
> Отличный велосипед! значит либо у вас нас на сайте в базе данных
> реальные пароли, а не их хэши с солью, либо перехватив тот
> хэш что вы передаёт по http можно авторизоваться на сайте

Отличный способ узнать, как на самом деле ;)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

86. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 23:38 
> Отличный велосипед! значит либо у вас нас на сайте в базе данных
> реальные пароли, а не их хэши с солью, либо перехватив тот
> хэш что вы передаёт по http можно авторизоваться на сайте

Не можно. Учите матчасть.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

103. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от MidNight_er on 24-Окт-15, 15:13 
Можно. Учите матчасть.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

106. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от тоже Аноним email(ok) on 24-Окт-15, 22:48 
Тут учить нечего, достаточно понимать, что вычисления хэша на сервере и на клиенте взаимозаменяемы.
Если авторизация основана на сравнении готовых хэшей, то, имея данные с сервера, можно повторить расчет на клиенте и получить тот же результат.

Поскольку единственное достоинство хэша в плане безопасности - это сложность восстановления из него исходных данных. А все эти повторные пересаливания и перешифрования известных данных - это пустая профанация, они только человека запутать могут...

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

8. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от Georges (ok) on 23-Окт-15, 11:52 
то есть все форумы и всякие админки вордпресса будут должны по HTTPS работать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от th3m3 (ok) on 23-Окт-15, 12:23 
Лучше бы - да. А так, это же просто предупреждение.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

26. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +2 +/
Сообщение от Имя on 23-Окт-15, 13:19 
Не должны. Просто будет помечаться, что не безопасно.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

87. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Alex (??) on 23-Окт-15, 23:40 
> то есть все форумы и всякие админки вордпресса будут должны по HTTPS
> работать?

Всё, что использует session id, должно работать по HTTPS. Потому что все хеши-пароли бессмысленны, если можно просто перехватить session id и прочие cookie. Прибивка к IP не спасёт - IP спуфится, ну и никто не гарантирует, что злоумышленник не сидит за NAT'ом с того же IP.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

93. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от Аноним (??) on 24-Окт-15, 00:38 
>IP спуфится

Ну давай, расскажи нам как установить tcp соединение со спуфленным ип и послать хоть один пакет по нему чтоб сервер его принял. Заплачу 1000$, серьезно.

Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

15. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +4 +/
Сообщение от Аноним (??) on 23-Окт-15, 12:29 
Ну а что с админками роутерными делать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от Товарищ Майор on 23-Окт-15, 12:55 
не пользоваться.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  –1 +/
Сообщение от имя on 23-Окт-15, 12:55 
> Ну а что с админками роутерными делать?

ходить в них из интернет эксплорера. мозиловцы так и делают!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от manster (ok) on 23-Окт-15, 13:08 
> Ну а что с админками роутерными делать?

туннели

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

28. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +3 +/
Сообщение от IZh. on 23-Окт-15, 13:32 
Ну, а в чём проблема? Ну, будет warning, и всего-то.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

54. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +2 +/
Сообщение от Аноним (??) on 23-Окт-15, 16:27 
Дело в том что глупо показывать предупреждение для подключения по HTTP через шифрованный OpenVPN
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

81. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от IZh. on 23-Окт-15, 20:35 
Это если VPN идёт прямо до сервера сайта. А если VPN, допустим, в Европу, а далее на сайт в Америке...
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

65. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +1 +/
Сообщение от dr Equivalent (ok) on 23-Окт-15, 17:27 
Ставить OpenWRT.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

92. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от анонимус (??) on 24-Окт-15, 00:00 
Админка OpenWRT умееет https. В последнем релизе даже уже в конфиг uhttpd добавили необходимые настройки, хотя оно и раньше легко заводилось после курения их вики.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

100. "Обращение к формам ввода пароля по HTTP отмечено в Firefox к..."  +/
Сообщение от Аноним (??) on 24-Окт-15, 14:53 
Не вижу в этом смысла. Похоже на маркетинговый ход, ведь у юзеров будет создаваться иллюзия безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру