» »

Zadnji dnevi za http

Zadnji dnevi za http

The Register - Kot so pri Googlu napovedali v začetku leta, bo z naslednjo, 68. "stable" različico Chroma, ki bo med nami 23. julija, napočila tudi pomembna sprememba: vsaka spletna stran, ki ne bo imela naslova https z veljavnim TLS certifikatom, bo v tem brskalniku označena z opozorilom "Not secure". Tako opozorilno etiketo bodo dobile tudi morebitne intranetne strani podjetij in zasebnikov.

Https šifriranje sicer ščiti povezavo med brskalnikom in spletno stranjo, ki jo obiskujemo, pri tem pa zagotavlja, da nihče ne more prisluškovati toku naših podatkov ali pa jih celo spreminjati.

Sprememba bo morda pospešila prehod, saj dosedanje raziskave kažejo, da je z njim opremljenih le med 30-50 odstotkov med milijonom najbolj popularnih strani na svetu, številne male in manj obiskane strani pa še vedno vztrajajo pri http. Nedavna raziskava podjetja Ipsos pa je pokazala, da se bi kar 87 % uporabnikov premislilo glede finančne transakcije na spletni strani, na kateri bi se jim prikazalo tovrstno varnostno opozorilo. Nekaj več kot polovica, pa bi v tem primeru raje odšla nakupovat k konkurenci.

Chrome, ki ga uporablja približno 60 % obiskovalcev spleta, najverjetneje ne bo dolgo osamljen, saj mu bodo po napovedih hitro sledili Microsoft (Edge), Apple (Safari) in Mozilla (Firefox).

61 komentarjev

«
1
2

jukoz ::

Dober članek proti forsiranju HTTP in označevanju strani in slabšemu rangiranju:
http://this.how/googleAndHttp/

"Why this is bad, practically speaking
A lot of the web consists of archives. Files put in places that no one maintains. They just work. There's no one there to do the work that Google wants all sites to do. And some people have large numbers of domains and sub-domains hosted on all kinds of software Google never thought about. Places where the work required to convert wouldn't be justified by the possible benefit. The reason there's so much diversity is that the web is an open thing, it was never owned."

"It's dishonest
Many of the sites they will label as "not secure" don't ask the user for any information. Of course users won't understand that. Many will take the warning seriously and hit the Back button, having no idea why they're doing it. Of course Google knows this. It's the kind of nasty political tactic we expect from corrupt political leaders, not leading tech companies."


In še zaključek:

"Update: A threatening email from Google#

On June 20, 2018, I got an email from Google, as the owner of scripting.com.
According to the email I should "migrate to HTTPS to avoid triggering the new warning on your site and to help protect users' data."
It's a blog. I don't ask for any user data.
Google's not secure message means this: "Google tried to take control of the open web and this site said no.""

Zgodovina sprememb…

  • spremenilo: jukoz ()

RedDrake ::

Točno to.
Stvar je velika neumnost.
Imam za seboj že minimalno 30 srednjih/večjih spletnih strani.
Od tega jih je 25 predstavitvenih strani, kjer uporabnik vsebino samo konzumira.
Kaj mi bo tam ssl?
Samo vsakih 90 dni (ne mislim plačevati certov za predstavitvene strani) bom imel veliko nepotrebnega dela, da kolobocije z virtualhosti sploh ne omenjam.

pegasus ::

Od letsencrypt naprej nimate več izgovorov.

Sicer pa pustimo že enkrat ta insecure-by-design web za sabo in preidimo na nekaj, kjer je security prva skrb, npr. freenet.

RedDrake ::

Seveda imamo izgovore.
Spletni server iz leta 2005, ki ga z nujnimi stvarmi za port 80 patcham ročno in ne počne ničesar drugega.
A zdaj nej kupim nov HW in portam konf, da bom imel SNI podporo za strani, ki sestojijo iz statične vsebine?
Useless

pegasus ::

To boš moral slej ko prej, tako da je sedaj čisto primerna priložnost.

RedDrake ::

Drugače pa bi bilo precej bolje če bi brskalnik preprosto dal tale "Not secure" v primeru obrazca na spletni strani.
Tako bi bila opozorilo relevantno, poleg tega bi ga uporabniki bolj opazili. Če bo sedaj opozorilo prisotno na 50% straneh bo to - itak je to normalno.

Izi ::

...mu bodo po napovedih hitro sledili Microsoft (Edge), Apple (Safari) in Mozilla (Firefox).

Na vem od kje je to povzeto, ampak ne drži. Firefox ima to opozorilo že precej dolgo časa. Vsaj pol leta če ne več.
Če je http stran vedno da opozorilo "Connection Is Not Secure", pa ne samo to, tudi približno polovica https strani še vedno dobi opozorilo "Parts of this page are not secure (such as images)".

Chrome je kot kaže spet zadnji, kot ponavadi ko se gre za varnost.

jukoz ::

celebro ::

RedDrake je izjavil:

Točno to.
Stvar je velika neumnost.
Imam za seboj že minimalno 30 srednjih/večjih spletnih strani.
Od tega jih je 25 predstavitvenih strani, kjer uporabnik vsebino samo konzumira.
Kaj mi bo tam ssl?
Samo vsakih 90 dni (ne mislim plačevati certov za predstavitvene strani) bom imel veliko nepotrebnega dela, da kolobocije z virtualhosti sploh ne omenjam.

HTTPS po pomagal, da bodo končni uporabniki tvojih spletnih strani dejansko videli kar si naredil, namesto da bodo gledali oglase (https://thehackernews.com/2016/02/china...) ali pa rudarili crypto valute (https://thehackernews.com/2018/03/crypt...)

mihor ::


Kaj mi bo tam ssl?


Kaj ti bo? To je garant za to, da bo uporabnik dejansko dobil tvoj content, ne da bi mu kdo injectal reklame, malware, phishing linke itd.

Tako kot nekatere bebave banke, ki imajo glavno stran na http (!) in potem linkajo na https svojega internetnega bancnistva in mislijo, da je vse OK. Seveda bo pameten bad guy lepo prestregel promet na http in link na internetno banko zamenjal s svojim na phishing stran.

SSL je edina pot in google ima tule kar prav, da ga vedno bolj enforca.

blackbfm ::

Samo vsakih 90 dni (ne mislim plačevati certov za predstavitvene strani) bom imel veliko nepotrebnega dela, da kolobocije z virtualhosti sploh ne omenjam.


vsaka kontrolna plošča ima avtomatsko obnovo certifikatov, z letsencrypta pa loh snameš skripto ki avtomatizira cel proces izdajanja in obnavljanja


ampak ja, je zaje*an če NOČEŠ uporabljat orodij ki so ti na voljo:))

jype ::

Saj jaz razumem bolečino tistih, ki so ostali v 20. stoletju, ampak... Težave, ki jih imate, niso težave.

link_up ::

to pac pravijo brksalniki in ni nikakrsnje obveze, da se stran premakne na ssl. Furamo klasiko naprej...
In and Out

Zgodovina sprememb…

  • spremenilo: link_up ()

AndrejO ::

RedDrake je izjavil:

Točno to.
Stvar je velika neumnost.
Imam za seboj že minimalno 30 srednjih/večjih spletnih strani.
Od tega jih je 25 predstavitvenih strani, kjer uporabnik vsebino samo konzumira.
Kaj mi bo tam ssl?
Samo vsakih 90 dni (ne mislim plačevati certov za predstavitvene strani) bom imel veliko nepotrebnega dela, da kolobocije z virtualhosti sploh ne omenjam.

Način implementacije je res neumnost, razlage o "vsebina se samo konzumira" pa kažejo na zelo raširjeno temeljno nerazumevanje, kaj vse zasebnost sploh zajema. Ta nameč vključuje tudi zasebnost pred komerkoli tretjim, ki ga bi zanimalo kaj si uporabnik preko omrežja sploh ogleduje.

Veliko vas pač pozablja, da so tudi "podatki o prometu", del zasebnih podatkov uporabnika in jih je kot takšne smiselno varovati pred tretjimi osebami. Če ti, kot upravljalec spletnega mesta in jaz, kot konzument, seveda veva drug za drugega, pa policaju Pepetu in vohunu Vojkotu pač ni potrebno vedeti katere točno strani si ogledujem, če že ne morem pred njimi skriti čigavo spletno mesto obiskujem.

jype ::

Po pravici povedano se mi z 8.8.8.8 in brskalnikom v tvoji lasti zdi nekoliko dvolično trditi, da ti gre za zasebnost, ko de-facto siliš k uporabi https (ne govorim o tebi osebno, jasno).

Zgodovina sprememb…

  • spremenilo: jype ()

Jerry000 ::

Kaj pa spletne tipa portfolio ali predstavitvene spletne? Kjer ni niti baze.

Mavrik ::

jype je izjavil:

Po pravici povedano se mi z 8.8.8.8 in brskalnikom v tvoji lasti zdi nekoliko dvolično trditi, da ti gre za zasebnost, ko de-facto siliš k uporabi https (ne govorim o tebi osebno, jasno).


Ti lahko celo življenje iščeš pravega Škota, ki se bo v nepovezanih stvareh popolnoma strinjal s tabo. Ostali bomo pa vseeno uživali prednosti teh tehnologij.
The truth is rarely pure and never simple.

jype ::

Mavrik je izjavil:

Ti lahko celo življenje iščeš pravega Škota,
Implementiram, misliš? Ja, lahko.

DHT ftw, na primer.

RedDrake ::

celebro je izjavil:


HTTPS po pomagal, da bodo končni uporabniki tvojih spletnih strani dejansko videli kar si naredil, namesto da bodo gledali oglase (https://thehackernews.com/2016/02/china...) ali pa rudarili crypto valute (https://thehackernews.com/2018/03/crypt...)

Fair enough.
Sicer, "trust noone" ni optimalno, ampak tudi prav.
Za orodja vem, ampak če uporabljaš svoj lasten distro izpred skoraj 15 let, ko si imel voljo vse maintainat, verjemte, da danes skoraj nič out-of-the box ne deluje. Ja vem, enkrat bo treba, ampak starejši kot si, manj je to vabljivo :)

jype ::

Če imaš statične strani, potem pa res ni veliko dela postavit čisto nov httpd in skopirat reči čez?

Jerry000 ::

jype je izjavil:

Če imaš statične strani, potem pa res ni veliko dela postavit čisto nov httpd in skopirat reči čez?

Ne vem, kolikor sem gledal je potrebno za https plačat certifikat letno. Kar ne želim ravno, glede na to da je spletna stran bolj narave portfolija.

pegasus ::

Slabo si gledal. Poglej si vsaj letsencrypt ...

RedDrake ::

Hjah, načeloma je trivialno.
Ampak načeloma je tudi nekdo v Moskvi zadel trabanta na loteriji, na koncu se pa izkaže da so nekomu ukradli kolo v Leningradu ...

jype ::

Jerry000 je izjavil:

Ne vem, kolikor sem gledal je potrebno za https plačat certifikat letno. Kar ne želim ravno, glede na to da je spletna stran bolj narave portfolija.
Slabo si gledal. Za HTTPS ni treba plačat že vsaj 10 let, od tega vsaj 2 leti tudi podaljševanje certifikata lahko ureja spletni strežnik sam.

RedDrake je izjavil:

Hjah, načeloma je trivialno.
Ampak načeloma je tudi nekdo v Moskvi zadel trabanta na loteriji, na koncu se pa izkaže da so nekomu ukradli kolo v Leningradu ...
Nihče ne pravi, da se ne smeš odločiti, da boš še naprej uporabljal http.

Netrunner ::

Prej ali slej je treba narediti presek.
Doing nothing is very hard to do... you never know when you're finished.

AndrejO ::

jype je izjavil:

Po pravici povedano se mi z 8.8.8.8 in brskalnikom v tvoji lasti zdi nekoliko dvolično trditi, da ti gre za zasebnost, ko de-facto siliš k uporabi https (ne govorim o tebi osebno, jasno).

Zato sem odgovor začel z "Način implementacije je res neumnost" in ne "to je najboljša stvar od narezanega kruha naprej".

Samo, če je nek argument proti bolj švoh, ni slabo povedati zakaj je švoh. So drugi in močnejši argumenti proti takšnim enostranskim odločitvam multinacionalk, ki furajo zvoje zgodbe.

Žal pa se pojavljajo znaki, da se je tudi Mozilli malo skisalo ...

MrStein ::

RedDrake je izjavil:

Drugače pa bi bilo precej bolje če bi brskalnik preprosto dal tale "Not secure" v primeru obrazca na spletni strani.

Saj to je že en čas. Recimo na http://forums.mozillazine.org/ucp.php?m...
pod poljem za vpis username je "oblaček" z napisom: This connection is not secure...

(Firefox)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

starfotr ::

Potem pa neki neumni ponudniki storitev zahtevajo, da se za https plača. HTTP pa zastonj. Halo, leto 2018.

Recimo: https://cookie-script.com/blog/user-man...

b3D_950 ::

Zaradi tega:



panika?
Zdaj ko je mir, jemo samo krompir.

poweroff ::

Jo, ste ubogi. Boste pač "naštudirali" (v resnici je zelo preprosto) kako nastaviti HTTPS ali pa boste preprosto požrli "not secure". Kar se mene tiče, bi uvedel tudi obvezne SSL teste in kaznoval tudi tiste, ki ne dosegajo dovolj visoke stopnje varnosti (npr. ni PFS, podpora SSL3 ali TLS1.0,...).

In bistvo zasebnosti je ravno to - da tretje osebe ne vidijo katero vsebino ti konzumiraš. Zbiranje podatkov je zgolj samo še dodaten poseg v zasebnost.
sudo poweroff

jype ::

No ja, meni se "not secure" zdi bolj secure, kot na hitro naštudiran TLS.

filip007 ::

Zadosti bi bilo "Unsecure", končnemu uporabniku kaj dosti ne pomaga, kaj pa on ve.
Trevor Philips Industries

Zgodovina sprememb…

  • spremenil: filip007 ()

AndrejO ::

filip007 je izjavil:

Zadosti bi bilo "Unsecure", končnemu uporabniku kaj dosti ne pomaga, kaj pa on ve.

Končne uporabnike bomo učinkovito natrenirali, da bodo vse skupaj ignorirali.

Tako, kot smo jih učinkovito natrenirali, da poklikajo vsa potrebna opozorila, da potrdijo neveljavno digitalno potrdilo.

In potem, ko bo to urejeno, bomo "tehnologi" stvar navili še za eno stopnjo (beri: dodali še več opozoril za ignoriranje namesto, da se bi posvetili iskanju rešitev).

Val202 ::

Podobno kot na cigaretnih ovitkih. "Kajenje lahko povzroča raka" odsotno prebereš medtem ko si prižigaš tretjo cigareto zapored :)

@AndrejO: imaš popolnoma prav! Enako kot pri digitalnih potrdilih (accept & save). Navadni uporabniki sploh ne znajo prebrati podrobnosti o certifikatu, kaj šele, da bi razumeli kaj pomenijo. Vse kar želijo je, da pridejo do spletne strani, ki so so odprli. Enako velja tudi za GDPR (ali karkoli že je). Kopica opozoril in itak vsi kliknemo Accept, ker nam dol visi za piškotke in podobno navlako.

Zgodovina sprememb…

  • spremenilo: Val202 ()

Jerry000 ::

jype je izjavil:

Jerry000 je izjavil:

Ne vem, kolikor sem gledal je potrebno za https plačat certifikat letno. Kar ne želim ravno, glede na to da je spletna stran bolj narave portfolija.
Slabo si gledal. Za HTTPS ni treba plačat že vsaj 10 let, od tega vsaj 2 leti tudi podaljševanje certifikata lahko ureja spletni strežnik sam.

RedDrake je izjavil:

Hjah, načeloma je trivialno.
Ampak načeloma je tudi nekdo v Moskvi zadel trabanta na loteriji, na koncu se pa izkaže da so nekomu ukradli kolo v Leningradu ...
Nihče ne pravi, da se ne smeš odločiti, da boš še naprej uporabljal http.

Čisto sigurno, se ne spoznam na to zadevo (še) ravno :). Sem pa tu gledal (imam pri njih domeno in gostovanje):
https://www.neoserv.si/ssl-certifikati/...
Za obdobje 1 leta je 20EUR

Zgodovina sprememb…

  • spremenil: Jerry000 ()

Tech2k ::

Če kdo misli da si z SSL varen pred tem da tretja oseba ne vidi katero stran konzumiraš se zelo moti.

Jerry000 ::

Jap, prav sem imel, samo izrazil narobe. HTTPS je free, ampak SSL certifikat potrebuješ da dobiš HTTPS, kar pa znese letno plačevanje (30EUR letno). Tako da, i'll skip that. Ne vem ali je smiselno to plačevat za nek portfolio/osebni page

poweroff ::

Bože mili.

SSL certifikati so tudi brezplačni.

https://letsencrypt.org/

Totally free. Obnavljati ga je treba na 3 mesece, lahko pa nastaviš da se to dogaja samodejno.
sudo poweroff

darkolord ::

poweroff je izjavil:

In bistvo zasebnosti je ravno to - da tretje osebe ne vidijo katero vsebino ti konzumiraš. Zbiranje podatkov je zgolj samo še dodaten poseg v zasebnost.
Hostname se kljub temu vidi pri HTTPS.

Zgodovina sprememb…

Jerry000 ::

poweroff je izjavil:

Bože mili.

SSL certifikati so tudi brezplačni.

https://letsencrypt.org/

Totally free. Obnavljati ga je treba na 3 mesece, lahko pa nastaviš da se to dogaja samodejno.

Hm...kaj pa je to potem razlika od onih na Neoserv? Tam so 30EUR letno. Pa oni to vkomponirajo, jaz niti ne znam to vkomponirat v spletno :D

jype ::

Jerry000 je izjavil:

Hm...kaj pa je to potem razlika od onih na Neoserv? Tam so 30EUR letno. Pa oni to vkomponirajo, jaz niti ne znam to vkomponirat v spletno :D
Plačaš njim, da se s tem ukvarjajo. Glede na to, da oni načeloma vedo, kaj počnejo, to ni tako slab deal.

Glede na to kako sicer postopajo verjamem, da bodo HTTPS v bližnji prihodnosti brezplačno ponudili kar sami.

Zgodovina sprememb…

  • spremenilo: jype ()

Jerry000 ::

Ni slab, ampak ne želim ravno še 30EUR dati letno za mojo stran. Malo sem gledal free SSL:
https://www.sslforfree.com

Tukaj imajo lepo napisan postopek kako sam inštalirat, kar bi tudi rad poskusil sam (vidim da ni komplicirano). Je stran legit? Ali je to bolj tako? Ne vem niti kaj je razlika med tem SSL in onim plačljivim. Če lahko nekdo ki se razume razloži?

jype ::

Jerry000 je izjavil:

Tukaj imajo lepo napisan postopek kako sam inštalirat, kar bi tudi rad poskusil sam (vidim da ni komplicirano). Je stran legit? Ali je to bolj tako? Ne vem niti kaj je razlika med tem SSL in onim plačljivim. Če lahko nekdo ki se razume razloži?
Matthai je dal link že trikrat.

https://letsencrypt.org/ je trenutno eden od glavnih ponudnikov "domain-authenticated" SSL infrastrukture, ki je brezplačna in omogoča avtomatično podaljševanje.

Zgodovina sprememb…

  • predlagal izbris: janig ()

Jerry000 ::

jype je izjavil:

Jerry000 je izjavil:

Tukaj imajo lepo napisan postopek kako sam inštalirat, kar bi tudi rad poskusil sam (vidim da ni komplicirano). Je stran legit? Ali je to bolj tako? Ne vem niti kaj je razlika med tem SSL in onim plačljivim. Če lahko nekdo ki se razume razloži?
Matthai je dal link že trikrat.

https://letsencrypt.org/ je trenutno eden od glavnih ponudnikov "domain-authenticated" SSL infrastrukture, ki je brezplačna in omogoča avtomatično podaljševanje.

Ja, vendar pri njihovem Get started, se ne znajdem, tisti link katerega sem jaz dal imajo pa lepo opisan postopek, tudi za vizualna bija kot sem jaz :). Kakorkoli, sem vprašal na neoserv, imam v paketu brezplačen SSL od LetsEncrypt, katerega moram sam inštalirat. Mislim da sedaj ne bo težav, bom kar sam, če pa kaj ne bo jasno pa pišem ;). Sem se pa nekaj novega naučil danes :), hvala za informacije.

Zgodovina sprememb…

  • spremenil: Jerry000 ()

poweroff ::

darkolord je izjavil:

poweroff je izjavil:

In bistvo zasebnosti je ravno to - da tretje osebe ne vidijo katero vsebino ti konzumiraš. Zbiranje podatkov je zgolj samo še dodaten poseg v zasebnost.
Hostname se kljub temu vidi pri HTTPS.

Ja, to je sicer res, ampak v praksi pomeni, da sicer vsak dan gledaš pornografijo na Pornhubu, ne da pa se ugotoviti kateri žanr ti je všeč. Kar je včasih že dovolj dobra zaščita zasebnosti.
sudo poweroff

blackbfm ::

jype je izjavil:

Jerry000 je izjavil:

Hm...kaj pa je to potem razlika od onih na Neoserv? Tam so 30EUR letno. Pa oni to vkomponirajo, jaz niti ne znam to vkomponirat v spletno :D
Plačaš njim, da se s tem ukvarjajo. Glede na to, da oni načeloma vedo, kaj počnejo, to ni tako slab deal.

Glede na to kako sicer postopajo verjamem, da bodo HTTPS v bližnji prihodnosti brezplačno ponudili kar sami.


Nevem kaj ljudje komplicirajo, ssl se nastavi z dvemi tremi kliki v kontrolni plošči gostovanja. Vsak kolikortok normalen ponudnik ti to nudi.

mtech7 ::

Ja že, ampak plačljivo..

poweroff ::

Ja, ampak potem se splača se SSL test narediti. Recimo za moj blog:

https://www.ssllabs.com/ssltest/analyze...

Mimogrede, splača se pogledati tudi SecurityHeaders:

https://securityheaders.com/?q=telefonc...
sudo poweroff

Jerry000 ::

mtech7 je izjavil:

Ja že, ampak plačljivo..

Ne, imaš opcijo tudi zastonj. Samo mora skrbnik spletne strani potem to urediti (gre na cPanel, pa potem tam inštalira z par kliki)

«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

SSL-certifikat (in vpis v administracijo)

Oddelek: Izdelava spletišč
141849 (1394) c3p0
»

Pornhub s HTTPS protokolom nad požrešne ISP-je (strani: 1 2 )

Oddelek: Novice / Zasebnost
5821991 (10648) M.B.
»

Pripravite vašo spletno stran na nov zakon o piškotkih (strani: 1 2 3 412 13 14 15 )

Oddelek: Izdelava spletišč
744215153 (166719) Tydek
»

Kdo vse ne priznava novega ZEKom (strani: 1 2 3 )

Oddelek: Novice / NWO
13144709 (36347) trizob
»

Internet Explorer 8 najboljši proti malwaru (strani: 1 2 )

Oddelek: Novice / Brskalniki
8510276 (7433) FitnessBoy

Več podobnih tem