Το εξήγησα νωρίτερα και το ανέφερε και ο mrsaccess πιο πάνω. Δεν χρειάζεται να πληρώσεις τίποτα απολύτως. Μπορείς να βγάλεις δικά σου, self-signed certificates για να κάνεις HTTPS. Δεν χρειάζεται να πληρώσεις κανέναν. Το πρόβλημα με αυτό είναι ότι αν το certificate δεν αναγνωρίζεται από κάποιον 3ο, υπεύθυνο να εκδίδει certificates (πχ Verisign), δεν γνωρίζει ο χρήστης (και κατ' επέκταση ο browser) αν είσαι όντως αυτός που λες ότι είσαι. Αυτό δεν είναι πρόβλημα για το HTTPS αλλά είναι θέμα καθαρά certificate, γιατί τα certificates είναι ψηφιακή υπογραφή παρόμοια με την ταυτότητα και όταν δεν έχει εκδοθεί από κάποιον υπεύθυνο θεωρείται ως πιθανόν ψεύτικο και ίσως μη ασφαλές.
Εμφάνιση 16-25 από 25
-
05-05-15, 00:06 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #16
-
05-05-15, 00:45 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #17
- Εγγραφή
- 27-08-2004
- Περιοχή
- internet
- Μηνύματα
- 23.371
- Downloads
- 58
- Uploads
- 17
- Άρθρα
- 9
- Ταχύτητα
- 49999 / 4999
- ISP
- ΟΤΕ Conn-x
- DSLAM
- ΟΤΕ - ΚΟΥΝΟΥΠΙΔΙΑΝΩΝ
Αυτό δεν είναι λύση γιατί τα self-signed certificates οι δημοφιλής browser τα αντιμετωπίζουν τάξεις μεγέθους χειρότερα από τις σελίδες χωρίς SSL. Νομίζω κάποια στιγμή ή σε συγκεκριμένες περιπτώσεις για παράδειγμα, ο Chrome δεν σε αφήνει καν να προσθέσεις αυτόματα exception αλλά πρέπει να κάνεις την διαδικασία του import χειροκίνητα από τις ρυθμίσεις.
Για δωρεάν certificates προς το παρόν υπάρχει μόνο η StartSSL η οποία δίνει δωρεάν level 1 certificates.
Υπάρχει και η πρωτοβουλία του CACert αλλά δυστυχώς πρακτικά κανείς δεν συμπεριλαμβάνει το root cert τους.
ΥΓ. Νομίζω πρόσφατα άκουσα και για μια εταιρεία από την Ασία που δίνει δωρεάν certificates αλλά έχουν παρόμοιο πρόβλημα με το CACert αν θυμάμαι καλά.Gentoo Linux: mess with the best and you might learn something
δικτυακή παράσταση | twitter | within specifications
Αν φτάσω τα 100 και με ρωτήσουν το μυστικό της μακροζωίας θα πω: Πάντα είχα 3 ποτήρια μπροστά μου· ένα με νερό, ένα με καφέ & ένα με αλκοόλ.
-
05-05-15, 01:06 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #18
Ναι γιατί τα self-signed certificates τα χρησιμοποιούν συνήθως phising sites για να δώσουν την αίσθηση ότι είναι τα site που θες ενώ είναι μούφα. Αυτό φυσικά δεν σημαίνει ότι ένα site με self-signed certificate είναι κακόβουλο.
Μία εποχή έδινε και η Comodo certificates δωρεάν αλλά μόνο για e-mail νομίζω.
-
05-05-15, 03:58 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #19
παντως απο οσο διαβασα (τα ελαχιστα) για την StartSSL μου φαινεται οτι κανετε ενα λαθος δεν δινει δωρεαν (καθως βρηκα τιμες μεσα στην σελιδα της) ειστε σιγουροι?
δεν το συζητω βεβαια για το φορεα που αναφερε ο φιλος την verisign αστο..
σας ευχαριστω παντως για τις απαντησεις θα δουμε τι θα γινει...και ποσο θα ειναι εφικτο τουλαχιστον για μενα και αλλους σαν εμενα να εφαρμοσουμε κατι τετοιο...
-
05-05-15, 04:50 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #20
Απ' ότι βλέπω έχει το απλό, δωρεάν πακέτο το οποίο ισχύει για domain ή e-mail και έχει και πιο ειδικά πακέτα σε περίπτωση που υπάρχουν άλλες απαιτήσεις.
-
05-05-15, 12:14 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #21
-
05-05-15, 15:11 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #22
Όπως και να εχει, είναι πολυ κακο για όσους έχουν μικρά ερασιτεχνικα site. Θα κανει τη ζωη δυσκολη σε οσους δεν εχουν τις αναλογες γνωσεις για να γυρισουν ολο τους το site σε ssl. Καποτε ειχα φτιαξει ενα site με moodle και ηταν απιστευτα πολυπλοκο να το μετατρεψω ωστε να υποστηριξει https.
-
05-05-15, 15:28 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #23
-
05-05-15, 16:33 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #24
Σε ιστοσελίδες που δεν απαιτείται η εισαγωγή "ευαίσθητων δεδομένων" (πχ login/password) δεν βλέπω το λόγο/όφελος για την ενεργοποίηση https. Από την άλλη βέβαια, όλα τα sites απο μικρά ως μεγάλα, εφόσον βασίζονται στα κλασικά CMS που η διαχειριστική πρόσβαση είναι ανοιχτή στο internet(και δεν γίνεται πχ μέσω κάποιου vpn) τότε επιβάλλεται η χρήση https τουλάχιστον στο διαχειριστικό κομμάτι.
Οσο αφορά την απόκτηση SSL πιστοποιητικού και την ενεργοποίηση του, απο ένα γρήγορο googling, τα απλά πιστοποιητικά ξεκινούν απο 13euro πόσο το χρόνο, που την θεωρώ ανεκτή τιμή για ερασιτέχνες. Η εγκατάσταση του πιστοποιητικού εξαρτάται από την κάθε εγκατάσταση πόσο πολύπλοκή η εύκολη διαδικασία θα καταλήξει. Ιδιαίτερα παλαιότερα που το πρωτόκολλο SNI δεν ήταν τόσο διαδεδομένο, το να έχεις πολλαπλά πιστοποιητικά στον ίδιο server ήταν ζόρικη δουλειά. Πλέον τόσο ο apache όσο και ο nginx είναι αρκετά εύκολο να σεταριστούν, και είναι θέμα της εκάστοτε εφαρμογής το πως θα συμπεριφερθεί ειδικά όταν έχει καρφωτά urls..
-
05-05-15, 19:22 Απάντηση: Περιορισμό της λειτουργικότητας ανασφαλών sites και νέα χαρακτηριστικά μόνο σε όσα χρησιμοποιούν HTTPS θέλει η #25
Δεν είναι μόνο για login forms.
Με την χρήση https δεν μπορεί κάποιος ενδιάμεσος να δει την κίνηση που κάνεις.
Αν εσύ ψάχνεις στο google 'Δεν μου σηκώνεται, τι να κάνω;' χωρίς https, οποιοσδήποτε μεταξύ εσένα και της google υπάρχει η πιθανότητα να σου snifάρει την κίνηση και να δει ακριβώς τι έψαχνες και τι έκανες.
Με https το μόνο που μπορεί να δει είναι την IP και το port που συνδέεσαι. Όχι το domain και τα urls που καλείς.
Επίσης βάσει RFC όταν βρίσκεσαι σε μία σελίδα με https και πατήσεις σε κάποιο λινκ που οδηγεί σε άλλη σελίδα (άλλο domain) τότε ο browser δεν στέλνει referer header στην άλλη σελίδα προστατεύοντας έτσι το privacy σου.
Οπότε οι άλλες σελίδες δεν ξέρουν από που τους ήρθες. Ένα στοιχείο όπου συνδυαστικά μπορεί να κάνει compromise το privacy σου (πχ έχω στην υπογραφή μου την σελίδα μου, τσακωνόμαστε στο forum εδώ, και εσύ πατάς στο site μου να δεις τι ρόλο βαράω - εγώ από την μεριά μου στα logs θα δω requests με referer το thread που τσακωνόμαστε και με την μία έχω περιορίσει τις πιθανές IPs σου σε μερικές με ότι αυτό συνεπάγεται περαιτέρω)
Γενικά το https βοηθάει στο privacy των χρηστών ώστε κανένας ενδιάμεσος να μην ξέρει τι κάνεις στην σελίδα που επισκέπτεσαι. Αυτό συμπεριλαμβάνει φυσικά και τα login forms που ανέφερες.
Από την άλλη ωστόσο η κίνηση της Mozilla για μένα είναι λάθος και θεωρεί πως όλοι οι χρήστες είναι χαζοί και άσχετοι (με άλλα λόγια προσπαθεί να γίνει Google & Apple :P Φαίνεται άλλωστε στις τελευταίες 10 εκδόσεις του που γίνεται ολοένα και περισσότερο chrome ).
Στην θεωρία είναι ωραίο το https παντού, στην πράξη όμως υπάρχουν (ακόμα) προβλήματα (και όχι απαραίτητα σε επίπεδο webservers, ssl termination, web caches κλπ κλπ, αλλά σε επίπεδο σχεδιασμού των σελίδων) και δεν είναι τόσο απλό το να κόψεις το plain http. Ειδικά αν γίνει μαχαίρι από την μία έκδοση στην άλλη του FF όπως έκανε πριν καιρό που σταμάτησαν μαχαίρι να παίζουν πολλά certificates λόγω μικρού size των keys (και ναι σαφώς και ήταν καλό να αυξηθεί το minimum size αφού σπάνε πιο εύκολα σήμερα τα keys των 512bytes - αλλά όταν χειρίζεσαι δεκάδες servers με χιλιάδες sites και ξαφνικά σταματάνε να παίζουν ένα σωρό από την μία μέρα στην άλλη, οι admins είναι αυτοί που τρώνε το αγγούρι και τρέχουν να βγάλουν το φίδι από την τρύπα, όχι η κάθε Mozilla που αυθαίρετα από την μία έκδοση στην άλλη αλλάζει τα φώτα στον FF).
Αν ήταν έτσι απλά τα πράγματα, όλα τα sites θα είχαν ήδη https, δεν θα περίμεναν την κάθε Mozilla να τους υποχρεώσει.
Παρόμοια Θέματα
-
Την τεχνολογία "AnyPen" για tablets και νέα μοντέλα ThinkPad και Yoga παρουσίασε η Lenovo στην CES 2015
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 2Τελευταίο Μήνυμα: 28-04-15, 17:17 -
Η Xiaomi ανακοινώνει το MIUI 6 με πολλά νέα χαρακτηριστικά
Από DJG στο φόρουμ ΕιδήσειςΜηνύματα: 4Τελευταίο Μήνυμα: 04-09-14, 15:38 -
Η Google ταξινομεί υψηλότερα στα αποτελέσματα αναζήτησης όσα sites χρησιμοποιούν HTTPS
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 6Τελευταίο Μήνυμα: 11-08-14, 12:48 -
Η αναζήτηση Google θα εμφανίζει προειδοποίηση για μειωμένη λειτουργικότητα σε όσα sites έχουν flash content
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 37Τελευταίο Μήνυμα: 22-07-14, 00:48 -
Η Mozilla αναγκάζεται να ενσωματώσει υποστήριξη DRM στον Firefox
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 54Τελευταίο Μήνυμα: 19-05-14, 12:02
Bookmarks