Везде оно нужно, хотя бы чтобы быжлопровайдеры баннеры не пихали

и твои "прививки" тоже - нужны не всем и не всеми вакцинами. Голову нужно включать.

да и смысла на какой-нибудь вики в хттпс ровно ноль. Оно нужно, но только для вещей типа банкинга

Только ли?

И нагрузка это чушь собачья с aesni

аппаратно не ускоряется чтоли?

что именно? ssl в чистом виде - нет, только отдельные операции

Я просто не фанатик воинствующей безграмотности:)

какой-нибудь aes

Я просто не фанатик воинствующей безграмотности:)

как раз фанатик

а в чем смысл https в телеграмме?

А там тяжелого только aes и есть

https везде не нужен, но иногда он очень полезен

И нагрузка это чушь собачья с aesni

1) оно состоит не только из шифрования, там много чего есть, и хендшейк не сильно ускоряется 2) оно есть не во всех процах, в частности - армы в телефонах - вполне может не быть. Или в инет с телефона запрещено? Коре2 вроде еще не было, а они до сих пор работают. 3) это "криптографические алгоритмы", хочешь присесть за телефон с аппаратным aes из китая? А в рф это реально.

https везде не нужен, но иногда он очень полезен

казалось бы, это универсальное утверждение подходит к чему угодно, странно что есть противники

https везде не нужен, но иногда он очень полезен

например, чтобы просто так не слить код авторизации (:

Нужен, нужен

например, чтобы просто так не слить код авторизации (:

кому надо - сольет и так. Хацкеры в пролете, но от слежки спецслужбами ssl защищает почти никак.

товарищ в погонах негодуэ

ключи не сдают на дискетках

1) оно состоит не только из шифрования, там много чего есть, и хендшейк не сильно ускоряется 2) оно есть не во всех процах, в частности - армы в телефонах - вполне может не быть. Или в инет с телефона запрещено? Коре2 вроде еще не было, а они до сих пор работают. 3) это "криптографические алгоритмы", хочешь присесть за телефон с аппаратным aes из китая? А в рф это реально.

Вопрос - а вреден-то он чем? И что вместо него есть сейчас? Поддерживаемое хоть как-то широко?

кому надо - сольет и так. Хацкеры в пролете, но от слежки спецслужбами ssl защищает почти никак.

я так понимаю, тут работает https://en.wikipedia.org/wiki/Nothing_to_hide_argument ?

1) оно состоит не только из шифрования, там много чего есть, и хендшейк не сильно ускоряется 2) оно есть не во всех процах, в частности - армы в телефонах - вполне может не быть. Или в инет с телефона запрещено? Коре2 вроде еще не было, а они до сих пор работают. 3) это "криптографические алгоритмы", хочешь присесть за телефон с аппаратным aes из китая? А в рф это реально.

1) В студию статистику от нагрузки хендшейка против трафика 2) На телефоне много и не выкачаешь, разницы нет 3) страшилки мне неинтересны

ключи не сдают на дискетках

идешь в дружественный корневой СА, можно даже без бумажки, выписываешь на нужный домен серт на свой ключ, внедряешь по пути, читаешь-модифицируешь. И защиты от такого — только доверие, что СА не будут так делать. А они будут.

Вопрос - а вреден-то он чем? И что вместо него есть сейчас? Поддерживаемое хоть как-то широко?

почитай правила импорта устойств с криптографическими возможностями. Получи разрешение в фсб. Потом говори.

можно гуглить "импорт cisco k9" например

идешь в дружественный корневой СА, можно даже без бумажки, выписываешь на нужный домен серт на свой ключ, внедряешь по пути, читаешь-модифицируешь. И защиты от такого — только доверие, что СА не будут так делать. А они будут.

Идешь в дружественный центробанк, просишь нарисовать тебе миллиардик-другой на личном счету - и тебя больше не беспокоят всякие шифрования и т.п. :-)

я так понимаю, тут работает https://en.wikipedia.org/wiki/Nothing_to_hide_argument ?

частично. Если я читаю хабр/вики, ссл мне не впёрся, разве что как защита от мегафна/б**лайна. Всякие крипты, биржи, банкинг — там только ssl

частично. Если я читаю хабр/вики, ссл мне не впёрся, разве что как защита от мегафна/б**лайна. Всякие крипты, биржи, банкинг — там только ssl

то есть ты готов спокойно логинпароль от чего-то там слить третьему чуваку?

Идешь в дружественный центробанк, просишь нарисовать тебе миллиардик-другой на личном счету - и тебя больше не беспокоят всякие шифрования и т.п. :-)

что (резко) увеличит инфляцию и вызовет тьму проблем. Такое себе позволяет только сша, и то - деньги там печатает частная фирма, не государство!

то есть ты готов спокойно логинпароль от чего-то там слить третьему чуваку?

привет oauth? и вообще асинхронные авторизации, те же ssh ключи.

то есть ты готов спокойно логинпароль от чего-то там слить третьему чуваку?

а ты на каждом сайте перечитываешь что в серте написано?

что (резко) увеличит инфляцию и вызовет тьму проблем. Такое себе позволяет только сша, и то - деньги там печатает частная фирма, не государство!

Вот и я про то же самое - не каждый Вася из соседнего подъезда имеет знакомого CA

а ты на каждом сайте перечитываешь что в серте написано?

на нужных мне - да

точнее даже не я, а расширение для браузера (:

на нужных мне - да

а на ненужных?

привет oauth? и вообще асинхронные авторизации, те же ssh ключи.

и какой прок от oauth/ключей по http, если оно плейнтекстом идет?

А абсолютной защиты не существует. Всегда есть английский вариант "не скажешь пароль сам - присядешь"

а на ненужных?

а на ненужные мне все равно

вообще, верх безопасности - ssh ключи. Длину побольше, а дальше - сверка параметров при каждом подключении и отказ при несовпадении, можно обменяться публичными ключами любыми методами, и это совершенно безопасно..

а на ненужные мне все равно

но https там должен быть.... понятно

но https там должен быть.... понятно

необязательно

необязательно

тут утверждают что должно быть на всех и обязательно

но если ты уважаешь себя и пользователей, которые логинятся на твой сайт - сделай себе HTTPS, не ленись

но если ты уважаешь себя и пользователей, которые логинятся на твой сайт - сделай себе HTTPS, не ленись

а если у меня нет логина?

а если у меня нет логина?

а речь не конкретно про тебя (:

Вот и я про то же самое - не каждый Вася из соседнего подъезда имеет знакомого CA

и снова - "от хацкера спасет, от оф слежки - нет". Такая мнимая безопасность. Сосед отснифал но пароль ему не получить, значит это совершенно безопасно и никто никогда не увидит что я делаю.

более того, митм в компаниях вполне норм

а речь не конкретно про тебя (:

я имею ввиду если у меня на сайте не предусмотрен вход по логину

мне все-равно https обязательно пилить?

"ссл прокалывание", как оно там правильно пишется

я имею ввиду если у меня на сайте не предусмотрен вход по логину

у меня там вообще никаких форм нет

и какой прок от oauth/ключей по http, если оно плейнтекстом идет?

там не пароли, а хэши пароля, логина, и всяких nonce

я имею ввиду если у меня на сайте не предусмотрен вход по логину

есть вход по сертификатам

мне все-равно https обязательно пилить?

желательно

pinning

там не пароли, а хэши пароля, логина, и всяких nonce

этого достаточно, чтобы залогиниться под тобой

вообще, верх безопасности - ssh ключи. Длину побольше, а дальше - сверка параметров при каждом подключении и отказ при несовпадении, можно обменяться публичными ключами любыми методами, и это совершенно безопасно..

Не надо быть семи пядей во лбу чтобы понимать что между ssh и https никакой принципиальной разницы нет, та же проблема распределения ключей. В ssh они, считай, самоподписанные почти всегда - первый раз согласился на ключ, имеешь шанс mitm навсегда. CA в https защищает именно от этого. А фингерпринты сравнить можно и там и там, если ca не доверяешь.

и снова - "от хацкера спасет, от оф слежки - нет". Такая мнимая безопасность. Сосед отснифал но пароль ему не получить, значит это совершенно безопасно и никто никогда не увидит что я делаю.

Такой же безграмотный бред как у phk. Не бывает абсолютной безопасности, защищаются всегда от набора угроз. То что защищает от большего набора реальных угроз лучше чем то что ни от чего не защищает

ещё есть публичные wifi, в которые без шифрования что-либо слать вредно для здоровья

Такой же безграмотный бред как у phk. Не бывает абсолютной безопасности, защищаются всегда от набора угроз. То что защищает от большего набора реальных угроз лучше чем то что ни от чего не защищает

это у тебя безграмотный бред, а аргументы см выше. Плюс — см выше, "мнимая безопасность". Иногда лучше вообще без защиты чем так, тут защитили там нет.

Зарплата не нужна - ее все равно всегда мало

желательно

с другой стороны, я и сделал за 5 минут, только благодаря простоте Let's Encrypt

Зарплата не нужна - ее все равно всегда мало

зарплата == безопасность? А денег всегда мало, даже если лярд в месяц получаешь. Госудаство соседнее не купишь, мало денег.

именно "шоб было"

"шоб было" оно норм

с другой стороны, я и сделал за 5 минут, только благодаря простоте Let's Encrypt

ну вот, от Васи, который решил тебя заmitmить, ты защитил себя и своих пользователей

ERROR: S client not available

молодец! :)

а государству пофиг, оно просто придет и опечатает твои серваки (:

@Боятся спецслужб @Абсолютно безграмотны в безопасности @Не надо так

ну вот, от Васи, который решил тебя заmitmить, ты защитил себя и своих пользователей

есть игра одна, на андроиде.... клиент-серверная... т.е. клиент андроид - серверный фронтенд на php скриптах... общение через https, и вивидмо именно шоб было, потомучто от MITM оно не защищено и успешно хакнуто ))))

DNS в TLS тоже нужная вещь

есть игра одна, на андроиде.... клиент-серверная... т.е. клиент андроид - серверный фронтенд на php скриптах... общение через https, и вивидмо именно шоб было, потомучто от MITM оно не защищено и успешно хакнуто ))))

очень показательно имхо

а от митма надо регулярно проверяться на https://www.ssllabs.com/ssltest/analyze.html к примеру и если лень разбираться - https://mozilla.github.io/server-side-tls/ssl-config-generator/

есть игра одна, на андроиде.... клиент-серверная... т.е. клиент андроид - серверный фронтенд на php скриптах... общение через https, и вивидмо именно шоб было, потомучто от MITM оно не защищено и успешно хакнуто ))))

ну там разраб конечно тот еще криворукий долбоеб... но таких же много

это у тебя безграмотный бред, а аргументы см выше. Плюс — см выше, "мнимая безопасность". Иногда лучше вообще без защиты чем так, тут защитили там нет.

Да, в бой лучше с голой жопой потому что броник не защищает голову.

аргументы кончились, пошел бред фанатика.. нечего больше обсуждать

узнаю чатик про FreeBSD

узнаю чатик про FreeBSD

культурно же все

узнаю чатик про FreeBSD

Да, недаром что FreeBSD, что FidoNet - оба на F...

Да, недаром что FreeBSD, что FidoNet - оба на F...

а еще BSD и BDSM

Да, недаром что FreeBSD, что FidoNet - оба на F...

Однако, что-то неудачно пошутил. Деанонсирую свою реплику.

аргументы кончились, пошел бред фанатика.. нечего больше обсуждать

О каких аргументах может быть речь, когда оппоненту чужда логика?

небезопасные, устаревшие методы защиты TLS вполне себе можно запрещать

/me скучает по плюсомету...

все свои предложения по улучшению безопасности всегда можно предложить в IETF

и снова - "от хацкера спасет, от оф слежки - нет". Такая мнимая безопасность. Сосед отснифал но пароль ему не получить, значит это совершенно безопасно и никто никогда не увидит что я делаю.

Вот в этот "аргумент" ты тыкаешь. То есть от оф слежки не спасёт - не будем защищаться от соседа. Тут правда можно не продолжать.

Но можно расслабиться, поскольку повальный https для всего уже свершился. Остался только безусловный красный значок в хроме для http, до него осталось немного

Некоторые по тем же причинам предлагают не включать DNSSEC. Других методов защиты почему-то не предлагают :)

Некоторые просто живут чтобы придумывать причины против чего угодно

Есть персонаж который призывает на python3 и c++11 не переходить, просто потому что

во, правильно предлагают на telnet возвращаться :)

нуаче? я на оффтопике оч долго юзал телнет

ktelnet норм же.

нуаче? я на оффтопике оч долго юзал телнет

в DNS прописал SSHFP? :)

Только каналов нема…

Вот в этот "аргумент" ты тыкаешь. То есть от оф слежки не спасёт - не будем защищаться от соседа. Тут правда можно не продолжать.

а если ты будешь читать не только себя, то увидишь про публичную инфу. Почта - приватна, вики, хабр итд - публична. Но ты продолжай слушать только себя.

я нигде не говорил что оно не нужно вообще. Только что на ряде сайтов.