Форум OlegON > Компьютеры и Программное обеспечение > Сеть > Создание сайтов и поисковая оптимизация (SEO)

Стоит ли переходить на https? : Создание сайтов и поисковая оптимизация (SEO)

29.03.2024 10:44


10.01.2015 12:53
OlegON
 
Прослушал



в Яндексе появилась сноска о переключении на https.

Если у кого-то мысли по теме будут - высказывайтесь... Мне что не нравится, это во-первых, что геморрой и глюки с сертификатами, в том числе из-за перестановки дат, а так же сравнительно небольшого срока действия сертификатов. Во-вторых, помимо того, что SSL требует ресурсов на шифрование, еще и кешировать странички не получится. В видео же настойчиво предлагают перевести все, что только можно, даже обычные блоги, поскольку пользователю может быть неприятно, что кто-то может отследить, что он и как делает на ресурсе.

В общем, я пока, так сказать, по специальности поработаю, а переводить на https не буду. Если есть какие-то дополнительные нюансы, о которых я забыл или не знаю, хотелось бы их увидеть тут.
10.01.2015 16:02
Micle
 
1. https vs ресурсы - лично мне думается, что на генерацию страницы тратится несравнимо больше ресурсов, чем на её шифрование.

2. Кеширование:
а. на стороне раздающего сервера - легко реализуется на бекенде, который генерит контент. Шифрованием занимает фронтенд.
б. на стороне клиента вопросом кеширования занимается браузер. При желании корпоративного кеширования - поднимается https прокси+sslbump, устанавливается доверие между клиентом и сертификатом прокси сервера. Проверкой сертификатов от сайта в данном случае занимается прокси. Клиенту выдаётся сертификат сайта заверенный CA сертификатом прокси сервером (который вполне может быть само-подписанным).

3. Чем пользователь занимается на блоге защищённым SSL шифрованием знает как минимум сисадмин сайта в любом случае... это по определению... Так что надежды неграмотных пользователей можно сразу убирать в сторону SSL в данном случае полностью их "защитить" не может. Своим же корпоративным пользователям я даю на подпись "интукцию по использованию ресурсов интернет" в которой чётко написано, что интернет трафик трафик с компов предприятия отслеживается весь включая зашифрованный.
01.05.2015 10:01
OlegON
 
В общем, как-то сомнительная польза от этого переезда, как я оцениваю... При очевидном вреде в виде потери траффика на время переезда, как минимум.
Если честно, гложут мысли на тему переезда обратно. Что думаете? Возиться с продлением сертификатов совсем не хочется. А откатываться лучше летом, пока траф минимальный.
05.05.2015 11:49
OlegON
 
Мозилла обещает бесплатные и автоматические сертификаты https://letsencrypt.org/howitworks/
и тем не менее навязчивая идея переехать обратно...
05.05.2015 14:32
baggio
 
имхо... толку н нашем ресурсе от https нет...
я за переезд обратно...
05.05.2015 15:14
OlegON
 
Прикол в том, что Mozilla и Google собираются закрыть http вообще, т.е. постепенно закрыть поддержку в браузерах или сделать его использование неудобным. Я бы соскочил уже, но если обратно придется в скором времени возвращаться...
05.05.2015 15:25
Micle
 
А они подумали о "внутренних сайтах", о оборудовании настраиваемом через веб морду, и ещё многом другом, что работает через http протокол и при этом не критично к перехвату данных либо защищено от него структурой сети ???

полностью отказаться от http ??? Да я скорее сменю браузер.
05.05.2015 16:22
OlegON
 
вот заметка на эту тему. У гугла это было еще раньше, просто тогда его не поддержали.
У гугла проблемы с его блоггером, к которому нельзя прикрутить свой домен на https, поскольку блоггер чужие сертификаты в себе не держит...
27.12.2015 07:49
OlegON
 
Я как-то не пометил в этой теме свое мнение...

Предполагаю, что до того, как нормально не заработает letsencrypt, а потом еще не пройдет некоторое время, HTTPS не нужен. По крайней мере я буду оттягивать до последнего момента переход на него и даже просто работу зеркала на этом протоколе.

Во-первых, переход связан с тем, что поисковики долго и нудно переиндексируют сайт и на этот момент понижают его в ранжировании. Во-вторых, в момент переезда может случиться масса глюков, как со стороны сервера, так и со стороны поисковиков. У меня до сих пор за инимой числится куча форумных страниц, причем Google их радостно находит. Далее, начинаются проблемы с браузерами, часть из них (старые) не будет поддерживать какое-то шифрование, другая - поддерживать только те алгоритмы, которые нельзя включать из-за уязвимостей. Танцы с приседаниями с непонятными для меня мотивами. И, наконец, начнутся проблемы с ботами. Что бы там ни говорил Google, после перехода на HTTPS, у меня начались проблемы с индексацией новых тем уже после индексации всего сайта целиком. Видимо, на HTTPS работает не такое большое количество ботов и их тупо не хватает. Кстати, проблемы будут и с рядом других ботов, в том числе непоисковых.

На мой взгляд, для индексируемого содержания требовать включать HTTPS - глупость. Другое дело - личные кабинеты и сайты, где содержимое не должно быть публичным. Устроить волну глюков с непонятной целью... Если уж так надо озаботиться проблемой безопасности и сохранности частной жизни, то правильный путь - модернизация HTTP, того, который работает на 80 порту, чтобы не требовалось изменение архитектуры сайта и его ссылок.
05.03.2020 10:09
OlegON
 
Ростелеком, крупнейший в РФ оператор широкополосного доступа, обслуживающий около 13 млн абонентов, без лишней огласки ввёл в строй систему подстановки своих рекламных баннеров в незашифрованный HTTP-трафик абонентов. Так как подставляемые в транзитный трафик JavaScript-блоки включали обфусцированный код и обращение к неаффилированным с Ростелекомом сомнительным сайтам (p.analytic.press, d.d1tracker.ru, dmd.digitaltarget.ru), вначале возникло подозрение на компрометацию оборудования провайдера и внедрение вредоносного ПО во внутридомовой маршрутизатор. Но после отправки претензии представители Ростелекома указали на то, что подстановка рекламы осуществляется в рамках действующего с 10 февраля сервиса показа баннерной рекламы абонентам.

Показ рекламы осуществляется через баннерную сеть mail.ru, а перемещения отслеживаются через d1tracker.ru (обработчик размещён в облаке Amazon). В коде также фигурируют обращения к домену analytic.press, который зарегистрирован в конце декабря. Как правило, отображается либо полноэкранная реклама, перекрывающее всё содержимое страницы, либо в верхнюю часть страниц добавляется баннер. В большинстве случаев размещаемые блоки выглядят как размещение назойливой рекламы самими сайтами и абонент не догадывается, что на деле реклама подставлена провайдером. Рекламируются всевозможные услуги сторонних компаний (не связанных с Ростелекомом), вплоть до продажи фонариков. Пример подставляемого кода можно изучить в данном архиве. Часть кода обфусцирована и загружается динамически, поэтому без детального анализа трудно судить, подставляют они только рекламу или выполняют какие-то иные действия на стороне клиентского браузера.





Более того, началась подстановка закреплённых баннеров, которые перекрывают нижнюю половину контента и остаются на месте при прокрутке страницы. Данные баннеры уже вполне можно рассматривать как вредоносную активность, так как они мешают просмотру страниц, не имеют кнопки закрытия (дополнение: кнопка закрытия появляется при наведении курсора на баннер, но не показывается по умолчанию, например, не видна на сенсорных экранах) и не позволяют полностью прочитать содержимое.

Часовой пояс GMT +3, время: 10:44.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.