[ОТВЕТИТЬ]
Опции темы
10.01.2015 12:53  
OlegON
Прослушал



в Яндексе появилась сноска о переключении на https.

Если у кого-то мысли по теме будут - высказывайтесь... Мне что не нравится, это во-первых, что геморрой и глюки с сертификатами, в том числе из-за перестановки дат, а так же сравнительно небольшого срока действия сертификатов. Во-вторых, помимо того, что SSL требует ресурсов на шифрование, еще и кешировать странички не получится. В видео же настойчиво предлагают перевести все, что только можно, даже обычные блоги, поскольку пользователю может быть неприятно, что кто-то может отследить, что он и как делает на ресурсе.

В общем, я пока, так сказать, по специальности поработаю, а переводить на https не буду. Если есть какие-то дополнительные нюансы, о которых я забыл или не знаю, хотелось бы их увидеть тут.
 
10.01.2015 16:02  
Micle
1. https vs ресурсы - лично мне думается, что на генерацию страницы тратится несравнимо больше ресурсов, чем на её шифрование.

2. Кеширование:
а. на стороне раздающего сервера - легко реализуется на бекенде, который генерит контент. Шифрованием занимает фронтенд.
б. на стороне клиента вопросом кеширования занимается браузер. При желании корпоративного кеширования - поднимается https прокси+sslbump, устанавливается доверие между клиентом и сертификатом прокси сервера. Проверкой сертификатов от сайта в данном случае занимается прокси. Клиенту выдаётся сертификат сайта заверенный CA сертификатом прокси сервером (который вполне может быть само-подписанным).

3. Чем пользователь занимается на блоге защищённым SSL шифрованием знает как минимум сисадмин сайта в любом случае... это по определению... Так что надежды неграмотных пользователей можно сразу убирать в сторону SSL в данном случае полностью их "защитить" не может. Своим же корпоративным пользователям я даю на подпись "интукцию по использованию ресурсов интернет" в которой чётко написано, что интернет трафик трафик с компов предприятия отслеживается весь включая зашифрованный.
 
"Спасибо" Micle от:
01.05.2015 10:01  
OlegON
В общем, как-то сомнительная польза от этого переезда, как я оцениваю... При очевидном вреде в виде потери траффика на время переезда, как минимум.
Если честно, гложут мысли на тему переезда обратно. Что думаете? Возиться с продлением сертификатов совсем не хочется. А откатываться лучше летом, пока траф минимальный.
 
05.05.2015 11:49  
OlegON
Мозилла обещает бесплатные и автоматические сертификаты
и тем не менее навязчивая идея переехать обратно...
 
"Спасибо" OlegON от:
05.05.2015 14:32  
baggio
имхо... толку н нашем ресурсе от https нет...
я за переезд обратно...
 
05.05.2015 15:14  
OlegON
Прикол в том, что Mozilla и Google собираются закрыть http вообще, т.е. постепенно закрыть поддержку в браузерах или сделать его использование неудобным. Я бы соскочил уже, но если обратно придется в скором времени возвращаться...
 
05.05.2015 15:25  
Micle
А они подумали о "внутренних сайтах", о оборудовании настраиваемом через веб морду, и ещё многом другом, что работает через http протокол и при этом не критично к перехвату данных либо защищено от него структурой сети ???

полностью отказаться от http ??? Да я скорее сменю браузер.
 
05.05.2015 16:22  
OlegON
вот заметка на эту тему. У гугла это было еще раньше, просто тогда его не поддержали.
У гугла проблемы с его блоггером, к которому нельзя прикрутить свой домен на https, поскольку блоггер чужие сертификаты в себе не держит...
 
27.12.2015 07:49  
OlegON
Я как-то не пометил в этой теме свое мнение...

Предполагаю, что до того, как нормально не заработает letsencrypt, а потом еще не пройдет некоторое время, HTTPS не нужен. По крайней мере я буду оттягивать до последнего момента переход на него и даже просто работу зеркала на этом протоколе.

Во-первых, переход связан с тем, что поисковики долго и нудно переиндексируют сайт и на этот момент понижают его в ранжировании. Во-вторых, в момент переезда может случиться масса глюков, как со стороны сервера, так и со стороны поисковиков. У меня до сих пор за инимой числится куча форумных страниц, причем Google их радостно находит. Далее, начинаются проблемы с браузерами, часть из них (старые) не будет поддерживать какое-то шифрование, другая - поддерживать только те алгоритмы, которые нельзя включать из-за уязвимостей. Танцы с приседаниями с непонятными для меня мотивами. И, наконец, начнутся проблемы с ботами. Что бы там ни говорил Google, после перехода на HTTPS, у меня начались проблемы с индексацией новых тем уже после индексации всего сайта целиком. Видимо, на HTTPS работает не такое большое количество ботов и их тупо не хватает. Кстати, проблемы будут и с рядом других ботов, в том числе непоисковых.

На мой взгляд, для индексируемого содержания требовать включать HTTPS - глупость. Другое дело - личные кабинеты и сайты, где содержимое не должно быть публичным. Устроить волну глюков с непонятной целью... Если уж так надо озаботиться проблемой безопасности и сохранности частной жизни, то правильный путь - модернизация HTTP, того, который работает на 80 порту, чтобы не требовалось изменение архитектуры сайта и его ссылок.
 
 
Опции темы



Часовой пояс GMT +3, время: 00:53.

Все в прочитанное - Календарь - RSS - - Карта - Вверх 👫 Яндекс.Метрика
Форум сделан на основе vBulletin®
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.