Google запретит скачивать файлы через HTTP. Ну, не всем запретит, а через свой браузер.
Еще на тему
Призываю тыжпрограммиста для объяснения последствий
Джой наконец перейдет на https
but-why.gif
Потому что сайту тоже нужна выпестованная неполноценность, чтобы было о чем ныть.
ЕбКит будет в забаненых?
ФФ рулит!
ФФ рулит!
Давно уже юзаю ФФ спецом под джой
Блокировка от РКН тоже бесплатная
а тред мы читаем жопой
и моментально накроется роскомнадзором
Ну рутрекеру это не помешало.
Джою тоже не помешает, я думаю.
Джою тоже не помешает, я думаю.
на рутрекер без впна не зайти
зайти
нужно только жить в другой стране
нужно только жить в другой стране
Ты перейдешь на Edge
Если владелец сайта не озаботится заведение сертификата для https (мне лень объяснять какой это дорогой гемор), то вполне возможно что ты не скачаешь нужный тебе файлик. В перспективе:
>>Значит, IE станет нужен не тоько для установки Хрома, но и в качестве загрузчика.
P.S. если верить этому посту, самый ад начнется с 86 версии https://habr.com/ru/news/t/487472/
>>Значит, IE станет нужен не тоько для установки Хрома, но и в качестве загрузчика.
P.S. если верить этому посту, самый ад начнется с 86 версии https://habr.com/ru/news/t/487472/
Выглядит страшно.
Выглядит как дата перехода на фаерфокс.
или на оперу
А насколько гугл хром давит на хромиум?
Данное поведение можно выкинуть без ведома гугля.
Там есть аналог about:config?
Там есть открытые исходники. В Debian например частично ungoogled, из Лисы предыдущая версия трекинга была снесена полностью например.
Тоесть часть исходников лисы закрыты?
Нет, полностью открыты, как и у Хромиума, не считая DRM-а. Просто пока ещё не придумали как его безболезненно вырезать, поэтому пока просто отключено в настройках по-умолчанию.
А https, я так понимаю, защищённее http?
Ну как бы "S" значит - secure.
Ты так говоришь, будто это можно понять из аббревиатуры
Может там sad, или specific, или вообще sexy O_o
Может там sad, или specific, или вообще sexy O_o
Теперь https станет http для грустных :(
Или специфичных....или сексуальных!
Так ведь то, что нужно для сайта!
+seduced
с каких пор ssl сертефикат стал дорогим удовольствием, если есть тьма бесплатных?
проблема больше в зависимости от тех, кто выпускает сертификаты. Убивается децентрализация интернета, нельзя просто поднять свой веб сервер для личного использования без "разрешения" крупных компаний
Что значит "нельза поднять свой веб сервер для личного использования"??? Делаеш тулзой сертификат, меняеш протокол и вперед. Только надо будет нажимать кнопочку - "да, я знаю что сертефикат самоподписан, продолжить...", и это не должно быть проблемой если сайт для личного использования
будет проверка сертификата на подлинность, которую самоподписанный не проходит
Если бы Let’s Encrypt решал все проблемы...
- поднять файловый хост для максимально шустрой отдачи не получится. Теперь будьте добры навесить на него https. Шифрование\подпись на лету не бесплатная операция, что просаживает пропускные способности такого хоста.
- сертификаты нужно сапортить. Т.е. раз в 3 месяца нужно обновлять (либо изначально закладывать автообновление, которое тоже не панацея ибо хер тебе, а не гарантии что через полгода процесс продления не изменится).
- привет разработчикам. Теперь все проекты нужно создавать сразу с https (порой приходится повозиться), и тестовые инварменты также настраивать с https. Эти вещи вообще вне интернета живут (либо в VPN, либо вообще на внутреней локалке), а значит онли самоподписные серитификаты.
- привет всем легаси. Т.е. если Васе сайт делал Петя сто лет назад, то будь добр выложи дополнительные бабосики на его поддержку. И хорошо если это просто залезть в настройки хостинга, а не какой-нибудь MySite.exe исходники которого канули в лету...
Плюс ты реально считаешь что все так радостно кинулись, и стали прикручивать https?!
- поднять файловый хост для максимально шустрой отдачи не получится. Теперь будьте добры навесить на него https. Шифрование\подпись на лету не бесплатная операция, что просаживает пропускные способности такого хоста.
- сертификаты нужно сапортить. Т.е. раз в 3 месяца нужно обновлять (либо изначально закладывать автообновление, которое тоже не панацея ибо хер тебе, а не гарантии что через полгода процесс продления не изменится).
- привет разработчикам. Теперь все проекты нужно создавать сразу с https (порой приходится повозиться), и тестовые инварменты также настраивать с https. Эти вещи вообще вне интернета живут (либо в VPN, либо вообще на внутреней локалке), а значит онли самоподписные серитификаты.
- привет всем легаси. Т.е. если Васе сайт делал Петя сто лет назад, то будь добр выложи дополнительные бабосики на его поддержку. И хорошо если это просто залезть в настройки хостинга, а не какой-нибудь MySite.exe исходники которого канули в лету...
Плюс ты реально считаешь что все так радостно кинулись, и стали прикручивать https?!
- cdn, кеширования, другие способы отдачи
- крон
- пусть работают, а то совсем обленились
- если легаси не поддерживается нормально - на кой вообще оно тогда сдалось?
Зато с шифрованными файлами товарищи в форме обломаются подсматривать твои картинки-видио-фанфики с мальчиками-кошко-девочками.
- крон
- пусть работают, а то совсем обленились
- если легаси не поддерживается нормально - на кой вообще оно тогда сдалось?
Зато с шифрованными файлами товарищи в форме обломаются подсматривать твои картинки-видио-фанфики с мальчиками-кошко-девочками.
Не обломаются, потому, что централизованные центры поддержки сертификатов мгновенно по шевелению бровью спецслужб сделают для товарища майора прозрачными все данные на любом сайте. И хоба, к тебе уже стучат в дверь за рисунок пятисотлетней лоли.
я только что осознал с комента коки насколько все плохо на самом деле такая принудиловка в наших реалиях...
http://joyreactor.cc/post/4014105#comment18772966
http://joyreactor.cc/post/4014105#comment18772966
А для этого придуман пиннинг.
тогда нахуя вся эта защита раз спецслужбы могут шариться где и как угодно и безконтрольно использовать инфу
Защита для МегаВасяна133, а не для спецслужб. Спецслужбы проигнорируют почти все данные, а банковские им просто так и не дадут, а васян угонит у тебя даже бесплатные учетные записи, просто потому, что может.
Защита от преступников, а не от правоохранительных органов.
Защита от преступников, а не от правоохранительных органов.
никакой васян тебя на трёшку не упрячет за "пёс, я твою мамку ебал". а за репост лайк и картинку уже посадили. да и самый самомнительный хакер обломается скорее всего если скачаный файл проверить какмнить докторвебом
>>cdn, кеширования, другие способы отдачи
Мне реально обьяснять насколько это сложнее просто плюхнуть файлы в нужную папку на диске?
>>крон
не панацея. Я уже писал, что если что-либо поменяется\сломается, то узнаешь об этом не сразу, а когда сайт уже недоступен как неделю. Банальный пример: на одном из проектов, на котором я тусил, был настроен таскменеджер для запуска иморта даных на сайт. Когда сайт перенесли на другую машину, то про задачу забыли. Угадай через сколько вспомнили? Или скажешь что нужно было юзать докер?
>>пусть работают, а то совсем обленились
действительно, хули я выебываюсь
>>если легаси не поддерживается нормально - на кой вообще оно тогда сдалось?
А накой что-либо менять, если до этого прекрасно справлялось с задачей? учитывая сколько нытья выгребаем про принудительный перевод на windows 10 (и сполько за это башляют организации) что-то мне подсказывает что продажи сертификатов таки чуточку подымутся.
Мне реально обьяснять насколько это сложнее просто плюхнуть файлы в нужную папку на диске?
>>крон
не панацея. Я уже писал, что если что-либо поменяется\сломается, то узнаешь об этом не сразу, а когда сайт уже недоступен как неделю. Банальный пример: на одном из проектов, на котором я тусил, был настроен таскменеджер для запуска иморта даных на сайт. Когда сайт перенесли на другую машину, то про задачу забыли. Угадай через сколько вспомнили? Или скажешь что нужно было юзать докер?
>>пусть работают, а то совсем обленились
действительно, хули я выебываюсь
>>если легаси не поддерживается нормально - на кой вообще оно тогда сдалось?
А накой что-либо менять, если до этого прекрасно справлялось с задачей? учитывая сколько нытья выгребаем про принудительный перевод на windows 10 (и сполько за это башляют организации) что-то мне подсказывает что продажи сертификатов таки чуточку подымутся.
Мне объясни. А то я не понимаю, почему ткнуть в кнопку "publish" тебе сложно, а "плюхать файлы" - нет. Заодно расскажи, на кой хер тебе вообще вручную файлы куда-то перекидывать после настройки сайта.
> то узнаешь об этом не сразу,
LetsEncrypt-овый бот начинает слать оповещения при неудаче продления за месяц. И худшее, что тебе грозит - это устаревший сертификат, т.е. пользователям придется ткнуть в "да, мы понимаем, что сайт хостят ленивые дегенераты, но все равно хотим посмотреть".
> А накой что-либо менять, если до этого прекрасно справлялось с задачей
На кой в России https? Действительно, чего это все выебываются, пусть провайдер и товарищ майор видят твои комментарии и высказывания, план-то по посадкам надо выполнять.
> то узнаешь об этом не сразу,
LetsEncrypt-овый бот начинает слать оповещения при неудаче продления за месяц. И худшее, что тебе грозит - это устаревший сертификат, т.е. пользователям придется ткнуть в "да, мы понимаем, что сайт хостят ленивые дегенераты, но все равно хотим посмотреть".
> А накой что-либо менять, если до этого прекрасно справлялось с задачей
На кой в России https? Действительно, чего это все выебываются, пусть провайдер и товарищ майор видят твои комментарии и высказывания, план-то по посадкам надо выполнять.
>>Мне объясни. А то я не понимаю, почему ткнуть в кнопку "publish" тебе сложно, а "плюхать файлы" - нет.
ты путаешь реализацию в коде с ручной работой. Простейшая реализация:
- прилетает файл на сервак (можно даже по https)
- тупо вызываем File.Write
- в БД сохраняем линк в виде http
- пользователь запрашивает список файлов по https
- выкачивает файл по http
Если файловый хост настроить как https, но возрастет нагрузка на CPU т.к. не получится просто вкинуть файл в поток, его нужно будет шифровать. Я подозреваю что можно как-то сохранять сразу зашифрованый, но это дополнительно нужно развлекатся с кодом. Плюс некоторые вещи провайдеры кешируют на своей стороне (особо не шарю как это работает, но есть подозрение что с https такой прикол уже не работает)
>>И худшее, что тебе грозит - это устаревший сертификат
Поставь себя на место борщеварки. Тебе выскакивает окно "АПСАСНОСТЬ! СРОЧНО УНОСИТЕ НОГИ!" Твои действия? Я, блин, не всегда сразу допираю где там кнопка разрешить, насктолько все "безопасно". Про ботов -- очень хорошо если это будет не отдельная почта, нотификации которой не мониторятся.
>>На кой в России https?
не все из РФ. И я заебусь объяснять, что если проблема в товарище майоре, то https -- это вообще не то из-за чего нужно беспокоится.
ты путаешь реализацию в коде с ручной работой. Простейшая реализация:
- прилетает файл на сервак (можно даже по https)
- тупо вызываем File.Write
- в БД сохраняем линк в виде http
- пользователь запрашивает список файлов по https
- выкачивает файл по http
Если файловый хост настроить как https, но возрастет нагрузка на CPU т.к. не получится просто вкинуть файл в поток, его нужно будет шифровать. Я подозреваю что можно как-то сохранять сразу зашифрованый, но это дополнительно нужно развлекатся с кодом. Плюс некоторые вещи провайдеры кешируют на своей стороне (особо не шарю как это работает, но есть подозрение что с https такой прикол уже не работает)
>>И худшее, что тебе грозит - это устаревший сертификат
Поставь себя на место борщеварки. Тебе выскакивает окно "АПСАСНОСТЬ! СРОЧНО УНОСИТЕ НОГИ!" Твои действия? Я, блин, не всегда сразу допираю где там кнопка разрешить, насктолько все "безопасно". Про ботов -- очень хорошо если это будет не отдельная почта, нотификации которой не мониторятся.
>>На кой в России https?
не все из РФ. И я заебусь объяснять, что если проблема в товарище майоре, то https -- это вообще не то из-за чего нужно беспокоится.
> Если файловый хост настроить как https, но возрастет нагрузка на CPU т.к. не получится просто вкинуть файл в поток, его нужно будет шифровать
Нгинкс или любой другой аналогичный вебсервер все сделает за тебя, включая кеширование. Нагрузка на отдачу статики обычно ограничена не CPU, а шириной канала.
> Поставь себя на место борщеварки
...которая ходит на джой по https?
> И я заебусь объяснять
Твое возражение, это что-то из серии "двери и замки не нужны, потому что атомной бомбе на это похер".
Любая пассивная безопасность увеличивает сложность для товарища майора и уменьшает тем самым твою привлекательность. Одно дело, когда можно просто "попросить" провайдера мониторить трафик на предмет ключевых слов, и совсем другое, когда нужно поднять прозрачный https-прокси, который требует наличия корневого сертификата для создания фейковых сертификатов на лету - это на порядки более ресурсоемкая задача.
Нгинкс или любой другой аналогичный вебсервер все сделает за тебя, включая кеширование. Нагрузка на отдачу статики обычно ограничена не CPU, а шириной канала.
> Поставь себя на место борщеварки
...которая ходит на джой по https?
> И я заебусь объяснять
Твое возражение, это что-то из серии "двери и замки не нужны, потому что атомной бомбе на это похер".
Любая пассивная безопасность увеличивает сложность для товарища майора и уменьшает тем самым твою привлекательность. Одно дело, когда можно просто "попросить" провайдера мониторить трафик на предмет ключевых слов, и совсем другое, когда нужно поднять прозрачный https-прокси, который требует наличия корневого сертификата для создания фейковых сертификатов на лету - это на порядки более ресурсоемкая задача.
>>Нагрузка на отдачу статики обычно ограничена не CPU, а шириной канала.
шифрование выполняет святой дух? Окей, может я не шарящий идиот, разверну ограниченую виртуалку глянуть насколько все оптимизировано. Но что-то мне подсказывает что не все так радужно.
>>...которая ходит на джой по https?
У тебя интернет ограничем джоем?
шифрование выполняет святой дух? Окей, может я не шарящий идиот, разверну ограниченую виртуалку глянуть насколько все оптимизировано. Но что-то мне подсказывает что не все так радужно.
>>...которая ходит на джой по https?
У тебя интернет ограничем джоем?
собственно чекнул эту херню на IIS путем скачивания 6 гиг:
- нагрузка на проц\память не различалась
- а вот скорость загруки на https просела с ~10МB/s до 7.
Учитывая что все шуровало локально, я хз в что уперлось что снизило скорость. В любом случае, я бы не откидал возможность упрощения файлового сервака путем отказа от https, ибо в некоторых случаях он там нафиг не нужен. Хотя с такой политикой гугла, кажись уже выбора не остается.
- нагрузка на проц\память не различалась
- а вот скорость загруки на https просела с ~10МB/s до 7.
Учитывая что все шуровало локально, я хз в что уперлось что снизило скорость. В любом случае, я бы не откидал возможность упрощения файлового сервака путем отказа от https, ибо в некоторых случаях он там нафиг не нужен. Хотя с такой политикой гугла, кажись уже выбора не остается.
Тут на днях Microsoft (!) проебала обновить сертификат, и поэтому их сервис всяких корпоративных чатиков Teams, которым пользуются чуть более, чем дохуя народу (!), сдох почти на сутки, вроде.
1. AWS. Если у тебя не свой сервис уровня Google Drive а какой-то стартапчик с стоней-другой гигов фоток, это будет еще и сильно дешевле чем расширять дисковое пространство выделенного или виртуального сервера.
2. Certbot при установке добавляет задачу в cron.
3. localhost - отдельная тема, для него есть флаг в настройках. Хотя в чем проблема развернуть тот же контейнер, что используется на prod/staging с другими переменными среды?
4. Немножко аналогий: в то время как весь мир использует современные стандарты качества и безопасности при производстве автомобилей, некоторые производители ложат на это болт, продолжая выпускать гнилые тазы. Потому что, оказывается, менять техпроцес таки стоит денег. Тут нужно определиться что важнее: защита данных либо сэкономить на своем драгоценном легаси. Если оно не приносит достаточно денег для его поддержки...то нахрен оно вообще нужно?
2. Certbot при установке добавляет задачу в cron.
3. localhost - отдельная тема, для него есть флаг в настройках. Хотя в чем проблема развернуть тот же контейнер, что используется на prod/staging с другими переменными среды?
4. Немножко аналогий: в то время как весь мир использует современные стандарты качества и безопасности при производстве автомобилей, некоторые производители ложат на это болт, продолжая выпускать гнилые тазы. Потому что, оказывается, менять техпроцес таки стоит денег. Тут нужно определиться что важнее: защита данных либо сэкономить на своем драгоценном легаси. Если оно не приносит достаточно денег для его поддержки...то нахрен оно вообще нужно?
>> AWS
не все хостятся на облаках
>>Certbot
деплой\перенос не всегда происходит через тулзы\инсталеры. Я уже писал, на практике реально провмыкивали перенос задачи на новую машину.
>>localhost
Проблема не в ткнуть флаг, а в том что самоподписные сертификаты не котируются браузерами\приложениями.
Аналогия не в тему, т.к. тут скорее походит обязательный пароль на винду: вроде как и понятно зачем он нужен, но блять найдется 100500 кейсов когда это вредит.
не все хостятся на облаках
>>Certbot
деплой\перенос не всегда происходит через тулзы\инсталеры. Я уже писал, на практике реально провмыкивали перенос задачи на новую машину.
>>localhost
Проблема не в ткнуть флаг, а в том что самоподписные сертификаты не котируются браузерами\приложениями.
Аналогия не в тему, т.к. тут скорее походит обязательный пароль на винду: вроде как и понятно зачем он нужен, но блять найдется 100500 кейсов когда это вредит.
Пидорская аналогия.
Не нужна эта "защита данных https" на каждом первом сайте.
Для пользователя не важно, вирус ему владелец с файлом раздал, или хакер по MITM.
Для важных файлов выкладывают хэши на втором сервере или добавляют подпись.
На сайтах с картиночками вроде реактора не критично, если кто-то подменит картинку.
Легаси просто блять работает. Должен ли сайт с книжками классиков как-то меняться? Должен ли он приносить деньги? Нет и нет. Он сделан для удобства читателей и продолжает работать, пока идиоты не запретят скачивание pdf.
Не нужна эта "защита данных https" на каждом первом сайте.
Для пользователя не важно, вирус ему владелец с файлом раздал, или хакер по MITM.
Для важных файлов выкладывают хэши на втором сервере или добавляют подпись.
На сайтах с картиночками вроде реактора не критично, если кто-то подменит картинку.
Легаси просто блять работает. Должен ли сайт с книжками классиков как-то меняться? Должен ли он приносить деньги? Нет и нет. Он сделан для удобства читателей и продолжает работать, пока идиоты не запретят скачивание pdf.
да и да.
или как минимум "нет и да"
или как минимум "нет и да"
Проблема в том что браузеру не отличить твой сайт с классиками от сайта с бесплатными детскими мультиками, куда могут впихнуть хуйцов и снафа. Либо мониторить трафик чтобы подсовывать детям таргетированную рекламу(в цивилизованных странах сбор аналитики и показ рекламы на ресурсах, ориентированных на детей, очень сильно ограничен). Почему разработчики браузеров на уровне менеджмента так активно продвигают HTTPS, сказать с 100% точностью, к сожалению, не могу. Очевидная причина - они хотят снять с себя риски, связанные с уязвиомстью данных пользователя на транспортном уровне. Учитывая различные API, предоставляемые сейчас браузерами(push, audio/video, payments, geolocation, и т.п.), это вполне логичный шаг, так как хоть браузер и предоставляет API, прием данных обеспечивает сервер. Также это неплохая защита от DPI, реализация MITM атаки на весь трафик провайдеров потребует невероятного количества ресусров.
Что касается твоего примера сайта с книжками, если это конкретный случай, и это не пиратский ресурс, могу настроить HTTPS или помочь организовать миграцию, если текущий хостинг не дает такой возможности.
Что касается твоего примера сайта с книжками, если это конкретный случай, и это не пиратский ресурс, могу настроить HTTPS или помочь организовать миграцию, если текущий хостинг не дает такой возможности.
Спасибо за готовность помочь! Сайта с книжками у меня нет. Просто как пример (вдохновлялся lib.ru, который не наворачивает лишних свистоперделок, поскольку чтение книг коренным образом не изменилось за последние пару веков).
> Эти вещи вообще вне интернета живут (либо в VPN, либо вообще на внутреней локалке), а значит онли самоподписные серитификаты.
Одна тачка с выходом в инет и домен для тестовых сред второго уровня = универсальное комбо для получения wildcard-сертификатов от LE. Берёшь wildcard, распихиваешь по тачкам без инета, ?????, PROFIT.
Неваш админ в полуторалитровой банке.
Одна тачка с выходом в инет и домен для тестовых сред второго уровня = универсальное комбо для получения wildcard-сертификатов от LE. Берёшь wildcard, распихиваешь по тачкам без инета, ?????, PROFIT.
Неваш админ в полуторалитровой банке.
Это может быть дорого только если ебануться^w покупать сертификаты Symantec. Даже если ты не тыжпрограмист и хостишь сайт на каком-то шейред говнохосте - у них должны быть сертификаты от Let's Encrypt. Если нету - самое время переехать, лучше всего на VPS от Hetzner или Digital Ocean. По мануалам от того же DO даже весьма делекие от системного администрирования люди спокойно могут установить базовый стек для веб-сервера и обмазать поверх SSL при помощи certboot(у него из коробки есть плагины для автоматического обновления конфигураций наиболее популярных веб-серверов).
Зачем это: любой кулхацкер Вася из 8-Б может в кафешке поднять WiFi точку доступа, установив ей вызывающий доверие идентификатор. Более прокачанный Вася из 9-Б может даже определить канал оригинального хотспота и глушить его своим устройством(не всегда маршрутизаторы настраиват на автоматическое переключение каналов, да и с этим можно бороться). Если у сайта нету защиты транспортного уровня в виде SSL, все данные отправляются "как есть": фото, тексты, аудиозаписи, и т.д. При помощи несложных манипуляций с iptables или похожей софтиной весь трафик, проходящий через сетевой интерфейс хотспота вохможно отправлять в т.н. "прозрачный" прокси - программу, пропускающую через себя этот самый трафик, параллельно позволяя сохранять данные или даже изменять их перед отправкой следующему узлу. Соответственно, сидя в кафешке, и заливая фотки с суровым космодесантом на глангу ты можешь "случайно" залить не совсем то, что собирался, но о чем втайне мечтал. Либо тебе можно подсунуть ридерект на страницу логина, либо стырить куки и войти под твоим аккаунтом. В общем, все ограничено только фантазией Васи.
Зачем это: любой кулхацкер Вася из 8-Б может в кафешке поднять WiFi точку доступа, установив ей вызывающий доверие идентификатор. Более прокачанный Вася из 9-Б может даже определить канал оригинального хотспота и глушить его своим устройством(не всегда маршрутизаторы настраиват на автоматическое переключение каналов, да и с этим можно бороться). Если у сайта нету защиты транспортного уровня в виде SSL, все данные отправляются "как есть": фото, тексты, аудиозаписи, и т.д. При помощи несложных манипуляций с iptables или похожей софтиной весь трафик, проходящий через сетевой интерфейс хотспота вохможно отправлять в т.н. "прозрачный" прокси - программу, пропускающую через себя этот самый трафик, параллельно позволяя сохранять данные или даже изменять их перед отправкой следующему узлу. Соответственно, сидя в кафешке, и заливая фотки с суровым космодесантом на глангу ты можешь "случайно" залить не совсем то, что собирался, но о чем втайне мечтал. Либо тебе можно подсунуть ридерект на страницу логина, либо стырить куки и войти под твоим аккаунтом. В общем, все ограничено только фантазией Васи.
Вопрос не в зачем https, а накой его навязывать в обязательном безальтернативном порядке. Я уже привел пример что для отдающих хостов вполне логично держать только http. Выше кока уже писал что в реалиях РФ https влечет полный бан всего сайта. Легаси опять же (я не удивлюсь если существуют ресурсы, к которым доступ вообще потерян, но ими еще пользуются).
Та там опять журналиста изнасиловали.
скачка через http запрещена с https сайтов. Тоесть если на сайте с https кто-то скинул ссылку на скачку файла через http То скачать его не выйдет. http сайты работать будут (по крайней мере пока)
скачка через http запрещена с https сайтов. Тоесть если на сайте с https кто-то скинул ссылку на скачку файла через http То скачать его не выйдет. http сайты работать будут (по крайней мере пока)
Кажись куча форумов работает по такому принципу. По крайне мере гиперлинки для скачивания с стороних ресурсов. Если кто-то держить личную шару на http, то как-то не весело уже.
> мне лень объяснять какой это дорогой гемор
Бесплатный. И не гемор.
Бесплатный. И не гемор.
Хром давно делает всё, чтобы отказать от него. Мои знакомые уже начали. Так держать, Хром, молодцы!
Выглядит как стрельба себе же в ногу. Гугл хочет потерять аудиторию пользователей, или что? И коснется ли эта фигня других браузеров? Насколько я понял, я на опере не почувствую проблем, или нет?
движок у них один, но это не значит что остальные разработчики обязаны пойти тем же путём.
> мне лень объяснять какой это дорогой гемор
Уже давно это бесплатно и делается в пару команд
Уже давно это бесплатно и делается в пару команд
Они там ебанулись?
Почему то любой браузер со временем превращается в Интернет Обозреватель.
Исключительно для защиты от подмены файла в процессе скачивания. Чтобы не было так что хотел скачать к примеру мемчик а на диск сохранился почему то цп.
Я в целом за инициативу перехода на https, но блин, просто интересно - как часто в реальной жизни кто-то пользуется именно этим способом взлома?
Провайдеры сплошь и рядом. Плюс вторая суть https -- защита от прослушки. Вообще что-то мне подсказывает, что если я подключился к неправильному роутеру, что все эти https меня уже не спасут.
в том то и дело что https должен спасти и от неправильного роутера, как минимум не открыть подменённый сайт
Нет, он только очень сильно усложняет
https://www.anti-malware.ru/analytics/Threats_Analysis/man-in-the-middle-attack
В общем-то да -- https вроде как добро, никто с этим не спорит. Но очень странно что это добро навязывают в принудительном порядке.
https://www.anti-malware.ru/analytics/Threats_Analysis/man-in-the-middle-attack
В общем-то да -- https вроде как добро, никто с этим не спорит. Но очень странно что это добро навязывают в принудительном порядке.
гугль заставляет всех переходить на хттпс с одной простой целью - чтобы его рекламу не подменяли на открытых каналах. Обычно дело во всяких бесплатных wifi-сетях, что они вырезают или подменяют рекламу на показываемых сайтах. А это минус деньги для гугла. Заставить всех перейти на хттпс они не могут, но могут потихоньку так "душить".
какой дурак будет защищать бесплатно пользователя от рекламмы? наоборот помимо встроенной рекламы добавляется ещё с десяток дополнительных банеров и скриптов, максимум подменить токены рекламных сети можно. и для гугда никаких потерь одни прибыли
Они заменяют чужую рекламу своей. Т.е. есть сайт "для-пацанов" который вставил виджет от гугла. Гугл за это занес пару-сотен зеленых, в свою очередь компания "Чулки-для-пацанов" занесла гуглу за свою рекламу. Провайдер выкинул из http-странички виджет гугла, и вставил на его место свой рекламный банер компании "Трусы-для-пацанов" (угадай кто кому занес). В итоге чулки спрашивают с гугла, какого на сайте не их реклама, гугл спрашивает с сайта. Владелец хоста разводит руками, а провайдер в это цепочке клал на всех прибор, т.к. он монополист в данном регионе и пользователь от него никуда не денется.
"Обычно дело" - можно пример, пожалуйста? Плюс в странах белого мира это будет подсудное дело моментально.
Билайн вот раньше баловался этим активно - https://habr.com/ru/post/459570/
хз как сейчас.
хз как сейчас.
Ну а вы не переходите на хттпс, что бы не проебать кусок русского траффика, никто не хочет потерять прибыль.
Ну можно и так сказать. Правда если реактор заблочат полностью в РФ, то сайт просто умрёт.
Ахиллес обнажил пяту.
Такой-то развратник этот Ахиллес.
Даже Аниме и Полит фэндомы? :3
попробуй через прокси или впн посидеть на реакторе. он минутами грузиься. даже если у тебя 100мб. легче зайти на sankakucomplex который тоже заблочен.
а разве остались альтернативы?
новый Microsoft Edge на Хромиум практически как сам Хром
lynx-же
и links
FF, плюс код хрома открытый, посмотрим что будут делать те же майки с edge (иронично будет).
еще ни одной безглючной сборки хромоежа не было. что очень странно, в обычном еже косяков вообще не видел. до сих пор не понял, нахуя его было выкидывать сразу после создания
Вивальди. Охуенный браузер, кстати.
с охуенными крашами, которые никак не пофиксят с момента его появления
Может, проблема в тебе? У меня на семерке и десятке стоит вивальди. Не крашился ни разу. Вы скажете чудо? Я скажу норма.
я это говно наблюдал на нескольких тачках
но претензия даже не в том, что оно крашится, а в том, что по этому поводу нихуя не делается
вместо этого свистелки и перделки наворачиваются из релиза в релиз
я этим пидорам описывал проблему, я предлагал им пособирать дебажной инфы, если им чего-то не хватает для решения проблемы - им просто похуй
но претензия даже не в том, что оно крашится, а в том, что по этому поводу нихуя не делается
вместо этого свистелки и перделки наворачиваются из релиза в релиз
я этим пидорам описывал проблему, я предлагал им пособирать дебажной инфы, если им чего-то не хватает для решения проблемы - им просто похуй
Крашилось до какого-то очередного обновления, примерно девять месяцев как перестало. Но да, дожить до этого момента было задачей нетривиальной. Спасала только возможность открыть окно со всеми крашнутыми вкладками в два клика.
А каким мне надо пользоваться браузером, чтобы мне было похуй на эту новость? По мимо IE, естественно.
Амиго, тому кто пользуется амиго вообще на все пофиг.
вивальди, опера, фф
вивальди и опера давно хромые
Это не делает их Хромом. А речь только о Хроме, а не о всех браузерах на блинке.
Опера на хромиуме давно.
Никогда этого не понимал. Типа двигло от хрома, а оболочка от Оперы? И типа если Хром изменят, то и Опера моментом измениться?
вот этим:
Как же я вовремя съебал на ФФ полгода назад
Как же похуй, я с оперы
Это хорошая новость больше пользователей перейдут на нормальные браузеры, а то Гугл уже заебал мучить бедных создателей сайтов своими санкциями не на их рекламу. Судя по тенденции конечная их цель вместо 95% мировой рекламы в интернете захватить все 100%. Как же я их ненавижу.
Я конечно понимаю, но я прочитал новость в инглише и хоть мой английский не супер пупер, но в новости говорится что будут не блокировать сайты с http, а блокировать сайты, которые маскируются под https, но при этом файл вы будете скачивать по http...
Если на пальцах:
- заходишь на "список файлов". Он на https
- тыкаешь "скачать файл #1". Он уже на http (и вообще на другом сайте)
Раньше такое можно было делать. Гугл хочет запретить. К чему это приведет, узнаем в октябре.
- заходишь на "список файлов". Он на https
- тыкаешь "скачать файл #1". Он уже на http (и вообще на другом сайте)
Раньше такое можно было делать. Гугл хочет запретить. К чему это приведет, узнаем в октябре.
Так стоп. Если у меня на работе обособленная МИС которая формирует качает тебе доки разных форматом Хром идет лесом? Мне для внутренней сети пилить https с подтвержденным сертификатом? Пользуны ведь не умеют читать и не обойдут окно предупреждения...
Если сервер http, и доки отдаются по http, все будет работать как и раньше.
Как бы тут опять ученый изнасиловал журналиста: блокировать Chrome начиная с версии 83 будет mixed http контент, что принесет проблемы владельцам https, ссылающимся со своих сайтов на http ресурсы.
Для несмешанного контента проблем не будет, т.е. для Joyreactor'а тоже.
Для несмешанного контента проблем не будет, т.е. для Joyreactor'а тоже.
Так это уже давно реализовано.
Вот так это будет:
к сожалению, это уже никто не прочитает и пойдут по миру визжать "спаси нас фаерфокс!"
Firefox обычно следует за новвоведениями Google хвостиком, так что высока вероятность того, что Firefox поступит так же. Вспомнить хотя бы истории с отзывом доверия к сертификатам WoSign и StartCom.
вилы ему в сраку!
никогда не пользовался хромом и никогда не буду. надеюсь когда обыватель увидит что его типичный браузинг пошел по пизде по абсолютно непонятной причине, тоже свапнется на фаерфокс
я тебя удивлю, но в типичном браузинге и не должно быть смешанного http/https контента (именно о запрете подобного и идет речь а не о запрете http в принципе. кстати лиса тоже жестко помечает http сайты взять хотя бы джой, где показывает замок с красной чертой), слава богу, хоть кто-то пытается это хитрожопство искоренить и очень надеюсь лиса пойдет тем же путем
у меня нету проблем с безопасностью, и мне не надо чтобы какой-то пидар решал, что мне позволено сохранять из интернета, а что нет
Берешь и не обновляешь хром. Или в больших компаниях даже бесплатное ПО обязательно обновлять?
Отличный комментарий!