Wpis z mikrobloga

@Narkan: wystarczy zablokować na proxy nazwę DNS lub IP i gowno Ci da szyfrowanie. Jak juz ktoś wspomniał na Fw na perymetrze blokuje IP i też gowno szyfrowanie Ci da. HTTPS daje się aby nie można było podsluchac sesji użytkowników - jej kontekstu. Metodane niestety zawsze widać.
  • Odpowiedz
https to podstawa dzisiaj, jakos reddit ma na calej stronie to czemu my mamy nie miec?


@cyckicycki125: Jeśli jedyny argument to "Reddit ma, a my nie", to nie widzę sensu. Szyfrowanie ma sens przy poczcie e-mail, serwisach społecznościowych czy usługach bankowych, na portalu ze śmiesznymi obrazkami to tylko sztuka dla sztuki.
  • Odpowiedz
@typowy-janusz: Tak.

@asiekierka: Niedługo pojawi się Let's Encrypt – darmowy, automatyczny i otwarty urząd certyfikacji (CA) powstały z pomocą Linux Foundation, Mozilli i Electronic Frontier Foundation, dzięki czemu HTTPS będzie w końcu dostępne dla każdego (ʘʘ).

@kw401: Szyfrowanie ma sens, przy każdej witrynie do której dostępu nie chciałbyś stracić. HTTPS może być zbędne dla strony jakiejś małej firmy, nie dla wielkiego portalu
  • Odpowiedz
to znaczy, że w szyfrowanym połączeniu nie da się podejrzeć tylko treści przesyłanych danych, natomiat widać, że wchodzisz na daną stronę, tak?


@typowy-janusz: Nie, bo „wchodzisz na daną stronę” jest wpisane w tych przesyłanych danych które już są zaszyfrowane.
Jedyne co widać to IP na który było połączenie. Jeśli na tym IP jest jedna usługa (np. wykop.pl) to łatwo to powiązać. Jeśli to jest shared hosting gdzie pod jednym IP
  • Odpowiedz
@cyckicycki125:
Mireczku, nie wszyscy tutaj są bardziej obyci z IT. Czy mógłbyś w skrócie objaśnić nam jaki to ma wpływ na nasze korzystanie ze strony ze śmiesznymi obrazkami?
  • Odpowiedz
@Mefii: Korzystając ze strony HTTP wszystko co przesyłasz (także login i hasło) jest widoczne dla atakującego czystym tekstem i możliwe do łatwego podsłuchania (np. jeśli logujesz się korzystając z publicznego Wi-Fi, które ktoś podsł#!$%@?).
  • Odpowiedz
Tylko, że prawie każdy loguje się w polu pojawiającym się po najechaniu na Zaloguj, mało kto klika i przechodzi na HTTPS.


@Przemok: To, że formularz logowania jest na stronie bez szyfrowania, nie znaczy że logowanie odbywa się bez niego ;)
Sprawdź formularz dokładnie. POST robiony jest już na https:// przez co dane do logowania są już wysyłane szyfrowane.
  • Odpowiedz
@typowy-janusz: jeżeli jest SSL to - zależy jakie zabawki masz - będziesz widzieć sesje SSL i źródłowe IP oraz docelowe - czyli serwisu internetowego. Bez SSL widzisz całą sesje Http, przy użyciu odpowiednich zabawek możesz odtworzyć całą aktywność użytkownika.
Tak więc jestem za SSL. Oczywiście SSL dupy nie uratuje w przypadku dobrego proxy, które terminujac sesje podstawia swój certyfikat ;-)
  • Odpowiedz
Dlaczego więc administracja nie przeszła dotąd na HTTPS? Niesie to ze sobą jakieś niekorzystne zmiany?


@Mefii: wydajność i tyle. Obsługa szyfrowania wymaga średnio 10x więcej mocy obliczeniowej, a więc musieliby za serwery płacić 10x więcej. Tam gdzie nie jest potrzebny (czyli poza miejscami gdzie się wpisuje hasło) się nie stosuje szyfrowania bo szkoda zasobów.
  • Odpowiedz