Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Почему большинство сайтов не использует https, кому это выгодно
 
Ведь не обязательно создавать сертификаты в центрах, можно их создать непосредственно на своей машине. Но все же почему бы не зделать выход наших граждан в интернет более безопасным, будь то почта, чаты, и т.д.
 
А как Вы думаете почему до сих пор не перешли с протокола IPv4 на IPv6? Ведь последний имеет более большое адресное пространство и разработан с учётом агрессивной среды интернета, в отличие от своего родителя. Стандартные протоколы разрабатывались без учёта безопасности т.к не было раньше такого понятия как такового, поэтому многие думают "авось пронёсёт". Безопасностью у нас принято заниматься самим и не надеяться на других.
 
Зачем комуто брать на себя ответственность за вашу безопасность.
 
Потому, что "большинство сайтов" хостятся на всяких полубесплатных хостингах, где на 1 IP сотня-две сайтов. А https подразумевает один сертификат на один IP.
 
Цитата
yasenevae пишет:
Ведь не обязательно создавать сертификаты в центрах, можно их создать непосредственно на своей машине.
А толку то от такого сертификата? IE 7.0 вообще не пустит на такой сайт выдаст кучу предупреждений. Другие браузеры тоже. И кому это надо?
Да и главную цель не выполняет такой сертификат - обеспечение целостности. ТАкже проблемы с производительностью дополнительные возникают и т.п.

Безопасность должна быть адекватной.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Александр Антипов пишет:
А толку то от такого сертификата? IE 7.0 вообще не пустит на такой сайт выдаст кучу предупреждений.
Боюсь, Вас кто-то ввел в заблуждение. Клиенту достаточно один раз импортировать и установить у себя CA от сертификата с сайта - и никто уже ругаться не будет. :) Надо просто генерить правильные сертификаты, а не самоподписанные. Я когда-то уже писал об этом:
http://binkd.spb.ru/howto/ssl_certificates.howto.txt
 
да не используют, и что? не понял вопроса. а какая лично Вам выгода от того, что вы будете заходить не http://www.securitylab.ru, а https://www.securitylab.ru?
 
Цитата
Денис Батранков пишет:
да не используют, и что? не понял вопроса. а какая лично Вам выгода от того, что вы будете заходить не _http://www.securitylab.ru, а _https://www.securitylab.ru?

Если просто "заходить" - никакой, а если Вы туда собираетесь что-то передавать, либо получать официальные данные, на которых основывается бизнес, например - то хочется быть уверенным в том, что данные по дороге не будут изменены третьими лицами.

С развитием в крупных промышленных и научных центрах локальных сетей масштаба микрорайона - проблемы перехвата данных уже давно встали в полный рост. Если лично Вы с этим еще не столкнулись - то "это не Ваша заслуга ...".(с)анек.
 
Андрей, да, такой ответ я и предполагал. Получается что securitylab.ru мы уже исключили из списка сайтов "HTTPS на которых кому-либо выгоден".
Но вернемся к начальному вопросу. На тех сайтах где HTTPS реально нужен - он есть. Вопрос был "почему нет HTTPS на остальных сайтах". Мой ответ будет аналогичен ответу на вопрос "почему про всадника без головы все говорят, но никто его не видел?" Потому что он нафиг никому не нужен.
 
Цитата
Денис Батранков пишет:
Андрей, да, такой ответ я и предполагал. Получается что securitylab.ru мы уже исключили из списка сайтов "HTTPS на которых кому-либо выгоден".
Это Вы пытаетесь его исключить, и ровно до того момента, пока кто-нибудь не перехватит например данные для авторизации на сайте и не разместит тут какую-нибудь ахинею от Вашего имени. Вот тогда Вы тоже закричите:"куда смотрят разработчики сайта!?!"

Я же считаю, что защита нужна, поскольку есть реальная возможность перехвата данных. Все зависит от возможности и желания держателей сайта. Кстати, фронтенды типа nginx замечательно умеют работать и по http и по https, так что виндовый бакэнд даже перестраивать не придется.:)
 
да, соглашаюсь. логин и пароль было бы неплохо в защищенном виде передавать.
 
Цитата
Andrey Y. Ostanovsky пишет:
Потому, что "большинство сайтов" хостятся на всяких полубесплатных хостингах, где на 1 IP сотня-две сайтов. А https подразумевает один сертификат на один IP.
вас кто-то ввел в забдужение, 1 сертификат - 1 сайт, т.е. предположим https://news.securitylab.ru - 1 сертификат, https://soft.securitylab.ru - 2-ой сертификат (хотя можно 1 сертфикат и целиком на securitylab.ru сформировать), хоститься могут на 1-м ip
Там где надо https используется, только за сертификаты платить надо (если берем ключи у крупного CA, следует учесть, что серверные сертификаты стоят дороже клиентских, самоизданным вряд ли будут доверять, разве что в корпоративной среде) + алгоритмы криптопровайдеров м.б.разные (где-то криптопро, где-то MS и пр.)
имхо, раньше на секлабе вроде было https, ещё до битрикса...
 
Цитата
Alexey I пишет:
вас кто-то ввел в забдужение, 1 сертификат - 1 сайт, т.е. предположим https://news.securitylab.ru - 1 сертификат, https://soft.securitylab.ru - 2-ой сертификат (хотя можно 1 сертфикат и целиком на securitylab.ru сформировать), хоститься могут на 1-м ip

На одном IP два сертификата - пока не могут. SSL-хэндшейк и предъявление сертификата происходит до того, как клиент сказал - на какой сайт он пришел (по крайней мере на апаче и ngix - так). Хотя какие-то телодвижения в эту сторону ведутся.
Страницы: 1
Читают тему