Что нового
  • Что бы вступить в ряды "Принятый кодер" Вам нужно:
    Написать 10 полезных сообщений или тем и Получить 10 симпатий.
    Для того кто не хочет терять время,может пожертвовать средства для поддержки сервеса, и вступить в ряды VIP на месяц, дополнительная информация в лс.

  • Пользаватели которые будут спамить, уходят в бан без предупреждения. Спам сообщения определяется администрацией и модератором.

  • Гость, Что бы Вы хотели увидеть на нашем Форуме? Изложить свои идеи и пожелания по улучшению форума Вы можете поделиться с нами здесь. ----> Перейдите сюда
  • Все пользователи не прошедшие проверку электронной почты будут заблокированы. Все вопросы с разблокировкой обращайтесь по адресу электронной почте : info@guardianelinks.com . Не пришло сообщение о проверке или о сбросе также сообщите нам.

Https Обощел Http: Распространение Безопасного Протокола Достигло Переломного Уровня

Sascha

Заместитель Администратора
Команда форума
Администратор
Регистрация
9 Май 2015
Сообщения
1,064
Баллы
155
Возраст
47
Популярность HTTPS достигла

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, и вскоре его использование станет «нормой», а не исключением, как было в прошлом. Только за последние несколько месяцев произошло несколько действительно важных вещей, о которых речь пойдет ниже.

Доля HTTPS-запросов преодолела отметку 50%


Вот один из первых признаков того, что мы наконец-то достигли критической отметки:


Yesterday, for the first time,

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

telemetry shows more than 50% of page loads were encrypted with HTTPS.

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



— Let's Encrypt (@letsencrypt)

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Это действительно значимо: через Firefox, как видно, теперь передается больше защищенного трафика, нежели незащищенного. Конечно, далеко не все сайты используют протокол HTTPS — огромную часть трафика передают несколько крупных сайтов (Twitter, Facebook, Gmail), что и делает эту цифру достаточно высокой.

Число сайтов, использующих HTTPS, удвоилось за последний год


Эксперт по безопасности Скотт Хэлм регулярно анализирует развитие безопасности сайтов из списка

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

. Помимо прочего, он также смотрит на то, сколько сайтов из списка перенаправляют HTTP-запросы пользователей на HTTPS. Скотт запускает сканирование каждые 6 месяцев, и вот что он обнаружил за последние два года:


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



Их количество выросло вдвое за промежуток с августа 2015 года по август 2016 года, а за последние полгода их стало ещё на треть больше! Да, пока таких сайтов всего 18,4%, но темпы роста весьма впечатляющие.

Браузеры стали помечать небезопасные сайты


26 января 2017 года вышло обновление Chrome 56, и браузер стал делать так:


Hi

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, I just went to login to my frequent flyer account and the browser is warning me that it's not secure. Is something wrong?

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



— Troy Hunt (@troyhunt)

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Да,

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

издевается над Qantas, и да, они это заслужили! Их сайт уже давно использует очень плохую реализацию HTTPS, что неприемлемо для сервиса, который используется в ситуациях, уязвимых к атакам типа

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, например, в аэропортах и гостиницах.

Chrome 56 предупреждает пользователей об ошибках безопасности сайта, когда они предоставляют конфиденциальную информацию. Firefox

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

нечто подобное, начиная с версии 51, которая вышла 24 января 2017 года:


Hi

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

, I just went to login to my frequent flyer account and the browser is warning me that it's not secure. Is something wrong?

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



— Troy Hunt (@troyhunt)

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Но намечается гораздо более существенное изменение: Chrome будет помечать все страницы, передаваемые через HTTP, как небезопасные.

HTTP будет источником все большего количества проблем


Вот несколько примеров запросов к обычным старым веб-сайтам, которые могут быть перехвачены и модифицированы в процессе атаки MitM.

Например, сайты, использующие сеть Comcast:


Comcast is injecting Bandwidth cap warnings into websites. Remember, when I signed up for this I asked if there was a cap and they said no.

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



— Scott Manley (@DJSnM)

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Или любой незащищенный сайт, запрашиваемый при первом подключении к WiFi-сети отеля:





Первый запрос получил все куки, валидные для этого сайта, и он легко мог быть перенаправлен куда-то еще. Все вкладки слева загружались по HTTPS, поэтому они остались неактивными и выдали соответствующую ошибку, а не поставили под удар личные данные:



Мы все чаще подключаемся к все более ненадежным сетям, и нам необходимо иметь более высокий уровень защиты. К счастью, большинство сайтов начинают это осознавать, причем даже те, которые не обрабатывают конфиденциальную информацию.

HTTPS стал быстрее


Разработка не нова, но в последнее время сочетание роста скорости реализаций HTTP и повышения общей производительности помогло ускорить ее развитие. И мы получаем это:


HTTPS is slow. No — wait — is it HTTP that's slow?!

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.



— Troy Hunt (@troyhunt)

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.




Поддержка HTTP/2 протоколом HTTPS (и, что более важно, отсутствие в браузерах поддержки протокола HTTP/2 для незашифрованных соединений) склонила чашу весов в пользу более безопасного подхода. А если у вас нет сервера, который поддерживает HTTP/2, вы можете получить его бесплатно в Cloudflare. И это подводит нас к следующему.

Cloudflare и Let’s Encrypt сделали HTTPS доступным


Два самых серьезных препятствия при переходе на HTTPS — это «цена» и «усилия». Первое очевидно, второе же относится к процессу получения и настройки сертификата, а также необходимости повторять это каждый год. Cloudflare и Let’s Encrypt полностью изменили этот процесс.

Вообще, эти сервисы значительно отличаются друг от друга: Cloudflare перехватывает и шифрует ваш трафик, а Let’s Encrypt упрощает установку и обновление сертификатов. Они выполняют разные задачи, и делают это хорошо, но при этом не особо «прислушиваются» к пользователю. Здорово то, что они упрощают процесс перехода на HTTPS, и это повышает общую безопасность.

Стоит отметить, что недавно CloudFlare

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

о серьёзной утечке пользовательских данных, которая уже получила имя Cloudbleed. Однако, получив о ней сообщение, компания исправила её в течение всего лишь семи часов.


Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.

.
 
Вверх