Автор Тема: HTTPS & HSTS: безопасность трафика  (Прочитано 1802 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Orhideous

  • Где живёт: Украина, Киев
  • Сообщений: 2
  • orhideous.name
Проблема
В Сети шел 2015 год.
После откровений Сноудена, интересных законов в интересных странах, ряда громких уязвимостей в библиотеках безопасности правилом хорошего тона для админов стало внедрение https.
Ежели кто не в курсе, поясняю: серфинг сайтов по http значит, что весь ваш трафик и все передаваемые по нему данные видны как на ладони копыте и снифаются с пол-пинка.
Поглядеть пароли? Пожалуйста.
Встроить в трафик рекламный баннер от непонятного WiFi? Запросто.
Провести XSS с дырявого форума? Ну, тоже реально.

Решение
  • добыть ssl-сертификат, либо платный за ≈$5, либо бесплатный от letsencrypt;
  • настроить его;
  • правильно прописать политики HSTS;
  • радоваться.
« Последнее редактирование: 2015-10-22, 12:51:46 от Orhideous »

Оффлайн kuzya93

  • Администратор
  • *****
  • Где живёт: Москва
  • Сообщений: 5486
Я не очень понял, что это всё значит, но я почитаю и попытаюсь разобраться, спасибо.

видны
В смысле, будут видны, если кому-нибудь понадобятся.
Но это я придираюсь, признаю.

Оффлайн Дани А.Л.

  • Где живёт: твоё воображение
  • Сообщений: 18743
будут видны, если кому-нибудь понадобятся.
Когда будешь рекламить в некоторых местах где ещё хотел - могут и попробовать подгадить из вредности.
Я бы согласился с тобой, но тогда мы оба будем не правы (с)

Оффлайн kuzya93

  • Администратор
  • *****
  • Где живёт: Москва
  • Сообщений: 5486
Тоже верно.

Оффлайн Orhideous

  • Где живёт: Украина, Киев
  • Сообщений: 2
  • orhideous.name
Ещё раз поднимаю тему про HTTPS. Этим летом браузеры будут помечать все без исключения http-страницы как небезопасные, в дальнейших планах — полный отказ от http вообще.
Установите, пожалуйста, сертификат от LetsEncrypt, он бесплатен.