1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.

Новинки и нововведения

Тема в разделе "Все о сайте и о форуме", создана пользователем lan143, 22 фев 2015.

  1. boris221

    boris221 Активный

    Кстати, lan, подскажи. А есть такая возможность шифрования трафика движком форума или сайта, без использования https? Ну то есть смысл такой: мы берём специальную плюху (скрипт), которая на самом серваке взаимодействуя с движком отсылает пользователю зашифрованные страницы, при этом на стороне браузера оно таки расшифровывается (вот тут уж не знаю, может с помощью установки какого то сертификата, хотя без https же, или надстройка в хром/опера/что-нибудь). Или использовать https, но с бесплатным сертификатом.
     
  2. lan143

    lan143 Погроммист Команда форума

    Не знаю, есть ли такое реализованное, но сделать это можно.
     
  3. Lozok

    Lozok Активный

    Ну так уже давно выдаются бесплатные сертификаты на 3 года)) Например, у китайцев, как на этом форуме стоит, или хер знает где на старткоме:D По-этому, с января 2017 года Хромяра будет помечать все http сайты, как небезопасные, так что аккуратнее:D
     
  4. boris221

    boris221 Активный

    Какое то странное решение.
     
  5. lan143

    lan143 Погроммист Команда форума

    Почему? Это хорошая защита от MiTM атак
     
  6. boris221

    boris221 Активный

    Я про то, что сайты без https уже не сайты что ли?
     
  7. lan143

    lan143 Погроммист Команда форума

    Сайты конечно. Но это сейчас не безопасно. Пароли передаются в открытом виде, ничто не мешает какому-нибудь рядовому сотруднику провайдера поставить снифер, который будет собирать пароли. Или изменять передаваемую страницу, например, для установки эксплоитов. И так уже много кто делал. А учитывая то, что у людей в основном один пароль на все сайты, скомпроментировав один, можно получить доступ ко всяким вконтактикам и прочим.
     
  8. boris221

    boris221 Активный

    Ещё вопрос. Как сделать так, чтобы соединение было всё таки защищено в статусной строке браузера? У меня на форуме с fluxbb такая же беда. Подключаю сертификат, переадресацию на https, но ... пишет, что соединение не защищено.
    Screenshot_71.jpg
     
  9. Lozok

    Lozok Активный

    Скорее всего, у тебя стоят супер аж плагины по скачке всего отовсюду и они встраиваются в код всех сайтов, а если присутствует загрузка на странице любого незащищённого контента, то страница автоматически становится незащищённой
     
  10. Lozok

    Lozok Активный

    А-а, это у Лана в подписи незащищённый спидтест вставлен просто))) Короче, на защищённое соединение с сайтом это никак не влияет, только зелёненький значёк снимает :D
     
  11. lan143

    lan143 Погроммист Команда форума

    Просто дело в моей картинке из подписи, она грузится по http и поэтому браузеры считают страницу не защищенной, т.к. можно подменить картинку на что-то плохое со всеми вытекающими.

    index.png
     
  12. lan143

    lan143 Погроммист Команда форума

    Там нужно смотреть в консоли браузера (вызывается по F12) на что конкретно он ругается, и уже от этого плясать.