яндексобезопасное 21.04.16 12:22 // оригинал
Перевел сайты на https, гугль все это обработал прозрачно (в панели управления потом все-таки пришлось добавить адрес с https вручную, но на выдаче это никак не отразилось). Яндекс через пару недель это дело понял и сам правильно склеил зеркала, а еще через недельку обнулил ТИЦ. Да, я знаю, что это известное поведение, и потом все должно вернуться, но... "и они еще борются за звание дома высокой культуры быта", т.е. тьфу, за безопасность пользователей.
А зачем это делают (переводят сайты на https)? В чем смысл?...11.05.16 23:13 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 11.05.16 23:14 Количество правок: 1
ну да, иначе логины/пароли/id сессий в открытом виде бегают12.05.16 13:43 Автор: dl <Dmitry Leonov> Отредактировано 12.05.16 13:44 Количество правок: 1
> Плюс небольшой шкурный интерес - гугль https-сайты обещает > ранжировать повыше, плюс включение push-извещений требует > меньших танцев с бубнами. Что—то я сомневаюсь в защите от мим атак и защите паролей. Если сертификат не установлен, то такая зашита становится бесполезной.
основной смысл сертификата - отдать браузеру публичный ключ13.05.16 12:19 Автор: dl <Dmitry Leonov> Отредактировано 13.05.16 12:47 Количество правок: 2
...которым будет шифроваться сессионный, которым будет шифроваться весь трафик, включая те самые пароли/id сессии, которые иначе передаются по http в открытом виде. Плюс подтвердить, что все это действительно пришло с самого сайта.
Дополнительно устанавливать что-то на стороне браузера нужно если сертификат сайта подписан неизвестным браузеру CA (например, в случае самоподписанных, это годится для закрытых админок, домашних NAS и т.п.).
В ответе чуть ниже все описано правильно и подробней.
Сертификаты необходимы для защищенного обмена сессионными...13.05.16 11:01 Автор: Den <Denis> Статус: The Elderman Отредактировано 17.05.16 14:33 Количество правок: 3
Сертификаты необходимы для защищенного обмена сессионными ключами симметричного шифрования с помощью публичного ключа асимметричного шифрования, находящегося в сертификате сайта, пара которому (приватный ключ) известна только https серверу.
Если сертификат сайта удостоверен (подписан) доверенным корневым центром сертификации, сертификат которого уже размещен в хранилище сертификатов и данные в сертификате сайта совпадают с "координатами" сайта, то такой сертификат считается доверенным. В противном случае, пользователь получит предупреждение о нарушении безопасности.
Некоторые антивирусы умеют просматривать https трафик, устанавливая на защищаемом компе свой доверенный корневой псевдоцентр сертификации, размещая его сертификат в хранилище, генерируя и подписывая налету свои собственные сертификаты для сайтов, внедряясь с их помощью в защищенный канал передачи данных между клиентом (браузером) и https сервером.
В случае с https, для осуществления mitm атаки атакующему не только необходимо полностью контролировать трафик между клиентом и сервером, но и каким-либо способом разместить в защищенном хранилище атакуемого узла сертификат своего "доверенного" центра сертификации, с помощью которого он будет подписывать генерируемые налету сертификаты https серверов, посещаемых клиентом.
Вот! Одного протокола мало. Нужно еще обеспечить правильную сертификацию.21.05.16 12:37 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman