Перейти к содержанию

Https доступ

mikhan

Автор mikhan
в Предложения пользователей

Рекомендуемые сообщения

  • 2 недели спустя...
Mac Мастер

Mac

Опубликовано
Опубликовано

Давно думал над этим, даже смотрел реализацию, но есть сложности. Нужно покупать сертификат, иначе браузер будет ругаться красным цветом. Кроме того, придется делать две версии: с SSL и без, т.к. сажать всех на него не стоит - больше ресурсных затрат и медленнее отклик. А с дублированием не все так просто технически.

Ссылка на комментарий
mikhan Мастер

mikhan

Опубликовано
  • Автор
Опубликовано

Ulan.VIP

давай через публичный вайфай зайди на форум, а там найдутся ловцы печенек ;)

Mac

спасибо. Уровень моей паранойи снизился :)

Ссылка на комментарий
aspirin Мастер

aspirin

Опубликовано
Опубликовано

кажется что сайт быстрее работать стал)

соединение защищенное только в момент передачи данных?

Добавлено спустя 4 минуты 55 секунд:

да нее, реально быстрее работает)

Ссылка на комментарий
Mac Мастер

Mac

Опубликовано
Опубликовано
соединение защищенное только в момент передачи данных?
Не совсем понимаю вопроса. Ну по сути да :) А когда оно еще может быть защищенным?

Насчет быстрее не знаю. Наоброт должно чуть медленнее из-за нагрузки от шифрования :)

Ссылка на комментарий
aspirin Мастер

aspirin

Опубликовано
Опубликовано

Я вот когда перехожу по ссылке у меня в строке появляется "Безопасный". Опера.

а в остальное время незащищенное соединение.

просто бывает же что там постоянно "Защищенное".

В общем я в этом деле не спец, но работает всё быстро.

Ссылка на комментарий
Mac Мастер

Mac

Опубликовано
Опубликовано

aspirin, че-то с Оперой действительно странно. Наверно это потому, что Опера не отрубает сторонние флэши всякие. Если в Хроме тоже их разрешить, значок с зеленого сменится на серый, дескать, зашифровано, но есть небезопасные элементы на странице. Впрочем, эти небезопасные элементы никак на шифрование трафика не влияют, и можно разрешить.

Ссылка на комментарий
Mac Мастер

Mac

Опубликовано
Опубликовано

superman, да, вы правы. В настройках движка есть опция, включающая безопасные куки. Если ее включить, весь сайт переводится на SSL, что нам, во-первых, не нужно, во-вторых, вызывает разлогин при переходе по ссылкам без https.

Очевидно, для тех, кто хочет пользоваться SSL-соединением, нужно будет дописывать какой-то свой костыль, который при логине будет ставить безопасные куки только им, но в то же время остается проблема с разлогином. Мысли вертятся в сторону htaccess. Если у кого есть мысли, предлагайте.

Добавлено спустя 10 минут 21 секунду:

Хотя может и не совсем правы... Если заходить на сайт изначально по SSL, то все взаимодействие, если я не ошибаюсь, идет по защищенному каналу до тех пор, пока вы не обратитесь к сайту по обычному адресу http://. Раз куки обычные, а не защищенные, то они прекрасно отдадутся по незащищенному соединению - разлогина не произойдет, но теоретическая утечка их возможна.

Ссылка на комментарий
superman Восходящая звезда

superman

Опубликовано
Опубликовано
но теоретическая утечка их возможна.

Примерно это и пытался донести.

Только я бы сказал не теоретическая утечка их возможна, а скорее смысла в https при таком раскладе мало. Ведь хоть куки и отправятся по зашифрованному соединению при запросе самой страницы и прочих ресурсов, паралелльно они же будут отправлены открыто по http при запросе картинок.

Решение думаю самое простое такое: дописать в парсер BB-кода замену протокола картинки на "://" вместо "http://", если картинка расположена на сервере улановки (таким образом кто пришел по https - получат ее по зашифрованному соединению, а кто по http - получат по http).

Еще есть вариант хранить картинки на другом домене (либо поддомене, но тогда нужно сам форум на отдельный поддомен).

Ссылка на комментарий
Mac Мастер

Mac

Опубликовано
Опубликовано

Поковырялся в коде. Включил обращение к скрипту логина из формы логина по SSL (login.php), да бы пароль не отдавался в открытом виде. Это для всех.

Проверил в снифеере. Вроде работает. Просьба затестить, кто разбирается.

Понятно, что и сама форма логина желательно, чтобы была отдана по SSL во избежание ее подмены по пути, но грузить всем индексную по SSL не хочется, а убирать форму логина с главной тем более. В любом случае, если мои измышления верны, сейчас получить пароль в чистом виде при перехвате трафика уже гораздо проблематичнее.

Ссылка на комментарий
Mac Мастер

Mac

Опубликовано
Опубликовано

Sargo, разумеется. Как и на любом сайте, в адресной строке которого нет https://. Привет VK.com, Mail.ru *30

Подумал тут, и пришла в голову идея, как решить проблему с картинками. Тем, кто логинится в SSL, выдавать защищенные куки, которые попросту не будут отдаваться по незащищенному каналу, таким образом, вставленные картинки угрозы нести не будут. Единственной проблемой в таком случае остается написание авторедиректа для ссылок на незащищенные страницы форума. Но это уже гораздо проще.

Поправьте, если ошибаюсь.

Ссылка на комментарий
mikhan Мастер

mikhan

Опубликовано
  • Автор
Опубликовано

ничего странного. Всегда так было и есть. Поэтому серфинг в открытых ,например вайфай, сетях, без должного уровня защиты как стороны юзера, так и владельца сети, подвергает офигенному риску персональные данные.

Ссылка на комментарий

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...