mikhan Posted January 31, 2013 Report Share Posted January 31, 2013 Оно есть или будет? А то скрипткиддис типа меня начали доставлять в открытых вайфай сетях. Link to comment
Ulan.VIP Posted February 9, 2013 Report Share Posted February 9, 2013 mikhan Зачем? Не думаю что защищенное соединение нужно для форума! Link to comment
Mac Posted February 9, 2013 Report Share Posted February 9, 2013 Давно думал над этим, даже смотрел реализацию, но есть сложности. Нужно покупать сертификат, иначе браузер будет ругаться красным цветом. Кроме того, придется делать две версии: с SSL и без, т.к. сажать всех на него не стоит - больше ресурсных затрат и медленнее отклик. А с дублированием не все так просто технически. Link to comment
Mac Posted February 10, 2013 Report Share Posted February 10, 2013 А, впрочем... https://ulanovka.ruТестим, отписываемся. Пока ломаю мозг, как заменять все ссылки, если SSL-включен. Link to comment
mikhan Posted February 10, 2013 Author Report Share Posted February 10, 2013 Ulan.VIPдавай через публичный вайфай зайди на форум, а там найдутся ловцы печенек Macспасибо. Уровень моей паранойи снизился Link to comment
aspirin Posted February 10, 2013 Report Share Posted February 10, 2013 кажется что сайт быстрее работать стал)соединение защищенное только в момент передачи данных?Добавлено спустя 4 минуты 55 секунд:да нее, реально быстрее работает) Link to comment
Mac Posted February 10, 2013 Report Share Posted February 10, 2013 соединение защищенное только в момент передачи данных?Не совсем понимаю вопроса. Ну по сути да А когда оно еще может быть защищенным?Насчет быстрее не знаю. Наоброт должно чуть медленнее из-за нагрузки от шифрования Link to comment
aspirin Posted February 10, 2013 Report Share Posted February 10, 2013 Я вот когда перехожу по ссылке у меня в строке появляется "Безопасный". Опера.а в остальное время незащищенное соединение.просто бывает же что там постоянно "Защищенное".В общем я в этом деле не спец, но работает всё быстро. Link to comment
Zaxar Posted February 10, 2013 Report Share Posted February 10, 2013 Да кстати грузит быстрее....! Link to comment
mikhan Posted February 10, 2013 Author Report Share Posted February 10, 2013 тока давайте все по ссл не ходите, а то если все полезут, быстрее уже не будет Link to comment
Mac Posted February 10, 2013 Report Share Posted February 10, 2013 aspirin, че-то с Оперой действительно странно. Наверно это потому, что Опера не отрубает сторонние флэши всякие. Если в Хроме тоже их разрешить, значок с зеленого сменится на серый, дескать, зашифровано, но есть небезопасные элементы на странице. Впрочем, эти небезопасные элементы никак на шифрование трафика не влияют, и можно разрешить. Link to comment
superman Posted February 10, 2013 Report Share Posted February 10, 2013 Загруженные картинки с сервера ulanovka по http отдаются (соответственно и куки посылаются по http). Link to comment
Mac Posted February 10, 2013 Report Share Posted February 10, 2013 superman, да, вы правы. В настройках движка есть опция, включающая безопасные куки. Если ее включить, весь сайт переводится на SSL, что нам, во-первых, не нужно, во-вторых, вызывает разлогин при переходе по ссылкам без https.Очевидно, для тех, кто хочет пользоваться SSL-соединением, нужно будет дописывать какой-то свой костыль, который при логине будет ставить безопасные куки только им, но в то же время остается проблема с разлогином. Мысли вертятся в сторону htaccess. Если у кого есть мысли, предлагайте.Добавлено спустя 10 минут 21 секунду:Хотя может и не совсем правы... Если заходить на сайт изначально по SSL, то все взаимодействие, если я не ошибаюсь, идет по защищенному каналу до тех пор, пока вы не обратитесь к сайту по обычному адресу http://. Раз куки обычные, а не защищенные, то они прекрасно отдадутся по незащищенному соединению - разлогина не произойдет, но теоретическая утечка их возможна. Link to comment
superman Posted February 10, 2013 Report Share Posted February 10, 2013 но теоретическая утечка их возможна.Примерно это и пытался донести.Только я бы сказал не теоретическая утечка их возможна, а скорее смысла в https при таком раскладе мало. Ведь хоть куки и отправятся по зашифрованному соединению при запросе самой страницы и прочих ресурсов, паралелльно они же будут отправлены открыто по http при запросе картинок.Решение думаю самое простое такое: дописать в парсер BB-кода замену протокола картинки на "://" вместо "http://", если картинка расположена на сервере улановки (таким образом кто пришел по https - получат ее по зашифрованному соединению, а кто по http - получат по http).Еще есть вариант хранить картинки на другом домене (либо поддомене, но тогда нужно сам форум на отдельный поддомен). Link to comment
Mac Posted February 10, 2013 Report Share Posted February 10, 2013 superman, а разве при запросе картинки может происходить запрос кук? Link to comment
superman Posted February 10, 2013 Report Share Posted February 10, 2013 Macда, конечно. Картинки на том же домене, поэтому браузер включает их в запрос (можно увидеть в Developer Tools в Chrome, или Firebug и т.п.) Link to comment
Mac Posted February 10, 2013 Report Share Posted February 10, 2013 Поковырялся в коде. Включил обращение к скрипту логина из формы логина по SSL (login.php), да бы пароль не отдавался в открытом виде. Это для всех.Проверил в снифеере. Вроде работает. Просьба затестить, кто разбирается.Понятно, что и сама форма логина желательно, чтобы была отдана по SSL во избежание ее подмены по пути, но грузить всем индексную по SSL не хочется, а убирать форму логина с главной тем более. В любом случае, если мои измышления верны, сейчас получить пароль в чистом виде при перехвате трафика уже гораздо проблематичнее. Link to comment
Sargo Posted February 11, 2013 Report Share Posted February 11, 2013 да бы пароль не отдавался в открытом видеа до сего момента он всегда в открытом передавался?! Link to comment
Mac Posted February 11, 2013 Report Share Posted February 11, 2013 Sargo, разумеется. Как и на любом сайте, в адресной строке которого нет https://. Привет VK.com, Mail.ru *30Подумал тут, и пришла в голову идея, как решить проблему с картинками. Тем, кто логинится в SSL, выдавать защищенные куки, которые попросту не будут отдаваться по незащищенному каналу, таким образом, вставленные картинки угрозы нести не будут. Единственной проблемой в таком случае остается написание авторедиректа для ссылок на незащищенные страницы форума. Но это уже гораздо проще.Поправьте, если ошибаюсь. Link to comment
Sargo Posted February 11, 2013 Report Share Posted February 11, 2013 разумеетсястранно, что никакого метода шифрования использовано не было. Link to comment
mikhan Posted February 11, 2013 Author Report Share Posted February 11, 2013 ничего странного. Всегда так было и есть. Поэтому серфинг в открытых ,например вайфай, сетях, без должного уровня защиты как стороны юзера, так и владельца сети, подвергает офигенному риску персональные данные. Link to comment
superman Posted February 11, 2013 Report Share Posted February 11, 2013 Macдумаю должно сработать. Link to comment
Batman V Posted February 12, 2013 Report Share Posted February 12, 2013 сейчас перешел на https://ulanovka.ru форум стал быстрее грузиться почемуто) Link to comment
maxx1101 Posted February 12, 2013 Report Share Posted February 12, 2013 Как и на любом сайте, в адресной строке которого нет https://. Привет VK.com, Mail.ruмэйл так то на https:// Link to comment
DR1VER_ Posted February 13, 2013 Report Share Posted February 13, 2013 maxx1101, только ящик. Одноклассники и Мой мир через http. Link to comment
Recommended Posts
Please sign in to comment
You will be able to leave a comment after signing in
Sign In Now