Jump to content

Https доступ

mikhan

By mikhan
in Your suggestions

Recommended Posts

mikhan Grand Master

mikhan

Posted
Posted

Оно есть или будет? А то скрипткиддис типа меня начали доставлять в открытых вайфай сетях.

  • 2 weeks later...
Mac Grand Master

Mac

Posted
Posted

Давно думал над этим, даже смотрел реализацию, но есть сложности. Нужно покупать сертификат, иначе браузер будет ругаться красным цветом. Кроме того, придется делать две версии: с SSL и без, т.к. сажать всех на него не стоит - больше ресурсных затрат и медленнее отклик. А с дублированием не все так просто технически.

mikhan Grand Master

mikhan

Posted
  • Author
Posted

Ulan.VIP

давай через публичный вайфай зайди на форум, а там найдутся ловцы печенек ;)

Mac

спасибо. Уровень моей паранойи снизился :)

aspirin Grand Master

aspirin

Posted
Posted

кажется что сайт быстрее работать стал)

соединение защищенное только в момент передачи данных?

Добавлено спустя 4 минуты 55 секунд:

да нее, реально быстрее работает)

Mac Grand Master

Mac

Posted
Posted
соединение защищенное только в момент передачи данных?
Не совсем понимаю вопроса. Ну по сути да :) А когда оно еще может быть защищенным?

Насчет быстрее не знаю. Наоброт должно чуть медленнее из-за нагрузки от шифрования :)

aspirin Grand Master

aspirin

Posted
Posted

Я вот когда перехожу по ссылке у меня в строке появляется "Безопасный". Опера.

а в остальное время незащищенное соединение.

просто бывает же что там постоянно "Защищенное".

В общем я в этом деле не спец, но работает всё быстро.

Mac Grand Master

Mac

Posted
Posted

aspirin, че-то с Оперой действительно странно. Наверно это потому, что Опера не отрубает сторонние флэши всякие. Если в Хроме тоже их разрешить, значок с зеленого сменится на серый, дескать, зашифровано, но есть небезопасные элементы на странице. Впрочем, эти небезопасные элементы никак на шифрование трафика не влияют, и можно разрешить.

Mac Grand Master

Mac

Posted
Posted

superman, да, вы правы. В настройках движка есть опция, включающая безопасные куки. Если ее включить, весь сайт переводится на SSL, что нам, во-первых, не нужно, во-вторых, вызывает разлогин при переходе по ссылкам без https.

Очевидно, для тех, кто хочет пользоваться SSL-соединением, нужно будет дописывать какой-то свой костыль, который при логине будет ставить безопасные куки только им, но в то же время остается проблема с разлогином. Мысли вертятся в сторону htaccess. Если у кого есть мысли, предлагайте.

Добавлено спустя 10 минут 21 секунду:

Хотя может и не совсем правы... Если заходить на сайт изначально по SSL, то все взаимодействие, если я не ошибаюсь, идет по защищенному каналу до тех пор, пока вы не обратитесь к сайту по обычному адресу http://. Раз куки обычные, а не защищенные, то они прекрасно отдадутся по незащищенному соединению - разлогина не произойдет, но теоретическая утечка их возможна.

superman Rising Star

superman

Posted
Posted
но теоретическая утечка их возможна.

Примерно это и пытался донести.

Только я бы сказал не теоретическая утечка их возможна, а скорее смысла в https при таком раскладе мало. Ведь хоть куки и отправятся по зашифрованному соединению при запросе самой страницы и прочих ресурсов, паралелльно они же будут отправлены открыто по http при запросе картинок.

Решение думаю самое простое такое: дописать в парсер BB-кода замену протокола картинки на "://" вместо "http://", если картинка расположена на сервере улановки (таким образом кто пришел по https - получат ее по зашифрованному соединению, а кто по http - получат по http).

Еще есть вариант хранить картинки на другом домене (либо поддомене, но тогда нужно сам форум на отдельный поддомен).

Mac Grand Master

Mac

Posted
Posted

superman, а разве при запросе картинки может происходить запрос кук?

superman Rising Star

superman

Posted
Posted

Mac

да, конечно. Картинки на том же домене, поэтому браузер включает их в запрос (можно увидеть в Developer Tools в Chrome, или Firebug и т.п.)

Mac Grand Master

Mac

Posted
Posted

Поковырялся в коде. Включил обращение к скрипту логина из формы логина по SSL (login.php), да бы пароль не отдавался в открытом виде. Это для всех.

Проверил в снифеере. Вроде работает. Просьба затестить, кто разбирается.

Понятно, что и сама форма логина желательно, чтобы была отдана по SSL во избежание ее подмены по пути, но грузить всем индексную по SSL не хочется, а убирать форму логина с главной тем более. В любом случае, если мои измышления верны, сейчас получить пароль в чистом виде при перехвате трафика уже гораздо проблематичнее.

Sargo Mentor

Sargo

Posted
Posted
да бы пароль не отдавался в открытом виде

а до сего момента он всегда в открытом передавался?!

Mac Grand Master

Mac

Posted
Posted

Sargo, разумеется. Как и на любом сайте, в адресной строке которого нет https://. Привет VK.com, Mail.ru *30

Подумал тут, и пришла в голову идея, как решить проблему с картинками. Тем, кто логинится в SSL, выдавать защищенные куки, которые попросту не будут отдаваться по незащищенному каналу, таким образом, вставленные картинки угрозы нести не будут. Единственной проблемой в таком случае остается написание авторедиректа для ссылок на незащищенные страницы форума. Но это уже гораздо проще.

Поправьте, если ошибаюсь.

mikhan Grand Master

mikhan

Posted
  • Author
Posted

ничего странного. Всегда так было и есть. Поэтому серфинг в открытых ,например вайфай, сетях, без должного уровня защиты как стороны юзера, так и владельца сети, подвергает офигенному риску персональные данные.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...