Про обязательное внедрение HTTPS

Слышал краем уха, что интернет-гиганты (читай Гугл) с прочими жидомасонами придумали хитрый план – в обязательном порядке, на всех без исключения сайтах добиться поддержки защищенного протокола HTTPS. Ну, знаете, наверное – “замочек” в адресной строке и прочая ерунда?

На этом пути возникают, конечно, курьезные поделия типа Let’s Encrypt – чудовищные с точки зрения безопасности. Понятно, почему это происходит – квалификации среднего “вебмастера”, как и бюджета среднего сайта, совершенно недостаточно для нормальной “защиты” – и вместо этого получается защита “формальная”, для галочки.

Что же будет в итоге? Будем иметь кучи сайтов с криво настроенным HTTPS, проблемы на стороне пользователей (типа устаревших корневых сертификатов) – а те же пользователи будут шустро учиться, где же в браузере находится кнопочка “забить на глюки HTTPS”. Как мне кажется, это не то, к чему надо стремиться. И как тут не вспомнить жидомасонов из первой строчки этой записи? Если нельзя “взломать” алгоритм шифрования – сделайте так, чтобы на его использование все забивали.

7 комментариев

  1. Gray-bird пишет:

    Ничего то ты, Дядя Фёдор в бутербродах не понимаешь!
    Всеобщий https означает, что гиганты будут рекламу хостить у себя, и банерообменки издохнут

    • kettle пишет:

      Для этого гиганты шифруют referer, что бы банерообменник не мог узнать ключевики перехода.
      https тизерам не помеха. Даже тем, которые сели на комп юзеру под видом вирусни и модифицируют страницу. Обломятся только те, кто подменял трафик в дороге. Сейчас в метро если открывается https то браузер ругается на недостоверность сертификата, потому что провайдер перенаправляет на свою страницу авторизации с рекламой.

      • > Обломятся только те, кто подменял трафик в дороге.

        Так они и сейчас не обламываются, что подтверждает твой пример. А расрутить, к примеру, абонентов единственного в городе провайдера на установку “провайдерского” RootCA – раз плюнуть.

        • kettle пишет:

          во-первых в моем примере ты видишь что страница изменена, во-вторых не будем говорить кого именно, но ловили на подмене мобильного трафика, встраивая свою контент в чужие страницы. По нынешней жизни это должна быть весьма отдаленная деревня, что бы там был один оператор. Но я в пол-второго ночи не готов обсуждать MITM в контексте установки провайдеровского сертификата.

  2. dsa пишет:

    Это касается страниц на которых собирается личная информация. Моголовенгерским жертва отрицательного отбора по признаку высокопримативности и истероидоности, впрочем, можно оставаться в привычно-комфортном состоянии возбуждения.