Ответ
Nonsecure Collection of Passwords Опции темы
Старый 16.03.2017, 12:47
  #111
Dr.Bot
 
Аватар для Dr.Bot
Регистрация: 17.04.2011
Сообщений: 772

slavegirl, ну да, Я же и сказал, что с форумами увы не получится, но блоги, особенно новый, сразу лучше делать на HTTPS.

Я думаю к 2018 все пик-хосты подтянутся, так-как вынуждены будут и тогда можно будет и форумы перевести.
Нравится 1   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Нравится:
Старый 16.03.2017, 12:54
  #112
slavegirl
 
Аватар для slavegirl
Регистрация: 16.09.2012
Сообщений: 4,810

Сообщение от Dr.Bot Посмотреть сообщение
Я же и сказал, что с форумами увы не получится
Вот здесь можно почитать, как переводить сайты с внешними картинками на HTTPS:

https://habrahabr.ru/company/mailru/blog/158603/

Там ещё и о нагрузке на сервер, за которую тоже придётся платить, много чего рассказано.
Нравится 1   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Нравится:
Старый 16.03.2017, 13:02
  #113
Dr.Bot
 
Аватар для Dr.Bot
Регистрация: 17.04.2011
Сообщений: 772

slavegirl, спасибо, эту статью видел, но во первых она про "под высокими нагрузками", во вторых она мягко говоря устарела, так-как 2012 года. если использовать cloudflare, то там по умолчанию включен HTTP/2, что фактически полностью решает проблему о которой говорится в статье.
Нравится 1   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Нравится:
Старый 16.03.2017, 13:06
  #114
slavegirl
 
Аватар для slavegirl
Регистрация: 16.09.2012
Сообщений: 4,810

Сообщение от Dr.Bot Посмотреть сообщение
но во первых она про "под высокими нагрузками"
Процесс шифрования/дешифрования нагружает процессор. Сайт станет менее отзывчивым, если не перенести его на более дорогой хостинг.

Сообщение от Dr.Bot Посмотреть сообщение
если использовать cloudflare
Угумс... подключаем CloudFlare, настраиваем защищённый протокол и всё равно получаем утечку логинов и паролей:

http://rebill.me/showthread.php?t=4901

И это творится, когда на дворе 2017 год, а не какой-то там 2012!


Кстати, если переводить форумы на HTTPS через безопасный прокси (из-за картинок), это чревато всплеском абуз на хостинг, которые придётся обрабатывать самостоятельно. Так как сначала картинки придётся скачивать на свой сервер (те, которые на обычном HTTP), а потом уже передавать пользователю в виде своих собственных.

Проще действительно дождаться, пока большинство топовых фотохостингов перейдут на новый протокол, а потом забанить у себя оставшиеся мелкие.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 16.03.2017, 13:16
  #115
Dr.Bot
 
Аватар для Dr.Bot
Регистрация: 17.04.2011
Сообщений: 772

slavegirl, если Вы внимательней изучите вопрос по поводу недавней ситуации с CloudFlare, то узнаете, что в целом никто не пострадал и сертификаты SSL небыли затронутыми. А то что ошибку устранили за 7 часов, говорит о многом. Так что не стоит волноваться по этому поводу. Мой друг главный разработчик 2ip.ru, они панику не включали, никого не заставляли менять данные, что говорит о многом.

Теперь по поводу нагрузки на процессор. Она заметна когда у вас миллион хостов в день. И опять же, cloudflare решает сам эту задачу на тарифе Pro за 20$ в мес., предоставляя CDN для статики.

Расскажу про реальный случай, который произошел перед НГ. Один сайт фактически не работал, шла легкая атака, и было всего 5000 хостов в день. На Camelhost сайт перевели на тариф за 60, и все равно сайт почти не работал. Мы перенесли сайт на другой хостинг, VDS за 12$ в мес. + 20$ CF, сайт летает до сих пор. грузится за 0.5 сек. и проблем не было. прошло почти 3 мес. Итого: экономия 28$ в мес. + бесплатный SSL сертификат + высокая скорость работы сайта. Так что нагрузку на сервер можно решать по разному и за разный бюджет.

Сообщение от slavegirl Посмотреть сообщение
Проще действительно дождаться, пока большинство топовых фотохостингов перейдут на новый протокол, а потом забанить у себя оставшиеся мелкие.
Так и есть.
Нравится 4   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Нравится:
Старый 31.03.2017, 23:37
  #116
slavegirl
 
Аватар для slavegirl
Регистрация: 16.09.2012
Сообщений: 4,810

Let's Encrypt выдал 14 766 сертификатов для фишинга PayPal





Бесплатные сертификаты Let's Encrypt стали настолько популярными, что этот центр сертификации от Mozilla и EFF уже вошёл в число крупнейших центров сертификации в Интернете. К сожалению, возможностью получить бесплатный сертификат SSL пользуются не только обычные сайты, но и сайты для фишинга. Для них наличие зелёного значка HTTPS — важное свойство, чтобы отличие с настоящим сайтом не бросалось в глаза. Браузеры помечают такие фальшивки как «безопасные сайты».

Специалисты по безопасности ранее обратили внимание, что Let's Encrypt выдаёт слишком много сертификатов со словом “PayPal” в названии домена. Эксперт SSL Store Винсент Линч (Vincent Lynch) даже обращался к центру сертификации с призывом прекратить выдачу таких сертификатов, потому что они с большой долей вероятности будут использоваться для фишинга. Теперь собраны доказательства, что фишинг с использованием сертификатов Let's Encrypt — гораздо более распространённое явление, чем можно было предположить.

Винсент Линч собрал данные с помощью поисковой системы crt.sh (её запустил Comodo) и логов системы Certificate Transparency, куда Let's Encrypt отправляет информацию обо всех выданных сертификатах — скоро так будут делать все центры сертификации. По умолчанию поисковик crt.sh не даёт обработать такой обширный запрос, так что исследователи обратились непосредственно к разработчику crt.sh Робу Стрэдлингу (Rob Stradling), который сделал запрос напрямую к базе данных.

Специалист подсчитал, что между 1 января 2016 года и 6 марта 2017 года Let's Encrypt выдал сертификаты для 15 720 доменов со словом “PayPal” в названии, причём количество таких сертификатов растёт в геометрической прогрессии, каждый месяц увеличиваясь в 1,5-2 раза.





Как видим, фишерам понадобилось определённое время, чтобы освоить Let's Encrypt в качестве основного центра сертификации — но потом процесс пошёл. Let's Encrypt стал постоянным рабочим инструментом мошенников. С декабря 2016 года он ежедневно выдаёт примерно по 100 сертификатов “PayPal”, а в феврале 2017 года — более 180 сертификатов в день.

Консервативное изучение случайной выборки из тысячи сайтов показало, что 96,7% из выданных сертификатов принадлежат доменам, на которых работают фишинговые сайты. Это соответствует 14 766 фишинговым доменам из всей выборки в 15 720 сертификатов. Большинство фишинговых сайтов быстро попадают в фильтры сервисов Safe Browsing и вскоре уходят в офлайн. Как только фишинговый сайт помечен как «опасный» в браузере, он становится бесполезным. Поэтому мошенники используют такое большое количество доменов, постоянно меняющих друг друга. Согласно исследованию CYREN, до пометки в Safe Browsing или ухода в офлайн среднее время жизни сайта составляет всего около двух суток.





За март 2017 года есть пока неполные данные, но этот месяц может стать первым, когда количество выданных сертификатов на домены “PayPal” уменьшится.

Авторы исследования говорят, что изучали ситуацию только с доменами “PayPal”, потому что это самая популярная мишень для фишинга, но такая же ситуация с доменами различных банков, сайтами Bank of America, Apple ID и Google. Например, 1963 сертификата с “applid” в названии домена.

Использование сертификатов SSL мошенниками было одним из главных беспокойств в связи с запуском бесплатного центра сертификации в конце 2015 года. В прежние времена с платными сертификатами злоумышленники вряд ли смогли бы себе позволить покупку тысяч сертификатов, тем более выдача каждого из них сопровождалась определённой бюрократической процедурой. Сейчас сертификаты стали бесплатными, а их получение и продление можно автоматизировать.

По оценке специалистов, по нынешней тенденции Let's Encrypt до конца года выдаст ещё 20 000 сертификатов на фишинговые сайты “PayPal”, так что общее число выданных сертификатов достигнет 35 000.

Создатели Let's Encrypt считают, что следить за киберпреступностью и ловить мошенников — не их дело. Они не занимаются модерацией сайтов. Этот проект — одна из нескольких инициатив, направленных на «тотальное шифрование» Интернета. Цель — зашифровать абсолютно всё, и это подразумевает шифрование в том числе «плохих» сайтов, которые тоже переходят на HTTPS.

Специалисты по безопасности годами учили пользователей, что зелёный значок защищённого соединения HTTPS означает безопасность. Ситуация ухудшается тем, что даже некоторые браузеры как Chrome при соединении по HTTPS с фишинговым сайтом выводят зелёную плашку с надписью «Безопасно».





Теперь нужно проводить дополнительную разъяснительную работу и объяснять, что «защищённое соединение» может быть с вредоносным сайтом тоже. Каждому специалисту это прекрасно понятно, а вот среди пользователей не всегда есть такое понимание, чем и пользуются мошенники. Часть вины лежит на разработчиках UI браузеров.

Сообщество ИБ раньше задавалось вопросом, действительно ли вредоносные сайты и программное обеспечение широко используют HTTPS. Теперь получен ответ, что в индустрии фишинга это действительно так.


Оригинал статьи: https://geektimes.ru/post/287364/
Нравится 1   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Нравится:
Старый 19.04.2017, 05:50
  #117
Prostak
 
Регистрация: 19.11.2012
Сообщений: 1,043

Хотел купить сертификат у gogetssl смотрю и вижу
Валидация: Домен
Выдача: 3-4 минуты
Бесп. перевыдача: Да
Зелёная строка: Нет
Проверка установки: Да

Страховка: 10,000$
Бесплатное лого: Да
Браузеры: 99.3%
Wildcard: Нет
Сервера неограничены

не могу понять что такое Зелёная строка: Нет и Wildcard: Нет, кто может подскажите.
Если зеленая это замок и Secure и его не будет то смысл в покупке такого сертификата?
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 19.04.2017, 06:20
  #118
RazorG
 
Регистрация: 11.08.2014
Сообщений: 135

Зелёная строка видимо имеется ввиду см. например
http://www.hotmail.com/
Нравится 2   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Нравится:
Старый 29.04.2017, 11:41
  #119
slavegirl
 
Аватар для slavegirl
Регистрация: 16.09.2012
Сообщений: 4,810

Google Chrome продолжит «закручивать гайки» (с октября)

Впрочем, для кого эта новость покажется закручиваем гаек, а для кого — пуганием пользователей, однако компания Goolge, как и обещала, собирается порадовать нас очередными изменениями поведения браузера Google Chrome по части оповещения пользователя о том, на какой сайт тот заходит.

Если раньше разговор шел о том, что страницы, содержание поля ввода пароля или номера кредитки, и отправляющие данные по http (не https), помечались как небезопасные в строке адреса, то свежие изменения предполагают помечать небезопасными все http-страницы с полями ввода, а также все http-страницы при просмотре их в режиме инкогнито.





Прошлое изменение было введено с версии Chrome 56, и оно дало, как утверждает Google, уменьшение на 23% доли переходов на http-страницы с полями ввода пароля и/или номеров кредитных карт (данные берутся только по десктопной версии браузера).

Новый шаг Google в обеспечении безопасности передаваемых пользовательских данных планирует сделать с версии 62, которая планируется к выходу в октябре 2017.

Новый вид омнибокса, в зависимости от ситуации, планируется таким:





Как видно, различия невелики, однако, по здравому размышлению, они скорее полезны пользователям. По крайней мере, этот индикатор подвигнет владельцев сайтов (скорее всего, именно посещаемых сайтов) переходить на использование https, а это, по мысли авторов изменения, обеспечит передачу данных пользователя на сайт без возможности перехвата их по пути.


Оригинал статьи: https://geektimes.ru/post/288666/
Нравится 1   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Нравится:

Ответ
 
 



Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
 
Опции темы

Быстрый переход


Текущее время: 23:27. Часовой пояс GMT +3.