Компания Google анонсировала включение в выпуске Chrome 154, намеченном на октябрь 2026 года, автоматического перенаправления HTTP-запросов на HTTPS. Для сайтов, не поддерживающих HTTPS, перед первым открытием по HTTP будет выводиться диалог для подтверждения операции. В настоящее время подобное поведение является опциональным и для включения требует выставления настройки "Always Use Secure Connections"...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64152
А когда куки будем удалять?
Они же отказались от этого всего и вернулись к evercookie и third-party cookies, так что теперь никогда.
Лучше бы ipv4 удалили.
> Лучше бы ipv4 удалили.А что вместо него? Ipv6 так и не взлетел, до сих пор 40%. Да и какой смысл его внедрять? Можно отжать /8 сеточек ещё у пары корп и хватит всем желающим во всём мире ещё на десятилетия вперёд.
У кого не взлетел, тот Слоупок.
У этих, которые тут доказывают превосходство четвёртых пентиумов над корками двух дуо и покупают себе элт-мониторы на авито.
В их кривозеркальном королевстве, короче.
> Ipv6 так и не взлетел, до сих пор 40%44,94% по данным гугла. Его внедрение растёт по 0,5% в год в среднем и лет через 120 IPv4 вообще не будет. Уже есть IPv6-only провайдеры, которые все IPv4-only DNS запросы пропускают через DNS64 и потом соединения через NAT64. Учитывая, что основные потребители трафика YouTube и Twitch поддерживают IPv6, у таких провайдеров большая часть трафика идёт мимо NAT. По сути уже можно строить IPv6-only сети и они вряд ли они столкнутся с какими-то проблемами. Я лично у себя дома IPv4 для связи между домашними устройствами не использую, просто у каждого устройства есть DNS-имя.
Если смотреть по странам, то во Франции 86%, а в России 12%. Не в каждой африканской стране такой низкий процент внедрения IPv6, так, что судить по взлёте IPv6 из России бессмысленно.
>Можно отжать /8Ловите коммуниста!
> Я лично у себя дома IPv4 для связи между домашними устройствами не использую, просто у каждого устройства есть DNS-имя.У каждого ведроида, которые только SLAAC умеют, тоже свои доменные имена? Если да, то как вы их регаете?
Плюс DNS при текущем положении дел очень ненадёжно использовать - нету такой же консолидации среди разработчиков и операционки, что DNS должен настраиваться только системой для простых приложений (банально ваш браузер сам запросы куда хочет шлёт, а в телефоне все настройки заканчиваются выбором сервера, к которому будет 100% доверие и никакой возможности выбрать разные сервера для, например, разных доменных зон), как вокруг того, что приложение не должно само делать TCP или UDP.
> У каждого ведроида, которые только SLAAC умеют, тоже свои доменные имена? Если
> да, то как вы их регаете?Ведройды, как и любой другой Linux по умолчанию, формируют два адреса постоянный и временный. В информации об устройстве можно глянуть оба, через консоль можно даже посмотреть какой из них постоянный. Рандомизация MAC-адреса для моего Wi-Fi выключена. Поэтому постоянный адрес остаётся постоянным.
> Плюс DNS при текущем положении дел очень ненадёжно использоватьЯ использую настоящие, публичные DNS-имена 4 уровня, получив 3 на халяву у Afraid. Какой бы приложения не использовали сервер, публичную DNS-запись они найдут.
Для домашних поделок вместо привязки у MAC адресам и IP, практичнее использовать NETBIOS имена.
> Для домашних поделок вместо привязки у MAC адресам и IP, практичнее использовать
> NETBIOS имена.Оно с линуксами плохо дружит и регулярно ломается после обновлений. Более того, если я захочу получить к ним доступ из за пределов локалки, то меня ждут разнообразные сложности. Так, что только DNS, только хардкор.
Можно zeroconf использовать, кстати.
> Я лично у себя дома IPv4 для связи между домашними устройствами не использую, просто у каждого устройства есть DNS-имя.Какое отношение IPv4 или IPv6 имеет к наличию или отсутствию DNS имени ?
>Учитывая, что основные потребители трафика YouTube и TwitchЯсно. Судим всех по себе. Бувает...
>Если смотреть по странам, то во Франции 86%,Остальным 14% предлагаете страдать?
>>Можно отжать /8
>Ловите коммуниста!Но реально же так и есть, тонны не используемых v4 сетей осели у корпов.
> Какое отношение IPv4 или IPv6 имеет к наличию или отсутствию DNS имени ?Вы IPv6 адреса видели? В локалках IPv4 пользователи зачастую указывают IPv4-адрес, а не имя.
> Ясно. Судим всех по себе. Бувает...
Это статистика. Среднестатистический пользователь потребляет много легального видеоконтента. Это основной расход трафика у провайдеров. Следующие по списку социальные сети, где лидером является запрещённая в России соцсеть. И где там на дне все остальные.
> Остальным 14% предлагаете страдать?
Перейти к провайдеру с IPv6 или получить такую сеть иным путём. Например VPN от Cloudflare предоставляет клиенту IPv6-адрес, но зафильтрованный.
> Но реально же так и есть, тонны не используемых v4 сетей осели
> у корпов.Кто Вам сказал, что они не используются? Эти адреса назначаются офисным машинам и принтерам, что с Вашей точки зрения ересь. Но они так живут со времён основания.
Вот и я глянул почему во Франции 86% это IPv6, потому что хочешь 5G давай IPv6.
Если бы не раздача частот никто бы и не парился
Объём торгов v4 растёт:https://ipv4a-5539ad.gitlab.io/
Пока, правда, всё ещё около 1м в месяц, что совсем небольшая доля, но тренд интересный.
>Лучше бы ipv4 удалили.А вместо него что предлагаете? Почтовых голубей?
Ну и фантазии.
Хороший браузер! А доля рынка это подтверждает!
edge лучше
Яндекс.Браузер лучше.
Для mitm-атак или для слива ?
- https://opennet.ru/56830-tls
- https://habr.com/ru/articles/878236/
Если быть справедливым, для начала симбе и iOS , а уж потом андроиду. С симбой они расправились купив её, а с iOS и роботом такое не прокатило.
Он это ФСБ-шники?
>Для mitm-атак или для слива ?да
И это хорошо!
https://opennet.ru/57309-http
Без него сами не разберёмся по какому адресу сайт открывать.
В Firefox тоже такое будет!
В фоксе такое не будет , а давно есть .
Ведь скорость загрузки http больше чем https.
----- Ведь скорость загрузки http больше чем https.Чё та не заметил, но доступ к экрану и перемешиванию клавиш есть....
>чтобы не раздражать пользователейПоздно, пользователи уже раздражены.
Сглотнут, как и отказ от второго манифеста.
Среднестатистический пользователь представления не имеет, что такое манифеста. А рекламу, они вообще, не замечают.
https://chromewebstore.google.com/detail/ddkjiahejlhfcafbddm...
Не рассказывай им, пускай живут в иллюзиях того, что вот-вот юзеры свалят с хрома.
Чушь, очень даже замечают, когда ноутбук взвывает от всего JSа на сайте и когда помимо окна браузера начинают открываться на весь экран без единого клика от пользователя другие окна. Я думал такого уже нету, но похоже я слишком долго был в неведении, насколько токсичен обычный веб без фильтров для всех пользователей, даже тех, которые читают url окна. И это топ выдачи гугла, не хрен пойми чего.
Зачем тебе http?
Например, чтобы не зависеть от СА. Свободы от них хочется.
Уязвимость - это свобода.
Мне нечего скрывать - это безопасность :)
Создайте собственный корневой сертификат и установите его на свои компьютеры. Все, вы не зависите от чужих CA
>Стопроцентный охват HTTPS пока недостижим, так как поддержка HTTP остаётся востребованной для доступа к внутренним сайтам, размещаемым в локальных сетях предприятий. Для подобных сайтов, использующих интранет-адреса типа 192.168.x.x и 10.x.x.x, проблематично получить заверенный удостоверяющим центром TLS-сертификат, поэтому для работы с ними продолжает использоваться HTTP или самоподписанные сертификаты.Приватные ip, это не только локальная сеть, это ещё и сеть внутри одного физического компьютера. Тот же докер контейнер как раз и получит там ip.
Там же написано "интранет". Что не так?
В технически сложных темах крайне трудно писать одновременно точно и понятно. Сейчас формулировка гораздо лучше.
>в локальных сетях предприятий или на текущей системеЗЫ. Есть ещё 172.16.0.0/12, я про него забыл.
> открытием по HTTP будет выводиться диалог для подтвержденияТак и вижу как техподдержка локальных порталов вздрагивает от каждого тикета своих юзеров, что зайти на портал не могут, вырус какой-то заблокировал вход.
гугель продолжает рыть себе яму, уже не яму а целый котлаван накопал, молодец.
Ничего не мешает гуглу загуглить rfc о том какие домены не используются для интернета и добавить их в исключение, ещё и список в настройках предоставить. Ну, кроме того что они думают, что им "виднее", как люди должны пользоваться интернетом.
Это уже ИХ интернет и ОНИ его доят. Заодно с теми людьми, которые думают что это они им пользуются, а не наоборот.
ну у плохой техподдержки так и будет, а хорошая будет объяснять людям где клацнуть на qr-код, превращающий их ведроиды в корпоративного шпиона (о чем юзверятам, понятно, сообщать никто не собирался) помимо гуглевого.После чего все порталы станут резко доступны, ведь на них корпоративный сертификат уже установлен.
> гугель продолжает рыть себе яму
это не ему яма, глупый раб. Это яма для тебя.
Владелец интернета сказал что все должно быть под контролем летшиткрипта - значит, так и будет. Кто против? А никого, яму уже засыпали и сверху построили мусорный полигон.
> летшиткриптаДобавлю для непросвещённых, можно погуглить то, как "угнали" сертификат у джаббер ру.
И узнать, что ни LE, ни HTTPS тут не при чём, а вмноваты безрукие админы не осилившие мониторинг и проморгавшие атаку.
> Для подобных сайтов, использующих интранет-адреса типа 192.168.x.x и 10.x.x.x, проблематично получить заверенный удостоверяющим центром TLS-сертификатЧто ты несешь? Что ты несешь?
Получаются сертификаты wildcard от LE элементарно, как и всегда через DNS Challenge и в том же OpenWRT это полностью автоматизировано с использованием acme.sh и даже веб-интерфейса для этого
Нет никаких с этим проблем уже несколько лет(как LE стали давать wildcard)
А для локалхоста тоже надо сертификат выписывать?
И к чему тут твой бред?
В тексте новости был бред, что якобы нельзя выпустить для того что на private IP, я заметил, что это чистой воды брехня и что сертификаты прекрасно выпускаются, у тебя вообще все хосты могут быть на приватных IP и это никак не помешает использовать сертификаты
>В тексте новости был бред, что якобы нельзя выпуститьВ тексте новости сказано, что проблемтично, вы путаете слова.
>как и всегда через DNS ChallengeПодскажите бесплатный способ это сделать, буду рад.
> И к чему тут твой бред?Ты не понял и сам написал бред. Локалхост - это 127.0.0.1 и ::1, т.е. мне чтоб зайти хромом на http://localhost надо выпускать сертификат?
>Локалхост - это 127.0.0.1Нет, локалхост это 127.0.0.1/8.
> Получаются сертификаты wildcard от LE элементарноДа можно и обычные, не вайлдкард, выпускать... Это ещё проще.
просто новым хромом в старые железяки не ходить и всё
Всё, бложик Андрея Столярова перестанет открываться.
А минусы какие?
Проблема TLS в сложности и централизации
>и централизацииА у DNS этого нет?
Ребята подскажите, как копировать текст с картинками в ворд/опенофис из HTTPS сайтов, как было раньше с обычных сайтов HTTP картинки копировались через буфер обмена...
Ровно так же как и с HTTP сайтов. Просто некоторым сайтам жалко что возьмёшь картинку на память или, ещё хуже, сошлёшься на неё где-нибудь в этот твоём энторнете - вот и они от тебя защищают свои картинки.
я перепробовал сторонние вуферы обмена - ничего не помогает...
На сайте стоит специальный js код, который перехватывает браузерные события и запрещает тебе как либо взаимодействовать со страницей. Я бы посоветовал бы расширения для браузера, которые это отключают, но проблема в том, что я не уверен в их безопасности. Ни https, ни буфер обмена здесь совершенно непричём.
Тогда почему на всех HTTP сайтах текст с картинками копируется в ворд и никакой js код не мешает? Я вот где-то читал, что ворд не может вставлять картинки из неизвестных HTTPS источников...
Потому что те мрази, что вмешиваются в нормальную работу браузера без https трафик не выпускают. Не потому что https для этого нужен, а просто потому что психология такая.
я сохраняю страничку локально полностью, из дирректории удаляю все js файлы, открываю страничку локально, снова копирую текст с картинками Ctrl+C, вставляю в ворд - опять картинки не копируются...
Какая у Вас OS, версия офиса и браузера, что из плагинов стот?
Да, бывает что на каких то занюханых сайтах не копируется, но обычно копируется блоки с картинками.Если ничего не помогло, но срочно надо, то откройте страницу прямо из word, указав вместо файла url. ;)
ОС у меня наша Православная 7ка, браузеры все подряд - фф, хромы и их мутанты, из плагинов стоит только адблок, ворд у меня тоже наш Православный 2003/опенофис 4, ну а картинки у меня не копируются с Хобота...
1. удаляйте вообще всё кроме html и картинок; в стилях (css) тоже вроде можно запретить копирование,
2. в самой html тоже могут быть локальные скрипты и стили, в идеале пройтись бы по странице и их тоже поудалять в каком-нибудь текстовом редакторе,
3. если текст копируется, а картинки - нет, возможно, картинки вставляются каким-то кривым образом (например, для поддержки изображений разных размеров для 1080p/1440p/4k), а не просто через <img>.Как вам выше уже написали, ни https, ни буферы обмена тут никак не завязаны. Это особенность конкретно того сайта, с которого вы пытаетесь скопировать.
Вообще непонятно это навязывание HTTPS. Как будто для каждого сайта это актуально. Планета загибается под энергетическими выхлопами датацентров, а они придумывают как бы избежать эффективного проксирования и потратить как можно больше вычислительных циклов на передачу какой-нибудь говнофоточки!
А вдруг провайдер увидит странички, на которые я заходил? Вот так рассуждает параноик.
Не совсем так. HTTPS таки и провайдеру не позволит насовать своей рекламы тебе в трафик, например. Но тем не менее - вот стоит у меня apt-cache и все пакеты, что по http идут - раздаются на локальные компы в домашней сети без выхода в инет. А проверка исьтинности этих данных обеспечивается другими средствами. А вот по https - уже не покешируешь.
> А проверка исьтинности этих данных обеспечивается другими средствами.Да? Очень интересно! А рассакажи какими! Вот есть условный GIT репозиторий, и в нём есть коммит abc123, расскажи пожалуйста всю цепочку проверок, что определённый пакет был собран именно из этого кода, а не какого-то другого.
Пакеты подписываются после сборки.
Кем?
> всю цепочку проверок, что определённый пакет был собран именно из этого кодаПричём здесь http и https. Ни один современный дистрибутив таких проверок не обеспечивает. Речь шла о том, что пользователь может проверить, что ему скачалась именно та версия пакета, которая была собрана мейнтейнером дистрибутива, а не та, которую условный билайн в порыве бесконечной заботы о клиентах заменил в момент скачивания на свою более безопасную.
Так не может же, и в этом всё дело. Если провайдер может заменить любой пакет — а с http он может — то пакет с ключами подписи будет заменён первым, и вся эта картонная безопасность дистрибутивов разваливается даже толком не начавшись.
HTTPS тебе тоже не расскажет из какого кода получились переданные байты. Он гарантирует что в эти байты по пути ничего лишнего не добавили. Или не убавили.
>А вдруг провайдер увидит странички, на которые я заходил?Юноша, ещё до того как нужно было становится параноиком, толковые молодые люди могли крокодильчиками прицепиться к твоему интернет-кабелю и незаметно прослушивать весь трафик(и сейчас могут кстати). Ethernet в этом смысле мало чем отличается от незапароленного Wi-Fi(кстати повод задуматься всем, кто использует бесплатный Wi-Fi и шифрование где каждая собака знает пароль от Wi-Fi не особо лучше). xDSL тоже не безопасен. Только в xPON есть встроенное шифрование.
Это было бы смешно, если бы три крупнейших провайдера России не вклинивались в трафик клиента и не вставляли бы туда дополнительного мусора. Это вообще считается нормой, не порицается, пользователи никак не защищены законом.Либо оборачивай весь свой трафик в VPN, чтобы провайдер не мог туда протянуть свои гадкие ручноки, либо же переводи все сайты на https.
> три крупнейших провайдера России не вклинивались в трафикне знал, что Cloudflare - крупнейший провайдера России.
Чел, я просто процитирую два твоих стоящих рядом сообщения.1.
> > три крупнейших провайдера России не вклинивались в трафик
> не знал, что Cloudflare - крупнейший провайдера России.Она и не провайдер России. Более того, она даже не ТРИ провайдера России. Она вообще не российская разработка.
2.
> > А вдруг провайдер увидит
> Клаудфляга и так всё видитДа, видит. Потому что (вот тут внимание) КЛАУДФАРА - НЕ ПРОВАЙДЕР РОССИИ!
Если всё ещё непонятно и хочется поспорить, перечитай ещё несколько раз, пока не станет понятно.
Клаудвафля - это тоже мерзко. Только это не провайдер в России, он подменяет данные не при получении посетителем, а при отправлении сайтом. И тут уже https не помогает. Но это в общем-то тренд в глобальной сети - сделать больнее пользователю, собрать с него данных и продать кому-нибудь. Можно и клаудвафли. Я у себя заблокировал все типичные способы фингерпринтинга, так клаудвафля там не открывается, крутит вечно колесо, так что теперь у меня два браузера - для нормальных людей и для клаудвафли. Вот уж кого надо было блокировать-пессимизировать попервее ютуба
> А вдруг провайдер увидитКлаудфляга и так всё видит, и серты подменивает... И не только она.
вау. лиса же это всю жизнь делает
Ну, не всю, но развитие есть.
Плюс от контроля сторонних куков не отказываются.
Плюс стандарт оценки метрик маркетинговых кампаний без профилирования пользователей тоже, да :)
А в их экспериментальном оранжевом браузере уже давно так.
Вот жили же раньше как-то без httpS и не тужили. Его применяли только те кому он реально нужен был. А не вот это вот всё... каждый говнобложик ставит себе httpS, просто потому что гуглу так вдруг захотелось...
Просто эпоха web 1.0 закончилась, теперь личные сайты никто не клепает, все ушли в соцсети, мессенджеры и маркетплейсы!
Да клепают, просто всё уже автоматизировано, включая получение и автоматическая смена бесплатных сертификатов. Это уже вопрос цифровой гигиены.
> автоматизировано, включая получение и автоматическая смена бесплатныхА зачем нужен этот бесплатный зонд? Кому надо - типа клаудфляги - она тебе и серт подменит так, что только по датам разве что отличить сможешь. А клиенты будут думать: "О, хттпС, значит, ориджынал!".
Без шифрования твой трафик может перехватить любой. Не доверяешь какой-либо инфраструктуре УЦ - создаёшь собственную. У нас есть своя, кстати, на гостовом шифровании и своей системе УЦ, которой не доверяет глобальная система. Также ты можешь построить свою систему.
Сделай свой зонд и ты, как говорится :)
Речь в данном случае о том, что без шифрования весь твой трафик идёт открыто.
Клаудфлягу владельцы сайтов подключают самостоятельно и они осознают, что это означает и чем чревато. Жаловаться, что клаудфляга видит весь трафик и подменяет сертификаты - всё равно что жаловаться, что весь трафик видит и подменяет сертификаты тот апач/нжинкс/етц, на котором ваш сайт работает.А вот условный билайн уже не сможет впендюрить всплывающее окно на весь экран, которое надо закрыть перед тем, как увидеть интерфейс сайта. Или какой-нибудь iframe, через который все ваши номера карт и пароли потекут на сервера билайна.
Отвечу твоими словами: Жаловаться, что билайн видит весь трафик и подменяет сертификаты - всё равно что жаловаться, что ... (дальше по тексту). А вот условный Cloudflare уже ... впендюривает скрипты на страницу, рубит линк и собирает данные для передачи "третьим сторонам для анализа". Открываешь сайт - а там Attention Required! от Cloudflare.
> Отвечу твоими словами: Жаловаться, что билайн видит весь трафик и подменяет сертификаты - всё равно что жаловаться, что ... (дальше по тексту).Слова мои, да смысл в них чужой. Клаудфару настраивает разработчик сайта, и если ему в сайт что-то вставляют и ему это не нравится, он может отказаться от использования этой самой клаудфары. А билайн находится на стороне пользователя, и разработчик сайта с этим ничего поделать не может. Ну разве что просто блокировать всех пользователей на билайне.
> Открываешь сайт - а там Attention Required! от Cloudflare.
Я тут немного не в теме, но разве эти "Attention Required" не владелец сайта настраивает в админке клаудфары где-то в разделе "ограничить отображение сайта для неправильных стран"?
Лет 10 назад я бы еще выразила свое крайнее недовольство, но теперь вообще без разницы. Сайтов без HTTPS практиески не осталось (не помню когда в последний раз такой попадался).
Зачем вообще нужен httpS на публичных сайтах?
Чтобы билайн не вставлял в html-код блоки своей рекламы на весь экран. Прецеденты были, если что, сам видел (но не уверен, что именно у билайна).
Сейчас прецеденты с Cloudflare сплошь и рядом, когда всплывает Attention Required! | Cloudflare внутри httpS соединения. "Сам видел" (с)
Причём тут флара, если она работает и без https.
Ты не понял, это не баг, это фича, которую хочет владелец сайта. Как охрана перед клубом, которая не пускает пацанчиков в трениках. Тебе прямо дают понять: ты на том сайте не нужен.
Так теперь клаудфларь рисует капчу вместо сайта с докажи что ты не бот.Сомнительная замена.
Это вызывает крайнее удивление и подозрение - когда о тебе заботятся больше, чем ты сам. С чего вдруг гугля решил, что мы не просто обязаны "ходить по https", но ещё и "кошмарить" юзера открытых соединений?? Попахивает тупой наглостью или каким-то хитрым планом. КТО их вообще просил про это "подтверждение http"??!?! Им совсем заняться нечем?
Скажи спасибо параноикам.
из АНБ
«Они» этот браузер для свои целей пишут. Если тебя что-то не устраивает — пользуйся другим браузером, где такого нет. Какие проблемы?
Кто-нибудь уже нашел опцию для запуска хрома чтобы это окошно не появлялось или нет такой ?
В хроме уже и Ublock Origin запретили, а Вы всё ищете как там окошки настраивать... Лично я отказался от хроимума ровно в тот момент, когда отвалился Ublock Origin.