forum.opennet.ru

Форум Диалог с администрацией проекта
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

HTTPS по умолчанию, Maxim Chirkov (ok), 19-Фев-20, (0) [смотреть все]

Лично я, конкретно в случае выбора между HTTP или HTTPS, с вашей позицией не сог, Licha Morada (ok), 20:21 , 19-Фев-20, (1) //

Полностью только на HTTPS переводить пока не собираюсь, скорее всего ограничусь , Maxim Chirkov (ok), 11:57 , 20-Фев-20, (2) //

Можно сделать всё гораздо проще Просто смотрите, присылает ли браузер в запросе, VEG (ok), 23:43 , 10-Апр-20, (4)

Ростелеком подтвердил, что начал подставлять рекламу в трафик клиентов Вот отве, Maxim Chirkov (ok), 23:44 , 23-Фев-20, (3)
А можно сделать pda opennet ru тоже доступной по https Без дефолта, просто дост, nebularia (ok), 10:50 , 22-Июн-20, (5) //

Ну и вообще в правом блоке есть ссылки на поддомены типа web opennet ru, securit, nebularia (ok), 11:05 , 22-Июн-20, (6) //

Согласен, нужно собраться и добавить https для этих поддоменов Сделаю , Maxim Chirkov (ok), 17:31 , 02-Июл-20, (7) //

Прошло три года Сделайте, пожалуйста , Аноним (10), 09:17 , 15-Фев-23, (10)

Просто оставлю это здесь https www ssllabs com ssltest analyze html d opennet , Аноним (8), 21:44 , 11-Авг-20, (8) //

Хм, судя по отсутствию реакции, не хватает ещё этой ссылки https ssl-config m, Аноним (8), 13:38 , 27-Авг-20, (9)

Сообщения [Сортировка по времени | RSS]

1. "HTTPS по умолчанию" +/–

Сообщение от Licha Morada (ok), 19-Фев-20, 20:21

> Ростелеком стал последней каплей, которая перевесила все мои доводы в пользу того,
> что пользователь должен выбирать HTTP или HTTPS.
Лично я, конкретно в случае выбора между HTTP или HTTPS, с вашей позицией не согласен. Возможно, потому не довелось самому страдать от последствий отсутствия такого выбора. В любом случае, это решение всецело в компетенции хостмастера и смысла его оспаривать нет. Потому что ему буквально виднее все пользовательские кейсы. Однако, я готов поделиться своими доводами, исключительно в рамках обмена мнениями.
> Подозреваю, что после внедрения
> новых DPI, которые теперь применяют блокировки роскомнадзора через вклинивание в трафик,
> возник соблазн добавлять свою рекламу.
DPI на хозрасчёте.

> Ситуация не единичная, на форумах с начала года всплывают похожие жалобы.
Докатимся до BBS. Надо будет ходить по SSH на условный хост с пробросом портов, и смотреть opennet.ru через http://localhost:8080.
> На первом этапе сделал проброс по умолчанию главных страниц https://www.opennet.dev/ и http://opennet.ru/ на https://.
Спасибо.
> Прямые ссылки по http:// пока оставил, как и возможность
> захода через http://m.opennet.ru
Если очень приспичит, можно редиректить "всё кроме тех кто специально просит не редиректить". Отличить одних от других на прокси можно разными способами, но, пожалуй, самым надёжным было бы запихнуть их в отдельный поддомен типа http://nossl.opennet.ru, или на отдельный порт. Надёжным в плане предсказуемости поведения.
> (жаловались, что не все мобильные браузеры поддерживают сертификаты Let's Encrypt).
Что мешает купить сертификат подешевле, типа https://www.ssls.com/ или https://cheapsslsecurity.com/promotion/buy-cheap-ssl-certifi... ?

Ответить | Правка | Наверх | Cообщить модератору

2. "HTTPS по умолчанию" +/–

Сообщение от Maxim Chirkov (ok), 20-Фев-20, 11:57

Полностью только на HTTPS переводить пока не собираюсь, скорее всего ограничусь только главными страницами и пробросом внешних переходов на http:// по ссылкам. Внутренние переходы и прямые входы (например, http://opennet.ru/lite) пробрасывать не буду. Для m/mobile.opennet.ru сделаю проброс на https только для браузеров с Android и iOS в User Agent, для очень старых Android добавлю исключение.

Ответить | Правка | Наверх | Cообщить модератору

4. "HTTPS по умолчанию" +/–

Сообщение от VEG (ok), 10-Апр-20, 23:43

Можно сделать всё гораздо проще. Просто смотрите, присылает ли браузер в запросе "Upgrade-Insecure-Requests: 1". Если присылает - это точно новый браузер, который хочет, чтобы его перенаправляли на HTTPS (и знает про Let's Encrypt). Редиректим все такие запросы на HTTPS. Для HTTPS-клиентов выставляем заголовки "Content-Security-Policy: upgrade-insecure-requests" и "Strict-Transport-Security: max-age=31536000". И всё. Все кто умеют в современный HTTPS со всеми плюшками - будут ходить строго по HTTPS. Кто не умеет - можно будет хоть с Windows 98 по HTTP зайти. И не надо никаких чёрных или белых списков для User-Agent.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "HTTPS по умолчанию"	+/–
Сообщение от Licha Morada (ok), 19-Фев-20, 20:21
> Ростелеком стал последней каплей, которая перевесила все мои доводы в пользу того, > что пользователь должен выбирать HTTP или HTTPS. Лично я, конкретно в случае выбора между HTTP или HTTPS, с вашей позицией не согласен. Возможно, потому не довелось самому страдать от последствий отсутствия такого выбора. В любом случае, это решение всецело в компетенции хостмастера и смысла его оспаривать нет. Потому что ему буквально виднее все пользовательские кейсы. Однако, я готов поделиться своими доводами, исключительно в рамках обмена мнениями. > Подозреваю, что после внедрения > новых DPI, которые теперь применяют блокировки роскомнадзора через вклинивание в трафик, > возник соблазн добавлять свою рекламу. DPI на хозрасчёте. > Ситуация не единичная, на форумах с начала года всплывают похожие жалобы. Докатимся до BBS. Надо будет ходить по SSH на условный хост с пробросом портов, и смотреть opennet.ru через http://localhost:8080. > На первом этапе сделал проброс по умолчанию главных страниц https://www.opennet.dev/ и http://opennet.ru/ на https://. Спасибо. > Прямые ссылки по http:// пока оставил, как и возможность > захода через http://m.opennet.ru Если очень приспичит, можно редиректить "всё кроме тех кто специально просит не редиректить". Отличить одних от других на прокси можно разными способами, но, пожалуй, самым надёжным было бы запихнуть их в отдельный поддомен типа http://nossl.opennet.ru, или на отдельный порт. Надёжным в плане предсказуемости поведения. > (жаловались, что не все мобильные браузеры поддерживают сертификаты Let's Encrypt). Что мешает купить сертификат подешевле, типа https://www.ssls.com/ или https://cheapsslsecurity.com/promotion/buy-cheap-ssl-certifi... ?
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "HTTPS по умолчанию"	+/–
	Сообщение от Maxim Chirkov (ok), 20-Фев-20, 11:57
	Полностью только на HTTPS переводить пока не собираюсь, скорее всего ограничусь только главными страницами и пробросом внешних переходов на http:// по ссылкам. Внутренние переходы и прямые входы (например, http://opennet.ru/lite) пробрасывать не буду. Для m/mobile.opennet.ru сделаю проброс на https только для браузеров с Android и iOS в User Agent, для очень старых Android добавлю исключение.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "HTTPS по умолчанию"	+/–
	Сообщение от VEG (ok), 10-Апр-20, 23:43
	Можно сделать всё гораздо проще. Просто смотрите, присылает ли браузер в запросе "Upgrade-Insecure-Requests: 1". Если присылает - это точно новый браузер, который хочет, чтобы его перенаправляли на HTTPS (и знает про Let's Encrypt). Редиректим все такие запросы на HTTPS. Для HTTPS-клиентов выставляем заголовки "Content-Security-Policy: upgrade-insecure-requests" и "Strict-Transport-Security: max-age=31536000". И всё. Все кто умеют в современный HTTPS со всеми плюшками - будут ходить строго по HTTPS. Кто не умеет - можно будет хоть с Windows 98 по HTTP зайти. И не надо никаких чёрных или белых списков для User-Agent.
	Ответить \| Правка \| Наверх \| Cообщить модератору