- HTTPS by default на opennet.ru,
 Maxim Chirkov, 19:07 , 15-Сен-19 (1)> Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по
> http, не по https. С какой целью это сделано и будет
> ли исправлено?Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.
При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу по HTTPS.
Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ
- HTTPS by default на opennet.ru, aim, 00:34 , 16-Сен-19 (2) –1
>> Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по
>> http, не по https. С какой целью это сделано и будет
>> ли исправлено?
> Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.
> При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу
> по HTTPS.
> Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ А есть какой-то deadline окончания такого поведения? Потому что это очевидная уязвимость на любимом сайте. Тот же аргумент про LE - с моей точки зрения он не состоятелен, т.к. в 2019 году лишь показывает что установлена не пропатченная ОС. Конечно не дело opennet учить людей надо ли им содержать своё устройство "в чистоте", однако мы все пользуемся одной Сетью и наличие таких устройств бьёт по всем нам.
- HTTPS by default на opennet.ru, Maxim Chirkov, 22:34 , 16-Сен-19 (3)
> А есть какой-то deadline окончания такого поведения? Потому что это очевидная уязвимость
> на любимом сайте.Думаю, что перелом наступит когда браузеры по умолчанию начнут пробрасывать на https:// при вводе в адресной строке хоста без указания протокола. При входе по внешним ссылкам на http:// можно автопроброс на https:// попробовать сделать уже сейчас. Также предлагали выставлять заголовок Strict-Transport-Security в случае изначального открытия сайта по https://. > Тот же аргумент про LE - с моей точки зрения он не
> состоятелен, т.к. в 2019 году лишь показывает что установлена не пропатченная ОС. Тем не менее люди пользуются старыми смартфонами. Когда нужно лишь читать контент на opennet, ничего страшного в HTTP нет, если не через какой-нибудь открытый WiFi или левую сеть заходят.
- HTTPS by default на opennet.ru, aim, 13:53 , 25-Сен-19 (4)
>> Я тут с удивлением обнаружил что opennet позволяет работать с сайтом по
>> http, не по https. С какой целью это сделано и будет
>> ли исправлено?
> Это принципиальная позиция. Каждый решает сам использовать HTTP или HTTPS, без навязывания.
> При входе по HTTP в заголовке выводится предупреждение с предложением открыть страницу
> по HTTPS.
> Подробнее см. последний пункт в http://wiki.opennet.ru/ForumHelp#FAQ я вот в очередной раз наткнулся на это - ссылка из rss открывается автоматом по http. а это значит что утекают сессии в открытый интернет. это плохо. очень очень плохо.
- HTTPS by default на opennet.ru, Maxim Chirkov, 19:43 , 25-Сен-19 (5)
> я вот в очередной раз наткнулся на это - ссылка из rss
> открывается автоматом по http. а это значит что утекают сессии в
> открытый интернет. это плохо. очень очень плохо.Проверил, если RSS забирается по http, то и ссылки выставлялись с http://, если по https то https://. Сейчас поправлю и сделаю ссылки только на https, независимо от метода забора.
|
Версия для распечатки
HTTPS by default на opennet.ru, 
