Jump to content
Sign in to follow this  
sahale

Предложение по сайту

Recommended Posts

Добрый день!

 

Сегодня, зайдя на RU-сайт Лаборатории Касперского (Kaspersky.ru), я обнаружил, что моё соединение с сайтом строится по открытым каналам (HTTP вместо HTTPS). Я попробовал принудительно использовать HTTPS, но веб-сервер все равно редиректит на HTTP.

Конечно, я понимаю, что на сайте Kaspersky.ru, по сути, отсутствуют формы авторизации, где передаются пароли, сайты партнёров хостятся на других площадках уже с использованием шифрования, а файлы демо-версий продуктов также передаются в HTTPS-защищённых соединениях. Но, несмотря на это, остается угроза подделки сайта (а вдруг меня ломает злой сосед, который обиделся на то, что я недостаточно широко улыбаюсь, когда встречаю его в подъезде?), в итоге, подделав ваш сайт, он может подменить ссылку на скачивание демо-дистрибутива антивируса, использовав "свою" сборку с каким-нибудь встроенным malware.

Да и опять же, почему бы одному из ведущих производителей средств защиты информации не использовать HTTPS на своих серверах? Мне кажется, это, как минимум, повышает доверие к продукту.

В общем, моё предложение - использовать HTTPS для сайта kaspersy.ru. Мне кажется, стоимость сертификата, равно как и немного увеличившаяся нагрузка на серверы, не вызовут больших финансовых затрат для такой крупной компании.

 

Простите, что моё предложение является "оффтопом", но я не нашёл раздел предложений по сайту. Если такой раздел есть, то прошу перенести тему туда.

 

Большое спасибо!

Share this post


Link to post
На мой взгляд, это хрень. Модная хрень, но тем не менее хрень.

 

PS. Вы знаете, каким образом крупные компании компенсируют не очень большие финансовые затраты?

 

PPS. Если боитесь малвари подсунутой "злобным соседом" - не ленитесь проверять цифровые подписи у скачанных файлов.

 

Уточните, Вы имеете в виду, что всё HTTPS-шифрование - "модная хрень"? Если так, то Вам стоит внимательнее изучить данную тему. Шифрование соединений - пожалуй, один из самых базовых вариантов защиты пользователей в Интернете.

Если Вы имели в виду, что HTTPS-соединение для RU-сайта Лаборатории является "хренью", то позвольте с Вами не согласиться, в первом посте я уже написал почему.

Кроме того, Вы поттолкнули меня на ещё одну мысль: user-friendly expirience. Подскажите, пожалуйста, кто хочет каждый раз, скачивая файл из Интернета, сверять его цифровые подписи и отпечатки? Кроме того, иногда даже сверка цифровой подписи не поможет: Недавний взлом Transmission

 

P.S.: я прекрасно понимаю, каким образом компенсируются финансовые затраты. Но стоимость сертификата, равно как и немного возросшее электропотребление веб-серверов (часть ресурсов будет уходить на обработку шифрования) - настолько мизерная цифра, что никоим образом не скажется на цене продукта.

Share this post


Link to post
Конечно нет, я не считаю все шифрование хренью. Я считаю модной и ненужной хренью шифрование не секретного и общедоступного. Если передаются конфиденциальные сведения - да, шифрование обязательно нужно.

Мы по разные стороны баррикад. Как по мне, так шифрование всего несекретного и общедоступного вполне может быть и ничему не вредит.

Вы написали ерунду.

Если дошло до того, что вам могут подменить сайт, то - если есть на настоящем сайте редирект на https, то он не сработает, так как вам сайт уже подменили. Если вручную зайдете на https, то все зависит от того, кто подделывает сайт. Я бы сделал вид, что у сайта просто не используется https и все.

"Вы написали ерунду" - не "аргумент". Вы написали чушь.

HTTPS-everywhere, а так же политика браузеров, которые смещаются в сторону принудительно использования TLS помогают в таких ситуациях.

Потраченные деньги на сертификат, покупку более мощных серверов, повышенные затраты на электричество - все зря, все зря...

Зря или нет - решать не нам.

Параноики сверяют, а обычные люди и на счет https не заморачиваются.

Ещё раз, повышается user-friendly experience. То, что Вы написали - никакого не имеет отношения к делу.

Https тут помог бы? Если нет, то к чему этот "аргумент"?

К тому, что лишь только HTTPS-шифрования или только сверка подписей - не панацея. Все системы защиты должны применяться в комплексе. И все равно, на самом то деле, останется какой-нибудь упущенный "нюанс".

Вы учли не все. Я бы, в аналогичном случае, на стоимость сертификата и электричество смотрел бы в последнюю очередь, меня бы больше волновала производительность серверов и справятся ли они с потенциальными пиковыми нагрузками из-за добавленного шифрования. Поверьте, отсутствие https даже близко не нанесет такого ущерба репутации, как упавшие из-за перегрузки сервера. Многие отсутствие https даже не заметят, а упавшие сервера - не только заметят, но и растрезвонят об этом.

Я не думаю, что веб-серверная часть RU-сайта Лаборатории крутится на слабых системах. Честно говоря, я давно не видел веб-серверов у крупных компаний, которые падают из-за очень высокой нагрузки, вызванной обработкой HTTPS-сессий. Игровые проекты, а так же проекты энтузиастов, падающие из-за habra-эффекта после какого-нибудь рекламного поста, не в счёт.

PS. Да даже если имеющегося запаса производительности на сегодняшний день хватит, то это просто приведет просто к тому, что замену серверов придется провести раньше, чем мог ли бы.

К сожалению, мне неизвестна архитектура веб-серверов Лаборатории. Быть может, платформы даже в текущей конфигурации раньше наработают на отказ, чем перестанут справляться с возросшей нагрузкой.

Share this post


Link to post
Ничему особо не вредит, но и пользы заметной тоже нет. Ну да, сколько-то параноиков вздохнут с облегчением, но подавляющее большинство ничего не заметит.

Пусть не замечают. Такие действия часто делаются на благо общества, защита под капотом.

Точно, не аргумент. Аргумент - это следующий абзац. Вы его ниасилили или не поняли?

Как Вы можете увидеть, я его осилил. Это был тонкий намёк на то, что оценочные суждения лишь мешают нормальному дискурсу. Давайте постараемся их избегать, так как это абсолютно бесполезно?

И чо? Вот подделал ваш "злобный сосед" сайт. А https сделал недоступным. HTTPS-everywhere вас спасет?

Да, спасёт, пусть и весьма своеобразным образом. Это гораздо лучше, чем быть атакованным.

ИМХО: Вот когда сместятся окончательно, тогда и стоит начать чесаться, а пока вы предагаете бежать впереди паровоза.

Ничего критичного в этом нет. Лучше уж ускорить процесс, чем тянуть до последнего.

Ничего не повышается. Если сайт не подделан, то ничего не повышается, и если подделан - тоже ничего не повышается.

Смотря для кого. Для тех же параноиках, в таком случае повышается.

Вот умничка. Сам все понял и сформулировал. Давай, батенька, дерзай - требуй запретить "в комплексе" протокол http как небезопасный. Вот когда http прикажет долго жить, и все-все-все вынужденно перейдут на https, то только тогда наступит время относительно безопасного интернета. А до тех самых пор - http будет жить и использоваться там, где не передается конфиденциальная информация.

Не батенька я тебе, *здесь должна быть цитата из фильма*. Ну и пусть это время наступит пораньше, ничего плохого в этом нет.

Может быть. Но даже если системы не слабые, это не повод грузить их шифрованием общедоступного.

Это - не повод. Повод то, что такие действия быстрее приведут к более безопасному Интернету, как Вы указывали выше.

Простите, а много ли вы вообще видели веб-серверов?

Много, на разных платформах. Какое это имеет отношение к делу?

Батенька, они, бывает, и без высокой нагрузки падают. А предложенные вами изменения ситуацию с надежностью могут только ухудшить.

Это не аргумент.

Криво сделанное приложение или постоянно падающая БД будут приводить к 502 и без шифрования. Я ни разу не видел веб-сервер, упавший только из-за использования HTTPS (процесс внедрения, где кто-то может ошибиться - не в счёт).

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.