Andrey Stolyarov

Андрей Викторович Столяров: сайт автора

Новости Книги Купить Публичная лицензия Менторинг FAQ Об авторе Поддержать Обратная связь Гостевая книга
     

HTTPS War Declaration

Fri Dec 10 12:05:55 2021

http://thetarpit.org/2017/https-war-declaration

Какая прелесть, и почему я её четыре года назад не обнаружил :(

добавить комментарий

From БывшийПрограммист (unverified) Wed Dec 15 00:52:00 2021 pencil

Опыт с полей

Мы на работе переходили на HTTPS, это врагу не пожелаешь. Такой геморрой! Причем, такое впечатление, что это не более, чем "мода". Все делают, и мы сделаем. При этом в приложении куча глупого джаваскрипта, заходи кто хочешь, бери что хочешь.

ответить

parent From admin profile Wed Dec 15 09:53:18 2021 pencil

userpic

Это намного

Это намного хуже, чем мода. Это очередная полная херня, навязанная миру Гуглом. У Гугла есть свои вполне определённые цели, и чтобы их достичь, нужно кроме всего прочего заставить весь мир то и дело "обновлять" браузеры. В 2010 году я прекрасно пользовался браузерами 8-10-летней (на тот момент) давности, и всё работало; сейчас в инете постоянно попадаются сайты, не желающие работать с браузером, которому меньше года, и один из основных таких -- поганый ютЪюбик. А ещё Гуглу очень нужно сделать так, чтобы браузеров было как можно меньше — выкинуть с рынка всех независимых разработчиков, и перманентное повышение сложности протоколов и форматов явно делается специально для этого.

Несомненно, https тут лишь один из многих инструментов, что не исключает.

ответить

parent From Anonymous (unverified) Wed Dec 15 18:02:00 2021 pencil

А где здесь у

А где здесь у вас можно лайк поставить? или вы позволяете лайкать себя только рублями? :)

ответить

parent From admin profile Wed Dec 15 18:06:24 2021 pencil

userpic

Если очень

Если очень хочется, пойдите на ютЪюбик, где интервью, и обматерите там кого-нибудь из хейтеров. Их там явно есть, а мне лень :-)

ответить

parent From feriman profile Sun Dec 19 13:52:00 2021 pencil

userpic

И откуда вы

И откуда вы такие только берётесь...

ответить

parent From admin profile Sun Dec 19 15:47:01 2021 pencil

userpic

Да в общем

Да в общем известно откуда: это продукт т.н. масс-культуры.

ответить

parent From John (unverified) Mon Jan 3 01:15:00 2022 pencil

Именно

Именно так!

Прошу прощение за встревание.

Из любопытства заглянул на Ваш сайт. ) Поскольку не являюсь "чистопородным" айтишником и уж тем более - не программистом, было интересно сверить свои наблюдения с наблюдениями совершенно независимыми и имеющими более вразумительные формы.

забавно было обнаружить в вашем интервью на ютубе и записях весьма похожие мысли и выводы. В моей среде, увы, люди с подобными взглядами - экзотика, не видят очевиднейших вещей. )

ответить

From Anonymous (unverified) Sun Dec 12 18:23:00 2021 pencil

Андрей,

Андрей, здравствуйте! Прочитал пост, знаю как работает https, но не понял проблему, которую создает https. Чем плох https?

ответить

parent From admin profile Sun Dec 12 21:08:00 2021 pencil

userpic

Гм, вы вообще адресом не ошиблись?

Ни переводить, ни излагать статью, которая по ссылке, я не буду, поскольку у меня и свои соображения имеются. Итак, https:

  • на ровном месте рушит интероперабельность (в частности обратную совместимость);
  • создаёт "единую точку отказа" в виде CA;
  • передаёт тому же CA изрядный кусок власти (вида "чо хотим, то и воротим", привет отказу Let's Encrypt выпускать сертификаты более чем на три месяца);
  • на ровном, опять же, месте повышает сложность реализации софта, как клиентского, так и серверного;
  • совсем уж на пустом месте создаёт необходимость активных действий по администрированию хостинга сайта там, где можно было бы (и вообще-то нужно было бы) этот сайт один раз настроить и забыть про него навсегда (например, сайты, посвящённые чему-то устаревшему и поддерживаемые из исторических соображений; персональные сайты умерших людей);
  • и в довершение: создаёт ложное ощущение безопасности (поскольку в действительности все эти пляски с сертификатами ни от чего не защищают, атака вида man in the middle — это практически городские легенды, но уж если до них дойдёт, то сертификаты не помогут)

В целом всё, что в последние лет пятнадцать происходит с вебом, всё больше и больше напоминает намеренную и тщательно спланированную диверсию "крупняка" против независимых разработчиков, имеющую целью узурпировать веб как явление, т.е., на минуточку, наложить лапу на 99% (если не больше) всей коммуникации людей в Интернете. И https — это лишь один из инструментов этой диверсии. Никакого отношения к безопасности https не имеет.

Больше того, все эти TLS/SSL реализованы так, что сами оказываются (просто в силу своей раздутости) источниками уязвимостей. Впрочем, там всё ещё хуже: судя по тому, как выглядит код OpenSSL, его авторы не умеют программировать, а нам на этого монстра предлагается полагаться в нашей собственной безопасности.

Кстати, такой вопрос: что из этого не очевидно? И вообще-то (если реально что-то из перечисленного не очевидно) вы, часом, сайтом не ошиблись? Может, вам не сюда?

ответить

pencil

ПОДДЕРЖАТЬ АВТОРА

пояснение

Вы находитесь на официальном сайте Андрея Викторовича Столярова, автора учебных пособий по программированию и информационным технологиям.

Если вы искали сайт замечательного писателя-фантаста Андрея Михайловича Столярова, то вам, к сожалению, не сюда.

Андрей Михайлович Столяров в библиотеке Мошкова

Авторские права © Андрей Викт. Столяров, 2009 — 2024

Поддерживается с помощью Thalassa CMS