Andrey Stolyarov

Андрей Викторович Столяров: сайт автора

Новости Книги Купить Публичная лицензия Менторинг FAQ Об авторе Поддержать Обратная связь Гостевая книга
     

HTTPS War Declaration

Fri Dec 10 12:05:55 2021 UTC

http://thetarpit.org/2017/https-war-declaration

Какая прелесть, и почему я её четыре года назад не обнаружил :(

добавить комментарий

From БывшийПрограммист (unverified) Wed Dec 15 00:52:00 2021 UTC pencil

Опыт с полей

Мы на работе переходили на HTTPS, это врагу не пожелаешь. Такой геморрой! Причем, такое впечатление, что это не более, чем "мода". Все делают, и мы сделаем. При этом в приложении куча глупого джаваскрипта, заходи кто хочешь, бери что хочешь.

ответить

parent From admin profile Wed Dec 15 09:53:18 2021 UTC pencil

userpic

Это намного

Это намного хуже, чем мода. Это очередная полная херня, навязанная миру Гуглом. У Гугла есть свои вполне определённые цели, и чтобы их достичь, нужно кроме всего прочего заставить весь мир то и дело "обновлять" браузеры. В 2010 году я прекрасно пользовался браузерами 8-10-летней (на тот момент) давности, и всё работало; сейчас в инете постоянно попадаются сайты, не желающие работать с браузером, которому меньше года, и один из основных таких -- поганый ютЪюбик. А ещё Гуглу очень нужно сделать так, чтобы браузеров было как можно меньше — выкинуть с рынка всех независимых разработчиков, и перманентное повышение сложности протоколов и форматов явно делается специально для этого.

Несомненно, https тут лишь один из многих инструментов, что не исключает.

ответить

parent From Anonymous (unverified) Wed Dec 15 18:02:00 2021 UTC pencil

А где здесь у

А где здесь у вас можно лайк поставить? или вы позволяете лайкать себя только рублями? :)

ответить

parent From admin profile Wed Dec 15 18:06:24 2021 UTC pencil

userpic

Если очень

Если очень хочется, пойдите на ютЪюбик, где интервью, и обматерите там кого-нибудь из хейтеров. Их там явно есть, а мне лень :-)

ответить

parent From feriman profile Sun Dec 19 13:52:00 2021 UTC pencil

userpic

И откуда вы

И откуда вы такие только берётесь...

ответить

parent From admin profile Sun Dec 19 15:47:01 2021 UTC pencil

userpic

Да в общем

Да в общем известно откуда: это продукт т.н. масс-культуры.

ответить

parent From John (unverified) Mon Jan 3 01:15:00 2022 UTC pencil

Именно

Именно так!

Прошу прощение за встревание.

Из любопытства заглянул на Ваш сайт. ) Поскольку не являюсь "чистопородным" айтишником и уж тем более - не программистом, было интересно сверить свои наблюдения с наблюдениями совершенно независимыми и имеющими более вразумительные формы.

забавно было обнаружить в вашем интервью на ютубе и записях весьма похожие мысли и выводы. В моей среде, увы, люди с подобными взглядами - экзотика, не видят очевиднейших вещей. )

ответить

From Anonymous (unverified) Sun Dec 12 18:23:00 2021 UTC pencil

Андрей,

Андрей, здравствуйте! Прочитал пост, знаю как работает https, но не понял проблему, которую создает https. Чем плох https?

ответить

parent From admin profile Sun Dec 12 21:08:00 2021 UTC pencil

userpic

Гм, вы вообще адресом не ошиблись?

Ни переводить, ни излагать статью, которая по ссылке, я не буду, поскольку у меня и свои соображения имеются. Итак, https:

  • на ровном месте рушит интероперабельность (в частности обратную совместимость);
  • создаёт "единую точку отказа" в виде CA;
  • передаёт тому же CA изрядный кусок власти (вида "чо хотим, то и воротим", привет отказу Let's Encrypt выпускать сертификаты более чем на три месяца);
  • на ровном, опять же, месте повышает сложность реализации софта, как клиентского, так и серверного;
  • совсем уж на пустом месте создаёт необходимость активных действий по администрированию хостинга сайта там, где можно было бы (и вообще-то нужно было бы) этот сайт один раз настроить и забыть про него навсегда (например, сайты, посвящённые чему-то устаревшему и поддерживаемые из исторических соображений; персональные сайты умерших людей);
  • и в довершение: создаёт ложное ощущение безопасности (поскольку в действительности все эти пляски с сертификатами ни от чего не защищают, атака вида man in the middle — это практически городские легенды, но уж если до них дойдёт, то сертификаты не помогут)

В целом всё, что в последние лет пятнадцать происходит с вебом, всё больше и больше напоминает намеренную и тщательно спланированную диверсию "крупняка" против независимых разработчиков, имеющую целью узурпировать веб как явление, т.е., на минуточку, наложить лапу на 99% (если не больше) всей коммуникации людей в Интернете. И https — это лишь один из инструментов этой диверсии. Никакого отношения к безопасности https не имеет.

Больше того, все эти TLS/SSL реализованы так, что сами оказываются (просто в силу своей раздутости) источниками уязвимостей. Впрочем, там всё ещё хуже: судя по тому, как выглядит код OpenSSL, его авторы не умеют программировать, а нам на этого монстра предлагается полагаться в нашей собственной безопасности.

Кстати, такой вопрос: что из этого не очевидно? И вообще-то (если реально что-то из перечисленного не очевидно) вы, часом, сайтом не ошиблись? Может, вам не сюда?

ответить

pencil

ПОДДЕРЖАТЬ АВТОРА

пояснение

Вы находитесь на официальном сайте Андрея Викторовича Столярова, автора учебных пособий по программированию и информационным технологиям.

Если вы искали сайт замечательного писателя-фантаста Андрея Михайловича Столярова, то вам, к сожалению, не сюда.

Андрей Михайлович Столяров в библиотеке Мошкова

Авторские права © Андрей Викт. Столяров, 2009 — 2024

Поддерживается с помощью Thalassa CMS