Fórumok
szeretnem tiltani a 80-as portot.
ha pl. valaki csak annyit ir a bongeszobe, hogy pl. hup.hu, van meg olyan bongeszo, ami hibat ir ki es nem megprobal https-en csatlakozni?
most a 80-as porton csak egy redirect van https-re.
Hozzászólások
Hadd kérdezzem meg, miért? Nem ez a sztenderd eljárás, hanem az átirányítás. A HTTP és a HTTPS közötti "kényelmes átjárást" (értsd: az egybites felhasználók "kiszolgálását" azzal, hogy automatikusan átirányítja ha előbbi nem érhető el) azt hiszem a Firefox kezdte el először, majd átvette a Chrome is. Ez szerintem egy utálatos dolog. Tegyük fel van egy cél eszköz amit szigorúan csak HTTP-n lehet megszólítani. Beírom az IP címét, nem elérhető, mit csinál a drága böngésző? Átmegy HTTPS-re, ha ott sem elérhető, hibalap. Megjavítom az eszköz elérését, rányomok az F5-re, nem jó. Ja, persze hogy nem, mert ez a "drágalátos sz*rkupac" nem oda navigál ahova ÉN KÉRTEM, hanem egy másik portra... Az ilyen hülyeségeket nem értem minek találta ki akármelyik főokos, de fenntartok egy tiszteletbeli megrugdosást neki... Csak úgy barátilag, szakmai szeretetből... (Ja, és igen, tudom, le lehet tiltani ezt a viselkedést, de akkor is hülyeség.)
legfontosabb, hogy gyorsabb lenne a tartalom megjelenitese (ido, adatforgalom csokkenne), ha egyaltalan nem is probalkozna http-n.
ami csak http-n erheto el ott egyetertek, erre is ki kellett volna talalni valamit, pl. listara tenni a 192.168.1.1-et
en szivtam anno olyan fenymasolo/nyomtato keszulekkel, ami egy ideig mukodott https-en, majd a bongeszok a gyenge ciphert mar nem fogadtak el, ezert egy ideig engedelyeztem a bongeszoben a gyenge ciphert, majd amikor mar ez nem segitett, attertem http-re.
neked aztan fura humorod van...
Szerintem erre ki van találva valami. Beírod az IP elé, hogy http:// és nem akar https-re váltani. Legalábbis nálam ez szokott működni.
https://hup.hu/comment/3067822#comment-3067822
latod
neked aztan fura humorod van...
Javaslom a HSTS-t, ha ez a terved.
HTTP Strict Transport Security (HSTS) is a simple and widely supported standard to protect visitors by ensuring that their browsers always connect to a website over HTTPS. HSTS exists to remove the need for the common, insecure practice of redirecting users from
http://
tohttps://
URLs.When a browser knows that a domain has enabled HSTS, it does two things:
https://
connection, even when clicking on anhttp://
link or after typing a domain into the location bar without specifying a protocol.van hsts, de ha jol tudom, az csak akkor mukodik, ha egyszer mar megkapta ezt a headert, vagyis elso latogataskor nem, es egy valid felhasznalonal nem szeretnem, ha elso latogatasnal hiba fogadna.
de ebbol kiindulva annak lenne ertelme, hogy a dns-bol nem csak az ip cimet, hanem az is ki tudna olvasni a bongeszo, hogy https-el kell csatlakoznia.
ilyenre gondolok: TXT "v=hsts max-age=63072000; includeSubDomains; preload"
neked aztan fura humorod van...
Ha benne van a preload listában, akkor a legtöbb böngésző már az első látogatáskor is HTTPS-en kezeli.
Most major browsers (Chrome, Firefox, Opera, Safari, IE 11 and Edge) also have HSTS preload lists based on the Chrome list. (See the HSTS compatibility matrix.)
a ez kiraly. akkor mostantol nincs apellata.
neked aztan fura humorod van...
ez olyan kb mint a www. elhagyasa, az userek keptelenek felfogni hogy www nelkul is lehet weboldal :) folosleges ezeken sporolni, kell egy redirect azt csa'
en mar arra keszulok, hogy 1 milliardan nezik a weboldalt, es a felesleges adatatvitel, cpu ido hany kisvaros fogyasztasaval er fel :)
neked aztan fura humorod van...
hat erdemes lenne a kernelbe beepiteni a http->https redirectet, igy sok cpu cycle megsporolhato lenne!
es ha mar port bezaras, az s emind1 hogy csinalod, DROP vagy reject (azon belul icmp port unreachable, vagy tcp conn reset?)
egyszeruen a 80-as porton a 127.0.0.1-re fog bindelni. lanon most is igy van, most az interneten csinalnam ezt meg.
neked aztan fura humorod van...
Milyen weboldal az, ahol egy darab redirect visszaküldése mérhető az egyébként https-en lévő tartalom mellett fogyasztásban? Egy db. statikus sorból áll az oldal amit minden kliens egyszer néz meg,a leggyengébb cipherrel?
Főleg hogy ha van hsts akkor eleve csak egyszer járnak arra a userek, ráadásul az először https-sel próbálkozó böngészők sem (ilyenek is vannak, amik eleve akkor is https-sel kezdik, ha a http nyitva van)?
Biztos megéri ezt neked kikapcsolni, hogy pont azok ne érjék el a weboldalt elavult vagy stb. böngésző probléma miatt, akik egyébként nem jönnek rá hogy nem www... és nem http://www... hanem https://... -ot kéne beírniuk? én otthagynám a redirectet, mondjuk nginx vagy varnish vagy mittudomén akármi szintjén - ha nincs ilyened, és valami java, php istennyila wordpress, stb. redirectel (bár akkor mit is beszélünk adatátvitelről vagy cpu időről), akkor írj egy pár soros progit rustban ami egy http kérésre visszadobja ugyanazt az url-t 30x-el, egy s-t betoldva a http mögé., és tedd oda a 80-as portra...
raadasul nem tudom mikor irtam be egy cimet a bongeszobe es nem egy linkre klikkeltem ra, azaz ha rossza link kell a 3xx, ha meg jo akkor meg tok mindegy mert nem probal 80-ason
firefox ezt csinálja. ha nincs https, vagy nem valid a cert, akkor külön engedélyezni kell. eddig nem találtam olyan oldalt, ami nem tudta megoldani ezt a minimális szintet, és érdekelne.
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
80-as letilt a tuzfalon es csak a 443-as legyen engedelyezve, ez tuti eldobja ami nem https, redirect sem kell :D
Amíg a LetsEncrypt a webes validálásnál abból indul ki, hogy első alkalommal még nincs tanúsítványod, ezért az ellenárzés mindenképp http alapokon megy, addig nem tiltom le a http-t.
> mindenképp http alapokon megy
mehet dns alapokon is
Sőt
Local címeknék kell a http elérés is. Nem tudom aláiratni a 192.168.125.87-et
hup.hu##article[data-comment-user-id="16401"]
hup.hu##article[data-comment-user-id="4199"]