Mi az oka a HUP SSL-utálatának?

 ( Breaknet | 2017. március 7., kedd - 16:35 )

Már minden irányból pofozgatják azokat a weboldalakat, amelyek nem használnak alapértelmezetten SSL-t. Pl. a Google tervezte, hogy hátrébb rangsorolja ezeket az oldalakat, nem tudom, hogy ez a terv most hogy áll. Minden böngészőben piros felkiáltójel figyelmeztet a címsorban az SSL-t nem használó oldalakra. Az új Firefoxban meg már egy elég méretes figyelmeztető doboz jelenik meg, ha az ember elkezdi beírni a login adatait egy SSL-t nem használó oldalra (a HUP-nál is ki lehet próbálni).

Mi kell ahhoz, hogy a HUP-on default legyen az SSL? Nem cseszegetik eleget a tartalomszolgáltatókat és közvetlenül a felhasználókat is, ha olyan oldalt nyitnak meg, amelyen nem a https a default? Kéne egy pofozgató ember, aki ott állna az userek és az üzemeltetők mellett, és ha nem látja az SSL-t az oldal alatt, akkor ad egy pofont?

Miért olyan baromi nehéz belőni defaultra az SSL-t? Valaki írt itt valami olyat, hogy XY nem tudja megnyitni a munkahelyén az SSL-es oldalakat. Na ne már, 2017 van, ezen már túlléptünk úgy 10 éve.

Rakja már át valaki a kapcsolót.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Huh, de unalmas már ez. Miért nem telepíted fel a HTTPSEverywhere kiegészítőt és örülsz neki? Te fogod elmagyarázni annak az embernek az irányt, aki rinyál, hogy nem tud HUPkózni, mert te letiltattad a 80-ast?

--
trey @ gépház

informatikai weboldal 2017 :D

Nem, nem. Tévedsz. Informatikai oldal közönsége 2017. Amióta van SSL, én csak azon keresztül használom.

--
trey @ gépház

Hozzászólás után viszont http-re dob, ami nem igazán nyerő... :-/

Ha arra akarsz utalni, hogy "szakembereknek" szól, akkor azok vannak olyan értelmesek, hogy meg tudják oldani.
De ha valaki "laikus" is idetéved, akkor annak meg ne legyen már kényszer az amihez nem ért!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Kösz, dejo. 1 napja nem gyújtottam rá. Sikerült elérned az aláírásoddal, hogy megint bagózzak.

Izgulsz a Dropbox-ra? :D
Amúgy meg te akarsz dohányozni én meg nem akarom, hogy bárki is dohányozzon, ha bizonytalan abban hogy dohányozzon-e!
De te nem vagy bizonytalan. Ha az lennél akkor ez a kis klip taszítana és nem vonzana! :)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Nem kell semmit tiltani.
Miert nekem kellene kiegeszitokkel baszakodni, mert valaki nem tudja megoldani azt a hatalmas nehezseget 2017-ben, hogy nem tud meglatogatni https-en x weboldalt?

Nem a hupos jelszavamat feltem, de:
http://www.theverge.com/2017/1/26/14396130/http-https-insecure-connections-chrome-firefox
https://www.httpvshttps.com/

Legyen https es ne dobaljon at pl. login utan http-re.
szerk: most nezem postolas utan is atdob. kiralysag.

Ennél már csak az a jobb, amikor muszály átdobni httpsre és a szerencsétlen Startcom-os tanúsítvánnyal bohóckodik (ami tűzrókába meg úgy az IE-n kívül mindenhol revoked :P) Pl. (és még te vagy a hülye mert biztos te tiltod)

muszaj

t

Tényleg. Ez se lesz javítva. :)

Annyira ne bánkódj! Néhány éve muszáj csak a muszályt úgy írni. Gondolom, még te is ly-nal tanultad. Ez kisebb hiba.

?
--
blogom

Mi?! Mindig is pontos j volt, mert nemet jovevenyszo...

Mi, mi? A skatulya latin eredetű szó. Keresem tovább, mikortól vált hivatalossá a muszáj írásmód...

A muszaj a muss sein-bol van, ezert pontos j.

(A skatulya meg olasz ;) [nyilvan az meg latinbol], es regebbi)

A tarlyánoktól (sicc!) jött szavakat lehet ly-nal írni? ;)
Szerintem zárjuk le az offolást.

Hogy az utókornak is meglegyen Zaicz Gábor Etimológiai szótárából:

Idézet:
muszáj [1805] Német jövevényszó, a német (es) muß sein ’meg kell lennie, meg kell történnie’ szószerkezet átvétele. Ez az azonos jelentésű német müssen igére vezethető vissza. A 18. század végi irodalmi szövegekben a magyarul rosszul tudó németek gyakori szava.

Az 1805 a szó az első előfordulásának évszámát jelenti.

--
The Elder Scrolls V: Skyrim

Nem értem.

Ha a XVIII. század végi szövegekben gyakori, akkor hogy lehet az első előfordulása a XIX. században?

Lehet akkor ismertek el hivatalosan, vagy akkorra tisztazodott le a mai irasmod (mussei' meg ilyenek helyett a muszaj)?

Megnéztem az 1890-ben kiadott Szarvas Gábor és Simonyi Zsigmond Magyar nyelvtörténeti szótárát, de abban nem szerepel ez a szó, így arra következtetek, hogy annyira nem volt gyakori akkoriban.

A Google ngram nézegetője sajnos nincs magyarra, de ha valaki ismer hasonló szolgáltatást, ott rögtön kiderül a gyakoriság.

--
Pillars of Eternity

Muszáj ezt tovább dagasztani? :)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Mondjuk az állítás az volt, hogy a XVIII. sz. végén volt gyakori, te meg megnéztél egy 100 évvel későbbi kiadványt.
Ez nem tudom, mennyire releváns :-)

Ha a néhány az lehet 50-60, akkor tán igazad lehet.

Az iranyado A magyar helyesírás szabályai egyetlen kiadasaban sem (nem, meg a legujabban sem) tortent olyan szabalyvaltoztatas, mely ezt eredmenyezte volna.
Mivel Te azt irtad: "Néhány éve" igy csak az 1954-es kiadasig mentem vissza, az 1832-ben keszultig mar nem.

Udv.

Szerintem ironizalt

Szerk: legalabbis remelem :)

Áh, feladom. Tele van a net muszájjal, már nem is releváns, mint forrás. Egy 1880-as zsoltárt is lapozgattam, hátha találok benne muszájt, vagy muszályt, de letettem róla 10 perc után. Bár jó páran még úgy emlékeznek, hogy a muszály elfogadott volt. Lehet, hogy azt zárta le az MTA 2002 körül. Tímár Andris valószínűleg az eset tudója.

A második linkhez: faszság.

"Plaintext HTTP/1.1 is compared against encrypted HTTP/2 "
A HTTP/2 protocol jóval okosabb, mint a HTTP/1.1, ebből adódik ám a nagy különbség, nem a HTTPS-ből. De hát a hülyéket meg lehet vezetni könnyen.

igenam, de:
"some implementations have stated that they will only support HTTP/2 when it is used over an encrypted connection, and currently no browser supports HTTP/2 unencrypted"

https://http2.github.io/faq/

Gyakorlatilag nem tudod hasznalni encrypt nelkul, ennek feltetele, hogy legyen (lehetoleg akkor mar valid) certed. E nelkul biztosan kimaradsz a jobol.

viszont ettol meg az osszehasonlitas nem valid.

HTTP/1.1-et hasonlit HTTP/2-vel, nem non-SSL-t SSL-lel.
Valojaban KET valtozo parameter van, nem egy.

Azt kene megnezni, hogy HTTP/1.1 van csak, es ugyaz SSL nelkuli es az SSL-es kapcsolat teljesitmenyet.

Van ket parameter, amibol az egyik az, ami tenylegesen hatassal van a teljesitmenyre, es a kovetkeztetes azt hozza ki, hogy a masik parameter van hatassal a teljesitmenyre. Ez egy undoritoan hazug allitas, es persze te is benyalod es terjeszted. Semmi baj, csak ne vard, hogy komolyan vegyenek barhol SSL temaban, ha ezt az osszehasonlitast hozod fel peldanak.

Ugyan nem ertek hozza, de +1, mert almat a kortevel nem szep.

Ha azok közé az emberek (amennyiben jól emlékszem néhány) közé tartoznék, akik nem tudják megnézni a munkahelyükön csak sima HTTP-n, akkor azt mondanám, hogy miattam ne szívassuk már a többi embert...
Aki ezt amúgy kiköveteli magának és rinyál miatta az úgy gondolom, hogy nem veszi észre magát, közösség ide vagy oda.

♲♻♲

Szakmai vélaszt tudsz adni a lekezelésen kivül?
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Van már egyetértés abban, hogy kell-e default-nak lennie? Nincs.

Több lehetőség is van, ha valakinek HTTPS kell. Ebben a köztes helyzetben mindenki megtalálhatja a számára kedves megoldást.

Remélem, a válasz kielégítő volt!

--
trey @ gépház

Trey, értem én hogy leszarod, mint ahogy azt is hogy az egész hup "suszter cipője" szinten van, még igazából bajom sincs ezzel. De ideológiát gyártani mögé, megmagyarázni azért nem kellene.

Mert az hogy bent vagy https-en és átdob http-re az minden, csak nem elfogadható. Még egy viccesképek.hu jellegű oldalon se az, a hup pedig elvileg szakmai oldal...

És nehogy már azért kelljen ilyen-olyan kiegészítőket felraknia párszáz vagy párezer user-nek, mert az oldal üzemeltetője nem képes/nem hajlandó normálisan bekonfigolni a szájt.

Ha leszarnám, rá se néznék erre a topikra. Úgyhogy ezt a tirádát hagyjuk.

A hibrid megoldás - amit te szeretnél - a jelenlegi motorral nem egyértelmű. Az egyszerűen kivitelezhető megoldás a HTTPS-only lenne, ha nem sírna egyesek szája.

--
trey @ gépház

És egy másik vhost nem lenne megoldás? Mondjuk lenne ugyanazon a host-on egy ssl.hup.hu ami proxy-zná a hup.hu-t, ott csak ssl lenne. A hup.hu http only lenne, és minden 443-ra érkező kérést redirect-elne az ssl.hup.hu-ra?
Nem szép, de workaround-nak (vagy gondolatébresztőnek) akár jó is lehet, ha ennyire vacak a motr alatta...

Amúgy milyen drupal verzió van alatta?

"Amúgy milyen drupal verzió van alatta?"

Drupal 5 :D :D :D :D

Aminek a támogatása 6 éve lejárt.
https://www.drupal.org/node/1027214

Ennyire friss, biztonságos a szoftver.

Hajrá, törd meg okosan ;-)

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!

Biztosan azt akarta mondani, hogy a friss szoftver mindig biztonságosabb, mint az ugyan régi, de 20 minor kiadást megélt, bugfixelt.

Gondolom erre statisztikai adatai is vannak. Gondolom a heti szinten milliós darabszámban robotok által megtört Wordpress telepítések is ezt az elméletet támasztják alá.

--
trey @ gépház

Az derék.

A téma szempontjából semmi jelentősége, ahogy én néztem, az újabb verziókkal is ugyanolyan szopás a HTTP és HTTPS egyidejű használata. A megoldás az lenne, hogy az összes URL-t rewrite-olni kellene HTTPS-re. Ez pedig azt jelenti, hogy a HTTP-nek helló. Ami nekem nem igazán fájna. Egy gonddal kevesebb.

--
trey @ gépház

az újabb verziókkal is ugyanolyan szopás a HTTP és HTTPS egyidejű használata

Senkiháziak kezében a popszakma, az b+.
Vajon tényleg ekkora kihívás normális szoftvereket írni?

Tenyleg sci-fi php-ben leellenorizni, h melyik.
http://php.net/manual/en/reserved.variables.server.php

'HTTPS'
Set to a non-empty value if the script was queried through the HTTPS protocol.

Ha hard-coded url-ek vannak, az szivas, olyat normalis helyen nem csinalunk.

Es ha proxy van elotte? :) Nem ennyire trivialis azert, de a hup.hu eseteben nem errol van szo. Tobbszor el lett mondva, a Drupal 5 nem tudja ezt, a frissites meg nem 3 perc.

>a frissites meg nem 3 perc

+1, sajnos a hwsw és a profession csak a hupuk személyei által alkotott piacért ad apanázst, munkára nem

Oké, de amíg van, aki piacot alkosson, miért kéne munkát beleölni?

Na nézd már, ki beszél a frissítésről, aki napi szinten veri magát a 2.4-es kernelre meg az ósdi fosokra! Jenőke, legyél már kicsit konzisztensebb saját magaddal, mert ez így gáz. ;)

--
trey @ gépház

ne haragudj, elfelejtettem hogy ezzel a "pénz" témával mindig érzékeny pontra tapintok

mint nem szakmabelinek, elmagyarázom hátha segít a megértésben: a tizes drupálos hupkó futhatna 2.4 vagy 2.0 kernelen is (linux=fos, noted), a bagóért eladott usereid nem e témában rágják épp a füled

"ne haragudj, elfelejtettem hogy ezzel a "pénz" témával mindig érzékeny pontra tapintok"

Dehogy, szívesen adok neked pénzügyi tanácsokat, ha szeretnéd. Vagy a zsebemben szeretnél kotorászni? Mit szeretnél tulajdonképpen? Felcsaptál adóellenőr sapkát is a közös képviselői mellé? Ahahahha.

"mint nem szakmabelinek,"

Ezt rendszeresen emlegeted, így azért megkérdezném, hogy mitől lesz valaki a szemedben szakmabeli? Most melyik szakmáról beszélünk? A pénzügyi vonalon vagyunk még, vagy esetleg megint csapongsz?

" a tizes drupálos hupkó futhatna 2.4 vagy 2.0 kernelen is (linux=fos, noted), a bagóért eladott usereid nem e témában rágják épp a füled"

De hisz ha egyszer eladtam őket, akkor mi a faszér' az én fülemet rágják? Nem az első logikai bukfenced ez, kérlek szedd össze magad!

Segíts megérteni, miben rágják a fülem? Csak azért kérdezem, mert ebben a szálban itt frissítésről volt szó. :D

--
trey @ gépház

>De hisz ha egyszer eladtam őket, akkor mi a faszér' az én fülemet rágják?

ebben tökéletesen egyet%20értünk, talán írd meg nekik

>Nem az első logikai bukfenc ez

ebben is, elvégre a "3 egyenlő társtulajdonosok vagyunk" vö. "felvásároltuk a huppót" bukfenc se lett ennél tovább kifejtve

"3 egyenlő társtulajdonosok vagyunk"

citation needed

A többit "szépen" (aka. rettentő szarul) skippelted.

--
trey @ gépház

szegets körmölte: "a bagóért eladott usereid"

ma-holnap rádront a TEK emberkereskedelem miatt (is)...

--
"a Hungarian Unix Portált [...] szakmai fórumként eszembe nem jut használni, mert a közönség mentalitása miatt nincs értelme."

HTTP 404: egyenlő not found.

hát pont erről szól a szál

Nem éppen. trinitynek pontosan igaza van abban, hogy sehol nem mondta, hogy 3 egyenlő tulajdonos van. Csak azt, hogy 3 van.

hát ha a szál végétől kezdjük akkor igen

+1

Már megijedtem, hogy részegen esetleg olyat mondtam, hogy egyenlő részben.

Így terjednek a faszságok Bérci és holdudvara körében. Amit aztán szerencsétlen gruppijai és minionjai szajkóznak állandóan.

--
trey @ gépház

ezekszerint leszóltak a társak hogy nem kéne nagyon háborognod - mint a fenti szálban - az említett "felvásárlás" szó használata miatt

Sad!

Pontosan így volt :D

Szóltak, hogy nem tartozik a kompetenciámba semmi az oldallal kapcsolatban, így ne is nyilatkozzak. Ebből következik, hogy engem baszogatni nem is kell a jövőben. Kthxbye

--
trey @ gépház

akkor - hasonlóan a trinity álnéven elkövetett majd letagadott fikázásaidhoz - ez is amolyan "többféle téma" ami nem tartozik a plebsre

--
O.K.

Elnézést, de itt valami félreértés lesz. Én minden fikázásomat vállalok, utólag is és tulajdonképpen mindegyikkel egyetértek utólag is. Úgyhogy ebben nincs igazad.

Abban viszont igazad van, hogy az én üzleti ügyeimhez a plebsnek semmi köze sincs. Akinek van, az NAV, a könyvelőm és társai.

--
trey @ gépház

>Én minden fikázásomat vállalok

na és trinity kalap úr?

>az én üzleti ügyeimhez a plebsnek semmi köze sincs

akkor a hwsw sajtóanyagában írottak igazságtartalmát (HUP felvásárlás) a korábbi állításaiddal szemben eztán nem kérdőjelezed meg?

"na és trinity kalap úr?"

Kalap úr azt üzeni, hogy természetesen ő is vállalja a dolgokat.

"akkor a hwsw sajtóanyagában írottak igazságtartalmát (HUP felvásárlás) a korábbi állításaiddal szemben eztán nem kérdőjelezed meg?"

A HWSW nem vásárolta fel a HUP-ot. A HUP 3 magánszemély tulajdona. Szerencsére erről tanúk előtt aláírt szerződésem van (pontosan rögzítve a tulajdonviszonyokat), így hogy te hol mint olvasol, az vajmi keveset nyom a latban.

--
trey @ gépház

kép

--
trey @ gépház

Most mellőzve azt, hogy bárkinek igazat adnék a nagy horderejű vitában, ez itt azért eléggé fura. Most akkor ki nem tud a felvásárlásról?

Nem tudok olyan papírról (és nincs is), ami az szerepelne, hogy a HWSW bármilyen százalékban is tulajdonosa lenne a HUP-nak. Így teljesen irreleváns, hogy oda mi van írva. Azt azért te is tudod gondolom, hogy a jogi dolgok nem úgy vannak, hogy "de tisztelt bíróság, az interneten ezen a linken az van írva, és a Bérci is azt mondta, hogy ez van, ezért nekem van igazam".

--
trey @ gépház

Akkor itt megkaptam/megkaptuk a választ, köszönet.

Szóval azért nincs default https, mert a fejlesztő(k) nem tudják, hogy kell megcsinálni rendesen. Ez így teljesen elfogadható, ez nálam is rendszeres probléma, de akkor nem kell ideologizálni a dolgot és érvelni amellett, hogy miért ne legyen default SSL, hanem meg kell mondani kerek perec, hogy nem tudjuk, hogy lehetne megcsinálni úgy, hogy ne legyen vele gond. Így egyenes és elfogadható.

Szerintem te ideologizálsz, amikor egy böngészőkiegészítőt nem tudsz/akarsz feltelepíteni. Mintha az a világ vége lenne. Engem meg nem érdekel, hogy mit csinálsz. Az oldal tud HTTPS-t. Hogy te akarod-e, tudod-e, szeretnéd-e használni, van-e böngészőkiegészítő fóbiád vagy egyéb betegséged, az már a te dolgod.

Az egyébként, hogy az összes HTTP át lesz dobva HTTPS-re koránt sincs elvetve végleg, mert

a) ez így egy fasz megoldás
b) a keresőmotorok "büntetik" ha ugyanaz a tartalom 2 "helyről" (80, 443) is elérhető

Ez egy átmeneti állapot, majd lesz végleges.

Egyébként az utálatot nem tudom honnan vetted (hint: topikcím), az oldalon már akkor volt HTTPS, amikor te még feltehetően a csattogós lepkét tologattad ;)

--
trey @ gépház

Persze, hogy nem teszek fel egy kiegészítőt csak azért, hogy átállítsa https-re. Emiatt nem fogok erőforrást pazarolni :) De ha így is lenne, az esetek több, mint felében nem a saját gépemről lépek be HUP-ra.

+1
Ez már olyan befőtt teszi el a nagymamát dolog!
Lassan már böngészőt is nekünk kell írni a HUP-hoz :D

Múltkor írtad, hogy vannak vagy 4-en , akik nem tudják a https-t valamilyen okból használni. Ne bazz 4 emberért szívatsz mindenkit, mindenféle tákolmány modullal? Mi a fene olyan nehéz átállítani, hogy a https legyen az alap?
Valószínűleg ez olyan becsípődés nálad, mint régebben volt, amikor nem akartad megérteni és elfogadni a téli gumi jelentőségét. Hiába győzködtek, csak azért is évről évre nyakaskodtál. Van egyébként már téli gumid?

> Mi a fene olyan nehéz átállítani, hogy a https legyen az alap?

Hogyan állítod ezt be? De a HTTP legyen továbbra is elérhető, pls!
(nekem nem kell, de a feladat adott, én nem tudok megoldást, de érdekelne...)
--
blogom

> Hogyan állítod ezt be? De a HTTP legyen továbbra is elérhető, pls!

Megoldás 1: a beállításokban be lehetne állítani, hogy ne irányítson át. Az alapértelmezett meg az, hogy átirányít.
Megoldás 2: URL paraméterben, pl. http://hup.hu?useHttp=1

és alkalmazás szinten (jelenleg Drupal) csinálnál egy http -> https átirányítást egyébként?

elismerem, erre nem gondoltam - de ha jól olvasom a szálat, a jelenlegi drupalnak még az is problémát okoz, hogy konstans https „oldalon” tartson.
--
blogom

Átirányítás esetén működnek az én megoldásaim, de még jobb a HSTS használata, (wikipedia), viszont ilyenkor nincs kerülő út, csak https-ként fog jönni.

HSTS-nél viszont olyan megoldás működhet, hogy aki https-ként éri el az oldalt, csak azoknak küld vissza HSTS fejlécet, így nekik (az adott böngészőből) onnantól (a megadott ideig) https-en lehetne csak elérni az oldalt, még akkor is, ha http-t írnak be.

Bocs de nem érdekel, hogy 4 ember nem tudja a melóhelyen megnézni. Majd otthon nézi és kommentel, mert otthon senkinek sincs letiltva.

"Van egyébként már téli gumid?"

Azóta sincs :D Remélem te is lecseréled 7 fok felett, az én életemet ne kockáztasd, hogy nyáron is azzal jársz.

--
trey @ gépház

Én lecserélem, mert gondolok magamra a családomra és másokra is. Ha ezzel egy kicsit többet teszek a biztonságért, akkor miért ne? De ez offtopic, nem gondoltam, hogy válaszolsz is rá :)
Inkább a https-t állítsd be. Aki meg nem tudja a hup-ot így megnézni, az akkor nem nézi a melóbol, majd ha hazamegy nézi. Mert otthon senkinek sincs letiltva.

Nézzük másképp: ha letiltod a http-t, azok, akiknek nem megy a https és http-t akarnak, nem fognak vernyogni.

(Nem kell komolyan venni, csak pragmatikus megoldás)

"Miért olyan baromi nehéz belőni defaultra az SSL-t? Valaki írt itt valami olyat, hogy XY nem tudja megnyitni a munkahelyén az SSL-es oldalakat. Na ne már, 2017 van, ezen már túlléptünk úgy 10 éve."
20 lesz az a 10 :)

Szerk: amúgy mi akadályoz meg, hogy beírd a böngészőben, hogy hátétépées?

been there, done that.

Klikkelj a loginra, viola: http://hup.hu

Talán az, hogy az SSL már több mint 15 éve elavult? Neked is rég túl kellett volna lépned rajta.

De mi lesz jobb a https-el? Szóval ok, nem neked kell vele dolgozni, neked nem fekszik felrakni egy bővítményt, de mi az az előny ami miatt Trey-nek (vagy bárki másnak) dolgozni kéne azzal, hogy működjön?

De mi lesz jobb a https-el?

Mondjuk nem lopják el ketten a jelszavadat/sessionödet? (a boldog meg a boldogtalan)

Nekem ettől nem lesz jobb, sem a sessionömet, sem a jelszavamat itt nem féltem.
Tényleg valós probléma az, hogy valakik hup sessionöket, jelszavakat lopnak el?

+1 Köszi, pont ez a lényeg.

Köszi, beelőztél.

Végülis, van, akinek annyira fontos az ittlét, hogy már a sokadik accountot fogyasztja ;-).

megjobb, hogy masoknak fontos hogy masok itt legyenek. Strange world indeed

T.T

Eszi nem eszi, megszökik. :)

De fura, hogy magadra vetted... kalozradiora gondoltam.

10/10 trolling :D

--
trey @ gépház

Annyira nem fontos, de miért ne? ÉS ez az az oldal, amit hagyhatok jelszavastól a böngészőben. Miért ne, milyen kár érhet? :)

nem kell lopni a public wifit

A public wifi-ben éppen az a jó, hogy nem kell lopni.

:-)

Nekem néha http, néha https-en megy a HUP, mikor milyen kedve van xD
Tulajdonlépen nem zavar, de eléggé fércmunka lehet mögötte...

Szerk.: Mikor ezt a hsz-t írtam még https-volt, postolás után már http O.o

+1

Hozzászólás után úgy tűnik tényleg átdob sima http-re.

Ez az új extrém zöld IT irányzata. Én azzal óvom a földet, hogy nem kell visszafejteni az internetes forgalmam. Az szabadon olvasható, tetszőleges személyeknek hozzáférhető, megosztható egyéb szervekkel, stb.

Alapvetően nincs értelme mindent HTTPS-en űzni.

Tegyük fel, hogy csak olvasgatni akarom a cikkeket a HUP-on, nem vagyok bejelentkezve.
HTTPS = felesleges, erőforráspazarlás.

Tegyük fel, hogy bevédtem a WiFi hálózatomat, WPA2/AES, erős jelszóval. Brute force-olhatják egy évig, amíg már más lesz a jelszó és a session-öm is lejár, amit el tudnának lopni.
HTTPS = felesleges, erőforráspazarlás.

Tegyük fel, hogy nem WiFin keresztül netezem és feltételezzük azt, hogy az ISP-t nem hekkeli fel senki, aki az én HUP bejelentkezett session-ömre kíváncsi.
HTTPS = felesleges, erőforráspazarlás.

Ami meg már a szánalmas kategória: hogy a YouTube (bejelentkezés nélkül!!) is erőlteti a HTTPS-t. Ja, a wifi hekker majd pont a megnézett videóim csomagra bontott szeleteiből fog az életemre törni. Ez nem más, mint egy felesleges és az oda-vissza titkosítás miatt rendkívül erőforráspocsékoló "biztonságosak vagyunk kérem" marketing-idealizmus.

Persze a HUP pont egy olyan oldal, ahol még van értelme a HTTPS-nek, ha valaki állandóan bejelentkezve szeretne maradni és nem biztonságos hálózatokról is HUP-ozna. Azonban én mindenképp az opcionális lehetőségre szavaznék.

Én pl. pont az vagyok, aki bejelentkezve marad mindig. Nem tartok támadástól, nincs mit védeni. Kb. az a szitu, mint a youtube-os példáddal. Én nem félek attól, hogy valaki megszerzi a sessionomat vagy jelszavamat és a nevemben elküldi szegecs olvtársat a melegebb tájakra...én is megteszem. Mi mást kéne védeni? Érthetetlen számomra ez a https mánia mindenhol.

+1

+1

Esetleg elkezd gyerekporeszt hostolni a hupos blogodban, a te nevedben? Nehez kimagyarazni a rodnersegen...

Nem hinném, hogy ez valaha megtörténik. De ha igen, az helyi éberek tesznek ellene...és akkor már csak https protkóval lehet majd jönni. :)

Vicces, mennyire nyilvánvaló a HTTPS-őrületet előidéző hisztériakeltésnek az eredménye a fejekben.

Még a józan eszet is képes kiiktatni.

Amúgy meg attól még, hogy "hajbazer" néven közölték le a pornót, nem biztos, hogy egy Á. P. T. nevű egyén tette, avagy én. Nem emlékszem, hogy személyi igazolvánnyal kellett volna igazolnom magam a HUP-ra való regisztrációkor, ergo a hozzáférési fiókom nem köthető a személyemhez bizonyító erejűen. Egy esetleges hekket követő bizonyítási eljárás során sokkal többet számít az IP cím, amivel igénybe vették a fiókot.

Ebben 100% az egyetértés :)

Ez az erőforrás pazarlás egy kicsit túl van lihegve, lásd pl. itt.

A MITM mondd neked valamit? Meg az, hogy a http-nél csak az a biztos a megjelenített tartalommal, hogy az a te gépedre érkezett meg - de hogy honnan, és mi az eredeti content, na az pont nem.
A HUP jelenleg Docker konténerben fut, ha a konténert futtató gépen fut a böngésződ is, akkor beszélhetünk arról, hogy biztonságos hálózaton nézed a HUP-ot,máskor már azért annyira nem (A gépen kívül már az infrastruktúrától függ, hogy mennyire tekinthető megbízhatónak a hálózat) a hostingon kívülről nézve, amikor nem harmadik, hanem sokadik "fél" hálózata, eszköze is ott van a géped és a kiszolgáló között, akkor már nem.

Nem értem miért gond ez? Amióta csak megemlítésre került itt a HUP-https, és felfedeztem, hogy a böngésző gyorsindítója, még mindig "http"-re van beállítva, hozzátettem az "s" betűt, azóta stabilan "https".

(Azt már csak hallkan merem megjegyzni, hogy a böngésző "ezeréves", és a rendszer sem túl friss, de a HUP stabilan https.) :-) - (Ja, és nincs erre böngésző kieg. aktiválva.)

"De mi lesz jobb a https-el?" - Tényhelyzet.., G. kitalálta, hogy így legyen és alkalmazkodunk, mert számunkra ez a fejlődés, - végre egyszer, - legalább nem jelent egy újabb plusz "backdoor-t".

SSL ma már mindenkinek van alapból (lásd Cpanel AutoSSL), most már a zöld címsor a menő, bár az sokba kerül. Lehet, hogy egyszer a Google elkezdi büntetni a nem zöld címsoros oldalakat...

Most már a Gyakorikérdések is https only :) Let's Encrypt szintén
https://www.gyakorikerdesek.hu/

Tudtátok hogy vannak olyanok akiket nem érdekel a HTTPS-only?
Elég sok embert hidegen hagy a dolog.

Ez egy technológia. Az pedig cseréli a korábbi elavultat, a kevésbé biztonságosat. (Vagy, úgy tetszik, és ha ez a cél, akkor a kevésbé követhetőt.) Nem is kell, hogy így, nevesítve érdekeljen a szakmán kívül bárkit is. (Ha viszont nem tud valamilyen oldalt elérni, vagy a G. e miatt "negatívba helyezi", az rövidesen érdekelni fog minden szakmán kívüli felhasználót is.)

Egyébként én úgy tudom, hogy a http és https oldalak lényegében két külön oldalnak számítanak a keresőkben, pl googleban.
Ergó amikor van http és https is egyszerre, akkor a google büntetni fog, mert két különböző oldalon ugyanaz a tartalom.

Azt nem tudom, hogy kinek fáj az ha a http-ről állandó redirect van a https-re kényszerítve. A 80-as portot se kell tiltani, csak redirect-elni. Olyanról nem hallottam még, hogy valaki nem tudja megnyitni a https-t, talán ha valami comodor64-en nézi az oldalt, talán akkor :)

"Egyébként én úgy tudom, hogy a http és https oldalak lényegében két külön oldalnak számítanak a keresőkben, pl googleban."

Igen, ezt írtam le itt. Így volt, erről volt szó, bár ez lehet hogy aztán változott. Most nincs erőm ennek utánakutatni.

--
trey @ gépház

good, akkor mindent tudtok :)

Nem hiszem, hogy változott volna, ha a google is a https-t akarja, akkor kihasználja a kártyákat.

U.I.:
Az a furcsa, hogy a http-s hup.hu mellett nem jelenik meg chrome-ban, hogy: "Nem biztonságos".

"Az a furcsa, hogy a http-s hup.hu mellett nem jelenik meg chrome-ban, hogy: "Nem biztonságos"."

Miért is kellene megjelennie? (elnézést, sosem használtam Chrome-ot semmire)

--
trey @ gépház

Googleék kitalálták, hogy ahol belépési lehetőség van (gondolom van input password), ott kiírja bal oldalra az url elé, hogy nem biztonságos, ha nem http-sben nézed.
Alattam írónak köszi a korrigálást.

Csak akkor jelenik meg, ha van login képernyő az oldalon. Tehát megjelenik, ha kilépsz vagy nyitsz egy anonim Chrome-ot.

ott a pont, köszi!

Pedig bőven van ilyen. A Google úgy döntött, nem támogatja tovább az XP-t és bizonyos oldalak már nem jönnek be, mivel a Chrome a WinSSL-t használja.

Tessék, itt a piaci rés: készíts a Chrome-hoz hasonló tudású böngészőt XP-re... Igaz, az OS-t sem támogatja már senki, de ez sem lehet neked, a nagy retróhősnek probléma...

Szerintem olvasd át újra, értelmezd, amire válaszoltál.

Átolvastam. Minthogy hajbazer topictársnak az egész fejlődéssel baja van (Win98 elég neki, ahogy a másik topicban írta), ráadásul fejlesztget valami sw-t is, amit 1000-1500 ember használ cégen belül, úgyhogy csakmeg tudja ugrani ezt a feladatot - ír egy saját böngészőt, vagy épp backportolja mondjuk a FF-ot, belehegesztve az openssl-t/libressl/whatewer használatát, és forkol belőle egy ff98 ágat :-P

Persze megteheti azt is, hogy a Windows beépített ssl könyvtárát cseréli le openssl/libressl/saját implementációból készített, a WinSSL-lel API szinten kompatibilis átiratra...

Hoppá hoppá hoppá, jól látok? :D