Господа, а не пора ли SSL-иться?

Частенько сталкиваюсь с тем, что в админках различных сервисов, рекламируемых на форуме, начисто отсутствует возможность работы через SSL, особенно любят этим грешить хостеры.
Исключение, пожалуй составляют доменные регистраторы/реселлеры, да и то - не у всех этих контор защищенное соединение устанавливается при входе в админку.

Овнеры, господа хорошие, разве данные клиента не должны быть нормально защищены, а?

ssl только трафик шифрует. Смысл ?

Должны быть защищены

+1 за ссл

+100 за SSL

Последний раз редактировалось: FTS (05/07/12 в 23:13), всего редактировалось 1 раз

Я лично, понял, про трафик и была речь
Ведь если траф не шифруется, то пароль передается по сети в открытом виде. И проснифить этот пароль не составляет труда, если есть доступ к сети где роутер и т.п..

Например, лет 10 назад с лишним я ради эксперимента, как обычный клиент, прослушивал sniffit-ом (можно использовать и tcpdump без проблем с записью пакетов, если ешё для Windows wireshark) пакеты, что ходят по сети. Дак я сам был удивлен, когда моему взору (в то время провайдеры любили клиентов втыкать в один хаб - а хабы ретранслируют все Ethernet пакеты во все порты) предстали почтовые письма, пароли для биллингов, статистик и т.п.. Вообщем всё, что в соседнем офисе передавалось в интернет не криптованное - всё отлично сканилось.

Сейчас, наверное, но не проверял, провайдеры навярняка используют свитчи - они стали дешевле за 10 лет. Это как то предохраняет от любопытных клиентов - там каждый пакет идёт на свой порт.

Но знайте, пока вы загружаете сайт не по https, каждый пакетик идёт через 20-30 узлов-роутеров, каждый роутер - это своя железяка с непонятно какой прошивкой (там ведь тоже надо следить за дырками и обновлять софт), это отдельная контора, с отдельным админом (про человеческий фактор промолчу ). Да и кроме снифинга можно поменять на роутере таблицу маршрутизации и пустить трафик через себя (middle man), отправляя его обратно к пункту назначения, но записывая мимоходом. Вообщем, как начнёшь думать, дак в инет и соваться не хочется.

Вообщем, я всегда пользуюсь https, если оно есть. Но 99% партнерок его не юзает - он сложен в настройках, на одном IP максимум можно поместить один домен под HTTPS (то есть один сертификат по правильному на один айпи адрес). Вообщем все предпочитают экономить и не поднимать жопу лишний раз

Ну а сколько сейчас партнерок померло. Думаете куда их базы аффилиэйтов деваются? Обычное дело - зарегался с новым мылом, а через пару недель на это мыло уже спам начинает приходить...

Что посоветовать - прям не знаю. Ставьте на каждую партнёрку хотя бы разный уникальный пароль, как минимум. Можно ещё установить на своём серваке VPN и ходить через него - вероятность быть проснифенным резко снижается - обычно снифят те, кто подключён к провайдеру как клиент. Снифить трафик от большого бэкбона в другому бэкбону как то не подручно. Хотя если админ где либо на тех 20 узлах решит побаловаться, то почту вашу почитать сможет (а на почту часто весь бизнес завязан), и пароли узнать тоже.

Stek писал:

ssl только трафик шифрует. Смысл ?

Смысл в том, что пусть пров и "прочие" видят куда я хожу (когда я без VPN, конечно), , но не что я там делаю или не делаю
По-моему, это норма сегодняшнего дня. Например, я на все гугловские сервисы захожу через https - от поисковика до ютуба и мыла.

Не в качестве рекламы, а безопасности ради прикладываю ссылку на термоядерный плагин HTTPS Everywhere (для Firefox и Chrome) - https://www.eff.org/https-everywhere/
Плагин имеет базу крупнейших сайтов сети (Google, Wikipedia и т.д.), которые держат SSL и при переходе на такой сайт вместо http устанавливает защищенное соединение https.

И просьба: это... товарищи из Galkahost - заSSLте админку уже

Кстати, постите сюда сервисы без SSL - пусть ускоряются )

Последний раз редактировалось: Leng (02/07/12 в 20:16), всего редактировалось 1 раз

Я думаю, многим пофиг будет, если кто-то их сюда запостит
Можно смело постить 99% тех, кто в базе StatsRemote

А насчёт нормы - опыт показывает, что даже в наше время это далеко не норма

Да и что тут про https говорить, когда вся почта от пункта отправления до пункта получателя по инету ходит некриптованная (SMTP протокол). А в наше время, как нистранно, вся защита сводится на высылку пароля на email. В этом ключевой момент несовершенства нынешнего устройства интернет.

Ну вот ходите вы по HTTPS, давайте уж тогда думать кто высылку пароля ещё делает на email. Это будет похуже чем не использовать HTTPS

"Пароль по почте" еще долго будет в ходу у сервисов, т.к. это требует минимум телодвижений с обоих сторон. Тут либо SSL у сервиса/получателя до своих почтовых серваков либо ... оставить как есть, т.к. некоторые пользуются мыльными сервисами без поддержки поддержки защищенных соединений

Perlover писал:

Я думаю, многим пофиг будет, если кто-то их сюда запостит Можно смело постить 99% тех, кто в базе StatsRemote

Но начинать когда-то надо и лучше здесь, чем в тикетах сервиса - здесь народ поддержит

Leng писал:

Кстати, постите сюда сервисы без SSL - пусть ускоряются )

https://www.master-x.com/
Потом пролистываем их сообщения и есть вероятность что пароли от партнёрок, емэйлов, хостингов, асек и тд будут совпадать

Снифить траф имхо уже давно весьма проблематично. Ну максимум своего оффиса.
Как правило логины и пароли уплывают из ломаных баз , а тут никакой SSL не поможет. Да и SSL тоже должен быть нормальным, а не самоподписанный, потом в лисице сидишь плюешься , добавляя такой сертификат.

sydoow писал:

https://www.master-x.com/ Потом пролистываем их сообщения и есть вероятность что пароли от партнёрок, емэйлов, хостингов, асек и тд будут совпадать

Ну, если у кого-то один пароль на всё, то это клиника, и "попадалово" для такого индивидуума - это лишь вопрос времени и чьей-нибудь личной заинтересованности.

Leng писал:

Тут либо SSL у сервиса/получателя до своих почтовых серваков либо ... оставить как есть, т.к. некоторые пользуются мыльными сервисами без поддержки поддержки защищенных соединений

То, как почта ходит между relays, и то что многие думают как аля Gmail - разные вещи.

Почта идёт от отправителя до получателя по SMTP - он не работает по SSL. Там трафик только в открытом виде. И через кучу узлов. Про то я и писал выше.

Сервисы аля GMail - это чтение почты на "конечном пункте". Там может быть SSL (HTTPS), но только для самоуспокоения - письмо и так в открытую дошло до Google Ну, конечно, тут есть резон использовать HTTPS, чтобы сосед по дому не прочитал, например.

Всякие SSL POP3, IMAP - всё это чтение почты после прихода её на сервак.

Вот подумал, что очень правильно было бы сервисам, высылающим пароль по почте, использовать PGP - клиент закачал открытый ключ и он хранится. Если просят выслать пароль - просто криптуется тем ключём и высылается. А уж если кто такое письмо и прочитает, то толку от этого не будет. Ну можно конечно и ключ PGP посеять - но это уже другие проблемы. По идее, такую опцию можно было бы сделать опциональной - хотите, ложите ключ и мы будем криптовать.

Хотя всё это, что затеял ТС - борьба Дон Кихота с ветрянными мельницами.

Последний раз редактировалось: Perlover (03/07/12 в 01:47), всего редактировалось 2 раз(а)

Stek писал:

Снифить траф имхо уже давно весьма проблематично. Ну максимум своего оффиса. Как правило логины и пароли уплывают из ломаных баз , а тут никакой SSL не поможет. Да и SSL тоже должен быть нормальным, а не самоподписанный, потом в лисице сидишь плюешься , добавляя такой сертификат.

Насколько я знаю, самоподписанный или нет сертификат - в любом случае трафик не расшифровать. Самоподписанные делают те, кто не хочет платить деньги сертификационным центрам за trusted доверие пользователей.
И предупреждение в Mozilla не говорит о том, что трафик не защищается - только предупреждение что сайт может быть не тем кто себя выдаёт

Perlover писал:

То, как почта ходит между relays, и то что многие думают как аля Gmail - разные вещи. Почта идёт от отправителя до получателя по SMTP - он не работает по SSL. Там трафик только в открытом виде. И через кучу узлов. Про то я и писал выше. Сервисы аля GMail - это чтение почты на "конечном пункте". Там может быть SSL (HTTPS), но только для самоуспокоения - письмо и так в открытую дошло до Google Ну, конечно, тут есть резон использовать HTTPS, чтобы сосед по дому не прочитал, например. Всякие SSL POP3, IMAP - всё это чтение почты после прихода её на сервак.

Всё это понятно, просто на то, как ходят данные между релеями ни отправитель ни получатель влияния не имеют и защититься могут только при получении/отправке.
А так на ум приходит только XMPP для замены почты.

Perlover писал:

Насколько я знаю, самоподписанный или нет сертификат - в любом случае трафик не расшифровать.

это верно но при этом нынешние браузеры будут вопить так на само подписной сертификат чыто все посетители разбегутся

Leng писал:

Частенько сталкиваюсь с тем, что в админках различных сервисов, рекламируемых на форуме, начисто отсутствует возможность работы через SSL, особенно любят этим грешить хостеры. Исключение, пожалуй составляют доменные регистраторы/реселлеры, да и то - не у всех этих контор защищенное соединение устанавливается при входе в админку. Овнеры, господа хорошие, разве данные клиента не должны быть нормально защищены, а?

взял и спалил тему

ps: на высоко нагружены сайтах шифровать накладно оно отжирает ресурсы

Alexs писал:

ps: на высоко нагружены сайтах шифровать накладно оно отжирает ресурсы

Если нет средств на увеличение мощностей, можно хотя бы страницу авторизации защитить.

Alexs писал:

нынешние браузеры будут вопить так на само подписной сертификат чыто все посетители разбегутся

Дак, не пора ли тогда начать прикупать сертификаты, цены вроде не небесные, да и это будет лишним показателем серьезности конторы, не?
Или

?

Alexs писал:

ps: на высоко нагружены сайтах шифровать накладно оно отжирает ресурсы

Согласен, шифрование отжирает ресурсы овнера, а вот не шифрование - может ненароком существенно отъесть нервы/деньги/свободу клиента.

Jet D. писал:

Если нет средств на увеличение мощностей, можно хотя бы страницу авторизации защитить.

Допустим, логин/пасс пролетит мимо злоумышленника, а вот, например, список твоих доменов или контактная инфа из админки - нет. Особого смысла в этом нет.

Конечно, можно сказать, что мол тут упираешься? Ходи себе через VPN и радуйся жизни и не мешай нам работать!
Отвечу:
Вашими сервисами пользуются не только люди, непосредственно связанные с адалтом и сопутствующими темами, но и люди с белыми темами, которым нет никакой необходимости в VPN, а нужна лишь здравая толика безопасности.
К тому же, наличие сертификата это безопасность данных клиента, а уж при наличие НЕсамоподписанного сертификата это вообще респект и уважуха

Perlover писал:

Почта идёт от отправителя до получателя по SMTP - он не работает по SSL. Там трафик только в открытом виде. И через кучу узлов. Про то я и писал выше.

Это как не работает? Хотя, если не настроить, то и не работает.

Perlover писал:

Да и что тут про https говорить, когда вся почта от пункта отправления до пункта получателя по инету ходит некриптованная (SMTP протокол). А в наше время, как нистранно, вся защита сводится на высылку пароля на email. В этом ключевой момент несовершенства нынешнего устройства интернет.

c почтой как раз все заебись, уже довно выпущено туча плагинов для почтовых клиентов которые шифруют переписку причем устойчивыми алгоритмами


достаточно сделать поле в настройках упользователя куда он будет вбивать ключь для шифрования, Только мне кажется что этим будет пользоватся 2,3 юзера на 1000