![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
В https в том виде, как он есть сейчас, есть одна фундаментальная проблема: его можно просто отключить, воткнув https-to-http gateway между браузером и сервером в порядке MitM-атаки.
Бдительные юзеры заметят исчезнувший замочек, но это не относится к интеллектуальному большинству (по правилу 95% процентов).
Такая атака сейчас является самой распространённой, т.к. манипуляции с TLS делать не выйдет по криптографическим причинам, а фокусы с самоподписанными сертификатами, нулём в середине доменного имени в сертификате, *-сертификаты и прочие старые приколы уже давным-давно не работают, высаживая юзера на измену красным фоном и большими жирными белыми буквами. Поэтому всё это уже в прошлом, а хакерьё просто тихонько заменяет https на http, авось лох не заметит исчезнувший замочек и отсутствие в URL'е "https://".
Решением мог бы стать какой-то флаг на уровне DNS, что с этим доменом можно работать исключительно через https, но проблема в том, что DNS и сама не является безопасной системой, так что увы.
И всё же, кое что сделать можно. Вместе с HTTP 301- или 426-редиректом клиенту (браузеру) можно будет передать HTTP-заголовок, который заставит его работать с сайтом только через https (в течении ближайших 365 дней например), а если такое соединение создать по техническим причинам не удаётся - браузер подключаться не станет и зашугает юзера красивым сообщением о перехвате трафика:
http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Поддержка этой новомодной фичи уже есть в 4-м Хроме и будет в 4-м Файерфоксе. ИЕ, по сложившейся традиции, сосёт банан.
Это не гарантирует 100%-ную пуленепробиваемость, но всё же снижает требования к интеллекту и бдительности пользователя: ему будет достаточно только один раз убедиться, что отображается замочек; а не каждый раз при входе на сайт, как сейчас.
Хотя в Хроме уже сейчас есть жёстко вшитый списочек сайтов, для которых эта фича неотключаема.
Бдительные юзеры заметят исчезнувший замочек, но это не относится к интеллектуальному большинству (по правилу 95% процентов).
Такая атака сейчас является самой распространённой, т.к. манипуляции с TLS делать не выйдет по криптографическим причинам, а фокусы с самоподписанными сертификатами, нулём в середине доменного имени в сертификате, *-сертификаты и прочие старые приколы уже давным-давно не работают, высаживая юзера на измену красным фоном и большими жирными белыми буквами. Поэтому всё это уже в прошлом, а хакерьё просто тихонько заменяет https на http, авось лох не заметит исчезнувший замочек и отсутствие в URL'е "https://".
Решением мог бы стать какой-то флаг на уровне DNS, что с этим доменом можно работать исключительно через https, но проблема в том, что DNS и сама не является безопасной системой, так что увы.
И всё же, кое что сделать можно. Вместе с HTTP 301- или 426-редиректом клиенту (браузеру) можно будет передать HTTP-заголовок, который заставит его работать с сайтом только через https (в течении ближайших 365 дней например), а если такое соединение создать по техническим причинам не удаётся - браузер подключаться не станет и зашугает юзера красивым сообщением о перехвате трафика:
http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Поддержка этой новомодной фичи уже есть в 4-м Хроме и будет в 4-м Файерфоксе. ИЕ, по сложившейся традиции, сосёт банан.
Это не гарантирует 100%-ную пуленепробиваемость, но всё же снижает требования к интеллекту и бдительности пользователя: ему будет достаточно только один раз убедиться, что отображается замочек; а не каждый раз при входе на сайт, как сейчас.
Хотя в Хроме уже сейчас есть жёстко вшитый списочек сайтов, для которых эта фича неотключаема.
