AY
А какой от этого прок клиенту?
а если кто-то посередине вынудит клиента подключиться по более уязвимому протоколу?
Size: a a a
2020 January 28
ДП
а если кто-то посередине вынудит клиента подключиться по более уязвимому протоколу?
Ну тогда да, есть смысл использовать только максимально безопасные шифры.
AY
Ну тогда да, есть смысл использовать только максимально безопасные шифры.
ИМХО, смысл есть всегда. Даже, если нельзя форсить понижение уровня безопасности извне. Почему, да потому что если клиент (хоть и по своей вине) чтото потеряет изза этого, будете виновны вы. А если чтото важное, то тут уже сильно подмоченная репутация.
ДП
Бываю разные ситуации.
Если это банковская система, то конечно тут именно так и нужно.
А если это сайт вязания, то важнее что бы человек всё же зашёл на сайт, даже если он на ie старом браузере, чем если он получит ошибку https
Если это банковская система, то конечно тут именно так и нужно.
А если это сайт вязания, то важнее что бы человек всё же зашёл на сайт, даже если он на ie старом браузере, чем если он получит ошибку https
ДП
И я не скажу что первых ситуаций больше.
Скорее меньше.
Часто те кто обладают сайтом беспокоятся именно о том что бы была максимальная конверсия и минимален негативный опыт работы с сайтом.
Почему и правильно ли это - это уже другой вопрос.
Скорее меньше.
Часто те кто обладают сайтом беспокоятся именно о том что бы была максимальная конверсия и минимален негативный опыт работы с сайтом.
Почему и правильно ли это - это уже другой вопрос.
ДП
Сейчас https рекомендуется использовать везде, причём даже на сайтах где логинки вовсе нет.
AY
ну эта рекомендация связана с паранойей на тему тотальной слежки, кажется както так оно происходит
ДП
Но это уже другая тема.
ДП
Кстати есть случаи когда провайдеры в http запросы пихают рекламу.
ДП
Или анализирует трафик для создания персональных предложений.
Думаю конечно эти ситуации очень редки, но тем не менее.
Так что я за https.
Думаю конечно эти ситуации очень редки, но тем не менее.
Так что я за https.
AY
если честно, я против, ибо терминировать TLS - это печальная история
AY
но, если уж использовать TLS, то на мой взгляд - максимально эффективно, с точки зрения безопасности, иначе смысл от него?
ДП
Кстати может быть атака через провайдера на внедрение вообще какого-то зловредного текста в http запросы. Как в виде скриптов, так и подставной информации.
AY
гипотетически может быть, но кто будет это делать?
AY
ну если только таргетно
ДП
но, если уж использовать TLS, то на мой взгляд - максимально эффективно, с точки зрения безопасности, иначе смысл от него?
С этим согласен.
Но всё же бывают разные ситуации.
Лично мне для моего проекта не так важны пользователи старых IE. Более того я вообще не слежу за поддержкой этого браузера.
Но всё же бывают разные ситуации.
Лично мне для моего проекта не так важны пользователи старых IE. Более того я вообще не слежу за поддержкой этого браузера.
AY
Тут да, я на своих проектах тоже выпилил поддержку старых браузеров.
ДП
И считаю что поддерживать старый хлам, это в корне неверно.
ДП
Это удержание отжившего и мешание этому уйти на пойкой.
AY
на самом деле это разумно, даже если он и сможет инициировать TLS сессию, хера толку, если он может не отобразить текущую верстку?)))