Научный форум dxdy

Форум unixforum.org, на котором живых посетителей, наверно, человек 20, переходит на HTTPS. Неужели несравненно более живой, на мой взгляд, dxdy.ru не хочет последовать его примеру?

Ах, так с 20 живыми экспериментировать не страшно--разбегутся, и бог с ними! А вот с 2,000 !!!!

А зачем?

Исключительно из-за идеологической правильности. В настоящее время HTTP воспринимается как сломанный HTTPS, как баг, который назвали фичей.

-- 01.11.2016, 03:26 --

Замечу, однако, что нередко сделанное правильно без конкретного профита, а просто потому что это правильно, даёт в дальнейшем вполне конкретный профит, который сложно было предвидеть заранее.

Согласен — когда что-то делается и необходимо выбрать путь. Но переделывать сделанное и работающее — нужны несколько более конкретные соображения, не?

Поддерживаю переход на HTTPS. Каждый раз как-то странно себя чувствую, когда вижу в строке адреса http:// и ?sid=[шестнадцатиричное число].

HTTPS защищает от "вынюхивания" IP-пакетов, делая очень трудной расшифровку передаваемых данных. Но эти пакеты можно перехватывать только при наличии доступа к машрутизаторам или кабелям, или в локальной сети, если она плохо сделана, или с помощью специальной аппаратуры для ловли WiFi трафика, т.е., просто так, сидя за обычным компьютером, ничего чужого не перехватишь даже и без HTTPS.

Единственное, что, может быть, стоило бы HTTPS-ить - это формы с логином/паролем и страницы с личными данными. Но едва ли кто-то будет стараться их выкрасть - здесь с этого никакой выгоды не поиметь, а вычислить и надавать по башке могут.

Кроме того, HTTPS - это лишняя вычислительная нагрузка на сервер и клиенты, лишний трафик и лишние расходы (надо регулярно платить за сертификат).

В общем, использовать HTTPS где попало - всё равно, что шлёпать гриф "Секретно" без нужды - только усложнять жизнь.

Гугл, Википедия и многие другие с Вами не согласны....

Это другое дело. Собрав статистику обращений какого-то человека в Гугл, или в Википедию, или на YouTube, можно иногда выловить, скажем, неприглядные (или неприглядно толкуемые) особенности, которые можно потом использовать для клеветы или шантажа. Чтобы этого избежать, вышеупомянутые благодетели разумно шифруют трафик.

А на научном форуме едва ли удастся найти что-то жареное, даже, если весь трафик пользователя перехватывать.

Сейчас есть инициатива Let's Encrypt, бесплатные короткоживущие сертификаты.

Это, в частности, потому, что у них как раз по HTTPS сайты грузятся быстрее - новый протокол HTTP/2 нешифрованные соединения не поддерживает.

Это надо либо хостинг-провайдера уговорить, либо себе создать лишние хлопоты по обновлению. Без нужды незачем.

Протокол-то поддерживает, а вот клиенты...

Короче, если dxdy или его хостер решит переходить на HTTP/2, тогда, действительно, будет веская причина ставить HTTPS.

А я просто плохо себя чувствую, когда вижу в строке адреса ?sid=[шестнадцатиричное число].
При том, что ровно такие же страницы выдаются без этого sid. То есть, он просто низачем.

И никакого https не нужно...

(Оффтоп)

У меня нету ссылок под рукой, но мне известно, что уже сейчас Гугл ранжирует страницы с HTTP без S ниже, чем безопасные, а в будущем даже собирается показывать на этих сайтах плашку типа "не влезай - убьёт". В этом есть смысл: настроить автоматизированное обновление сертификата раз в месяц (как того хочет Let's encrypt) не нулевой труд, зато никто не сможет вынюхивать данные пользователей при логине на сайт в открытых wi-fi сетях.
Сайты вроде Гугла используют не просто HTTPS, a HSTS (HTTP Strict Transport Security) - этот протокол вызывает неимоверный butthurt у цензоров защищает не только данные пользователей, а и страницы сайта, с целью отсечь возможность операторам сетевых услуг незаметно подменить одну-две неугодных страницы какой-нибудь Википедии.

(Оффтоп)

Я из всего вышесказанного не понимаю только одно: зачем отвечают за администрацию. Это же всё равно не засчитывается.

Плюс, возможно (не буду пытаться угадать, насколько), если продублировать предложение на dxdy.userecho.com, это что-то даст. Не знаю. (По крайней мере, я поставлю там плюсик от себя.)