И Яндекс туда же - типа всем нужен HTTPS

Зарабатываем!, Мысли

Прилетело вчера вот такое уведомление из панели Яндекс.Вебмастера на один из сайтов:

На сайте используется недостаточно защищенный протокол HTTP

В настоящее время на главном зеркале сайта для обмена информацией с пользователями используется протокол HTTP, являющийся недостаточно безопасным. Рекомендуем использовать протокол HTTPS, так как он является более безопасным, чем протокол HTTP. Протокол HTTPS позволяет снизить риск перехвата персональных данных пользователей (таких как логины, пароли, номера банковских карт и т. д.), а также избежать подмены информации на самом сайте (например, подмены вашей рекламы на рекламу злоумышленника).

Использование протокола HTTPS повышает уровень безопасности и доверия со стороны пользователей сайта и поисковой системы.

И это уведомление находится не в разделе “Рекомендации”, как вы могли бы ожидать, а в “Возможная проблема”. Вот так. Со временем, уверен, это уведомление переедет в полноценные “проблемы”, без всяких “возможных”, и хочешь - не хочешь, а будешь тратить время и деньги на весь этот никому, на самом деле, не нужный геморрой (это нужно только самому Яндексу) по подключению SSL для всех своих сайтов, если хочешь, чтобы они и дальше получали трафик с поиска.

Сайт, на который пришло уведомление, в принципе не имеет авторизованных пользователей (то есть нет никаких логинов с паролями), ничего не продает (значит не собирает никаких кредитных карт и личных данных) и не является форумом масонов. Это просто обычный информационный сайт, каких миллионы в интернете, ему не нужен, блядь, SSL. Прям бесит это.

Да, а от подмены рекламы на этом сайте сделана бесплатная и абсолютно безгеморройная вещь - Content security policy - которая не требует никаких настроек на сервере и не несет в себе потенциальную тонну рисков, как в случае с установкой SSL, последующей склейкой адресов в поисковиках, постоянной необходимости следить за продлениями сертификатов и т.п.

И не надо мне про LetsEncrypt бесплатный рассказывать, во-первых, с ним тоже бывают проблемы, например, просто глюкнет у вас хостинг/сервер, сертификат не продлится вовремя (окей гугл “lets encrypt не продлился”), вы, возможно, даже и не узнаете об этом сразу, а сайты ваши все это время будут ошибку выдавать вместо загрузки, во-вторых, вы можете понять или нет, что просто делать что-то для того, чтобы просто что-то делать это тупо? Есть реальная необходимость - делай. У тебя банк, или интернет-магазин, или форум сектантов? Делай SSL. У тебя лытдыбр, сайт про рецепты или сборник гифок с котэ? Нахрен тебе этот SSL, бро.

18 комментов

  1. Devvver сказал:

    Цитировать: весь комментарий | выделенный текст

    Просто сделай это!
    Выхода все равно нет.
    Не хочешь мучаться с обновами - купи SSL на пару лет.

  2. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Просто сделай это!
    Выхода все равно нет.
    Не хочешь мучаться с обновами - купи SSL на пару лет.

    1. Это не всегда просто. Не везде установлены штуки для автоматического сетапа letsencrypt’а. Не везде есть панели. Админов нанимать не дешево. Все равно эта хрень может слететь.
    2. Пока есть, пока это “возможная проблема”, а не “проблема”.
    3. Ну как бы для каждого, даже самое мелкого сайта еще и покупать SSL это вообще бред, у меня есть сайтики для души, не для денег, и для них что ли тоже покупать? Копеечных сертов сейчас нет, 1-2 тыс. руб. за двухгодовой все равно придется заплатить, что для некоммерческих сайтов как-то слишком жирно, особенно, если у тебя он такой не 1.
    4. Я уж не говорю о том, что переделать на сайтах все ссылки, сторонние загружаемые картинки, коды и т.п. на https это не так уж быстро и просто. Опять же, когда сайт у тебя не 1, а 10, например.

    Я бы не писал этот пост, если бы Яндекс поместил это уведомление в “Рекомендации”. Но вот в “возможная проблема” это просто не нормально.

  3. Solomon сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    Cloudflare дает бесплатные сертификаты и следит за их продлением. Делов на 5 минут.

  4. Курский бомж сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    Тоже бесит. Знаю немало людей которые после переезда, вроде бы по всем правилам, но все равно часть трафа потеряли. И нафига информационнику этот https вообще?

  5. Devvver сказал:

    Цитировать: весь комментарий | выделенный текст

    Я вот сижу на виртуальном хостинге. SSL установила тех поддержка, обновляют тоже. За больше чем год ничего не упало. Упадет - пофикшу. Хостинг тоже может обвалиться в любой момент.

    По поводу количества сайтов - у меня тоже больше 10 сайтов, взял и сделал.
    Не хочешь делать - доверь спецам на кворке.

  6. Alex Black сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    > будешь тратить время и деньги на весь этот никому, на самом деле, не нужный геморрой

    Нихуя не согласен с тобой. HTTPS нужен даже сайтам, где нет авторизации. Зачем? Чтобы не было возможности сделать подложку между твоим сайтом и запросом пользователя.

    Например. Пользователь ищет в яндексе “как пролечить геморрой”, тыкает на ссылку, ведующую на твой сайт, а вместо твоего сайта видит рекламу, которую ему подсунул провайдер сети. Чо за хуйня - думает пользователь и закрывает сайт. Переходит на другой, с HTTPS. На нем получает свой ответ без рекламы провайдера.

    Для ПС это репутационный риск. Они могут предложить пользователю перейти на определенный сайт, он он благодаря нечистивому провайдеру может попасть совершенно на другую пагу. Это хуево. Вот ПС и приучают каждого вебмастера к новому протоколу. И это есть хорошо, ИМХО.

    Безопастность важнее твой лени. Так что подними зад и сделай для своих сайтов HTTPS. Тем более сейчас можно сертификат совершенно бесплатно получить. Потратишь только свое время, но не деньги.

  7. Devvver сказал:

    Цитировать: весь комментарий | выделенный текст

    Кстати еще ради чего стоит перейти на htttps - это http/2.

  8. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Cloudflare дает бесплатные сертификаты и следит за их продлением. Делов на 5 минут.

    Но добавляется еще лишнее одно звено в цепочку, еще одна зависимость :) Зная, что они по любой жалобе сразу вырубают свои нсы, не особо бы на них надеялся.

    Знаю немало людей которые после переезда, вроде бы по всем правилам, но все равно часть трафа потеряли.

    Ага, полно историй таких.

    Я вот сижу на виртуальном хостинге. SSL установила тех поддержка, обновляют тоже. За больше чем год ничего не упало.

    Ну, молодец, но не все же сидят на виртуалах :) И если ни разу за год не упало, это же не значит, что этого никогда не случится. Просто зачем об этом париться, если вообще без этого прекрасно всегда жилось.

    HTTPS нужен даже сайтам, где нет авторизации. Зачем? Чтобы не было возможности сделать подложку между твоим сайтом и запросом пользователя.

    Например. Пользователь ищет в яндексе “как пролечить геморрой”, тыкает на ссылку, ведующую на твой сайт, а вместо твоего сайта видит рекламу, которую ему подсунул провайдер сети. Чо за хуйня - думает пользователь и закрывает сайт. Переходит на другой, с HTTPS. На нем получает свой ответ без рекламы провайдера.

    Это такая за уши притянутая херня, что мне даже печатать лень. Как же только жил интернет эти 30 лет без SSL везде, ведь атата любой антигеморройный сайт можно подменить. Только вот это нахер никому не надо, на самом деле, ни разу не слышал, чтобы где-то подменялся целый сайт ради какой-то рекламы.

    Для ПС это репутационный риск. Они могут предложить пользователю перейти на определенный сайт, он он благодаря нечистивому провайдеру может попасть совершенно на другую пагу. Это хуево. Вот ПС и приучают каждого вебмастера к новому протоколу. И это есть хорошо, ИМХО.

    Еще одна херня. Ну какой к черту репутационный риск? Это у Я и Г, у которых в рекламе крутятся откровенные мошенники по опросам или на выдаче первые 4 места заняты рекламой? Да уж, репутация это последнее, что их волнует. А волнует их бабло исключительно и ссл нужен, чтобы это бабло сохранить и отобрать у других, чтобы только ПС могли знать что и где ты смотришь и больше никто, никакие браузерные хреновины и адвара.

    Безопастность важнее твой лени. Так что подними зад и сделай для своих сайтов HTTPS. Тем более сейчас можно сертификат совершенно бесплатно получить. Потратишь только свое время, но не деньги.

    Дело не в лени, а в том, чтобы не плодить ненужных сущностей. Делать тебе если нехуй - ну ставь на все свои статейники, дело твое, мне-то что.

    Кстати еще ради чего стоит перейти на htttps - это http/2.

    Уверен, 10 уников в день на каждом “хомяке” оценят ускорение загрузки сайта на 0.2 секунды))

  9. Aspirant сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    Полностью с тобой солидарен в этом вопросе! HTTPS изначально продвигали, как решение для сайтов, где присутствует обмен конфиденциальной информацией (магазины, банки и т.п.). На кой его впаривать в обязательном порядке всем подряд? Особенно учитывая, что даже при на 100% правильном переезде трафик можно потерять, и довольно не хило, о чём свидетельствуют кейсы по теме.

  10. Devvver сказал:

    Цитировать: весь комментарий | выделенный текст

    И если ни разу за год не упало, это же не значит, что этого никогда не случится.

    Может случиться. Так же как и хостинг может коньки отбросить. Если такое случится - пофикшу.

    Ну, молодец, но не все же сидят на виртуалах

    Добро пожаловать на нашу базу :)

  11. Алексей сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    Я так понимаю замочек рядом с адресом сайта вместо надписи «Не защищено» тебя тоже не радует? ))))

    Я немного в теме, поэтому могу тебе сказать: сайты без HTTPS несут опасность для пользователей даже если там не вводятся кредитные карты, логины/пароли и даже если это не гей форум масонов.

    Допустим я «атакующий». Вот смотри, если пользователь загружает сайт через HTTPS, то такие сайты просто сразу мимо. Если пользователь загружает сайт по HTTP и у меня есть возможность встрясть в трафик (с помощью атаки человек-посередине, в открытых Wi-Fi сетях, на моём бесплатном прокси/VPN который я сделал публичным и пр.), то я могу на свой выбор:
    - внедрять JavaScript от программы BeEF и из браузера выполнять атаки на компьютер пользователя, открывшего твой сайт без HTTP
    - внедрять всплывающие окна «Обновите плагин» и ссылки на трояны и бэкдоры
    - внедрять сообщения что Утин умер и что в связи с народными гуляньями нужно перечислить 200 рублей на приведённый номер телефона

    И так далее. То есть, сайт без HTTP это как больное животное — оно опасно само для себя, с этим всё понятно. Но оно опасно и для окружающих, так как может заразить, например…

  12. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Может случиться. Так же как и хостинг может коньки отбросить.

    Но без хостинга никак, это понятно, поэтому вероятность его падения это неизбежное зло. С ссл все совсем не так.

    Добро пожаловать на нашу базу :)

    На виртуалах можно хостить только что-то легкое, для любых ресурсоемких штук нужно вдс и т.п.

  13. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Полностью с тобой солидарен в этом вопросе! HTTPS изначально продвигали, как решение для сайтов, где присутствует обмен конфиденциальной информацией (магазины, банки и т.п.). На кой его впаривать в обязательном порядке всем подряд? Особенно учитывая, что даже при на 100% правильном переезде трафик можно потерять, и довольно не хило, о чём свидетельствуют кейсы по теме.

    Вот именно, спасибо.

    Я так понимаю замочек рядом с адресом сайта вместо надписи «Не защищено» тебя тоже не радует? ))))

    Свистелки-перделки меня никак не трогают, ага))

    Я немного в теме, поэтому могу тебе сказать: сайты без HTTPS несут опасность для пользователей даже если там не вводятся кредитные карты, логины/пароли и даже если это не гей форум масонов.

    Допустим я «атакующий». Вот смотри, если пользователь загружает сайт через HTTPS, то такие сайты просто сразу мимо. Если пользователь загружает сайт по HTTP и у меня есть возможность встрясть в трафик (с помощью атаки человек-посередине, в открытых Wi-Fi сетях, на моём бесплатном прокси/VPN который я сделал публичным и пр.), то я могу на свой выбор:
    - внедрять JavaScript от программы BeEF и из браузера выполнять атаки на компьютер пользователя, открывшего твой сайт без HTTP
    - внедрять всплывающие окна «Обновите плагин» и ссылки на трояны и бэкдоры
    - внедрять сообщения что Утин умер и что в связи с народными гуляньями нужно перечислить 200 рублей на приведённый номер телефона

    И так далее. То есть, сайт без HTTP это как больное животное — оно опасно само для себя, с этим всё понятно. Но оно опасно и для окружающих, так как может заразить, например…

    Немного он в теме, да ты опасный чел, похоже))) Так-то вроде все верно пишешь, такие проблемы и правда есть. Но в общем трафике разве это играет большую роль? Хз, мне кажется, нет.

  14. Сосо Павиашвили сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    Ну за уши никто не притягивает. Мобильные операторы давно рекламу свою подсовывают на чужие сайты. Погугли, узнаешь много нового.

    Яндекс мне таких уведомлений не прикинул на сайт с 35к дейли. Только что проверил.

    Гугл делает это насильно через хром и поиск потому что не хочет, чтобы кто-то кроме него спаил данные траффика с сайта на сайт.

  15. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Ну за уши никто не притягивает. Мобильные операторы давно рекламу свою подсовывают на чужие сайты. Погугли, узнаешь много нового.

    Так я в курсе, пост про CSP, на который есть ссылка в тексте, про это и был изначально написан (про Мегафон и его внедрение рекламы).

    Яндекс мне таких уведомлений не прикинул на сайт с 35к дейли. Только что проверил.

    Как-то избирательно, ага, у меня только на 1 из 10 сайтов пришло, и он не на самый посещаемый. Яндекс еще в своем блоге про это написал в тот же день https://webmaster.yandex.ru/blog/a-vash-sayt-uzhe-na-https

    Гугл делает это насильно через хром и поиск потому что не хочет, чтобы кто-то кроме него спаил данные траффика с сайта на сайт.

    Ну да, поэтому и Яндекс туда же, причины навязывания SSL чисто из бизнеса растут, а все эти “безопасность пользователей” им до лампочки на самом деле.

  16. Jkeks сказал и подписался на новые комментарии по e-mail:

    Цитировать: весь комментарий | выделенный текст

    Ну если перейти можно пушами базу собирать или тупо монетизировать. Так же кое что вообще без https не будет работать как передача виеопотока.

  17. DimaX сказал:

    Цитировать: весь комментарий | выделенный текст

    Ну если перейти можно пушами базу собирать или тупо монетизировать. Так же кое что вообще без https не будет работать как передача виеопотока.

    Надеюсь, что все эти “пуши” скоро зажмут так же, как вап-клик, достали эти окошки с подписками везде, сил никаких нет))

  18. Иван сказал:

    Цитировать: весь комментарий | выделенный текст

    У тебя блог без HTTPS и мне в метро рекламу показывает — АТПИСКА.
    Да еще и хром ругаетс небезопасно говорит!

Комментарии тех, кто оставляет в поле "Ваш блог" ссылку куда-либо, кроме своего ЛИЧНОГО нормального блога, либо вместо ника/имени пишет ключевые слова или урл - БУДУТ УДАЛЕНЫ!

Добавить комментарий

Comments for this post will be closed on 27 March 2019.

© 2006-2019 by dimax.biz