Всё что они обеспечивают — это вашу уверенность, что между вами и сервером никого больше нет. А принцип «если есть зелёный замочек, значит это не мошенники, сайту можно доверять» всегда был ошибочным и давал ложную уверенность.
Если что, и сейчас есть на выбор DV, OV и EV сертификаты. DV выдают после простой проверки владения доменом, а OV и EV выдают за деньги только после проверки документов с подтверждением существования вашей организации и т.д.
Сертификат выдан просто на домен:
Сертификат выдан организации, с валидацией её документов:
Это конечно хорошо, что LE раздаёт бесплатные сертификаты, но простым HTML страничкам с бесплатных хостингов это всё равно не поможет.
Никто не запрещает бесплатным хостингам настроить автоматическое получение сертификатов для всех сайтов что у них хостятся. Там ничего сверх-сложного. А если кто-то пользуется бесплатным хостингом, на поддержку которого полностью забили, то бежать с такого хостинга надо, так как с таким подходом он вот-вот закроется.
А повсевместный переход на HTTPS в условиях PKI будет означать только дополнительную централизацию инета, ещё одну возможность кому-то наверху отключить ваш сайт, просто отозвав сертификат в браузере. Как будто DNS недостаточно…
До появления Let's Encrypt я раньше всегда возмущался, что сертификат не выдают прям вместе с регистрацией и оплатой домена. Мне всегда казалось, что это «должно быть включено в стоимость». Ну подход с Let's Encrypt тоже неплох, тем более что есть и пара альтернатив. Для случая, если это будет использоваться для неправомерной блокировки сайтов, в крайнем случае сайты всегда могут начать использовать самоподписанные сертификаты. Это минимальное неудобство для пользователей, и не повод оставлять всех их без шифрованного HTTP.
Что ж там нетривиального то? Варианты на выбор:
1. Вводим домен, выбираем в списке «искать в Google» (или что там по умолчанию).
2. Вводим домен, выбираем внизу списка нужный поисковик, запускаем поиск.
3. Для любителей клавы, никто не отменял комбинацию клавиш старого поля поиска: нажимаем Ctrl+K, вводим домен, Enter.
4. Для более продвинутых любителей клавы: каждому поисковику назначаете кейворд (g — Google, y — Yandex, b — Bing, и т.д.), и потом когда нужно искать что-то в конкретном поисковике, пишете в адресной строке «g habr.ru» или «y habr.ru». Кстати, эта функция есть прям с самой первой версии Firefox.
Я всегда использую последний вариант как самый удобный для быстрого поиска в любом из 30+ поисковиков что у меня установлены. Если для вас это слишком сложно, используйте любой из других вариантов.
Почему у меня доверие должно быть к компании, которая за всё хорошее (и приватность) и против всего плохого, но имеет кучу телеметрии, которая opt-out, и которую большинство пользователей просто не разберется как отключать?
Потому что телеметрия не про личные данные, а про технические данные. Ваш кэп.
Я лишь указывал, что потенциал для fingerprinting'а/телеметрии есть даже у простых GET-запросов.
Вы со словами «да всё на самом деле ещё хуже» сослались на какую-то нелепую статью, где проверку наличия интернета пустым GET-запросом выдают за шпионство, ярко демонстрируя отсутствие понимание вопроса. А когда стало ясно, что это такое, уже начали натягивать сову на глобус, говоря о том, как много вашей личной информации Mozilla может собирать через эти запросы.
Да, если бы захотела, Mozilla много чего могла бы. Но если вы ей не доверяете, то эти пустые запросы для проверки наличия интернета — наименьшая проблема, если вы уже выполняете их код у вас на компьютере. Если Firefox уже работает на вашем компьютере, он уже может читать ваши файлы, он уже имеет доступ ко всему что вы вводите с клавиатуры, и он уже имеет полный доступ в сеть. По сравнению со всем этим, теоретическая возможность собрать какую-то статистику о вас из запросов проверки наличия интернета — просто ничтожная проблема. Не говоря уже о том, что из 200+ миллионов пользователей кроме вас там будут сотни тысяч людей с таким же User-Agent, и при первой смене IP-адреса вы просто затеряетесь среди них.
Вы как-то нелепо оцениваете риски. Риск от выполнения кода — огромный. Но если вы доверяете разработчику, и запускаете эту программу, то как-то странно всё равно подозревать, что за вами шпионят, тем более через задокументированную телеметрию, содержимое которой можно изучить в about:telemetry или через исходный код. Mozilla максимально прозрачна в этом плане.
Если вы не доверяете какой-то компании, и считаете, что она хочет шпионить за вами, просто никогда не запускайте их код у себя на компьютере. Если у разработчика есть злые намерения следить за вами, вообще не важно, как именно он это будет делать, если вы уже запустили его код и дали доступ в сеть. Есть масса возможностей следить за человеком действительно незаметно, выжидая подходящие моменты и маскируя пересылку собранных данных (например, раз в месяц), а не стучаться на firefox.com сразу после запуска.
Ну видимо на том сайте крутится скриптик, который время от времени что-то делает, и при этом не даёт браузеру освободить временные объекты, потому что где-то на них сохраняются ссылки, из-за чего они бесконечно накапливаются. Если у вас 32-разрядная версия браузера, поставьте 64-разрядную, там адресное пространство поболее, может очень долго течь и не падать =)
О другом. В 2021 в браузера добавили настройку, которая блокирует HTTP вообще. Вот ваша вторая ссылка как раз ведёт на HTTP-only сайт, и браузер показывает такое предупреждение:
Пока что по умолчанию этот режим выключен, но думаю что в ближайшие несколько лет включат для всех. Как итог, ленивым админам малоизвестных сайтов типа этого pyatilistnik.org придётся всё же немного пошевелиться, чтобы добавить поддержку HTTPS, потому что необходимость кликать «Continue to HTTP Site» при каждом посещении будет раздражать.
Пока что только в Firefox есть такая настройка, которая выключена по умолчанию. Думаю, ещё не время для такого поведения по умолчанию. Пускай допишут спеки по новой DNS-записи HTTPS, которая позволяет сделать надёжный автоапгрейд всех HTTP-ссылок для сайта до HTTPS, дождутся когда оно будет поддерживаться хотя бы в 90% установленных браузеров и начнёт достаточно массово использоваться сайтами, а там уже можно будет. Эта фишка облегчит разработчикам сайтов переход на HTTPS в случае, если у них на сайте очень много абсолютных ссылок с HTTP. Сейчас Content-Security-Policy: upgrade-insecure-requests; с этим очень помогает, но новая DNS-запись будет работать даже когда на вас ссылаются по HTTP из внешнего источника. Там же, кстати, указывается ключ для ECH (шифрованный Client Hello, чтобы нельзя было из первого пакета получить хост), и наличие поддержки HTTP/3. В общем, с этой новой DNS-записью браузер сразу будет знать куда и как он может подключаться, ещё до того как подключился к вашему серверу. Это делает ненужными целый ряд старых костылей.
Пользователь решает, пользоваться ли ему продуктом, который ему предлагают, или не пользоваться. Не пользователь решает каким будет продукт. Если вам что-то не нравится, никто не запрещает вам сделать свой аналог, где будет всё так как считаете нужным именно вы. Вы не пуп земли, никто не обязан подстраиваться под именно ваше видение как должно быть. Тем более, что видение у вас какое-то странное.
Веб движется к тому, чтобы полностью избавиться от незащищённых соединений, и это отличные новости. Меня огорчает, что всё ещё попадаются сайты, которые не работают по HTTPS. Но с давлением со стороны разработчиков браузеров, таких сайтов становится всё меньше. Обычный пользователь и не догадывается, что его сосед по Wi-Fi может подсматривать всё содержимое, просматриваемое по HTTP. Или то что какую-то рекламу на страницу добавил провайдер, а не разработчик сайта. Если бы знал, то точно предпочёл бы HTTPS, так как он решает много неприятных проблем. Админу сайта нужно просто раз всё настроить. Здесь нет никаких сложностей кроме лени.
Думаю, через лет 5-10 HTTPS станет обязательным для не локальных адресов, попытка открыть сайт по HTTP будет выдавать ошибку, где нужно будет нажать «да, я действительно хочу зайти по HTTP». Это подтолкнёт даже самых ленивых админов наконец добавить поддержку HTTPS.
Про LE, в свете недавней ситуации лучше вовсе не упоминать.
Ну так расскажите что там с LE за «недавняя ситуация», ну очень интересно. А то я использую Let's Encrypt для всех своих сайтов, и может чего-то не знаю.
Знали бы вы, как работает FF на ноутбуке Lenovo с Windows 7 и 4ГБ RAM при 4 CPU.
У меня есть старенький ноутбук с Windows 7, 3ГБ RAM и 2 ядрами CPU. Firefox работает на нём ожидаемо для машины такого почтенного возраста. Если сайты не тяжёлые и вкладок не много, то быстро, если тяжёлые, то еле ворочается.
Основной комп тоже с SSE2: ему 20 лет
Я смотрю, вы любите экстрим =)
То есть вы пользуетесь 20-летним компом, но хотите смотреть на нём современные сайты современным браузером. Знаете ли, слишком уж вы особенного хотите. Мир движется вперёд, средний компьютер стал на порядок мощнее, сайты стали гораздо тяжелее. Раз в 10 лет можно и обновить железо. Никто не будет подстраиваться под маргинальный процент пользователей с безнадёжно устаревшим железом.
Кстати да, пишу этот комментарий с компа 2014 года. Десятки вкладок с современными сайтами, плюс куча запущенного фоном софта — без нареканий и тормозов. Кажется, этот комп даже больше 10 лет будет актуальным, хотя я думал, что беру его на 5 лет. Скорость роста аппетитов ПО заметно упала по сравнению с нулевыми.
Групп нет. Только до 32 закреплённых сайтов. Мне хватило с лихвой, закрепил только 16. Не вижу смысла добавлять то что нужно редко туда. Для этого есть закладки, которых у меня много тысяч.
Напомню, что создатель HTML и W3C – Тим Бернерс-Ли, которого и отодвинули.
WHATWG пилит стандарты в открытую, прислушиваясь к мнению разработчиков сайтов, и к мнению разработчиков браузеров, в поисках решений, которые будут понятны и удобны первым, и при этом могут быть эффективно реализованы вторыми. Теоретикам из подвалов никто не запрещает высказывать своё мнение и принимать участие в разработке стандартов (что W3C и делает, они в итоге конечно же поддержали HTML5). Просто теперь они вынуждены считаться с фидбеком, а не писать в стиле «я автор, я так вижу», а вы потом сами там с этим разбирайтесь и мучайтесь.
А потом движку пойди догадайся, какой же это html и по какой спецификации и правилам его обрабатывать.
Если когда-нибудь понадобится (что вряд ли, за 15 лет так ни разу и не понадобилось), ничто не мешает сделать так, и потом инкрементить цифру раз в 10 лет:
Чем же старый поиск был удобнее? И разве его совсем убрали? Я вот только что проверил на Firefox 97, всё ещё можно вернуть то самое отдельное поле для поиска родом из нулевых. Вот прям в основных настройках, с наглядной демонстрацией работы, даже в about:config лазить не надо.
Если я запускаю код какой-то компании, значит я уже ей доверяю. Понимаете ли, в мегабайтах кода очень легко спрятать что угодно. Хотите бэкдор, который будет выглядеть как невинная ошибка? Да без проблем, нате сразу 10 штук на любой вкус! Если вы не доверяете Mozilla, лучше вообще не запускать ни один из её продуктов. Это же относится к другим компаниям. Если не доверяете Intel или AMD, не используйте их процессоры, там может быть встроено что угодно, они могут шпионить за вами. Если думаете, что соседи через дорогу от дома могут следить за вами через ваши окна, вы можете их заштукатурить, чтобы даже нельзя было определить, горит ли свет в квартире, а то люди с улицы могут выяснить, когда вы ложитесь спать. В эту игру можно долго и упорно играть. Но в реальности вам просто необходимо кому-то доверять. Я доверяю Mozilla, Microsoft, Google, Intel, AMD, Линусу Торвальдсу и ещё много кому, и спокойно пользуюсь их продуктами. Если же вы вы не доверяете вообще никому, и вам мерещится слежка даже в невинных запросах для проверки наличия интернета, то вам следует быть последовательными, и отказаться от продуктов компаний и людей, которым вы не доверяете. Можете переселиться сразу в лес, так как в городе понатыкано камер, через которые за вами могут буквально следить, в отличие от сбора телеметрии и проверок наличия интернета.
Какова стоимость этих обновлений, когда они означают требование приобретения нового компьютера и отмену всех вложений в существующий и обеспечение его эксплуатации?
Обновление браузера крайне редко требует обновление компьютера. Неужели у вас настолько древний компьютер, что нет поддержки SSE2, и вы не можете поставить себе хотя бы Windows 7 и последнюю версию любого браузера?
Let's Encrypt раздаёт бесплатные сертификаты уже много лет. Один раз настроил автополучение, и забыл. Зато провайдеры и владельцы публичных Wi-Fi сетей не могут встраивать свою рекламу на чужие страницы; соседние компы в вашей сети (например, в публичном Wi-Fi) не могут пассивно подсматривать содержимое сайтов что вы сёрфите. Это очень хорошо, что веб движется к тому, чтобы использовать только HTTPS.
Аналог Electron бы рано или поздно появился. В конце концов, это тоже не новая идея, а логическое продолжение Java-апплетов / Adobe Air / Silverlight. Но возможно, так он бы меньше тормозил...
Electron — это развитией идей XULRunner, который отпочковался от Firefox в нулевых.
Весь интерфейс Firefox изначально был на JS, стили на CSS, и только для разметки использовался XUL вместо обычного HTML. В начале нулевых видимо считали, что HTML было недостаточно для разметки нормального GUI, поэтому сделали отдельный специализированный язык разметки на базе XML.
Если что, и сейчас есть на выбор DV, OV и EV сертификаты. DV выдают после простой проверки владения доменом, а OV и EV выдают за деньги только после проверки документов с подтверждением существования вашей организации и т.д.
Сертификат выдан просто на домен:
Сертификат выдан организации, с валидацией её документов:
До появления Let's Encrypt я раньше всегда возмущался, что сертификат не выдают прям вместе с регистрацией и оплатой домена. Мне всегда казалось, что это «должно быть включено в стоимость». Ну подход с Let's Encrypt тоже неплох, тем более что есть и пара альтернатив. Для случая, если это будет использоваться для неправомерной блокировки сайтов, в крайнем случае сайты всегда могут начать использовать самоподписанные сертификаты. Это минимальное неудобство для пользователей, и не повод оставлять всех их без шифрованного HTTP.
1. Вводим домен, выбираем в списке «искать в Google» (или что там по умолчанию).
2. Вводим домен, выбираем внизу списка нужный поисковик, запускаем поиск.
3. Для любителей клавы, никто не отменял комбинацию клавиш старого поля поиска: нажимаем Ctrl+K, вводим домен, Enter.
4. Для более продвинутых любителей клавы: каждому поисковику назначаете кейворд (g — Google, y — Yandex, b — Bing, и т.д.), и потом когда нужно искать что-то в конкретном поисковике, пишете в адресной строке «g habr.ru» или «y habr.ru». Кстати, эта функция есть прям с самой первой версии Firefox.
Я всегда использую последний вариант как самый удобный для быстрого поиска в любом из 30+ поисковиков что у меня установлены. Если для вас это слишком сложно, используйте любой из других вариантов.
Вы со словами «да всё на самом деле ещё хуже» сослались на какую-то нелепую статью, где проверку наличия интернета пустым GET-запросом выдают за шпионство, ярко демонстрируя отсутствие понимание вопроса. А когда стало ясно, что это такое, уже начали натягивать сову на глобус, говоря о том, как много вашей личной информации Mozilla может собирать через эти запросы.
Да, если бы захотела, Mozilla много чего могла бы. Но если вы ей не доверяете, то эти пустые запросы для проверки наличия интернета — наименьшая проблема, если вы уже выполняете их код у вас на компьютере. Если Firefox уже работает на вашем компьютере, он уже может читать ваши файлы, он уже имеет доступ ко всему что вы вводите с клавиатуры, и он уже имеет полный доступ в сеть. По сравнению со всем этим, теоретическая возможность собрать какую-то статистику о вас из запросов проверки наличия интернета — просто ничтожная проблема. Не говоря уже о том, что из 200+ миллионов пользователей кроме вас там будут сотни тысяч людей с таким же User-Agent, и при первой смене IP-адреса вы просто затеряетесь среди них.
Вы как-то нелепо оцениваете риски. Риск от выполнения кода — огромный. Но если вы доверяете разработчику, и запускаете эту программу, то как-то странно всё равно подозревать, что за вами шпионят, тем более через задокументированную телеметрию, содержимое которой можно изучить в about:telemetry или через исходный код. Mozilla максимально прозрачна в этом плане.
Если вы не доверяете какой-то компании, и считаете, что она хочет шпионить за вами, просто никогда не запускайте их код у себя на компьютере. Если у разработчика есть злые намерения следить за вами, вообще не важно, как именно он это будет делать, если вы уже запустили его код и дали доступ в сеть. Есть масса возможностей следить за человеком действительно незаметно, выжидая подходящие моменты и маскируя пересылку собранных данных (например, раз в месяц), а не стучаться на firefox.com сразу после запуска.
Пока что по умолчанию этот режим выключен, но думаю что в ближайшие несколько лет включат для всех. Как итог, ленивым админам малоизвестных сайтов типа этого pyatilistnik.org придётся всё же немного пошевелиться, чтобы добавить поддержку HTTPS, потому что необходимость кликать «Continue to HTTP Site» при каждом посещении будет раздражать.
Content-Security-Policy: upgrade-insecure-requests;с этим очень помогает, но новая DNS-запись будет работать даже когда на вас ссылаются по HTTP из внешнего источника. Там же, кстати, указывается ключ для ECH (шифрованный Client Hello, чтобы нельзя было из первого пакета получить хост), и наличие поддержки HTTP/3. В общем, с этой новой DNS-записью браузер сразу будет знать куда и как он может подключаться, ещё до того как подключился к вашему серверу. Это делает ненужными целый ряд старых костылей.Веб движется к тому, чтобы полностью избавиться от незащищённых соединений, и это отличные новости. Меня огорчает, что всё ещё попадаются сайты, которые не работают по HTTPS. Но с давлением со стороны разработчиков браузеров, таких сайтов становится всё меньше. Обычный пользователь и не догадывается, что его сосед по Wi-Fi может подсматривать всё содержимое, просматриваемое по HTTP. Или то что какую-то рекламу на страницу добавил провайдер, а не разработчик сайта. Если бы знал, то точно предпочёл бы HTTPS, так как он решает много неприятных проблем. Админу сайта нужно просто раз всё настроить. Здесь нет никаких сложностей кроме лени.
Думаю, через лет 5-10 HTTPS станет обязательным для не локальных адресов, попытка открыть сайт по HTTP будет выдавать ошибку, где нужно будет нажать «да, я действительно хочу зайти по HTTP». Это подтолкнёт даже самых ленивых админов наконец добавить поддержку HTTPS.
Ну так расскажите что там с LE за «недавняя ситуация», ну очень интересно. А то я использую Let's Encrypt для всех своих сайтов, и может чего-то не знаю.
Я смотрю, вы любите экстрим =)
То есть вы пользуетесь 20-летним компом, но хотите смотреть на нём современные сайты современным браузером. Знаете ли, слишком уж вы особенного хотите. Мир движется вперёд, средний компьютер стал на порядок мощнее, сайты стали гораздо тяжелее. Раз в 10 лет можно и обновить железо. Никто не будет подстраиваться под маргинальный процент пользователей с безнадёжно устаревшим железом.
Кстати да, пишу этот комментарий с компа 2014 года. Десятки вкладок с современными сайтами, плюс куча запущенного фоном софта — без нареканий и тормозов. Кажется, этот комп даже больше 10 лет будет актуальным, хотя я думал, что беру его на 5 лет. Скорость роста аппетитов ПО заметно упала по сравнению с нулевыми.
Если когда-нибудь понадобится (что вряд ли, за 15 лет так ни разу и не понадобилось), ничто не мешает сделать так, и потом инкрементить цифру раз в 10 лет:
Весь интерфейс Firefox изначально был на JS, стили на CSS, и только для разметки использовался XUL вместо обычного HTML. В начале нулевых видимо считали, что HTML было недостаточно для разметки нормального GUI, поэтому сделали отдельный специализированный язык разметки на базе XML.