https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:14:50 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30353 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (Paweł Goleń) Bardziej istotna jest pozycja atakującego niż rozmiar serwisu. Jeśli atakujący jest dobrze umiejscowiony i wstrzykuje podobny kod do każdej odwiedzanej strony, efekt ma taki sam lub nawet lepszy. Tue, 28 Jul 2015 07:01:50 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30353 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30352 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (rozie) Widzę do czego zmierzasz, ale trochę słaby przykład, bo dotyczył dużego serwisu. Plus, tej klasy/skali atakujący nie powinien mieć problemu z przechwyceniem ruchu, nawet chronionego certyfikatem. Mon, 27 Jul 2015 23:36:38 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30352 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30351 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (Paweł Goleń) Moim zdaniem ma to sens dla każdej strony, nawet najbardziej nieistotnej (pod względem treści). Dlaczego? Na przykład dlatego: https://citizenlab.org/2015/04/chinas-great-cannon/ Mon, 27 Jul 2015 18:12:26 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30351 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30350 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (rozie) Pytanie, czy/kiedy gwarancja podmiany treści po drodze ma znaczenie. Wydaje mi się, że w przypadku większości stron nie bardzo (plus, często korzystają one z elementów ładowanych z innych URLi, a wtedy to już niezupełnie są strony właściciela). O certyfikacie i weryfikacji napisz kiedyś, bo ciekawe. Mon, 27 Jul 2015 08:05:53 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30350 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30349 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (Paweł Goleń) Zaufanie, że treść nie została podmieniona po drodze. Oczywiście, wszystko się rozbija o certyfikat i jego weryfikację. Ale to dłuższy temat, nie na komentarz. Sun, 26 Jul 2015 17:23:22 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30349 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30348 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (rozie) Ale jakie zaufanie? Jeśli dobrze rozumiem, to na Let's Encrypt każdy będzie mógł dostać certa. Za darmo. Argument o łatwości przyjmuję, ale to kosztuje: http://rozie.blox.pl/2015/07/HTTP-czy-HTTPS.html (link, bo przydługie mi wyszło). Tue, 21 Jul 2015 20:57:21 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30348 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30347 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (Paweł Goleń) Sens HTTPS - zaufanie. A wymuszonego? Bo tak jest łatwiej niż przepisywać niektóre URLe na http/https w zależności od kontekstu. Do tego, Google planuje (lub już to robi) uwzględniać HTTPS jako jeden z czynników przy pozycjonowaniu strony: http://googlewebmastercentral.blogspot.com/2014/08/https-as-ranking-signal.html Również niektóre przeglądarki mają w planach (lub przynajmniej rozważają) oznaczanie stron HTTP jako niebezpieczne: https://www.chromium.org/Home/chromium-security/marking-http-as-non-secure https://blog.mozilla.org/security/2015/04/30/deprecating-non-secure-http/ Sun, 19 Jul 2015 08:46:41 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30347 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30346 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (rozie) Jaki jest cel wymuszonego HTTPS w przypadku publicznie dostępnego bloga? Poza zużyciem nieco większej ilości energii. Sun, 19 Jul 2015 07:35:56 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30346 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30345 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (Paweł Goleń) Pierwsza kopia jest z http://, druga kopia z //, a trzecia z https://. Ta wersja z // była używana "przejściowo", adres typu //archive.mroczna-zaloga.org/costam.txt będzie traktowany jako http lub https, w zależności od kontekstu, w jakim występuje. Sat, 18 Jul 2015 13:25:54 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30345 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30343 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (nikt) Ale dlaczego w RSS (Thunderbird) mam po 3 kopie ostatnich wpisów z czego jeden po http, a 2 po https? Trzecia kopia pojawiła się jakiś dzień po drugiej. Fri, 17 Jul 2015 23:00:16 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30343 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30342 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (Paweł Goleń) Tak, to prawda. Zmiana http:// na https:// spowodowała, że wpisy zostały potraktowane jako nowe. Jeśli chodzi o nazwę w certyfikacie - popatrz na "Subject Alternative Name". Fri, 17 Jul 2015 06:55:19 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30342 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#c30341 https://archive.mroczna-zaloga.org/archives/1281-z-http-na-https.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1281 nospam@example.com (koziolek) Już wiadomo czemu RSS dwukrotnie zduplikowało każdy wpis :) Po za tym, blog działa pod adresem wampir.mroczna-zaloga.org, a certyfikat wystawiony dla sni42855.cloudflaressl.com. Zawsze mi się wydawało, że w CN musi być nazwa domeny strony... Muszę coś poczytać o tych "czarach". Fri, 17 Jul 2015 00:17:02 +0200 https://archive.mroczna-zaloga.org/archives/1281-guid.html#c30341