akirich_pcroom

Categories:

Переход на HTTPS.

Утром чувствовал себя не очень бодро и хорошо, пока не пришло уведомление, о том, что можно получать ключи, устанавливать их на сайт и запускать HTTPS на всех своих сайтах. Ну и конечно же расскажу для чайников — нафига оно надо, и почему не является спасением от всех напастей.

Пожалуй начну с истории, которая описывает все страдания от устаревшего хостинга, а потом покажу, что оно такое и с чем его едят.

Текущий хостинг у моих сайтов — шестой. И он не менялся последние 4 года. Вообще 2020 году трудно жить без замочка у адресной строки. Например, сервисы пуш-сообщений не работают без https. Если мне не изменяет память, долгое время и в ЖЖ такая штука работала. А еще вы не сможете сейчас воспользоваться геолокацией в браузере если на сайте не настроен SSL.

Первые решения, которые были отброшены в далекое будущее — уже были реализованы еще в 2018 году. Когда карта Е-тикет только-только появилась, надо было делать геолокацию, чтобы проще было искать эти самые терминалы. В итоге реализация добралась только до мобильного приложения, работа над которым была свернута, толком не начавшись.

В конце 2019 появился тестовый сервер, а в 2020, уже на GPS карте, тестерам была открыта возможность пользоваться геолокацией в браузере. Но основной сервер — ждал. Для меня это были трудные времена, довольно внезапная болезнь родного человека, инфекционка, похороны. Короче было далеко не до программирования, а уж тем более для каких-то общественных проектов. 

Потом бахнул карантин. Денег и так не особо было, а потом совсем трудно стало. Но, в итоге меня поддержали — большое спасибо за донаты. И 14 мая мы начали переезд на новый сервер. По сути он еще продолжается, но уже в мелочах. Где-то код несовместим, где-то сервер надо подкрутить. Но в целом — открылся простор для действий.

На днях была выкачена карта с обновленными картосновами (сделанными для этого проекта), а сегодня все сайты получили заветный замочек, и заработали в полную силу.

"Свободная" спутниковая карта, ну не круто?
"Свободная" спутниковая карта, ну не круто?

Но и это еще не все. Я очень давно хотел, чтобы у меня появился свой собственный бот. Последний живой бот был еще в старом ICQ и естественно до наших дней не дожил.

Я боялся, что данную технологию я попросту не осилю. Но за пару часов несложного программирования — появилось сразу три бота в Телеграмме. Один — мой личный, полигон для испытаний. Пока там в качестве эксперимента — плейлист парсер одной известной вам радиостанции. t.me/akirichbot

Второй — был построен для карты GPS. Он самый сложный и подробный. Если карта позиционировалась как крупный инструмент и для пассажиров и для сотрудников, то бот — скорее для сотрудников. Хотя базовая информация может и журналистам пригодится. Подписаться можно здесь: t.me/xtmapbot

Третий — для карты Е-тикет. Он самый простой из всех. У него всего одна функция. Отправили свою геолокацию — он отправляет вам в ответ 5 терминалов в окружности до полукилометра. (Кстати, испытав его, я понял, что есть места где терминалов нет и на расстоянии в километр.) Подписка — тут: t.me/kharkivticketbot


Ну а теперь к вопросам: «что оно такое?», «зачем оно надо?», «оно не заразно?» и т.д.

Интернет дико уязвимая штука, и по прежнему ею остается. Когда мы выходим в сеть, не важно с какого устройства, мы не представляем сколько мы передаем в сеть данных. Часть из них считается интимной, часть коммерческой, часть персональной, а часть и вовсе является тайной за семью печатями. 

Когда в интернете практически не было защищенного соединения, или уровня защищенных узлов обмена — ничего не мешало врезаться в линию посредине и узнать что передает пользователь. Как со спаренным городским телефоном. В принципе — эта подслушка дошла до таких масштабов, что это стало отдельным рынком, а переход на новые технологии ужасает многих государственных чиновников. Потому что все меньше способов вытащить информацию из граждан пачками.

HTTPS — это и есть реализация защищенного соединения для просмотра веб-страниц. Сейчас без него невозможно представить Интернет. Он появился 26 лет назад, но только сейчас завоевал популярность. Люди стали больше боятся. Им показали, как может лажать государство, воры, террористы, спецслужбы, мошенники, и другие. Чего говорить, пока честные провайдеры упираются перед каждым ордером, другие ставят системы глубокого инспектирования данных (Киевстар, например ею еще и опозорится смог, когда раздавал через неё необезличенные номера телефонов пользователей.)

Каждая ваша страница, каждый запрос вашего телефона, каждый щелчок по сетевому приложению превратились в шифровку, ключ от которой известен только вам и адресату. Обмен вашими ключами идет через сверхзащищенные, и главное — распределенные центры сертификации. Таким образом работает двунаправленная авторизация, взаимное доказательство что вы — это вы, а не чувак с кофе в фургоне под вашим домом. И то что ваш адресат — это ваш адресат, и никто другой.

Да, сетевые протоколы, в том числе и HTTPS, по прежнему можно взломать. Но теперь это не так просто, и часто игра перестает стоить свеч. Поэтому неправильно рассуждать, что «защищенное соединение» неуязвимо. И трижды подумайте, перед тем как отправлять кому-то свои ценные данные.

promo akirich_pcroom september 1, 2013 01:18
Buy for 10 tokens
Размещайте рекламу в промо по уникально низким ставкам! Правила размещения промо в моем ЖЖ. Даже несмотря на непостоянство показов в данном журнале действуют ограничения по тематике промоутируемых материалов. Рекламируемый материал должен содержать материалы подходящие для группы 12+.…

Error

Anonymous comments are disabled in this journal

default userpic

Your reply will be screened

Your IP address will be recorded