Tramvision

Новости => Всякое по сайту => Тема начата: Почта сайта от 24 Январь 2017, 06:25:30

Название: Нападки Гугла
Отправлено: Почта сайта от 24 Январь 2017, 06:25:30
Гугл грозится помечать простые сайты опасными

Небольшой FAQ для постоянных читателей:

— Что будет с сайтом после выхода Chrome 56?
— Правильный ответ: ничего не случится, но браузер Google Chrome будет помечать его в адресной строке как ОПАСНЫЙ.

* * *
— Почему ОПАСНЫЙ?
— Правильный ответ: по кочану. Просто Гугл решил навариться на сертификатах.

* * *
— А в чем тогда проблема? Просто купите этот сертификат.
— Окей, давайте тогда все рубрики сайта сделаем платными.

* * *
— Мой компьютер смогут взломать после предупреждения Google Chrome, что ресурс ОПАСНЫЙ?
— На нашем сайте не смогут. Никакие пароли на нашем сайте не хранятся. Мы можем удалить неугодного пользователя за спам и прочие нарушения, но логин и пароль для этого не нужны. В 99,9 случаев взлома компьютера виноваты сами пользователи, имейте это в виду — не оставляйте сессию открытой, не давайте пользоваться своим устройством третьим лицам, избегайте ввода паролей в открытых точках доступа.

* * *
— Но ведь Гугл предупредил, а там не дураки работают, то есть они знают, что делают, им можно доверять.
— Иисуса Христа придумали тоже не дураки. И хорошо придумали. Если хотите верить, что наш сайт ОПАСЕН — верьте на здоровье. Верьте хоть Гуглу, хоть католической и православной церкви, но опаснее или милосерднее наш сайт от этого не станет. Пока что мы не видим нужды переходить на протокол HTTPS. За все годы существования сайта не было ни одного случая, чтобы у кого-то увели пароль и т.п. Это и есть наша правда, и она говорит сама за себя, без всяких поисковых соплей и попыток подстроить все сайты под себя.
Название: Re: Нападки Гугла
Отправлено: SaAnVi от 24 Январь 2017, 08:43:30
Поддерживаю. Гугл полностью оправдывает то, из каких сотрудников он состоит. :) Жду, когда он не-HTTPS сайты начнёт из AdSense выкидывать. Интересно, кишка тонка? Думаю, тонка. Постебёмся потом над этим, хороший повод будет.
Название: Re: Нападки Гугла
Отправлено: yukas от 24 Январь 2017, 19:45:31
Ну, chrome будет помечать опасными только сайты без сертификата, у которых есть input тэг с типом "password", нет? Отсутствие сертификата не столько делает сайт опасным, сколько делает возможным перехват пароля по сети.

Поскольку в будущем это точно отразиться на ранжировании, не лучше ли прикрутить авторизацию через соц сети?
Название: Re: Нападки Гугла
Отправлено: Почта сайта от 24 Январь 2017, 21:47:28
На их сайте (https://developers.google.com/web/updates/2016/10/avoid-not-secure-warn?utm_source=wnc_10026400&utm_medium=gamma&utm_campaign=wnc_10026400&utm_content=msg_100048548&hl=ru):

Long term - Use HTTPS everywhere
Eventually, Chrome will show a Not Secure warning for all pages served over HTTP, regardless of whether or not the page contains sensitive input fields.

Зная про педерастичную сбычу гугловских заявлений, дело не за горами.

Гугл уже разослал "письма счастья" с УРЛами, на которые впаяют клеймо "Ненадежный". У меня там не только этот форум, но и остальное "мясо", где полей ввода нет, но есть вконтактовские комментарии и кнопки-лайки. Вот репу чешу, считает ли Гугл их за поля ввода пароля.

Цитировать
Ниже перечислены URL Ваших страниц, для которых будет показываться такое предупреждение, поскольку на них собираются данные о кредитных картах и пароли. Проверьте эти страницы и примите необходимые меры для защиты пользователей. Обратите внимание, что этот список может быть неполным.

http://www.tramvision.ru/daily/index.shtml?2012/120512
...
В будущем мы планируем помечать любые страницы, не использующие протокол HTTPS, как небезопасные.

Блин, на этой странице только 2 кнопки Лайк. ХЗ, м.б. из какого-то древнего кэша вытащил, когда поле ввода было.

Всего было получено 2 письма с разными ссылками, и на всех, где не форум, есть какой-то вконтактовский хлам.

Еще что удручает, так это то, что наш самый крупный в РФ поисковик – попугай еще тот. Всё, что делает Гугл, Яндекс копирует без вопросов и сожаления. Так у них принято, поэтому ситуация с ранжированием сайтов будет такая же, как у Гугла сейчас.

Наши коллеги по цеху уже проверяли. После перехода на HTTPS, гугловский траф растет процентов на 30.
Название: Re: Нападки Гугла
Отправлено: yukas от 24 Январь 2017, 22:48:16
Цитировать
где полей ввода нет, но есть вконтактовские комментарии и кнопки-лайки

Вот как раз там гугл бот и видит поля для логина (и те кто не авторизован).

А в целом ситуация сложная, конечно...но может и хорошо что хоть постепенно всё это внедряют, а не сразу сюрприз-сюрприз. А нельзя самоподписанный сертификат какой то сделать, разве нужен обязательно купленный у третьей стороны?

Название: Re: Нападки Гугла
Отправлено: yukas от 24 Январь 2017, 22:54:56
Цитировать
Eventually, Chrome will show a Not Secure warning for all pages served over HTTP, regardless of whether or not the page contains sensitive input fields

Eventually тут главное слово, т.е. это не на сейчас, а когда то потом. Но думать об этом пора уже сейчас, конечно. А пока что только "password" input важен.
Название: Re: Нападки Гугла
Отправлено: SaAnVi от 25 Январь 2017, 05:24:42
нельзя самоподписанный сертификат какой то сделать, разве нужен обязательно купленный у третьей стороны?
Самоподписанные сертификаты почему-то тоже в опале у браузеров. Кстати, не понимаю, почему. Трафик же получается один фиг шифрованный; соответственно, чаяния "безопасности" соблюдены. Думаю, здесь чисто финансовый вопрос - центры сертификации пролоббировали (хотя к гуглу они каким боком стоят - непонятно).

Ну и да, у меня есть HTTPS с неподписанным сертификатом, так с говнохромом на сайт даже нормально не зайдёшь - он ВСЕГДА показывает ДВЕ страницы предупреждений (где ещё надо понять, куды жать). Такие дела.
Название: Re: Нападки Гугла
Отправлено: SaAnVi от 29 Январь 2017, 20:25:46
Кто бы сомневался. :)

http://4pda.ru/2017/01/28/334514/

Самое печальное, что вся эта бесхребетная свора "айтишнегов" пойдёт и заплатит. Пойдёт, сука, и заплатит этим пидорам. Эх...
Название: Re: Нападки Гугла
Отправлено: Dendr от 30 Январь 2017, 06:46:34
На одном из форумов, где я зависаю, возникла "проблема". Поскольку это личный проект одного из участников, и костяк там - компания друзей, то разумеется, что никакого сертификата отродясь не было.
Если уж мы какой-то год деньги на хостинг собирали...

Ну вот, и недавно в разделе "Технические проблемы" появилась тема "Я пригласила несколько знакомых на форум, ро они испугались, увидев сообщение от браузера, что сайт небезопасен"

Не помню точно, что там ответили, но в духе "Если твои друзья тебе не верят, а верит параноикам из Гугла, нафиг они нам тут нужны?"
Название: Re: Нападки Гугла
Отправлено: SaAnVi от 30 Январь 2017, 07:36:58
У Яндекса сейчас невиданный шанс выпендриться. Типа, Гугл прессует инет (по сути так и есть), а мы - нет. Но не выпендрятся. Скорее, могут даже перенять "передовой опыт". Но пока тишина.
Название: Re: Нападки Гугла
Отправлено: yukas от 15 Март 2017, 22:17:03
Если кому интересно, то я установил на свой сайт бесплатный сертификат от Let's Encrypt. Теперь гугл показывает его зелёненьким/защищённым. Так что бесплатные сертификаты есть ;)
Название: Re: Нападки Гугла
Отправлено: SaAnVi от 16 Март 2017, 05:19:37
Если кому интересно, то я установил на свой сайт бесплатный сертификат от Let's Encrypt.
Это где на сервер надо стороннюю подозрительную приблуду ставить, которая якобы автоматически будет его раз в три секунды (шучю) обновлять?
Название: Re: Нападки Гугла
Отправлено: yukas от 16 Март 2017, 10:30:15
Автоматическое обновление опцианально. Сертификат выдается на 90 дней и его нужно обновлять (ручками или автоматически). Приблуда является open source и есть на гитхабе. Для меня это было достаточно, чтобы попробовать :)
Название: Re: Нападки Гугла
Отправлено: SaAnVi от 16 Март 2017, 18:02:55
Не пойму, почему только на 90 дней... Видимо есть какая-то нужда в таком сроке, но каждые три месяца заморачиваться на это вручную неохота. Тем более, ставить приблуду.
Название: Re: Нападки Гугла
Отправлено: Почта сайта от 16 Март 2017, 18:17:09
В Свебе сейчас на халяву нортоновский сертификат дают. Ну, если их клиент.

Я в некоторых проектах еще их клиент, но чота оптимизм как-то поутих. Раньше дудели на каждом углу, что раздают, а сейчас только пространные посты Вконтакте.

Типа таких:

Цитировать
https://vk.com/spaceweb_ru?w=wall-40886064_4031

SpaceWeb ответил Валерию
Валерий, раздаем бесплатно сертификаты Symantec Site Starter. Только мы их не за год хостинга раздаем, а просто так).