https dauðinn fyrir vefsíður litla mannsins?
https dauðinn fyrir vefsíður litla mannsins?
Ég er reglulega byrjaður á að rekast á hinar og þessar vefsíður, reknar af smáum aðilum, litlum fyrirtækjum, sem eru allt í einu komnar með svona viðvörun um að vera óörugg, vegna þess að https certificate er útrunnið. Þetta veldur því að enginn fer lengur inn á þessar vefsíður.
Þetta eru vefsíður sem eru ekki með neinum viðkvæðum upplýsingum né eru merkilegt. T.d. vefsíður matsölustaða, maður vill fletta upp matseðlinum, t.d.: https://wokon.is/
En það eru ótal margar vefsíður sem eru orðnar svona.
Sennilega er þetta vegna þeirrar herferðar sem vefrápar eru í, að tilkynna vefsíður sem óöruggar sem eru ekki með https, og svo loka þeim ef https certificate er útrunnið.
Sennilega búa þessir aðilar ekki yfir nægilegri kunnáttu og/eða fjármunum að standa í rekstri á https síðum. Þetta krefst einhverrar tæknilegrar aðstoðar. Og hví þeir nota ekki bara http skil ég ekki.
Þannig að maður hefur séð þessa smærri aðila bara yfirgefa þessa síður og færa sig alfarið á facebook.
Maður er smá hugsi yfir þessu og framtíð vefsins, ef allir þessir smærri aðilar sjá hag sínum best borgið bara að vera á facebook og ekki standa í flóknum domain og vefsíðurekstri.
Þetta eru vefsíður sem eru ekki með neinum viðkvæðum upplýsingum né eru merkilegt. T.d. vefsíður matsölustaða, maður vill fletta upp matseðlinum, t.d.: https://wokon.is/
En það eru ótal margar vefsíður sem eru orðnar svona.
Sennilega er þetta vegna þeirrar herferðar sem vefrápar eru í, að tilkynna vefsíður sem óöruggar sem eru ekki með https, og svo loka þeim ef https certificate er útrunnið.
Sennilega búa þessir aðilar ekki yfir nægilegri kunnáttu og/eða fjármunum að standa í rekstri á https síðum. Þetta krefst einhverrar tæknilegrar aðstoðar. Og hví þeir nota ekki bara http skil ég ekki.
Þannig að maður hefur séð þessa smærri aðila bara yfirgefa þessa síður og færa sig alfarið á facebook.
Maður er smá hugsi yfir þessu og framtíð vefsins, ef allir þessir smærri aðilar sjá hag sínum best borgið bara að vera á facebook og ekki standa í flóknum domain og vefsíðurekstri.
*-*
-
- Internetsérfræðingur
- Póstar: 6350
- Skráði sig: Mán 04. Apr 2005 11:01
- Staðsetning: https://viktor.ms
- Hafðu samband:
- Staða: Ótengdur
Re: https dauðinn fyrir vefsíður litla mannsins?
Dauðinn fyrir óhæfa hýsingaraðila segi ég.
Https er common sense.
Https er common sense.
Thinkpad P1 • i7-10875H • NVIDIA Quadro T1000 • Samsung 32GB 3200Mhz • Toshiba 1TB SSD
G Pro Wireless • WASD V2 Ch.MX brown • Arctics Pro Wireless
Alienware Ultrawide 34.1" WQHD 1900R IPS 3440 x 1440p 4ms 120Hz
EdgeRouter-X • TOUGHSwitch TS-5-POE • Unifi AP AC LITE • Raspberry Pi Unifi controller
G Pro Wireless • WASD V2 Ch.MX brown • Arctics Pro Wireless
Alienware Ultrawide 34.1" WQHD 1900R IPS 3440 x 1440p 4ms 120Hz
EdgeRouter-X • TOUGHSwitch TS-5-POE • Unifi AP AC LITE • Raspberry Pi Unifi controller
-
- Of mikill frítími
- Póstar: 1722
- Skráði sig: Fös 16. Mar 2007 21:31
- Staða: Ótengdur
Re: https dauðinn fyrir vefsíður litla mannsins?
Hahaha þvílíkt vandamál....
Geta bara drullast til að koma þessu í lag. Leti, vankunnátta eða græðgi. Pick one.
Geta bara drullast til að koma þessu í lag. Leti, vankunnátta eða græðgi. Pick one.
Re: https dauðinn fyrir vefsíður litla mannsins?
Þröskuldar eru þetta myndi ég segja, og "why bother" þegar allir nota facebook hvortsem er?
Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.
Ég fór í Ikea á laugardaginn um hálfsjö og það var lokað. Ég fór á ikea.is, sá ekkert um neina lokun, fór á facebook síðu þeirra og sá að það var lokað vegna árshátíðar. Afhverju voru þessar upplýsingar ekki á vefsíðu ikea.is?
Hefur kannski ekkert með https að gera, en er svolítið relevant, þegar við pælum í þróun og framtíð vefsins. Þegar https er til trafala, þá er bara auðveldast að losa sig við þetta og nota bara facebook.
Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.
Ég fór í Ikea á laugardaginn um hálfsjö og það var lokað. Ég fór á ikea.is, sá ekkert um neina lokun, fór á facebook síðu þeirra og sá að það var lokað vegna árshátíðar. Afhverju voru þessar upplýsingar ekki á vefsíðu ikea.is?
Hefur kannski ekkert með https að gera, en er svolítið relevant, þegar við pælum í þróun og framtíð vefsins. Þegar https er til trafala, þá er bara auðveldast að losa sig við þetta og nota bara facebook.
*-*
-
- Stjórnandi
- Póstar: 1197
- Skráði sig: Fim 29. Ágú 2002 03:55
- Staðsetning: Reykjavík
- Hafðu samband:
- Staða: Ótengdur
Re: https dauðinn fyrir vefsíður litla mannsins?
Þetta er akkurat málið, það fyrsta sem ég vil sjá þegar ég fer á heimasíðu verslunar er opnunartími, símanúmer og að lokum staðsetning í þessari röð og það er alveg magnað hversu margir klikka á þessu. Ef ég þarf að stækka valmynd og fara á undirsíðu í kjölfarið (s.s. 2 clicks) til að finna opnunartíma þá eru menn að gera eitthvað mikið rangt.appel skrifaði:Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.
-
- Kóngur
- Póstar: 6079
- Skráði sig: Sun 11. Mar 2007 14:00
- Staðsetning: fyrir aftan þig
- Staða: Ótengdur
Re: https dauðinn fyrir vefsíður litla mannsins?
Ég er einmitt að reka mig mikið í þetta, að það eru meiri upplýsingar á facebook síðu fyrirtækis heldur en á vefsíðunni.appel skrifaði:Þröskuldar eru þetta myndi ég segja, og "why bother" þegar allir nota facebook hvortsem er?
Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.
Ég fór í Ikea á laugardaginn um hálfsjö og það var lokað. Ég fór á ikea.is, sá ekkert um neina lokun, fór á facebook síðu þeirra og sá að það var lokað vegna árshátíðar. Afhverju voru þessar upplýsingar ekki á vefsíðu ikea.is?
Hefur kannski ekkert með https að gera, en er svolítið relevant, þegar við pælum í þróun og framtíð vefsins. Þegar https er til trafala, þá er bara auðveldast að losa sig við þetta og nota bara facebook.
En svo eru mörg fyrirtæki sem eru hætt að nenna að vera með síðu og eru bara með redirect á facebook.
CPU: Intel Core i7 6700K MB: Asrock Z170 Extreme4 GPU: Asus GTX 980 Strix RAM: Corsair Vengeance LPX 2x8gb 3200Mhz CPU Cooler: Noctua NH-D14 Sound: Asus Xonar STX - HD380PRO - Yamaha HS7 CASE: Bitfenix Shinobi XL
-
- Tölvutryllir
- Póstar: 632
- Skráði sig: Mán 02. Maí 2011 01:28
- Staðsetning: Terran Empire
- Staða: Ótengdur
Re: https dauðinn fyrir vefsíður litla mannsins?
kiddi skrifaði:appel skrifaði:
Þetta er akkurat málið, það fyrsta sem ég vil sjá þegar ég fer á heimasíðu verslunar er opnunartími, símanúmer og að lokum staðsetning í þessari röð og það er alveg magnað hversu margir klikka á þessu. Ef ég þarf að stækka valmynd og fara á undirsíðu í kjölfarið (s.s. 2 clicks) til að finna opnunartíma þá eru menn að gera eitthvað mikið rangt.
Hata það þegar ég fer á síður fyrirtækja og það vantar símanúmer á forsíðuna eða þegar forsíðan er fáranlega löng að maður er nánast í korter að skrolla neðst niður þar sem símanúmerið er.
Annars með https, í mörgun tilvikum er það óþarfi þó manni sé meina ílla að sjá það ekki virkt. Eins og þessu tilfelli sem er í OP, í raun engin þörf á því. En rétt er það að þarna er hýsingaraðilinn með í buxunum.
Sem er í þessu tilfelli einhver netfrændi ef þú skoðar nslookup á þessu
Re: https dauðinn fyrir vefsíður litla mannsins?
Það hefur gleymst að setja upp endurnýjunar cronjob fyrir Let's Encrypt.
Hýsingarþjónusta sem ég nota setur sjálvirkt upp LE fyrir alla vefi sem eru settir upp hjá þeim.
Hýsingarþjónusta sem ég nota setur sjálvirkt upp LE fyrir alla vefi sem eru settir upp hjá þeim.
Re: https dauðinn fyrir vefsíður litla mannsins?
Það á svo sem að vera til þess að gera lítið mál að græja þetta í dag þannig að þetta sé í lagi. Hýsingar, vefumsjónar aðiliar ættu að redda því ef tæknikunnáttan er ekki til staðar.
Persónulega kann ég betur við það þegar fyrirtæki eru með sína eigin þokkalegu heimasíður (uppfærðar) en ekki bara einhverjar facebook síður. Finnst það bara mikið meira pro einhvernvegin og meira traustvekjandi, það er að segja ef siðan er faglega unnin. En það er kannski skiljanlegt fyrir lítil fyrirtæki að henda bara upp facebook síðu þar sem það er svo einfallt og ódýrt. En ég held það það séu mistök upp á branding/engagement möguleika. Þessar facebook síður verða auðvitað allar keimlíkar og boring. Ef allir fara bara að nota facebook finnst mér hræðileg tilhugsun.
Svo finnst mér alveg sérstakelga prirrandi þegar fyrirtæki.is redirectar á facebook/fyrirtæki eða eitthvað. En þetta er bara ég og mín skoðun.
Persónulega kann ég betur við það þegar fyrirtæki eru með sína eigin þokkalegu heimasíður (uppfærðar) en ekki bara einhverjar facebook síður. Finnst það bara mikið meira pro einhvernvegin og meira traustvekjandi, það er að segja ef siðan er faglega unnin. En það er kannski skiljanlegt fyrir lítil fyrirtæki að henda bara upp facebook síðu þar sem það er svo einfallt og ódýrt. En ég held það það séu mistök upp á branding/engagement möguleika. Þessar facebook síður verða auðvitað allar keimlíkar og boring. Ef allir fara bara að nota facebook finnst mér hræðileg tilhugsun.
Svo finnst mér alveg sérstakelga prirrandi þegar fyrirtæki.is redirectar á facebook/fyrirtæki eða eitthvað. En þetta er bara ég og mín skoðun.
-
- Fiktari
- Póstar: 54
- Skráði sig: Mán 12. Jan 2015 18:15
- Staða: Ótengdur
Re: https dauðinn fyrir vefsíður litla mannsins?
Ein ástæða þess að síður með innihaldi sem varla krefjast þess að vera dulkóðaðar, t.d. eins og svona síða sem er bara með matseðla en ekki greiðsluferli eða innskráningu eða eitthvað slíkt, er leitarvélabestun.
Google hefur gefið meira vægi á síður sem eru secure vs þær sem eru það ekki.
Veit ekki hvernig þetta vefsvæði er sett upp, en það virðist í hýsingu hjá digitalocean. Ef viðkomandi hafði færni á að setja upp letsEncrypt sjálfur, þá eru það hans mistök að hafa ekki sett það í sjálfvirka endurnýjun. Ef þetta er skilríki sem hýsingin býður uppá þá er þetta klikk hjá þeim.
Í dag á https ekki að vera það stór tæknilegur þröskuldur að lítil fyrirtæki noti sér það ekki.
Google hefur gefið meira vægi á síður sem eru secure vs þær sem eru það ekki.
Veit ekki hvernig þetta vefsvæði er sett upp, en það virðist í hýsingu hjá digitalocean. Ef viðkomandi hafði færni á að setja upp letsEncrypt sjálfur, þá eru það hans mistök að hafa ekki sett það í sjálfvirka endurnýjun. Ef þetta er skilríki sem hýsingin býður uppá þá er þetta klikk hjá þeim.
Í dag á https ekki að vera það stór tæknilegur þröskuldur að lítil fyrirtæki noti sér það ekki.
-
- Internetsérfræðingur
- Póstar: 6350
- Skráði sig: Mán 04. Apr 2005 11:01
- Staðsetning: https://viktor.ms
- Hafðu samband:
- Staða: Ótengdur
Re: https dauðinn fyrir vefsíður litla mannsins?
http://blog.catchpoint.com/2017/04/26/w ... e-attacks/It’s easy for an Internet Service Provider or a network administrator to run a packet sniffer (Wireshark, Fiddler, HTTP Analyzer) on the Network and capture the traffic moving between the client and the server.
...
HTTPS is vital in preventing Man in the middle attacks as it makes it difficult for an attacker to obtain a valid certificate for a domain that is not controlled by him, thus preventing eavesdropping.
Https á að vera á öllum síðum, sama hvað er á þeim.
Thinkpad P1 • i7-10875H • NVIDIA Quadro T1000 • Samsung 32GB 3200Mhz • Toshiba 1TB SSD
G Pro Wireless • WASD V2 Ch.MX brown • Arctics Pro Wireless
Alienware Ultrawide 34.1" WQHD 1900R IPS 3440 x 1440p 4ms 120Hz
EdgeRouter-X • TOUGHSwitch TS-5-POE • Unifi AP AC LITE • Raspberry Pi Unifi controller
G Pro Wireless • WASD V2 Ch.MX brown • Arctics Pro Wireless
Alienware Ultrawide 34.1" WQHD 1900R IPS 3440 x 1440p 4ms 120Hz
EdgeRouter-X • TOUGHSwitch TS-5-POE • Unifi AP AC LITE • Raspberry Pi Unifi controller
Re: https dauðinn fyrir vefsíður litla mannsins?
Það eru engin lítil fyrirtæki að hýsa sinn eigin vef. Þetta ætti að vera í höndum hýsingaraðila að sjá um þetta, mjög auðvelt að setja upp Lets encrypt með cron eða certbot sem sér um sjálfkrafa endurnýjun á skírteininu.
Hýsingaraðili getur líka keypt áskrift/bulk af skírteinum sem hægt er að uppfæras sjálfkrafa á vélum.
Flestir browserar eru farnir að soft blocka síður sem eru ekki https, þetta eru bara örfáir sem eru að trassa þetta.
Virðist sem wokon.is séu með nginx uppsetningu sem er ekki alveg rétt
Hýsingaraðili getur líka keypt áskrift/bulk af skírteinum sem hægt er að uppfæras sjálfkrafa á vélum.
Flestir browserar eru farnir að soft blocka síður sem eru ekki https, þetta eru bara örfáir sem eru að trassa þetta.
Virðist sem wokon.is séu með nginx uppsetningu sem er ekki alveg rétt
Asrock Gaming K4 - Ryzen 1600 @ 3.7ghz - 16GB Ripjaws 3200mhz - GTX 1070 8gb
Re: https dauðinn fyrir vefsíður litla mannsins?
Það er því miður oft á tíðum hægara sagt en gert að fara yfir í https. Vefurinn sem ég hef umsjón með (http://www.map.is) þjónustar tugi viðskiptavina um allt land og oft er verið að birta efni frá vefþjónum þeirra inni á vefnum okkar og/eða efni frá opinberum aðilum. Dæmi um þetta eru t.d. vefmyndavélar. Mikið af þeim eru bara einhver iptala úti í mörkinni og vélin sjálf jafnvel eigin vefþjónn og stórmál fyrir t.d. Vegagerðina að fara að uppfæra / breyta configgi fyrir tugi myndavéla um allt land, jafnvel að skipta þeim út. Önnur leið væri að við myndum hjúpa öll utan að komandi gögn með proxy til að gera plat https. Bara of mikil vinna fyrir lítinn ávinning auk þess sem endalaus vandmál myndu koma upp. Þ.a ef þið sjáið viðvörun á map.is þá er það bara svoleiðis. Hins vegar eru þær síður og gögn sem eru viðkvæm sótt með https. Við tókum einfaldlega stjórnvaldslega ákvörðun um að forca ekki https að svo stöddu. Það er auðvitað hægt að hafa https í slóðinni ef maður vill. Bara ekki treysta á að allt virki 100%.
Re: https dauðinn fyrir vefsíður litla mannsins?
HTTS skírteini eru á hvert lén fyrir sig þ.a. hýsingaraðili getur ekki keypt öryggisskírteini sem virkar á öll lén á hýsingarvélinni/cloudinu. Þ.a. ef þú ert með lénið mittfyrirtakaeki.is getur þú keypt skírteini fyrir það eða borgað aðeins meira fyrir wildcard skírteini sem virkar á öll subdomain undir léninu þínu (*.mittfyrirtaeki.is). Svo verður hver og einn að setja þetta upp hjá sér eða að biðja hýsingaraðilan um að setja þetta upp. ...og endurnýja árlega uþb. 25 þúsund kr.Baldurmar skrifaði:Það eru engin lítil fyrirtæki að hýsa sinn eigin vef. Þetta ætti að vera í höndum hýsingaraðila að sjá um þetta, mjög auðvelt að setja upp Lets encrypt með cron eða certbot sem sér um sjálfkrafa endurnýjun á skírteininu.
Hýsingaraðili getur líka keypt áskrift/bulk af skírteinum sem hægt er að uppfæras sjálfkrafa á vélum.
Flestir browserar eru farnir að soft blocka síður sem eru ekki https, þetta eru bara örfáir sem eru að trassa þetta.
Virðist sem wokon.is séu með nginx uppsetningu sem er ekki alveg rétt
-
- Tölvutryllir
- Póstar: 632
- Skráði sig: Mán 02. Maí 2011 01:28
- Staðsetning: Terran Empire
- Staða: Ótengdur
Re: https dauðinn fyrir vefsíður litla mannsins?
Það er ekki alveg rétt hjá þér Hauxon. Það er lítið mál að kaupa skirteini sem inniheldur mörg lén og undirlén.
Ef við skoðum letencrypt þá fyllir þú bara út lista með lénum, ef þú bætir við þá sækir þú bara um aftur og skirteinið endurnýjast nánast sjálfkrafa. Þetta kostar ekki krónu og virkar fínt á linux vélum. Aðeins meiri handavinna við endurnýjun á Windows, var það allavega þegar ég gerði þetta.
Leiðini við letencrypt að það er gefið út fyrir 3 mánuði í senn, en ef certbot er rétt configgaður ættir þú ekki að vera var við neitt.
Aftur á móti ef ég væri að reka fyrirtæki sem vill taka sig alvarlega á þessu sviði og væri með skirteini frá letsencrypt þá gæfi ég ekki mikið fyrir það fyrirtæki
Ef við skoðum letencrypt þá fyllir þú bara út lista með lénum, ef þú bætir við þá sækir þú bara um aftur og skirteinið endurnýjast nánast sjálfkrafa. Þetta kostar ekki krónu og virkar fínt á linux vélum. Aðeins meiri handavinna við endurnýjun á Windows, var það allavega þegar ég gerði þetta.
Leiðini við letencrypt að það er gefið út fyrir 3 mánuði í senn, en ef certbot er rétt configgaður ættir þú ekki að vera var við neitt.
Aftur á móti ef ég væri að reka fyrirtæki sem vill taka sig alvarlega á þessu sviði og væri með skirteini frá letsencrypt þá gæfi ég ekki mikið fyrir það fyrirtæki
Re: https dauðinn fyrir vefsíður litla mannsins?
Let's encrypt byrjuðu að bjóða uppá ókeypis certs árið 2016 og wildcard certs í fyrra. Margir minni aðilar eiga ekki efni á að fylgja þessum breytingum.russi skrifaði:Það er ekki alveg rétt hjá þér Hauxon. Það er lítið mál að kaupa skirteini sem inniheldur mörg lén og undirlén.
Ef við skoðum letencrypt þá fyllir þú bara út lista með lénum, ef þú bætir við þá sækir þú bara um aftur og skirteinið endurnýjast nánast sjálfkrafa. Þetta kostar ekki krónu og virkar fínt á linux vélum. Aðeins meiri handavinna við endurnýjun á Windows, var það allavega þegar ég gerði þetta.
Leiðini við letencrypt að það er gefið út fyrir 3 mánuði í senn, en ef certbot er rétt configgaður ættir þú ekki að vera var við neitt.
Aftur á móti ef ég væri að reka fyrirtæki sem vill taka sig alvarlega á þessu sviði og væri með skirteini frá letsencrypt þá gæfi ég ekki mikið fyrir það fyrirtæki
-
- Tölvutryllir
- Póstar: 623
- Skráði sig: Fös 10. Jan 2003 09:59
- Staðsetning: 107
- Hafðu samband:
- Staða: Ótengdur
Re: https dauðinn fyrir vefsíður litla mannsins?
Það er vel á undan https-herferðinni að fyrirtæki voru að færa sig yfir á facebook... sér í lagi minni fyrirtæki.appel skrifaði: Þannig að maður hefur séð þessa smærri aðila bara yfirgefa þessa síður og færa sig alfarið á facebook.
Gott eða slæmt er debatable.
Eins og sumir hafa bent á, þá eru minni aðilar heldur almennt ekki að hýsa vefinn sinn sjálfir.
Og það er "einfalt" upp að vissu marki fyrir hýsingaraðilann að bjóða upp á Lets encrypt og sjá bara um þetta. Þetta er farið að verða hluti af sumum umsjónarkerfunum hvort eð er.
Og hvort að það sé eitt skilríki með mörgum domainum (preferred út af rate-limiting á móti lets encrypt) eða 1 per lén, þá er hvorutveggja hægt, bara spurning um tæknilega útfærslu.
Það sem skiptir máli er að þetta sé 100% automatic.
Annarsvegar er það alveg rétt að það er oft ekki sjálfgefið að breyta vef úr http í https. Langt í frá að vera einföld aðgerð og margt sem getur brotnað.Hauxon skrifaði: Það er því miður oft á tíðum hægara sagt en gert að fara yfir í https. [...]
Dæmi um þetta eru t.d. vefmyndavélar. Mikið af þeim eru bara einhver iptala úti í mörkinni og vélin sjálf jafnvel eigin vefþjónn og stórmál fyrir t.d. Vegagerðina að fara að uppfæra / breyta configgi fyrir tugi myndavéla um allt land, jafnvel að skipta þeim út. Önnur leið væri að við myndum hjúpa öll utan að komandi gögn með proxy til að gera plat https. Bara of mikil vinna fyrir lítinn ávinning auk þess sem endalaus vandmál myndu koma upp.
Jafnvel á "einföldum" wordpress vefum.
En það er augljóst í hvað stefnir, þannig að þetta er spurning hvort þú viljir byrja vegferðina núna eða seinna.
(Svo gæti alveg verið benefit í að hafa ekki map.is/admin í cleartext in-transit. )
En dæmið sem þú tekur er ekki það besta að mér finnst.
Til að byrja með þá virðist Vegagerðin vera að gera akkurat þetta í einhverjum tilfellum, að taka myndir frá vefmyndavélunum og endurbirta eða með öðru móti að hjúpa umferðina.
Hinsvegar er það einmitt með myndavélar og önnur IoT tæki sem eru sjaldan eða ekki uppfærð (jafnvel ekki hægt), að þú vilt einmitt aldrei gefa beinan aðgang að þessu hvort eð er.
Þannig að það að "hjúpa" umferðina er oft það rétta í stöðunni gagnvart svona tækjum.
Mkay.