Síða 1 af 1
https dauðinn fyrir vefsíður litla mannsins?
Sent: Þri 26. Mar 2019 20:01
af appel
Ég er reglulega byrjaður á að rekast á hinar og þessar vefsíður, reknar af smáum aðilum, litlum fyrirtækjum, sem eru allt í einu komnar með svona viðvörun um að vera óörugg, vegna þess að https certificate er útrunnið. Þetta veldur því að enginn fer lengur inn á þessar vefsíður.
Þetta eru vefsíður sem eru ekki með neinum viðkvæðum upplýsingum né eru merkilegt. T.d. vefsíður matsölustaða, maður vill fletta upp matseðlinum, t.d.:
https://wokon.is/
En það eru ótal margar vefsíður sem eru orðnar svona.
Sennilega er þetta vegna þeirrar herferðar sem vefrápar eru í, að tilkynna vefsíður sem óöruggar sem eru ekki með https, og svo loka þeim ef https certificate er útrunnið.
Sennilega búa þessir aðilar ekki yfir nægilegri kunnáttu og/eða fjármunum að standa í rekstri á https síðum. Þetta krefst einhverrar tæknilegrar aðstoðar. Og hví þeir nota ekki bara http skil ég ekki.
Þannig að maður hefur séð þessa smærri aðila bara yfirgefa þessa síður og færa sig alfarið á facebook.
Maður er smá hugsi yfir þessu og framtíð vefsins, ef allir þessir smærri aðilar sjá hag sínum best borgið bara að vera á facebook og ekki standa í flóknum domain og vefsíðurekstri.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Þri 26. Mar 2019 20:24
af Sallarólegur
Dauðinn fyrir óhæfa hýsingaraðila segi ég.
Https er common sense.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Þri 26. Mar 2019 23:08
af Moldvarpan
Hahaha þvílíkt vandamál....
Geta bara drullast til að koma þessu í lag. Leti, vankunnátta eða græðgi. Pick one.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Þri 26. Mar 2019 23:29
af appel
Þröskuldar eru þetta myndi ég segja, og "why bother" þegar allir nota facebook hvortsem er?
Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.
Ég fór í Ikea á laugardaginn um hálfsjö og það var lokað. Ég fór á ikea.is, sá ekkert um neina lokun, fór á facebook síðu þeirra og sá að það var lokað vegna árshátíðar. Afhverju voru þessar upplýsingar ekki á vefsíðu ikea.is?
Hefur kannski ekkert með https að gera, en er svolítið relevant, þegar við pælum í þróun og framtíð vefsins. Þegar https er til trafala, þá er bara auðveldast að losa sig við þetta og nota bara facebook.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 00:03
af kiddi
appel skrifaði:Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.
Þetta er akkurat málið, það fyrsta sem ég vil sjá þegar ég fer á heimasíðu verslunar er opnunartími, símanúmer og að lokum staðsetning í þessari röð og það er alveg magnað hversu margir klikka á þessu. Ef ég þarf að stækka valmynd og fara á undirsíðu í kjölfarið (s.s. 2 clicks) til að finna opnunartíma þá eru menn að gera eitthvað mikið rangt.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 00:05
af worghal
appel skrifaði:Þröskuldar eru þetta myndi ég segja, og "why bother" þegar allir nota facebook hvortsem er?
Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.
Ég fór í Ikea á laugardaginn um hálfsjö og það var lokað. Ég fór á ikea.is, sá ekkert um neina lokun, fór á facebook síðu þeirra og sá að það var lokað vegna árshátíðar. Afhverju voru þessar upplýsingar ekki á vefsíðu ikea.is?
Hefur kannski ekkert með https að gera, en er svolítið relevant, þegar við pælum í þróun og framtíð vefsins. Þegar https er til trafala, þá er bara auðveldast að losa sig við þetta og nota bara facebook.
Ég er einmitt að reka mig mikið í þetta, að það eru meiri upplýsingar á facebook síðu fyrirtækis heldur en á vefsíðunni.
En svo eru mörg fyrirtæki sem eru hætt að nenna að vera með síðu og eru bara með redirect á facebook.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 00:15
af russi
kiddi skrifaði:appel skrifaði:
Þetta er akkurat málið, það fyrsta sem ég vil sjá þegar ég fer á heimasíðu verslunar er opnunartími, símanúmer og að lokum staðsetning í þessari röð og það er alveg magnað hversu margir klikka á þessu. Ef ég þarf að stækka valmynd og fara á undirsíðu í kjölfarið (s.s. 2 clicks) til að finna opnunartíma þá eru menn að gera eitthvað mikið rangt.
Hata það þegar ég fer á síður fyrirtækja og það vantar símanúmer á forsíðuna eða þegar forsíðan er fáranlega löng að maður er nánast í korter að skrolla neðst niður þar sem símanúmerið er.
Annars með https, í mörgun tilvikum er það óþarfi þó manni sé meina ílla að sjá það ekki virkt. Eins og þessu tilfelli sem er í OP, í raun engin þörf á því. En rétt er það að þarna er hýsingaraðilinn með í buxunum.
Sem er í þessu tilfelli einhver netfrændi ef þú skoðar nslookup á þessu
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 02:12
af ElGorilla
Það hefur gleymst að setja upp endurnýjunar cronjob fyrir Let's Encrypt.
Hýsingarþjónusta sem ég nota setur sjálvirkt upp LE fyrir alla vefi sem eru settir upp hjá þeim.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 10:08
af codec
Það á svo sem að vera til þess að gera lítið mál að græja þetta í dag þannig að þetta sé í lagi. Hýsingar, vefumsjónar aðiliar ættu að redda því ef tæknikunnáttan er ekki til staðar.
Persónulega kann ég betur við það þegar fyrirtæki eru með sína eigin þokkalegu heimasíður (uppfærðar) en ekki bara einhverjar facebook síður. Finnst það bara mikið meira pro einhvernvegin og meira traustvekjandi, það er að segja ef siðan er faglega unnin. En það er kannski skiljanlegt fyrir lítil fyrirtæki að henda bara upp facebook síðu þar sem það er svo einfallt og ódýrt. En ég held það það séu mistök upp á branding/engagement möguleika. Þessar facebook síður verða auðvitað allar keimlíkar og boring. Ef allir fara bara að nota facebook finnst mér hræðileg tilhugsun.
Svo finnst mér alveg sérstakelga prirrandi þegar fyrirtæki.is redirectar á facebook/fyrirtæki eða eitthvað. En þetta er bara ég og mín skoðun.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 10:20
af steiniofur
Ein ástæða þess að síður með innihaldi sem varla krefjast þess að vera dulkóðaðar, t.d. eins og svona síða sem er bara með matseðla en ekki greiðsluferli eða innskráningu eða eitthvað slíkt, er leitarvélabestun.
Google hefur gefið meira vægi á síður sem eru secure vs þær sem eru það ekki.
Veit ekki hvernig þetta vefsvæði er sett upp, en það virðist í hýsingu hjá digitalocean. Ef viðkomandi hafði færni á að setja upp letsEncrypt sjálfur, þá eru það hans mistök að hafa ekki sett það í sjálfvirka endurnýjun. Ef þetta er skilríki sem hýsingin býður uppá þá er þetta klikk hjá þeim.
Í dag á https ekki að vera það stór tæknilegur þröskuldur að lítil fyrirtæki noti sér það ekki.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 10:24
af Sallarólegur
It’s easy for an Internet Service Provider or a network administrator to run a packet sniffer (Wireshark, Fiddler, HTTP Analyzer) on the Network and capture the traffic moving between the client and the server.
...
HTTPS is vital in preventing Man in the middle attacks as it makes it difficult for an attacker to obtain a valid certificate for a domain that is not controlled by him, thus preventing eavesdropping.
http://blog.catchpoint.com/2017/04/26/w ... e-attacks/
Https á að vera á öllum síðum, sama hvað er á þeim.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 10:34
af Baldurmar
Það eru engin lítil fyrirtæki að hýsa sinn eigin vef. Þetta ætti að vera í höndum hýsingaraðila að sjá um þetta, mjög auðvelt að setja upp Lets encrypt með cron eða certbot sem sér um sjálfkrafa endurnýjun á skírteininu.
Hýsingaraðili getur líka keypt áskrift/bulk af skírteinum sem hægt er að uppfæras sjálfkrafa á vélum.
Flestir browserar eru farnir að soft blocka síður sem eru ekki https, þetta eru bara örfáir sem eru að trassa þetta.
Virðist sem wokon.is séu með nginx uppsetningu sem er ekki alveg rétt
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 15:16
af Hauxon
Það er því miður oft á tíðum hægara sagt en gert að fara yfir í https. Vefurinn sem ég hef umsjón með (
http://www.map.is) þjónustar tugi viðskiptavina um allt land og oft er verið að birta efni frá vefþjónum þeirra inni á vefnum okkar og/eða efni frá opinberum aðilum. Dæmi um þetta eru t.d. vefmyndavélar. Mikið af þeim eru bara einhver iptala úti í mörkinni og vélin sjálf jafnvel eigin vefþjónn og stórmál fyrir t.d. Vegagerðina að fara að uppfæra / breyta configgi fyrir tugi myndavéla um allt land, jafnvel að skipta þeim út. Önnur leið væri að við myndum hjúpa öll utan að komandi gögn með proxy til að gera plat https. Bara of mikil vinna fyrir lítinn ávinning auk þess sem endalaus vandmál myndu koma upp. Þ.a ef þið sjáið viðvörun á map.is þá er það bara svoleiðis. Hins vegar eru þær síður og gögn sem eru viðkvæm sótt með https. Við tókum einfaldlega stjórnvaldslega ákvörðun um að forca ekki https að svo stöddu. Það er auðvitað hægt að hafa https í slóðinni ef maður vill. Bara ekki treysta á að allt virki 100%.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 15:25
af Hauxon
Baldurmar skrifaði:Það eru engin lítil fyrirtæki að hýsa sinn eigin vef. Þetta ætti að vera í höndum hýsingaraðila að sjá um þetta, mjög auðvelt að setja upp Lets encrypt með cron eða certbot sem sér um sjálfkrafa endurnýjun á skírteininu.
Hýsingaraðili getur líka keypt áskrift/bulk af skírteinum sem hægt er að uppfæras sjálfkrafa á vélum.
Flestir browserar eru farnir að soft blocka síður sem eru ekki https, þetta eru bara örfáir sem eru að trassa þetta.
Virðist sem wokon.is séu með nginx uppsetningu sem er ekki alveg rétt
HTTS skírteini eru á hvert lén fyrir sig þ.a. hýsingaraðili getur ekki keypt öryggisskírteini sem virkar á öll lén á hýsingarvélinni/cloudinu. Þ.a. ef þú ert með lénið mittfyrirtakaeki.is getur þú keypt skírteini fyrir það eða borgað aðeins meira fyrir wildcard skírteini sem virkar á öll subdomain undir léninu þínu (*.mittfyrirtaeki.is). Svo verður hver og einn að setja þetta upp hjá sér eða að biðja hýsingaraðilan um að setja þetta upp. ...og endurnýja árlega uþb. 25 þúsund kr.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 17:00
af russi
Það er ekki alveg rétt hjá þér Hauxon. Það er lítið mál að kaupa skirteini sem inniheldur mörg lén og undirlén.
Ef við skoðum letencrypt þá fyllir þú bara út lista með lénum, ef þú bætir við þá sækir þú bara um aftur og skirteinið endurnýjast nánast sjálfkrafa. Þetta kostar ekki krónu og virkar fínt á linux vélum. Aðeins meiri handavinna við endurnýjun á Windows, var það allavega þegar ég gerði þetta.
Leiðini við letencrypt að það er gefið út fyrir 3 mánuði í senn, en ef certbot er rétt configgaður ættir þú ekki að vera var við neitt.
Aftur á móti ef ég væri að reka fyrirtæki sem vill taka sig alvarlega á þessu sviði og væri með skirteini frá letsencrypt þá gæfi ég ekki mikið fyrir það fyrirtæki
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Mið 27. Mar 2019 18:55
af arons4
russi skrifaði:Það er ekki alveg rétt hjá þér Hauxon. Það er lítið mál að kaupa skirteini sem inniheldur mörg lén og undirlén.
Ef við skoðum letencrypt þá fyllir þú bara út lista með lénum, ef þú bætir við þá sækir þú bara um aftur og skirteinið endurnýjast nánast sjálfkrafa. Þetta kostar ekki krónu og virkar fínt á linux vélum. Aðeins meiri handavinna við endurnýjun á Windows, var það allavega þegar ég gerði þetta.
Leiðini við letencrypt að það er gefið út fyrir 3 mánuði í senn, en ef certbot er rétt configgaður ættir þú ekki að vera var við neitt.
Aftur á móti ef ég væri að reka fyrirtæki sem vill taka sig alvarlega á þessu sviði og væri með skirteini frá letsencrypt þá gæfi ég ekki mikið fyrir það fyrirtæki
Let's encrypt byrjuðu að bjóða uppá ókeypis certs árið 2016 og wildcard certs í fyrra. Margir minni aðilar eiga ekki efni á að fylgja þessum breytingum.
Re: https dauðinn fyrir vefsíður litla mannsins?
Sent: Fös 29. Mar 2019 05:21
af natti
appel skrifaði:
Þannig að maður hefur séð þessa smærri aðila bara yfirgefa þessa síður og færa sig alfarið á facebook.
Það er vel á undan https-herferðinni að fyrirtæki voru að færa sig yfir á facebook... sér í lagi minni fyrirtæki.
Gott eða slæmt er debatable.
Eins og sumir hafa bent á, þá eru minni aðilar heldur almennt ekki að hýsa vefinn sinn sjálfir.
Og það er "einfalt" upp að vissu marki fyrir hýsingaraðilann að bjóða upp á Lets encrypt og sjá bara um þetta. Þetta er farið að verða hluti af sumum umsjónarkerfunum hvort eð er.
Og hvort að það sé eitt skilríki með mörgum domainum (preferred út af rate-limiting á móti lets encrypt) eða 1 per lén, þá er hvorutveggja hægt, bara spurning um tæknilega útfærslu.
Það sem skiptir máli er að þetta sé 100% automatic.
Hauxon skrifaði:
Það er því miður oft á tíðum hægara sagt en gert að fara yfir í https. [...]
Dæmi um þetta eru t.d. vefmyndavélar. Mikið af þeim eru bara einhver iptala úti í mörkinni og vélin sjálf jafnvel eigin vefþjónn og stórmál fyrir t.d. Vegagerðina að fara að uppfæra / breyta configgi fyrir tugi myndavéla um allt land, jafnvel að skipta þeim út. Önnur leið væri að við myndum hjúpa öll utan að komandi gögn með proxy til að gera plat https. Bara of mikil vinna fyrir lítinn ávinning auk þess sem endalaus vandmál myndu koma upp.
Annarsvegar er það alveg rétt að það er oft ekki sjálfgefið að breyta vef úr http í https. Langt í frá að vera einföld aðgerð og margt sem getur brotnað.
Jafnvel á "einföldum" wordpress vefum.
En það er augljóst í hvað stefnir, þannig að þetta er spurning hvort þú viljir byrja vegferðina núna eða seinna.
(Svo gæti alveg verið benefit í að hafa ekki map.is/admin í cleartext in-transit. )
En dæmið sem þú tekur er ekki það besta að mér finnst.
Til að byrja með þá virðist Vegagerðin vera að gera akkurat þetta í einhverjum tilfellum, að taka myndir frá vefmyndavélunum og endurbirta eða með öðru móti að hjúpa umferðina.
Hinsvegar er það einmitt með myndavélar og önnur IoT tæki sem eru sjaldan eða ekki uppfærð (jafnvel ekki hægt), að þú vilt einmitt aldrei gefa beinan aðgang að þessu hvort eð er.
Þannig að það að "hjúpa" umferðina er oft það rétta í stöðunni gagnvart svona tækjum.