в инструкциях для начинающих стоит заменить http ссылки на https там, где возможно (в частности, foobar2000.org)

Страницы:  1

Ответить
Автор
Сообщение

StallmanWasRight

Стаж: 4 года 5 месяцев

Сообщений: 1548

StallmanWasRight · 30-Апр-18 21:50 (5 месяцев 20 дней назад, ред. 30-Апр-18 21:51)

[Цитировать] 

Загрузка софта — это дело тонкое. MitM может подсунуть всякое нехорошее, и это будет приводить к большим и трудноуловимым проблемам у пользователей, не проверяющих цифровую подпись, etc., поэтому лучше снизить шанс того, что пользователи будут качать по голому HTTP, когда уже есть возможность использовать HTTPS.
Поэтому лучше, если в мануалах будут сразу стоять ссылки с схемой https.
Пример инструкции: http://rutracker.org/forum/viewtopic.php?t=257303 ("Чем можно слушать музыку в lossless-форматах (APE, FLAC, WV)?") — в данной теме есть несколько ссылок на foobar2000.org через http://
foobar2000.org, однако, давно имеет полную поддержку HTTPS.
Поэтому предлагаю обновить ссылки, чтобы начинались с https:// вместо http:// везде, где это поддерживается, и в частности все ссылки на foobar2000.org.
[Профиль]  [ЛС] 

g.y.m.

Admin gray

Стаж: 10 лет

Сообщений: 11971

g.y.m. · 06-Май-18 22:21 (спустя 6 дней, ред. 06-Май-18 22:21)

[Цитировать] 

StallmanWasRight
А чем это мешает переходу по ссылке? Конечно можно это сделать, и если инструкции будут обновляться это будет сделано. Но выискивать и менять смысла ровно нет. Вот скрины обновить во многих темах было бы актуальнее...
[Профиль]  [ЛС] 

StallmanWasRight

Стаж: 4 года 5 месяцев

Сообщений: 1548

StallmanWasRight · 07-Май-18 09:06 (спустя 10 часов)

[Цитировать] 

g.y.m. писал(а):
75308950А чем это мешает переходу по ссылке?
переходу не мешает, это исключительно вопрос безопасности.
переход по ссылке http://… несёт риск попасть не туда (получить не тот контент, что задуман автором).
при переходе же сразу по ссылке начинающейся с https, атака "человек посередине" (MitM) становится на порядки сложнее.
и когда эти ссылки используются для установки софта, в первом случае (http://…) человек может установить себе всё, что угодно.
(причём, для foobar2000 это усугубляется тем, что цифровая подпись для .exe файлов, насколько помню, автором больше не используется, в связи с какими-то выкрутасами Microsoft, поэтому https — единственный способ исключить скачивание+запуск поддельного инсталлятора)
g.y.m. писал(а):
75308950Но выискивать и менять смысла ровно нет
автоматический поиск+замена сделал бы это крайне легко. (можно прогнать несколько популярных доменов, про которые известно, что на них есть полная поддержка https, в частности foobar2000.org)
и, кстати, если что, могу помочь с этим.
g.y.m. писал(а):
75308950Вот скрины обновить во многих темах было бы актуальнее
есть такое. но это другого рода проблема… неприятная, но не создаёт риск безопасности для пользователей.
[Профиль]  [ЛС] 
 
Ответить
Loading...
Error