HTTPS-only pro web a fórum?

Připomínky k hlavní části serveru


Necroman
Příspěvky: 10

Příspěvek#1 » pon 8. led 2018, 16:32

Ahoj,
jen dotaz, plánuje se úprava nastavení web serveru zbranekvalitne.cz, aby vždy vracel HTTPS variantu webovky?
Díval jsem se a HTTPS již funguje, nastavení cipher suites je OK, jde tedy jen o to pro HTTP requesty vrace 301 redirekt, a v budoucnu přidat i HSTS header, aby všechny pokusy o HTTP navigaci browser automaticky přepnul na HTTPS. Nevím, zda http varianta funguje z nějakých historických důvodů, nebo nebyl čas to nastavit?
Díky :)



kubass_hk9
Příspěvky: 282

Příspěvek#2 » pon 8. led 2018, 16:42

taky bych to uvítal... přeci jenom napsat do prohlížeče "z" je podstatně rychlejší, než "https://z" :)



Niaz
Příspěvky: 141

Příspěvek#3 » úte 9. led 2018, 10:45

Nainstalujte si do prohlížeče addon který vynutí https a máte pro problémech. Já ve Firefoxu používám Smart HTTPS.



JardaB
Příspěvky: 790

Příspěvek#4 » úte 9. led 2018, 10:50

muzu se zeptat, k cemu je to dobre? Chapu to u bankovních aplikaci ale u fora?



vgj
Příspěvky: 336

Příspěvek#5 » úte 9. led 2018, 10:56

JardaB: Třeba že se přihlašovací údaje a příspěvky nevyskytují po cestě v otevřeném formátu.



JardaB
Příspěvky: 790

Příspěvek#6 » úte 9. led 2018, 11:02

Jo to je mi jasne ale nejak me to netrápilo. Ale tak proc ne, když to server podporuje.



Necroman
Příspěvky: 10

Příspěvek#7 » úte 9. led 2018, 15:54

HTTPS dává smysl všude, jen namátkové pár důvodů:
- S HTTPS nemůže váš poskytovatel Internetu/škola/zamětsnavatel/rodiče/přítelkyně koukat, na jaké stránky chodíte pomocí Man-In-The-Middle, který lze provést opravdu snadno.
- nelze odposlouchávat vaše přihlašovací údaje. Opravdu MNOHO lidí má stejný login třeba zde a na gmail.com
- S HTTPS nelze do stránky injectovat reklamy, malware, sledovací skripty nebo dnes populární skripty na těžbu kryptoměn.
- certifikát pro doménu lze nyní získat již zdarma a velká řada poskytovatelů webhostingu nabízí HTTPS zapnutí doslova na jedno tlačítko v administraci. Nastavení HTTPS-only je potom stejně snadné.
- weby s přihlašováním bez HTTPS již nyní zobrazují v Chrome ošklivé varování, že přenášená data nejsou soukromá a lze je odposouchávat. Opravdu to nevypadá hezky pro návštěvníky. Firefox pokud vím chystá to samé.

Pár odkazů pro inspiraci:
https://developers.google.com/web/funda ... /why-https
https://www.michalspacek.cz/prednasky/https-ctvrtkon

Uživatelský avatar
MarK
moderátor
Příspěvky: 3277
Kontaktovat uživatele:

Příspěvek#8 » úte 9. led 2018, 18:48

Ahoj, ano certifikát jsem nainstaloval před několika měsíci a spustil https, ale ještě jsem to nepřepnul tak, aby to bylo vynucené. Bohužel jsem narazil na nějaké problémy, které ohromně zpomalovaly načítání stránky přes https (tehdy se mi to nepodařilo vyřešit, musím na to kouknout znovu, jestli už to jde lépe či ne). Zřejmě ale nejdřív provedu přechod na novější phpbb, abych mohl konečně využít novější a rychlejší php verzi.

Jinak samozřejmě souhlas, https je vhodné využívat pokud možno všude na Internetu. Pro běžného uživatele mohu klidně doporučit addon HTTPS Everywhere - v podstatě o něm nevíte (jen jednou jsem zaznamenal větší problém).

Zpět na

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host