HTTPS-only pro web a fórum?
Ahoj,
jen dotaz, plánuje se úprava nastavení web serveru zbranekvalitne.cz, aby vždy vracel HTTPS variantu webovky?
Díval jsem se a HTTPS již funguje, nastavení cipher suites je OK, jde tedy jen o to pro HTTP requesty vrace 301 redirekt, a v budoucnu přidat i HSTS header, aby všechny pokusy o HTTP navigaci browser automaticky přepnul na HTTPS. Nevím, zda http varianta funguje z nějakých historických důvodů, nebo nebyl čas to nastavit?
Díky
jen dotaz, plánuje se úprava nastavení web serveru zbranekvalitne.cz, aby vždy vracel HTTPS variantu webovky?
Díval jsem se a HTTPS již funguje, nastavení cipher suites je OK, jde tedy jen o to pro HTTP requesty vrace 301 redirekt, a v budoucnu přidat i HSTS header, aby všechny pokusy o HTTP navigaci browser automaticky přepnul na HTTPS. Nevím, zda http varianta funguje z nějakých historických důvodů, nebo nebyl čas to nastavit?
Díky
-
kubass_hk9 - Příspěvky: 458
taky bych to uvítal... přeci jenom napsat do prohlížeče "z" je podstatně rychlejší, než "https://z"
HTTPS dává smysl všude, jen namátkové pár důvodů:
- S HTTPS nemůže váš poskytovatel Internetu/škola/zamětsnavatel/rodiče/přítelkyně koukat, na jaké stránky chodíte pomocí Man-In-The-Middle, který lze provést opravdu snadno.
- nelze odposlouchávat vaše přihlašovací údaje. Opravdu MNOHO lidí má stejný login třeba zde a na gmail.com
- S HTTPS nelze do stránky injectovat reklamy, malware, sledovací skripty nebo dnes populární skripty na těžbu kryptoměn.
- certifikát pro doménu lze nyní získat již zdarma a velká řada poskytovatelů webhostingu nabízí HTTPS zapnutí doslova na jedno tlačítko v administraci. Nastavení HTTPS-only je potom stejně snadné.
- weby s přihlašováním bez HTTPS již nyní zobrazují v Chrome ošklivé varování, že přenášená data nejsou soukromá a lze je odposouchávat. Opravdu to nevypadá hezky pro návštěvníky. Firefox pokud vím chystá to samé.
Pár odkazů pro inspiraci:
https://developers.google.com/web/funda ... /why-https
https://www.michalspacek.cz/prednasky/https-ctvrtkon
- S HTTPS nemůže váš poskytovatel Internetu/škola/zamětsnavatel/rodiče/přítelkyně koukat, na jaké stránky chodíte pomocí Man-In-The-Middle, který lze provést opravdu snadno.
- nelze odposlouchávat vaše přihlašovací údaje. Opravdu MNOHO lidí má stejný login třeba zde a na gmail.com
- S HTTPS nelze do stránky injectovat reklamy, malware, sledovací skripty nebo dnes populární skripty na těžbu kryptoměn.
- certifikát pro doménu lze nyní získat již zdarma a velká řada poskytovatelů webhostingu nabízí HTTPS zapnutí doslova na jedno tlačítko v administraci. Nastavení HTTPS-only je potom stejně snadné.
- weby s přihlašováním bez HTTPS již nyní zobrazují v Chrome ošklivé varování, že přenášená data nejsou soukromá a lze je odposouchávat. Opravdu to nevypadá hezky pro návštěvníky. Firefox pokud vím chystá to samé.
Pár odkazů pro inspiraci:
https://developers.google.com/web/funda ... /why-https
https://www.michalspacek.cz/prednasky/https-ctvrtkon
Ahoj, ano certifikát jsem nainstaloval před několika měsíci a spustil https, ale ještě jsem to nepřepnul tak, aby to bylo vynucené. Bohužel jsem narazil na nějaké problémy, které ohromně zpomalovaly načítání stránky přes https (tehdy se mi to nepodařilo vyřešit, musím na to kouknout znovu, jestli už to jde lépe či ne). Zřejmě ale nejdřív provedu přechod na novější phpbb, abych mohl konečně využít novější a rychlejší php verzi.
Jinak samozřejmě souhlas, https je vhodné využívat pokud možno všude na Internetu. Pro běžného uživatele mohu klidně doporučit addon HTTPS Everywhere - v podstatě o něm nevíte (jen jednou jsem zaznamenal větší problém).
Jinak samozřejmě souhlas, https je vhodné využívat pokud možno všude na Internetu. Pro běžného uživatele mohu klidně doporučit addon HTTPS Everywhere - v podstatě o něm nevíte (jen jednou jsem zaznamenal větší problém).
Chrome + Smart HTTPS mi funguje.
A tohle není komerční web, takže jestli je volba HTTPS only s rizikem zakousnutí a nedostupnosti, nebo současný stav, volím současný stav.
Obvykle taky stačí dát si do záložek odkaz s https:// a automatické doplňování adresy tomu dá přednost.
A tohle není komerční web, takže jestli je volba HTTPS only s rizikem zakousnutí a nedostupnosti, nebo současný stav, volím současný stav.
Obvykle taky stačí dát si do záložek odkaz s https:// a automatické doplňování adresy tomu dá přednost.
kolombo píše:Obávám se, že právě na tomto webu to nefunguje
A navíc si myslím, že by to měla být funkce webu a nikoliv doplňku prohlížeče ...
Pokud sis to nedal do whitelistu, tak to fungovat musí. Používám Firefox a na jednom PC mám HTTPS Everywhere a na druhém Smart HTTPS a obojí funguje bez problému.
Můžeš chtít aby to byla funkce webu, nebo si k větší bezpečnosti pomoci sám. ¯\_(ツ)_/¯
Kdo je online
Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti