https dauðinn fyrir vefsíður litla mannsins?

Skjámynd

Höfundur
appel
Stjórnandi
Póstar: 5459
Skráði sig: Fös 13. Jún 2003 16:46
Reputation: 1007
Staða: Ótengdur

https dauðinn fyrir vefsíður litla mannsins?

Pósturaf appel » Þri 26. Mar 2019 20:01

Ég er reglulega byrjaður á að rekast á hinar og þessar vefsíður, reknar af smáum aðilum, litlum fyrirtækjum, sem eru allt í einu komnar með svona viðvörun um að vera óörugg, vegna þess að https certificate er útrunnið. Þetta veldur því að enginn fer lengur inn á þessar vefsíður.

Þetta eru vefsíður sem eru ekki með neinum viðkvæðum upplýsingum né eru merkilegt. T.d. vefsíður matsölustaða, maður vill fletta upp matseðlinum, t.d.: https://wokon.is/

En það eru ótal margar vefsíður sem eru orðnar svona.

Sennilega er þetta vegna þeirrar herferðar sem vefrápar eru í, að tilkynna vefsíður sem óöruggar sem eru ekki með https, og svo loka þeim ef https certificate er útrunnið.

Sennilega búa þessir aðilar ekki yfir nægilegri kunnáttu og/eða fjármunum að standa í rekstri á https síðum. Þetta krefst einhverrar tæknilegrar aðstoðar. Og hví þeir nota ekki bara http skil ég ekki.

Þannig að maður hefur séð þessa smærri aðila bara yfirgefa þessa síður og færa sig alfarið á facebook.

Maður er smá hugsi yfir þessu og framtíð vefsins, ef allir þessir smærri aðilar sjá hag sínum best borgið bara að vera á facebook og ekki standa í flóknum domain og vefsíðurekstri.


*-*

Skjámynd

Viktor
Internetsérfræðingur
Póstar: 6773
Skráði sig: Mán 04. Apr 2005 11:01
Reputation: 934
Staðsetning: https://notendur.hi.is/vjh2/
Hafðu samband:
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf Viktor » Þri 26. Mar 2019 20:24

Dauðinn fyrir óhæfa hýsingaraðila segi ég.

Https er common sense.


I wish I was cool enough to not care how much I care about pretending not to care about things


Macbook Pro 13" M2 16GB 512GB

Ryzen 3600X 2070S 16GB

Skjámynd

Moldvarpan
Vaktari
Póstar: 2235
Skráði sig: Fös 16. Mar 2007 21:31
Reputation: 370
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf Moldvarpan » Þri 26. Mar 2019 23:08

Hahaha þvílíkt vandamál....

Geta bara drullast til að koma þessu í lag. Leti, vankunnátta eða græðgi. Pick one.



Skjámynd

Höfundur
appel
Stjórnandi
Póstar: 5459
Skráði sig: Fös 13. Jún 2003 16:46
Reputation: 1007
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf appel » Þri 26. Mar 2019 23:29

Þröskuldar eru þetta myndi ég segja, og "why bother" þegar allir nota facebook hvortsem er?

Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.
Ég fór í Ikea á laugardaginn um hálfsjö og það var lokað. Ég fór á ikea.is, sá ekkert um neina lokun, fór á facebook síðu þeirra og sá að það var lokað vegna árshátíðar. Afhverju voru þessar upplýsingar ekki á vefsíðu ikea.is?

Hefur kannski ekkert með https að gera, en er svolítið relevant, þegar við pælum í þróun og framtíð vefsins. Þegar https er til trafala, þá er bara auðveldast að losa sig við þetta og nota bara facebook.


*-*

Skjámynd

kiddi
Stjórnandi
Póstar: 1198
Skráði sig: Fim 29. Ágú 2002 03:55
Reputation: 255
Staðsetning: Reykjavík
Hafðu samband:
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf kiddi » Mið 27. Mar 2019 00:03

appel skrifaði:Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.


Þetta er akkurat málið, það fyrsta sem ég vil sjá þegar ég fer á heimasíðu verslunar er opnunartími, símanúmer og að lokum staðsetning í þessari röð og það er alveg magnað hversu margir klikka á þessu. Ef ég þarf að stækka valmynd og fara á undirsíðu í kjölfarið (s.s. 2 clicks) til að finna opnunartíma þá eru menn að gera eitthvað mikið rangt.



Skjámynd

worghal
Kóngur
Póstar: 6278
Skráði sig: Sun 11. Mar 2007 14:00
Reputation: 434
Staðsetning: fyrir aftan þig
Staða: Tengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf worghal » Mið 27. Mar 2019 00:05

appel skrifaði:Þröskuldar eru þetta myndi ég segja, og "why bother" þegar allir nota facebook hvortsem er?

Ég er að sjá meiri "up to date" upplýsingar, t.d. um opnunartíma verslana og svona, á facebook.
Ég fór í Ikea á laugardaginn um hálfsjö og það var lokað. Ég fór á ikea.is, sá ekkert um neina lokun, fór á facebook síðu þeirra og sá að það var lokað vegna árshátíðar. Afhverju voru þessar upplýsingar ekki á vefsíðu ikea.is?

Hefur kannski ekkert með https að gera, en er svolítið relevant, þegar við pælum í þróun og framtíð vefsins. Þegar https er til trafala, þá er bara auðveldast að losa sig við þetta og nota bara facebook.

Ég er einmitt að reka mig mikið í þetta, að það eru meiri upplýsingar á facebook síðu fyrirtækis heldur en á vefsíðunni.
En svo eru mörg fyrirtæki sem eru hætt að nenna að vera með síðu og eru bara með redirect á facebook.


CPU: Intel Core i7 12700KF MB: Gigabyte Z690 Gaming X GPU: EVGA RTX 3080 FTW3 ULTRA 12Gb RAM: Corsair Vengeance RGB Pro 2x16Gb 3600Mhz CPU Cooler: Noctua NH-D14 Sound: Topping DX7s - HD380PRO - Yamaha HS7 CASE: Corsair 4000D Airflow

Skjámynd

russi
FanBoy
Póstar: 726
Skráði sig: Mán 02. Maí 2011 01:28
Reputation: 175
Staðsetning: Terran Empire
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf russi » Mið 27. Mar 2019 00:15

kiddi skrifaði:
appel skrifaði:
Þetta er akkurat málið, það fyrsta sem ég vil sjá þegar ég fer á heimasíðu verslunar er opnunartími, símanúmer og að lokum staðsetning í þessari röð og það er alveg magnað hversu margir klikka á þessu. Ef ég þarf að stækka valmynd og fara á undirsíðu í kjölfarið (s.s. 2 clicks) til að finna opnunartíma þá eru menn að gera eitthvað mikið rangt.



Hata það þegar ég fer á síður fyrirtækja og það vantar símanúmer á forsíðuna eða þegar forsíðan er fáranlega löng að maður er nánast í korter að skrolla neðst niður þar sem símanúmerið er.

Annars með https, í mörgun tilvikum er það óþarfi þó manni sé meina ílla að sjá það ekki virkt. Eins og þessu tilfelli sem er í OP, í raun engin þörf á því. En rétt er það að þarna er hýsingaraðilinn með í buxunum.

Sem er í þessu tilfelli einhver netfrændi ef þú skoðar nslookup á þessu



Skjámynd

ElGorilla
Nörd
Póstar: 134
Skráði sig: Mán 09. Des 2002 10:26
Reputation: 19
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf ElGorilla » Mið 27. Mar 2019 02:12

Það hefur gleymst að setja upp endurnýjunar cronjob fyrir Let's Encrypt.
Hýsingarþjónusta sem ég nota setur sjálvirkt upp LE fyrir alla vefi sem eru settir upp hjá þeim.




codec
Vélbúnaðarníðingur
Póstar: 338
Skráði sig: Fös 07. Ágú 2009 12:53
Reputation: 17
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf codec » Mið 27. Mar 2019 10:08

Það á svo sem að vera til þess að gera lítið mál að græja þetta í dag þannig að þetta sé í lagi. Hýsingar, vefumsjónar aðiliar ættu að redda því ef tæknikunnáttan er ekki til staðar.

Persónulega kann ég betur við það þegar fyrirtæki eru með sína eigin þokkalegu heimasíður (uppfærðar) en ekki bara einhverjar facebook síður. Finnst það bara mikið meira pro einhvernvegin og meira traustvekjandi, það er að segja ef siðan er faglega unnin. En það er kannski skiljanlegt fyrir lítil fyrirtæki að henda bara upp facebook síðu þar sem það er svo einfallt og ódýrt. En ég held það það séu mistök upp á branding/engagement möguleika. Þessar facebook síður verða auðvitað allar keimlíkar og boring. Ef allir fara bara að nota facebook finnst mér hræðileg tilhugsun.
Svo finnst mér alveg sérstakelga prirrandi þegar fyrirtæki.is redirectar á facebook/fyrirtæki eða eitthvað. En þetta er bara ég og mín skoðun.




steiniofur
Fiktari
Póstar: 67
Skráði sig: Mán 12. Jan 2015 18:15
Reputation: 23
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf steiniofur » Mið 27. Mar 2019 10:20

Ein ástæða þess að síður með innihaldi sem varla krefjast þess að vera dulkóðaðar, t.d. eins og svona síða sem er bara með matseðla en ekki greiðsluferli eða innskráningu eða eitthvað slíkt, er leitarvélabestun.

Google hefur gefið meira vægi á síður sem eru secure vs þær sem eru það ekki.

Veit ekki hvernig þetta vefsvæði er sett upp, en það virðist í hýsingu hjá digitalocean. Ef viðkomandi hafði færni á að setja upp letsEncrypt sjálfur, þá eru það hans mistök að hafa ekki sett það í sjálfvirka endurnýjun. Ef þetta er skilríki sem hýsingin býður uppá þá er þetta klikk hjá þeim.

Í dag á https ekki að vera það stór tæknilegur þröskuldur að lítil fyrirtæki noti sér það ekki.



Skjámynd

Viktor
Internetsérfræðingur
Póstar: 6773
Skráði sig: Mán 04. Apr 2005 11:01
Reputation: 934
Staðsetning: https://notendur.hi.is/vjh2/
Hafðu samband:
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf Viktor » Mið 27. Mar 2019 10:24

It’s easy for an Internet Service Provider or a network administrator to run a packet sniffer (Wireshark, Fiddler, HTTP Analyzer) on the Network and capture the traffic moving between the client and the server.
...
HTTPS is vital in preventing Man in the middle attacks as it makes it difficult for an attacker to obtain a valid certificate for a domain that is not controlled by him, thus preventing eavesdropping.


http://blog.catchpoint.com/2017/04/26/w ... e-attacks/

Https á að vera á öllum síðum, sama hvað er á þeim.


I wish I was cool enough to not care how much I care about pretending not to care about things


Macbook Pro 13" M2 16GB 512GB

Ryzen 3600X 2070S 16GB

Skjámynd

Baldurmar
FanBoy
Póstar: 780
Skráði sig: Þri 20. Jún 2006 12:07
Reputation: 134
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf Baldurmar » Mið 27. Mar 2019 10:34

Það eru engin lítil fyrirtæki að hýsa sinn eigin vef. Þetta ætti að vera í höndum hýsingaraðila að sjá um þetta, mjög auðvelt að setja upp Lets encrypt með cron eða certbot sem sér um sjálfkrafa endurnýjun á skírteininu.
Hýsingaraðili getur líka keypt áskrift/bulk af skírteinum sem hægt er að uppfæras sjálfkrafa á vélum.

Flestir browserar eru farnir að soft blocka síður sem eru ekki https, þetta eru bara örfáir sem eru að trassa þetta.

Virðist sem wokon.is séu með nginx uppsetningu sem er ekki alveg rétt


Gigabyte X570 - Ryzen 5900 @ 4.5ghz all core - 5ghz single core - 64gb TridentZ 3400mhz - GTX 1070 8gb

Skjámynd

Hauxon
spjallið.is
Póstar: 405
Skráði sig: Fös 10. Júl 2009 12:32
Reputation: 119
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf Hauxon » Mið 27. Mar 2019 15:16

Það er því miður oft á tíðum hægara sagt en gert að fara yfir í https. Vefurinn sem ég hef umsjón með (http://www.map.is) þjónustar tugi viðskiptavina um allt land og oft er verið að birta efni frá vefþjónum þeirra inni á vefnum okkar og/eða efni frá opinberum aðilum. Dæmi um þetta eru t.d. vefmyndavélar. Mikið af þeim eru bara einhver iptala úti í mörkinni og vélin sjálf jafnvel eigin vefþjónn og stórmál fyrir t.d. Vegagerðina að fara að uppfæra / breyta configgi fyrir tugi myndavéla um allt land, jafnvel að skipta þeim út. Önnur leið væri að við myndum hjúpa öll utan að komandi gögn með proxy til að gera plat https. Bara of mikil vinna fyrir lítinn ávinning auk þess sem endalaus vandmál myndu koma upp. Þ.a ef þið sjáið viðvörun á map.is þá er það bara svoleiðis. Hins vegar eru þær síður og gögn sem eru viðkvæm sótt með https. Við tókum einfaldlega stjórnvaldslega ákvörðun um að forca ekki https að svo stöddu. Það er auðvitað hægt að hafa https í slóðinni ef maður vill. Bara ekki treysta á að allt virki 100%. ;)



Skjámynd

Hauxon
spjallið.is
Póstar: 405
Skráði sig: Fös 10. Júl 2009 12:32
Reputation: 119
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf Hauxon » Mið 27. Mar 2019 15:25

Baldurmar skrifaði:Það eru engin lítil fyrirtæki að hýsa sinn eigin vef. Þetta ætti að vera í höndum hýsingaraðila að sjá um þetta, mjög auðvelt að setja upp Lets encrypt með cron eða certbot sem sér um sjálfkrafa endurnýjun á skírteininu.
Hýsingaraðili getur líka keypt áskrift/bulk af skírteinum sem hægt er að uppfæras sjálfkrafa á vélum.

Flestir browserar eru farnir að soft blocka síður sem eru ekki https, þetta eru bara örfáir sem eru að trassa þetta.

Virðist sem wokon.is séu með nginx uppsetningu sem er ekki alveg rétt


HTTS skírteini eru á hvert lén fyrir sig þ.a. hýsingaraðili getur ekki keypt öryggisskírteini sem virkar á öll lén á hýsingarvélinni/cloudinu. Þ.a. ef þú ert með lénið mittfyrirtakaeki.is getur þú keypt skírteini fyrir það eða borgað aðeins meira fyrir wildcard skírteini sem virkar á öll subdomain undir léninu þínu (*.mittfyrirtaeki.is). Svo verður hver og einn að setja þetta upp hjá sér eða að biðja hýsingaraðilan um að setja þetta upp. ...og endurnýja árlega uþb. 25 þúsund kr.



Skjámynd

russi
FanBoy
Póstar: 726
Skráði sig: Mán 02. Maí 2011 01:28
Reputation: 175
Staðsetning: Terran Empire
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf russi » Mið 27. Mar 2019 17:00

Það er ekki alveg rétt hjá þér Hauxon. Það er lítið mál að kaupa skirteini sem inniheldur mörg lén og undirlén.

Ef við skoðum letencrypt þá fyllir þú bara út lista með lénum, ef þú bætir við þá sækir þú bara um aftur og skirteinið endurnýjast nánast sjálfkrafa. Þetta kostar ekki krónu og virkar fínt á linux vélum. Aðeins meiri handavinna við endurnýjun á Windows, var það allavega þegar ég gerði þetta.

Leiðini við letencrypt að það er gefið út fyrir 3 mánuði í senn, en ef certbot er rétt configgaður ættir þú ekki að vera var við neitt.

Aftur á móti ef ég væri að reka fyrirtæki sem vill taka sig alvarlega á þessu sviði og væri með skirteini frá letsencrypt þá gæfi ég ekki mikið fyrir það fyrirtæki




arons4
vélbúnaðarpervert
Póstar: 938
Skráði sig: Mið 27. Apr 2011 20:40
Reputation: 126
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf arons4 » Mið 27. Mar 2019 18:55

russi skrifaði:Það er ekki alveg rétt hjá þér Hauxon. Það er lítið mál að kaupa skirteini sem inniheldur mörg lén og undirlén.

Ef við skoðum letencrypt þá fyllir þú bara út lista með lénum, ef þú bætir við þá sækir þú bara um aftur og skirteinið endurnýjast nánast sjálfkrafa. Þetta kostar ekki krónu og virkar fínt á linux vélum. Aðeins meiri handavinna við endurnýjun á Windows, var það allavega þegar ég gerði þetta.

Leiðini við letencrypt að það er gefið út fyrir 3 mánuði í senn, en ef certbot er rétt configgaður ættir þú ekki að vera var við neitt.

Aftur á móti ef ég væri að reka fyrirtæki sem vill taka sig alvarlega á þessu sviði og væri með skirteini frá letsencrypt þá gæfi ég ekki mikið fyrir það fyrirtæki

Let's encrypt byrjuðu að bjóða uppá ókeypis certs árið 2016 og wildcard certs í fyrra. Margir minni aðilar eiga ekki efni á að fylgja þessum breytingum.



Skjámynd

natti
Tölvutryllir
Póstar: 658
Skráði sig: Fös 10. Jan 2003 09:59
Reputation: 61
Staðsetning: 107
Hafðu samband:
Staða: Ótengdur

Re: https dauðinn fyrir vefsíður litla mannsins?

Pósturaf natti » Fös 29. Mar 2019 05:21

appel skrifaði:Þannig að maður hefur séð þessa smærri aðila bara yfirgefa þessa síður og færa sig alfarið á facebook.

Það er vel á undan https-herferðinni að fyrirtæki voru að færa sig yfir á facebook... sér í lagi minni fyrirtæki.
Gott eða slæmt er debatable.

Eins og sumir hafa bent á, þá eru minni aðilar heldur almennt ekki að hýsa vefinn sinn sjálfir.
Og það er "einfalt" upp að vissu marki fyrir hýsingaraðilann að bjóða upp á Lets encrypt og sjá bara um þetta. Þetta er farið að verða hluti af sumum umsjónarkerfunum hvort eð er.
Og hvort að það sé eitt skilríki með mörgum domainum (preferred út af rate-limiting á móti lets encrypt) eða 1 per lén, þá er hvorutveggja hægt, bara spurning um tæknilega útfærslu.
Það sem skiptir máli er að þetta sé 100% automatic.

Hauxon skrifaði:Það er því miður oft á tíðum hægara sagt en gert að fara yfir í https. [...]
Dæmi um þetta eru t.d. vefmyndavélar. Mikið af þeim eru bara einhver iptala úti í mörkinni og vélin sjálf jafnvel eigin vefþjónn og stórmál fyrir t.d. Vegagerðina að fara að uppfæra / breyta configgi fyrir tugi myndavéla um allt land, jafnvel að skipta þeim út. Önnur leið væri að við myndum hjúpa öll utan að komandi gögn með proxy til að gera plat https. Bara of mikil vinna fyrir lítinn ávinning auk þess sem endalaus vandmál myndu koma upp.


Annarsvegar er það alveg rétt að það er oft ekki sjálfgefið að breyta vef úr http í https. Langt í frá að vera einföld aðgerð og margt sem getur brotnað.
Jafnvel á "einföldum" wordpress vefum.
En það er augljóst í hvað stefnir, þannig að þetta er spurning hvort þú viljir byrja vegferðina núna eða seinna.
(Svo gæti alveg verið benefit í að hafa ekki map.is/admin í cleartext in-transit. )


En dæmið sem þú tekur er ekki það besta að mér finnst.
Til að byrja með þá virðist Vegagerðin vera að gera akkurat þetta í einhverjum tilfellum, að taka myndir frá vefmyndavélunum og endurbirta eða með öðru móti að hjúpa umferðina.
Hinsvegar er það einmitt með myndavélar og önnur IoT tæki sem eru sjaldan eða ekki uppfærð (jafnvel ekki hægt), að þú vilt einmitt aldrei gefa beinan aðgang að þessu hvort eð er.
Þannig að það að "hjúpa" umferðina er oft það rétta í stöðunni gagnvart svona tækjum.


Mkay.