Настойчиво предлагаю принудительный HTTPS (о безопасности)

Новости нашей системы, а также ваши комментарии, замечания и пожелания...
Ответить
drivecx
Эксперт
Эксперт
Сообщения: 290
Зарегистрирован: 07 май 2009, 03:59

Настойчиво предлагаю принудительный HTTPS (о безопасности)

Сообщение drivecx » 04 июл 2014, 20:22

Надеюсь, моё давнее предложение по этому поводу осталось без ответа, просто потому, что его не прочитали, или не достаточно хорошо поняли нужные для этого люди (т.к. предложение мною было опубликовано мимолётом в теме, не относящейся напрямую к развитию миксмаркета).
Ведь польза от этого будет неоспоримая (сейчас любой человек, по долгу службы имеющий доступ к магистральному оборудованию, находящемуся по пути следования трафика, может снифать ("подслушивать") трафик между браузером партнёра/сотрудника и админкой миксмаркета).
То что я предлагаю -- уже давно есть на многих (если не на большинстве) серьёзных сайтов, тем более работающих с деньгами. Даже на просто почте от гугла, например. Admitad - тоже в список примеров.

Может быть не все понимают, что такое "принудительный https".
По-простому говоря, это чтобы с адреса http://mixmarket.biz/ (поддомен ucl. не считаем) было автоматическое перенаправление на https://mixmarket.biz

Если предложение и в этот раз останется незамеченным или, того хуже, проигнорированным, я решил для себя, что поставлю на своём компьютере локальный прокси-сервер (доступный только по 127.0.0.1), и в настройках этого прокси создам правило для автоматической переадресации по описанной выше схеме.
Но ведь проще сделать подобное один раз и для всех, на сервере, чем если каждый, кому это не безразлично, будет заморачиваться с локальными "костылями".

Добавлено спустя 27 минут 23 секунды:
Ещё о безопасности.
Форум лучше вынести на отдельный сервер (физический либо виртуальный; второе дешевле, и вообще может крутиться на основном физическом).
И будет поддомен типа forum.mixmarket.biz.

mager
Сотрудник Миксмаркета
Сотрудник Миксмаркета
Сообщения: 3008
Зарегистрирован: 07 июл 2005, 16:10
Контактная информация:

Re: Настойчиво предлагаю принудительный HTTPS (о безопасност

Сообщение mager » 07 июл 2014, 14:49

Предложение разумное - реализуем. Отмечу также, что сейчас ничто не мешает партнеру работать в аккаунте по https, один раз набив его самостоятельно.
Партнерская сеть Миксмаркет

drivecx
Эксперт
Эксперт
Сообщения: 290
Зарегистрирован: 07 май 2009, 03:59

Re: Настойчиво предлагаю принудительный HTTPS (о безопасност

Сообщение drivecx » 07 июл 2014, 15:31

Это обнадёживает.
mager писал(а): Отмечу также, что сейчас ничто не мешает партнеру работать в аккаунте по https, один раз набив его самостоятельно.
В свою очередь отмечу, что, например, у меня в браузере "хром" не совсем так.
И либо нужно вбивать https при каждом вводе адреса в браузер.
Либо нужно предварительно очистить историю посещений (что само по себе создаёт некоторые неудобства на несколько дней вперёд) - тогда браузер запомнит https; но нужно будет ещё не забывать делать так на новых устройствах/браузерах, а также не забывать, что в случае потери истории посещений на текущем браузере, нужно будет заново ввести адрес именно с https.

Кроме того, партнёр не может заставить вручную вводить https всех рекламодателей и сотрудников миксмаркета; в то время как, в случае утечки данных на их стороне, может пострадать именно партнёр.

drivecx
Эксперт
Эксперт
Сообщения: 290
Зарегистрирован: 07 май 2009, 03:59

Re: Настойчиво предлагаю принудительный HTTPS (о безопасност

Сообщение drivecx » 20 фев 2015, 08:50

А воз и ныне там..
В то время как вебмастерские сервисы яндекса уже перешли на HTTPS.
На самом же деле, задача ведь очень проста в реализации.

Ответить