1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

Нужен-ли https на форумах?

Тема в разделе "OFF-топик", создана пользователем Oleg-2012, 25.09.2013.

Загрузка
?

Нужен-ли https на форумах ?

  1. Да

    19 голосов
    51,4%
  2. Нет

    7 голосов
    18,9%
  3. Затрудняюсь ответить

    11 голосов
    29,7%
  1. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Интересует мнение здешних пользователей, нужен-ли вообще https на форумах !

    И ещё интересно, можно-ли настроить XenForo, чтобы шифровалась авторизация пользователей, т.е. когда пользователь вводит пароль, он как-то-бы шифровался, что исключало-бы перехват пароля третьими лицами, например провайдером в интернет-кафе и т.д.

    Я-бы ещё не отказался, если-бы была возможность шифрования личных переписок !

    Может есть уже готовые плагины для XenForo ?

    Делимся впечатлениями, кто-нить перешёл на https полностью, как работает XenForo, есть-ли какие глюки ?
     
    ~1~ нравится это.
  2. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    Пароль и так не передается в открытом виде, а только его хеш.
    ошибся, в ксене передается открыто
     
    Последнее редактирование: 25.09.2013
    Oleg-2012 нравится это.
  3. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Разве? Клиент отправляет на сервер пароль в чистом виде, а уже сервер занимается хешированием и затем сверкой хеша переданного пароля с тем, что хранится в базе. Так что перехватить пароль можно запросто. Аналогично и куки перехватываются. Так что да, HTTPS полезен в некоторых случаях.
     
    Mirovinger и Oleg-2012 нравится это.
  4. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Ну куки на сколько я понимаю привязываются к IP-адресу...

    А вот с паролем хотелось-бы уточнить, если он шифруется до отправки на сервер, то это круто !

    Ну тогда надо как-то придумывать шифрования лички !

    Самое нормальное, если для гостей будет обычный http, а для авторизованных пользователей уже https, кто-нить пробовал так зделать ?
     
  5. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Кто бы его шифровал? Яваскрипт? Конечно же пароль не шифруется. Пароль передается на сервер в открытом виде, а сервер уже делает с ним то, что хочет.
    --- добавлено : Sep 25, 2013 2:11 PM ---
    Да это не важно. Если кто-то смог перехватить куки, то со всем остальным он уже справится :)
    --- добавлено : Sep 25, 2013 2:18 PM ---
    А вообще тут важно, где есть возможность снять Ваш трафик. Самому провайдеру это не интересно. Соседу по свичу - возможно. Спецслужбам - и HTTPS не поможет.

    Если уж так хочется зашифроваться, то проще VPN использовать.

    В любом случае, если кто-то получил доступ к серверу, то ему различные защиты уже не важны, так как у него есть доступ к данным непосредственно в базе данных, например.

    Таким образом, для чего заморачиваться с HTTPS? Пионерсети уже вроде как никто не строит. Везде стоят управляемые свичи с изоляцией по портам. Т.е. перехват трафика соседом невозможен. Провайдер, конечно, может перехватить, но тогда лучше через VPN ходить - практически гарантированно будет обеспечена защита. К тому же через VPN можно привязать админку к IP.

    Пользователям, обеспокоенным за свою безопасность, также можно посоветовать использовать VPN и различные прокси.
     
    Последнее редактирование модератором: 03.10.2013
    Mirovinger и Oleg-2012 нравится это.
  6. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    Да ошибся, спутал с булкой - там было предварительное md5 кодирование через js, т.е. не тупо открытый пароль (хотя смысла все равно не много в этом было)
     
    Mirovinger и Oleg-2012 нравится это.
  7. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Если включить паранойю, то провайдер VPN может перехватить траффик,да и много-ли пользователей будет юзать VPN ?

    В целом согласен с Вами, хотя тот-же гугл уже перешёл полностью на https !

    Хотя читал на хабре, что https использует ненадёжные алгоритмы шифрования, что защитит только от школоты...:(
     
  8. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Ну это понятно. В большинстве контор так или иначе пользователи используют либо нат, либо прокси. Соответственно у руководства этих контор есть простые и доступные средства для отслеживания трафика пользователя, а также и полный его снифиинг. Не будем вдаваться в подробности, зачем это им нужно, но, поверьте, это обычная практика, когда руководитель дает задание админу отследить конкретного пользователя (его трафик, включая содержимое, пароли, явки и т.д.). Иногда и сам руководитель является админом. Но не суть. А суть в том, что использование даже HTTPS в таких случаях почти на 100% защищает работника такой конторы от "прослушки". По этой причине различные сервисы, которые заботятся о безопасности и конфиденциальности пользователей, обычно предоставляют или понуждают использовать защищенный протокол HTTPS. В особых случаях пользователи могут сами поднять свой VPN в какой-нибудь далекой стране, не имеющей с нашей и с рядом других стран хороших отношений, через который уже благополучно могут использовать множество интересных ресурсов.
    Кстати, тот же VPN позволяет довольно просто покупать на Google Play, обходя ограничение страны, если VPN размещен на хостинге с американскими IP-адресами :)
     
    Mirovinger и Oleg-2012 нравится это.
  9. akinak

    akinak Местный

    Регистрация:
    12.02.13
    Сообщения:
    259
    Симпатии:
    243
    Версия XF:
    1.1.3
    Думаю нужен.
     
    Oleg-2012 нравится это.
  10. Александр

    Александр Местный

    Регистрация:
    06.11.10
    Сообщения:
    498
    Симпатии:
    196
    Версия XF:
    1.0.0
    ну смотря какой еще форум, если о машинках среди школьников то нет, зачем? а если например официальный чего-то там, где фигурируют данные людей, то я думаю да.
     
    Oleg-2012 нравится это.
  11. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    А кто-нить уже перешёл на https ?

    Что-то там головняков оказалось много, если опустить настройку сервера, то я пока не очень понимаю, как сделать более-менее удобно !

    Вот у меня сейчас два сайта http и https, причём https нужно каждый раз вводить руками, если пользователь перейдёт по какой-либо внутренней ссылке, то окажется уже на http, на других форумах (Не XenForo) такого нет, там достаточно один раз указать https и будет всё-время защищённый протокол, или это в настройках нужно где-то указывать ещё.

    По умолчанию делать https не хочу пока...

    А чтобы авторизация была по https, нужно просто ссылку поправить в шаблоне, или как ?
     
  12. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Кстати потестил я SSL не понравилось ещё и то, что если много внешних эллементов, такие например как картинки в постах и т.д., появляется много аллертов в браузере, что нервирует...

    Короче я больше склоняюсь, что https больше даже вредит, нежели польза для форума...

    Кстати, кто хочет потестить, вот есть сайт, где можно получить бесплатный сертификат от Comodo на 90-то дней и потом сколь-угодно продлять:http://www.freessl.su/
     
  13. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Напишу здесь, не хочу тему создавать, такая проблема:

    Подключил SSL, НО половина ЛОКАЛЬНЫХ эллементов грузится по non-SSL, в этоге браузер блокирует чуть-ли не весь сайт, например:
    Код:
    Заблокирована загрузка смешанного активного содержимого «http://mysite.ru/js/jquery/jquery-1.5.2.min.js»
    Ссылки типа:
    Код:
    https://mysite.ru/теа...
    не генерируется, а генерируется ТОЛЬКО http ссылки !

    В чём проблема, куда копать, что-то я вообще не понимаю ничего !

    Причём админка нормально работает и ссылки тоже по https нормально генерируются !
     
  14. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Блин неужели никто не знает и никто не пробовал SSL с XenForo ?

    Здесь-же есть нормальные спецы по настройке серверов, неужели никто не знает как решить эту проблему ?

    Я уже задолбался что-то даже не знаю где копать ?

    Почему-то скрипт не определяет https, все стили и локльные скрипты грузятся по non-ssl, почему так вообще не пойму !
     
  15. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Потихоньку начал разбираться, возникла интересная ситуация у меня:

    Проксирование и SSL в nginx я настроил...

    Получается мы подключаемся к серверу по HTTPS (443 порт), в это время nginx проксирует на Apache (на 80 порт), получает результат от Apache, и отдает нам по https =) все вроде бы четко работает....вот только один неприятный момент, в XenForo используется _SERVER["HTTPS"] для определения протокола...

    и получается так что в принципе, мы то заходим по https (это организовано в nginx), ну а потом nginx по обычному http связывается с Apache, и соответственно apache даже не знает что мы по https счас работаем )

    Вопрос к здешним гуру, как прописать _SERVER["HTTPS"], и в phpinfo этой переменной у меня что-то вообще нет ! :(
     
  16. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    А отказаться от апача никак? Ведь из-за проксирования и "летит" окружение...
     
    Mirovinger и Oleg-2012 нравится это.
  17. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Интересная мысль, только вот у меня нормально всё настроено, именно на связке nginx+apache2, если уберу апач, чувствую что всё полетит...

    Конечно уйти можно, у меня просто форум XenForo + скрипт чата, в целом должно и без связки работать, но вот проблематично для меня всё это настраивать !:(
     
  18. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Попробуйте. Если получится, то и проблема с SSL уйдет. Если SSL не важен, то связка будет работать исправно.
     
    Oleg-2012 нравится это.
  19. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    А у nginx нет htaccess ?

    У меня много всяких директив в htaccess, там всякие редиректы, запреты на исполнения скриптов, как с этим быть если я уберу апач, к тому-же у XenForo из коробки какие-то команды уже указаны в htaccess !
     
  20. infis

    infis Местный

    Регистрация:
    27.06.11
    Сообщения:
    5 966
    Симпатии:
    3 548
    Версия XF:
    1.5.9
    Ну как вариант - конвертация в формат конфига nginx. Конечно, не все можно сконвертировать, но в большинстве случаев должно сработать.
     
    Oleg-2012 и Mirovinger нравится это.

Поделиться этой страницей