1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - коммерческий форумный движок от бывших создателей vBulletin, написанный на PHP.

Нужен-ли https на форумах?

Тема в разделе "OFF-топик", создана пользователем Oleg-2012, 25.09.2013.

Загрузка
?

Нужен-ли https на форумах ?

  1. Да

    19 голосов
    51,4%
  2. Нет

    7 голосов
    18,9%
  3. Затрудняюсь ответить

    11 голосов
    29,7%
  1. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Путём долгих проб и ошибок, нашёл решение этого извините пиздеца, короче решается всё очень просто, нужно в /library/config.php прописать это:
    Код:
    $_SERVER['HTTPS'] = 'on';
    И тогда можно оставить связку, сейчас тестю, вроде нормально пока работает, будут баги отпишусь здесь, ну и BB-Code Media тоже нужно поправить ссылки на https, иначе грузится не будет, в остальном всё пучком !;)
     
    Kukundr, Romchik®, adder и 2 другим нравится это.
  2. ANGEL OF FIRE

    ANGEL OF FIRE Модератор

    Регистрация:
    06.11.11
    Сообщения:
    395
    Симпатии:
    180
    Версия XF:
    1.1.3
    У меня такая же настройка, нгинкс и апач. Только одна проблема, ссылки на js всё равно идут на http

    У кого нибудь такие проблемы были?
     
  3. adder

    adder Местный

    Регистрация:
    08.10.10
    Сообщения:
    1 164
    Симпатии:
    846
    Версия XF:
    1.3.4
    @ANGEL OF FIRE Мне хватило в настройках форума заменить http:// на https://
    И вставил в config.php строку:
    Код:
    $_SERVER['HTTPS'] = 'on';
    А также в стиле Elegance идёт импорт шрифтов с google http. Пришлось применить модификацию шаблона.
     
    Mirovinger нравится это.
  4. ANGEL OF FIRE

    ANGEL OF FIRE Модератор

    Регистрация:
    06.11.11
    Сообщения:
    395
    Симпатии:
    180
    Версия XF:
    1.1.3
    Нашёл проблему. У меня в конфиге были прописаны пути на папки дата, и папки с js.

    Нужно было убрать.
     
  5. Adelia

    Adelia Активный пользователь

    Регистрация:
    02.08.13
    Сообщения:
    5
    Симпатии:
    1
    Версия XF:
    1.1.5
    Спасибо Тебе чувак!!!!! Уважуха!!!!!!!!!!!!!!!!!!!!!!!
     
  6. Smalesh

    Smalesh Пользователь

    Регистрация:
    02.02.15
    Сообщения:
    50
    Симпатии:
    13
    Версия XF:
    1.4.4
    Можно (нужно) просто не указывать протокол, т.е. писать в виде
    HTML:
    <a href="//xf-russia.ru/"
    Тогда нужный протокол (http/https) подхватится автоматически.
     
    TAIFUN нравится это.
  7. illusionist

    illusionist Заблокирован

    Регистрация:
    09.03.13
    Сообщения:
    141
    Симпатии:
    26
    Версия XF:
    1.4.7
    https нужен только в одном случае, для всех сайтов и не важно на каких CMS базируется. Это когда юзер вводит данные своих платежных карт, и которые методом post передаются серверу.
    Не один http анализатор в мире пока не вскрыл и не угнали данных по SSL.
    а вот какой применять это уже зависит от внутренней политики конфиденциальности.
    Зачастую хватит ssl, но усилить защиту можно и вайлд-карточкой — типа доменная страховка наслучай атак.
     
    Kolya groza morey нравится это.
  8. Exile

    Exile Местный

    Регистрация:
    27.06.11
    Сообщения:
    997
    Симпатии:
    545
    Версия XF:
    1.4.4
    Штоа? То есть все меры, которые сейчас принимают Mozilla, Google и прочие компании по прекращению http-эры, это "не важно"? Отсутствие приоритета в выдаче у гугла и запрет на фишки вроде использования камеры и кучи новых CSS-свойств в новых версиях FireFox, если сайт по http - не важны? Возможность защитить пользователей от операторской рекламы, которая вставляется на страницы сайта напрямую, зачастую с фишинговыми целями - это не важно? Ликвидация большого числа уязвимостей вроде XSS и т.п. - это тоже не важно?
    Бред. "http-анализатор" естественно и не "вскроет", нужен https. Который опять же "вскрывается", почитайте хотя бы про причины и механизм отзыва сертификатов. Да и организации правительственные из трех букв тоже особой проблемы не видят.
    И опять же бред. Вы бы хоть почитали что такое WildCard. SSL-сертификат покупается обычно для одного домена, например www.google.com, чтобы защитить home.google.com или любой другой поддомен, нужны еще сертификаты или один, но WildCard, т.е. на все поддомены сразу. Что тут за "страховка" - наверное только вам и известно.
     
    TAIFUN и Mirovinger нравится это.
  9. Smalesh

    Smalesh Пользователь

    Регистрация:
    02.02.15
    Сообщения:
    50
    Симпатии:
    13
    Версия XF:
    1.4.4
    Обычный сквид, 3-й (кажется с версии 3.1), спокойно делает это уже много лет.
     
  10. illusionist

    illusionist Заблокирован

    Регистрация:
    09.03.13
    Сообщения:
    141
    Симпатии:
    26
    Версия XF:
    1.4.7
    успехов вам в перехвате...
    правда вопрос, что будете делать с этим данными? Если на начальной стадии ты есть никто и звать тебе никак. Репутации нет никакой. Кроме как флудить и пакостить — ничего больше не умеешь делать.
     
  11. KitsuneSolar

    KitsuneSolar Местный

    Регистрация:
    13.09.14
    Сообщения:
    81
    Симпатии:
    69
    Версия XF:
    1.0.1
    Мне не пришлось в конфиг ничего добавлять.
    Необходима грамотная настройка апача и nginx и форум сам определит https.
     
  12. Smalesh

    Smalesh Пользователь

    Регистрация:
    02.02.15
    Сообщения:
    50
    Симпатии:
    13
    Версия XF:
    1.4.4
    Спокойней. Офисный шлюз, на нем сквид режет баннеры, порнуху, одноклеточников, держит кеш, заворачивает трафик на антивирус, http/https - все жует. А свои эротические фантазии держи при себе. Спасибо.
     
  13. Yoskaldyr

    Yoskaldyr Пользователь

    Регистрация:
    27.09.10
    Сообщения:
    1 921
    Симпатии:
    1 163
    Версия XF:
    1.0.4
    @Smales, да режет, только вот у всех пользователей сертификат левый будет а не сертификат сайта.
    Поэтому чуть чуть поспокойнее.

    P.S. Как всегда зашел спор о том можно или нельзя читать https только из-за того что нет знаний о том как работает https
    --- добавлено : May 13, 2015 4:58 PM ---
    И просьба завязывать с этим спором, т.к. тема о том нужен или нет https, а не можно или нельзя его читать.
     
    Последнее редактирование модератором: 21.05.2015
  14. Smalesh

    Smalesh Пользователь

    Регистрация:
    02.02.15
    Сообщения:
    50
    Симпатии:
    13
    Версия XF:
    1.4.4
    Да, сквид отдаст со своим сертификатом, но на уровне провайдера в принципе выполнимо. Т.е влезть в трафик, отзеркалить/вмешаться трудностей не представляет, железо под молотилки трафика давно есть. А вот сами сертификаты мало кто разглядывает, зелененькое светит, браузер не ругается - и да ладно. Ничего не пропустил? Вопрос напрямую касается нужен https или нет.
     
  15. Oleg-2012

    Oleg-2012 Местный

    Регистрация:
    21.04.12
    Сообщения:
    700
    Симпатии:
    297
    Через год после создания темы, скажу что нужен, по следующим причинам:

    1)Вставка некоторых провайдеров своей рекламы, особенно этим грешат мобильные провайдеры;

    2)Всё-рано не повредит, если логин/пароль будет шифроваться при передачи;

    3)Немножко возрастёт репутация сайта в глазах пользователей.:)
     
    illusionist нравится это.
  16. illusionist

    illusionist Заблокирован

    Регистрация:
    09.03.13
    Сообщения:
    141
    Симпатии:
    26
    Версия XF:
    1.4.7
    с первым имхо — не понятно. Я не священник и грехов “пчеловодам” отпускать не умею. мне проще их заблокировать.

    а вот два и три, особенно “три” имхо вижу любой сайт: Ну не очень хочется лезть в этот сайт и тем более сообщать свои о себе сведения, когда админ не думает о https. А уже к какому сертификату я доверюсь это уже моё сугубо личное мнение. HTTP сайты посещаю только как гость! :cool:
     
  17. SrDEN

    SrDEN Местный

    Регистрация:
    29.08.14
    Сообщения:
    117
    Симпатии:
    54
    Версия XF:
    1.5.0
    Считаю что нужен, так как надо заботиться о своих пользователях. Так же https способствует ранжированию в поисковой выдаче, по крайней мере у гугла. Из минусов могу только отметить снижение скорости работы сервера, ну и ежегодную трату времени и денег на продление сертификата.
    Привет гость :)
     
  18. illusionist

    illusionist Заблокирован

    Регистрация:
    09.03.13
    Сообщения:
    141
    Симпатии:
    26
    Версия XF:
    1.4.7
    Привет, SrDEN Пользователь :D
    Как дела в гостях?
    — Надолго ли приехали? или так просто по флудить :ninja:
     
  19. Smalesh

    Smalesh Пользователь

    Регистрация:
    02.02.15
    Сообщения:
    50
    Симпатии:
    13
    Версия XF:
    1.4.4
    Если провайдеру нужно будет вскрыть https - он его вскроет и скорее всего вскрываться будет в точке терминации. Вставить рекламу или DPI - не важно, сквид выше - просто наколеночный пример, давно есть уже готовые промышленные железки и интеграторы потирают свои жадные лапки. Знаю не понаслышке, работаю сисадмином у среднего (сумма аплинков >100Gb) провайдера. Точно так же вскрыть https не проблема в каких нить паблик wi-fi или других публичных точках.

    Подожди. В xenforo, равно как в и других движках, пароль и так зашифрован. Точнее передается хеш пароля, обычно пароль шифруется браузерным js-скриптом. Из всех случаев компрометации админского акка я не знаю ни одного, связанного с транзитом хеша пароля форума по http.

    По факту, среднему пользователю по-барабану, если браузер не ругается - его это устроит. Как показывает тенденция последних лет, пользователю нужно включить и что бы работало, оставляя вопросы безопасности за браузером и антивирусом (или какой нить IS). А для продвинутых репутация возрастет только если https будет стоять правильно, A+ или минимум A.

    Https нужен, но для передачи чувствительность информации. Это финансы, биллинги, магазины, авторизации, прочее. А учитывая то, что сам по себе https не спасает от компрометации данных (хоть и усложняет ее возможность), то для идентификации хорошо себя зарекомендовала многофакторная авторизация.

    Пока что повальное внедрение https - это больше зло, чем благо. У самого http достаточно много критичных проблем, плюс повесим https со своими болячками, бонусом загрузкой камня, проблемами с кешами, прочее. Вот в пример, сейчас 10G порт медиакаталога утилизирован на 60-70% с LA 1-2. Контент - обычные видеофайлы. Вопрос: что выиграю я и что выиграет пользователь от https.

    Странно, а тут залогинен.
     
    Kolya groza morey нравится это.
  20. illusionist

    illusionist Заблокирован

    Регистрация:
    09.03.13
    Сообщения:
    141
    Симпатии:
    26
    Версия XF:
    1.4.7
    ЗаLOGинен и гость разные понятия.
    1. Какой-то деятельности здесь не веду в отличии от некоторых. Поэтому гость!
    2. Что-то заказывать, а потом оплачивать здесь не буду — причина указана выше.
    3. Здесь я в статусе смотрителя, поэтому все то что мною написано, не всегда мною может быть сказано. И моя мысль вноситься с чужой точки зрения.
    все остальное, нагрузки на камень, на почки и на прочие пестициды и гербициды мне по-боку. У меня вечный анлим во всех сервисах на https
     

Поделиться этой страницей