Google. Motor de cautare sau dictator al internetului?

Din Iulie cica toate site-urile care nu detin certificate ssl vor aparea ca “Not Secure” cand vor fi accesate de pe Chrome.
Acum nu stiu ce sa zic. Nu toate paginile au nevoie de certificate ssl, mai ales daca am o simpla pagina statica.

Ma gandesc asa oare cata incredere mai au vizitatorii in pagina/afacerea ta daca atunci cand incearca sa intre pe site le apare un avertisment de parca toti virusii din lume s-au strans acolo?

Well, e dreptul vizitatorului să ştie că schimbul de date dintre browserul lui şi site-ul tău se face în clar.

3 Likes

Se pot face multe cazuri ptr abuzurile de poziție dominantă ale lui Google. This one ain’t one of them.

Și simplele pagini statice pot expune utilizatorii la atacuri mitm de exemplu. Sau îl pot expune la pericole din partea unor actori statali - gen access de conținut interzis etc.

1 Like

7 din 10 utilizatori (care nu stiu prea multe despre web) vor da bounce la pagina imediat cum le apare cacatu ala rosu care te sperie mai ceva ca bau-bau. Mai ales daca esti putin paranoic.
Ce se intampla cand cineva da bounce? Well… Google crede ca site-ul tau este de cacat si trebuie sa apara pe la pagina 250. Sau poate pe la pagina 500 daca nu ti-ai optimizat pagina astfel incat sa dai bine pe Speed Insights.

Un cacat… Ma duc sa ma fac padurar.

Păi și cât de greu este să pui un căcat de certificat? :slight_smile:

E.g. poate că te duci la McDonalds și nu vrei să-ți facă cineva sniff la pachete când te conectezi la rețeaua lor și te uiți la meniurile KFC.

5 Likes

Let s Encrypt este moca :grin:

1 Like

Eu zic că e by design :slight_smile:

La un moment dat nici no să se mai conecteze la http chior. Cum e domeniul .Dev sau .Io de exemplu.

Asa cum ma bucur ca au fortat scoaterea flashilui ma bucur si ca forteaza https.

3 Likes

By design n-o sa mai poti face web fara sa te conformezi standardelor impuse de google.
Si asta in mai putin de 5 ani. Mai vorbim.

Cel puţin, Google pare să ne tragă după el. Poate nu mai ţii minte cum M$ facea exact invers, cu odiosul IE6 :slight_smile:

1 Like

Nu știu de cât timp ești în zona web, dar deja ne conformăm standardelor impuse de google. Din cauza lor avem:

  1. Un dev tool ce este replicat cu succes și în FF și în Edge și în IE.
    1.1 Un protocol pentru dev tool ce permite debug remote. A început să fie implementat și de MS în Edge
  2. Push notification/desktop notifications
  3. WebGL
  4. web workers
  5. etc etc etc

O face Google și chestii nasoale, dar … să zicem că nu sunt(em) nemulțumiți de ce au impus până în acum în zona de web dev.


@serghei: dpdv istoric, IE6 a fost printre cele mai bune la momentul lansării. Problema a fost doar că a rămas mult în urmă :slight_smile:

3 Likes

Subscriu la ce zice @iamntz prefer sa ne conformam la niste standarde destul de bine puse la punct. Inca am cosmaruri din perioada in care trebuiea sa faci un site sa mearga bine si pe IE6/7/8 care functionau diferit fata de restul.

Un dev tool ce este replicat cu succes și în FF

Am folosit Firebug mult inainte de Chrome. Chiar si acum mi se pare the best. Deci replicarea a fost inversa.

In rest de acord ca Google vine cu chestii bune. Nu imi place pozitia de autoritate din care isi impune inovatiile, pwa de ex nu sunt ceva spectaculos dar vad ca e mare agitatia cu ele.

Din fericire mai dau si chix, Angular in particular iese in evidenta ca nefiind lider de piata.

1 Like

Firebug era 3rd party. Evident că știam de el :slight_smile:

Chrome a venit cu profiling, debugger etc. Chestii ce firebug ori nu le făcea deloc ori nu le făcea la fel de bine :slight_smile:

1 Like

Impunerea este fundamental gresita si am sa explic aici de ce.

  • Nu totul se rezuma la saituri care pot sta pe dreapta pana la remediere. Exista sectoare de activitate unde traficul web este esential si se mizeaza ca el sa fie stabil nu blocat sau impiedicat peste noapte.
  • Exista numeroase dispozitive industriale tehnologic invechite pentru ca in industrie echipamentele automatizate se folosesc foarte multi ani. Nu poti schimba peste noapte echipamente de sute de mii de euro pentru ca un browser nu le mai accepta.
  • Exista aplicatii industriale care controleaza asemenea instalaltii. Ajungi sa ai browsere vechi cu tot soiul de pacaleli ca sa poti controla o astfel de instalatie si browsere noi ca sa poti sa intrii pe saiturile de azi.
  • Diverse dispozitive IOT care din motive evidente nu pot incorpora o stiva ssl.
  • LetsEncript a avut in timp modificari care au dat peste cap programe existente. Probabil vor mai face asta. Nu e chiar alegerea ideala pentru productie.

Nu sunt impotriva securizarii dar ea trebuie sa fie intotdeauna optionala.

1 Like

În continuarea discuției de la Google. Motor de cautare sau dictator al internetului?:

Exact. Cum am putea fi nemultumiti de ceausescu cand dadea de munca si case la toata lumea? Cu pretul libertatii bineinteles. Si mi-a placut cum ai pronuntat cuvantul “impus”.

Nu sunt de mult in zona web dar nici nu conteaza. Nu tre sa stii JS sa vezi cum liberul arbitru ti-e ingropat cu fiecare MEGA APLICATIE pe care-o face google “pentru o lume mai buna si o viata mai usoara”.

Eu nu am zis ca e rau ce face google. Daca ar fi dupa mine google e doar un motor de cautare. Si nu am zis ca google nu a adus inovatii in web. Dumnezeu stie cate sute de startup-uri au cumparat. De ce crezi ca sunt implicati pana in cap in web dev? Cum apare ceva nou, o tehnologie sau o aplicatie ei trebuie sa afle primii. Numai in mafie am vazut ca se fac oferte pe care nu le poti refuza. Dar in fine sa trecem peste. Umbla vorba ca de prin Aprilie si-au dat delete la motto-ul lor celebru de 18 ani “don’t be evil” din Codul de Conduita.

E normal sa te conformezi standardelor google cand nu ai incotro. Cum ziceai mai sus…ti se impune.

1 Like
  1. Google nu te forteaza sa folosesti SSL doar ca din iulie (si este anuntat de ceva vreme nu este peste noapte) in Chrome userii vor fi avertizati ca site-ul NU foloseste SSL (pana acum te anunta cand folosea).

  2. Cand te duci la un nou job te conformezi cu standardele de acolo sau nu? Daca nu, nu iti doresc sa trebuiasca vreodata sa intretii o aplicatie scrisa de 5-10 developeri care au avut fiecare standarde individuale.

1 Like

Toate site-urile au nevoie de certificate si criptare, altfel ti se poate interpola traficul si introduce un man in the middle attack sau ti se face tracking din resurse necriptate precum reclamele. Wifi-ul nu este sigur by design, toate routerele sunt vulnerabile in fata unui hacker putin talentat. Daca nu iti sare in ochi cu rosu ca cineva incearca sa te fraiereasca tu nu o sa observi daca ala are putina grija.

Un alt avantaj major este HTTP/2, care necesita un certificat (chiar daca s-ar putea scoate) si care iti permite sa trimiti toate resursele deodata sau sa scapi de botneti intr-un mod elegant. Daca iti limitezi serverul la HTTP/2 reduci cu mult sansele sa iti cada site-ul din cauza unui atac cu botneti.

Cu ce este rau daca se forteaza standarde care ne imbunatatesc viata de zeci de ori.

Vizitatorii nu trebuie sa intre pe pagina ta daca ai HTTP, e atat de simplu, nu e sigur, traficul pe care il faci poate fi folosit impotriva ta la un proces sau la intrarea in tara pentru intocmirea unui profil psihologic si chiar daca nu e public exista sisteme extrem de avansate pentru acest lucru.

Dispozitivele IOT si sistemele legacy sunt un risc de securitate enorm, exista stive SSL pe toate microprocesoarele noi. Sistemele industriale invechite nu trebuie conectate la internet, chiar si input-urile trebuie sigilate, eventual oricum se comunica pe un protocol industrial, nu pe HTTP/S fiindca ethernet-ul e prea sensibil la interferente de la motoare. Chrome nu ruleaza pe Windows XP.

Let’s Encrypt poate fi problematic, dar daca nu faci bani din site-ul tau n-ai ce comenta daca o data pe an ai ceva probleme. Daca faci bani cumpara-ti o licenta SSL, nu e deloc scumpa.

1 Like

Well… să zicem că acum trăim un soi de dictatură luminată a web-ului, care măcar încearcă să impună nişte standarde şi, eventual să şi le respecte. Aparent nu ai prins vremurile de glorie ale IE6, care nu respecta niciun standard, dar nu-i lăsa nici pe ceilalţi să le respecte. Ba mai rău, nu respecta nici măcar lipsa de respect :slight_smile: IE6 nu era compatibil cu IE7, IE7 nu era compatibil cu IE8 and so on

Trust me, nu ai fi vrut să fii web developer pe vremea aia, căreia eu îi zic “Evul Mediu Întunecat al Web-ului” :slight_smile: Dacă erai şi utilizator de Linux, viaţa era de-a dreptul un coşmar. Dacă îţi vine să crezi, existau chiar aplicaţii web ale instituţiilor de stat care funcţionau exclusiv pe IE6, eventual foloseau şi pluginuri ActiveX ca să-ţi facă viaţa şi mai infectă decât era deja. Brrr… nu, mersi.

1 Like

Amintiri !
Bara de ActiveX control :slight_smile:

S-ar putea sa gresesc, dar am impresia ca acel lucru cu “Not secure” este in Firefox incepand cu versiuna 50 (lansata in toamna)