Google. Motor de cautare sau dictator al internetului?

Mergi pe un false equivalency cu Ceausescu aici.

Lui Google ii pasa de sanatatea web-ului. Ii pasa si din motive altruistice (pentru ca oamenilor de acolo le pasa), ii pasa si din motive egoiste/economice. Si de la Chrome, pana la PWA-uri face o groaza de lucruri ca web-ul sa fie o platforma buna si folositoare oamenilor. Si pe care oamenii sa-si creeze site-uri si aplicatii astfel incat Google sa aiba ce face. HTTPS este un boost urias pentru sanatatea web-ului. HTTP-fara-S creaza o groaza de probleme lumii, enumerate de-a lungul thread-ului astuia. Precum Windows-ul din vechime care permitea oricarui malware sa-si faca de cap pe calculatorul tau.

In general e acceptat ca protocoale de comunicare fara securitate built-in sunt o idee proasta - de la primele versiuni de WiFi, pana la FTP sau HTTP-fara-S. Cand se fac acuma protocoalee noi, ai in general securitatea “built in” si ne-negociabila - HTTP/2, QUIC, DNS over HTTPS, tot ecosistemul de securitate din jurul mail-ului fara de care nu poti trimite mail realist fara sa ajunga in spam etc.

Si asta nu-i o treaba de ieri pe azi. De 10+ ani se incearca migratia asta - de la boost-uri paginilor https, pana la penalizari http, erori pentru certificate invalidate, blocarea unor TLD-uri daca nu esti https (hsts pe tld cum ar veni), iar acum alerte pentru HTTP-fara-S. Iar la un moment dat, cum spuneam, au sa blocheze de tot accesul la HTTP-fara-S. Ca n-ai fost atent sau te-a luat prin surprindere e alta poveste, dar din nou, e oarecum “stiut” ca asta e viitorul si ca e bine sa vezi de o migratie. Se poate si mai rau decat sa iei niste certificate si sa le instalezi pe server-ul tau sau pe un CloudFlare.

Oricum, ai sa vezi ca si Firefox, Edge etc. tot drumul asta o sa il urmeze pana la urma. E doar Google care forteaza putin si isi ia niste flak de la lume.

2 Likes

Cred că asta e un fel de lege a lui Godwin adaptată României. :slight_smile:


Trăim cea mai bună perioadă a web-ului, când toți producătorii de browsere au căzut în sfârșit de acord asupra multor aspecte. De la API-uri până la CSS. Migrarea asta forțată este impunerea unui standard și este practicată și de Safari și de Edge.

Nu este un standard google, este un standard web. Așa cum zicea cineva mai sus, Mozilla au fost primii care au implementat avertismentul ăsta.

Sunt patru jucători mari pe piața browserelor: MS Edge, Apple Safari, Mozilla și Chrome. Dacă primul nu are un marketshare chiar atât de mare, ultimele își împart piața în mod mai mult sau mai puțin echitabil. Chiar crezi că poate impune google ceva fără ca ceilalți să fie de acord? :slight_smile:

4 Likes

SSL este o constrângere și în același timp o idee foarte bună, în special pe termen lung. Rezolvă multe probleme dar costă și ceva bani, ceva timp. - și probabil nu toți își vor permite un certificat.

Desigur că cineva va câștiga iar cineva va pierde - știu arată banal, dar cred că așa funcționează lucrurile, asta-i realitatea, spre asta mergem.

Eu zic că oricine îşi permite un certificat gratuit :slight_smile: În afară de asta, reînnoirea fiind complet automatizată, pierzi un pic de timp doar să te prinzi cum se instalează toate drăciile necesare.

2 Likes

Recunosc, am dat greș aici - trebuia să mă informez mai bine.

Am vrut doar să spun că Google este lider, știe ce face și va continua să implementeze viziunea unui internet sigur, pe care o promovează de câțiva ani. Și avem doar două opțiuni - ori te adaptezi ori pierzi.

Eu nu am zis ca nu sunt de acord ca toata lumea sa foloseasca https. Nu sunt cretin si da. Toti ar trebui sa folosim https. Chiar si cu https e frectie atata timp cat clientul sau serverul sunt compromise, dar intradevar orice plus de securitate este bine venit. Dar sa dai rusine unor site-uri care chiar nu au nevoie de tehnologia respectiva sau pur si simplu nu pot sa se adapteze mi se pare exagerat.

Este mizerabil si inadmisibil sa sperii un vizitator care nu stie ca pagina pe care se afla, chiar daca nu foloseste https poate fi mult mai sigura ca una care foloseste https,fake certs and shit…

Problema este că fără nu e nevoie ca nici serverul, nici clientul să fie compromise. Ci rețeaua. Și nici măcar nu trebuie să fie compromisă rețeaua ci este suficient să rulezi un sniffer/spoofer.

Îmi lași impresia că nu înțelegi pe deplin cum funcționează și care e scopul https :slight_smile:

O conexiune https îți garantează că ce pleacă de la server este identic cu ce ajunge la client. Atât. Nu funcționează ca un antivirus magic sau alte minuni.

Poți da un exemplu de site care nu poate să migreze pe ssl? Încerc să-mi dau seama de un use-case, nu-mi vine nimic în afara unor aplicații legacy, cum s-a spus mai sus. Dar alea, fiind legacy, oricum nu sunt destinate publicului larg, deci e OK(ish).

1 Like

Tot incerc sa-ti explic ca nu am nici o problema cu ssl si ca problema mea este modul in care google a operat cu inducerea fricii asupra vizitatorilor. Nu vreau sa par rautacios dar cred ca nu ai inteles titlul topicului.

Nu vreau sa cred ca faci parte din grupul carora “accepta cipul” doar pentru ca nu mai trebuie sa traga apa la wc. Daca intelegi ce spun. Nu are nici o legatura cu tehnologia. E conspiratie :))

Parerea mea este ca tu gandesti gresit. Daca lucrezi in domeniu (web, seo etc) ar trebui sa stii destul de bine aceste lucruri. Web-ul asa cum este in prezaent este intr-o stare de sanatate ok.

Google initial a fost doar un motor de cautare. Unul bun care a zdrobit concurenta. Cele mai multe companii din IT influenteza internetul nu numai Google

Trebuie sa te informezi mai bine si sa patrunzi. Altfel totul este o conspiratie.

PS: Esti tanar banuiesc. Nu incepe cu conspiratiile. Cele mai multe le-am auzit pe tren :slight_smile:
Prin prisma noastra, noi cei din IT suntem mai realisti.

Stai linistit, nu Google este dictator al internetului. Vezi SOPA, PIPA etc. Este normal ca o companie puternica sa influenteze.


Este mai bine cu certificat dect fara. Asa cum am zis mai sus Let’s Encrypt este moca. Vezi ca in tote ghidurile de securitate online iti zice sa te uiti daca pagina incepe cu https://....

PS: Daca zici de browser, nu mai folosesc Google Chrome
PPS: Nu imi propun sa reusesc sa te conving sau sa iti schimb parerea. Ceea ce am scris mai sus este opinia mea

1 Like

Asta una, dar cel mai important este că certificatul îţi garantează că eşti pe site-ul băncii tale, şi că nu ai ajuns pe site-ului vreunui nord-coreean întreprinzător, căruia tocmai i-ai dat datele de acces la contul tău :slight_smile: Vorbim de garantarea autenticităţii link-ului care este afişat sus, desigur.

Pentru unul care crede în conspiraţii, gândeşti fix pe dos :slight_smile: Google vrea să inverseze modul în care privim conexiunea securizată. Acum când accesez site-ul băncii sunt nevoit tot timpul să fiu cu ochii în patru ca în colţul din stanga sus să apară cu verde “Secure”. De fapt ar trebui să fie pe dos, când intru pe mybrdnet.ro să nu apară ceva decât dacă sunt victima unui phishing, adică HTTP să fie normalitatea şi să-mi ridic gradul de alertă când apare ceva neobişnuit în browser.

Hai să dau şi un exemplu mai “băbesc”. Să zicem că avem un bec verde care, atunci când este aprins, înseamnă că totul e în ordine, suntem în siguranţă. Când s-a stins becul verde, este pericol. Ce zici, nu este posibil ca din neatenţie să nu observi că becul verde s-a stins şi că eşti in pericol?

Dar ia să luăm exemplu invers: avem un bec roşu, care atunci când este stins înseamnă că totul e “safe”. Evident, când becul roşu s-a aprins, înseamnă că a apărut un risc. Pe care îl putem ignora sau investiga. Dar bănuiesc că este ceva mai greu să ignori becul ăla roşu :slight_smile:

2 Likes

Ce ma opreste sa fac o pagina de spam si sa instalez un cert. ssl? A, n`o sa apara info in colt dar tot ca pagina secure o s’o afiseze browserele.

Well… n-o sa poţi să obţii certificat valid pentru mybrdnet.ro, de exemplu. Fără certificat, e o chestie drăguţă care se cheamă DNS cache poisoning, nici n-o să stii ce te-a pălit :slight_smile:

2 Likes

Sincer nu ma prind. De ce nu pot obtine certificat valid pentru orice nume whatsoever?

De exemplu am inregistrat acum doua zile un domeniu si dupa ce mi s`au propagat dnsurile am instalat cert. let’s encrypt in 2 min.

EDIT:

Cred ca m`am dumirit. Tu cred ca vorbesti de altceva si eu de altceva. Despre dns spoofing dar nu are nicio legatura cu fake sites.

Daca folosesti Let’s Encrypt, presupun ca te-ai prins ca poti sa obtii certificat valid doar pt domeniile tale, nu ale altora.

Ai dreptate, eu ma refeream la fake sites. Adica faci un site de ex. mybrdnet.bla si instalezi simplu un cert pentru a trece peste notificarile astea de ssl din browsere.

Tu te refereai la dns spoofing si sa faci pe domeniul bancii ceea ce nu se poate.

Absolut, dar vedeti ca modul abuziv in care i se face reclama se percepe ca fiind un antivirus magic, vorba lui Ionut.

Nu, e invers. Acum statusul “Secure” este înşelător, un neiniţiat ar putea crede că “http” este normal, iar “https” e ultimate protection.

Cum ziceam şi mai sus, trebuie inversată percepţia, “https” este normal, “http” este insecure.

5 Likes

Inca nu am avut in vedere nici cel mai mare factor :

60-70% din traficul constant al multor site-uri vine din mobile, telefoanele se conecteaza prin wifi/3g/4g, daca nu ai https practic tot ce accesezi de pe telefon e vizibil in clar. Cand descarci ceva un antivirus poate salva resurse prin verificarea certificatului la descarcare, gen daca descarci un driver el nu ti-l va mai scana fiindca stie ca vine din sursa sigura. (bine oricum de obicei driverele sunt semnate, dar de obicei in cazul jocurilor se salveaza putere de procesare la update-uri)

In rest exista o problema cu firewallurile gen Fortinet, care iti claseaza un site putin cunoscut ca virusat daca n-are SSL. Dar e ok, nu vrei sa stie concurenta ce site-uri iti acceseaza angajatii.

1 Like