Интерфейс

[SYN]

Вообщем в е идёт к тому , что придётся сервер менять, а с ним и форум так как этот форум буржуйский.

А хостинг разве нельзя взять и просто заменить на расположенный в России? Движки форумов насколько я знаю не проприетарные.

[rtty]

А хостинг разве нельзя взять и просто заменить на расположенный

Это был бы самый просто вариант, чтобы не сломать ничего попутно.

[ra0ahc]

проприетарные

…..эээээ

[ra0ahc]

Все норм  реакция такая и должна быть. Чем старше становимся тем меньше хочется что-то менять 
Да всё норм будет ! Ломать никто ничего не собирается. Но и повторение ve3kf форума точно недопустим.

[0лег]

Денег стоит

Если денег нет, то есть бесплатные DV (Domain Validated) сертификаты ot Let's Enrypt

толку нет

Я не согласен с этим.  Толк от SSL (TLS) состоит в том, что вся информация, которая передается с компьютера пользователя на WEB сервер недоступна для посторонних лиц, которые могут перехватывать трафик. Стоит задуматься хотя бы о том, что сейчас все наши пароли передаются по сети в открытом виде.

В большинстве случаев и так все прилеты с сервера зипуются

Как это поможет защитить те данные, которые передаются с компьютера пользователя на сервер в открытом виде?

[ra0ahc]

Не переживайте, жили же много лет на http и даже не знали про https. Сайты если надо то без сертов ломают. Сам лично увёл базу у 2гис с 64000 клиентов и делал это в течении года. Даже в свою основную программу ввёл сервис для такого 
Не стоит сильно заморачиваться с этими сертами. Кому надо и так вскроют. А по скорости там расклад такой (примерно) : http запрос выполняется за  130 мс (самый шустрый и минимальный 70 мс) , а с тормозами https 500 мс будет и это очень заметно, предел для понимания что вы в инете 350 мс потом начинает все раздражать, до этой цифры вы себя чувствуете как на локальной машине  . Это только для банком актуально, у них реально там все медленно из-за шифрования.
Пытался я разобраться с трафиком gmail вот там наворотили! Они перед каждым запросом скидывают Таблицу расшифровки. Там впринципм сложно данные утянуть. Алгоритмы шифрования меняются с каждым запросом.

[SYN]

Там не из-за шифрования все медленно, а из за элементарной тяжести сайтов, абы нужно соответствовать духу времени и встраивать в интерфейс разные красивости и анимашки.

Сайты если надо то без сертов ломают.

Это зависит от стоимости атаки и ее вектора, ну и конечно квалификации защищающейся стороны, сам по себе SSL это никак не дескредетирует. Без SSL стоимость атаки по ряду направлений практически нулевая.

SSL применяется все шире и шире, скоро он так или иначе станет стандартом де факто.

[ra0ahc]

Да не не , я знаю о чем говорю. Запросов на сервер много улетает в момент сёрфинга по сайту. А первая загрузка как правило медленная (условно), потом все кэшируется и следующая перезагрузка уже из кэша браузера. Всякие css png jpg они только один раз загружаются. Сейчас вес сайта не имеет значения (у всех хороший инет) а вот дальнейшая логика работы сайта и его отзывчивость на события - вот они иногда заставляют процессор попотеть, особенно всякая анимация, всплывашки слайдеры и вообще вся динамика. Здесь (аналог ком) такого нет, но сервиса мало уже. Данных много, а поиска этого всего нет. Телеграмм хорошая Болталка , но нам она не подходит, нет темы в теме, и как справочник чат телеги использовать крайне сложно - очень много «воды».
Кстати, мобильный вариант аналог ком полный отстой.

Вообщем, как дойдёт до конкретного то, я думаю, совместными усилиями я смогу наверное сделать рабочую лошадку. Чем больше критики - тем более серьезный продукт получается!

П.с. В пятницу уже базу данных создал.

[ra0ahc]

Это зависит от стоимости атаки и ее вектора, ну и конечно квалификации защищающейся стороны, сам по себе SSL это никак не дескредетирует. Без SSL стоимость атаки по ряду направлений практически нулевая.

Согласен на 💯
Вот только одна проблема есть ))) если лежит прокладка на сервере между входными данными и базой данных , то это прям проблемой становится для всех видов взломов. Основной доступ к базе - это sql инъекция в запросе, а если стоит прокладка (сервер запросов) то хрен там чего-то снимешь. Народ как только видит такой сервер запросов сразу руки поднимает. Чтоб понятно было: многие сайты прям в запросе отправляют sql запрос к базе. Вот там играйся как хочешь, а вот у 1с там тоже стоит сервер запросов и запрос не к самой базе обращается , а к некой прокладке , которая уже сама обращается к базе данных. И там хрен  поймёшь логику этого всего (кто лазил напрямик по базе 1с тот меня поймёт)
Я много защит ставил. И сейчас очень модная зашита стоит у всех - это когда пароль не ввёл пару раз правильно то даже если ты потом правильно введёшь система тебя попросит повторить ввод ))) вообщем, там кошки-мышки

[0лег]

SSL применяется все шире и шире, скоро он так или иначе станет стандартом де факто.

Да уже лет 15 - 20 назад это произошло  .
Только правильнее сейчас говорить о протоколе TLS. Собственно SSL давно уже не используется. Хотя, возможно, есть на просторах Интернет какие-то "ископаемые" сайты, которые поддерживают SSL.

А уж после того как появились бесплатные сертификаты от Let's Encrypt, использование HTTPS поверх TLS стало по-настоящему массовым.

[0лег]

Не переживайте, жили же много лет на http и даже не знали про https.

По моему скромному мнению, сейчас любой интерактивный web сайт в Интернет без TLS - дурной тон.
Ведь никто не хочет подключаться к удаленному хосту в Интернет через telnet, все почему-то используют ssh  .
Да и ftp для загрузки файлов на хост - плохая идея, поэтому используют sftp. Правильно?
Ну так вот то же самое и с HTTP / HTTPS.

[ra0ahc]

Олег,  вы все правильно говорите, ну вот только я говорю о фактически корректных взломах , фактически,  об ошибках юных программиров Вы же говорите о просмотре трафика. Разные подходы. Что кто-то там на узле возьмёт пакет и посмотрит его…. И тд  … да на здоровье, получит кашу не связанных данных, которые и так доступны в свободном просмотре через хром. Там же ещё логика с обеих сторон и на сервере и на клиенте присутствует. На клиенте все сжато и произведена подмена имён переменных на a b c d и тд и там библиотека длиной 400к , на стороне сервера тоже сервер запросов. Короче, если человек умеет украсть сессию на сервере - тогда это уже совсем другая история, и естественно я им со всеми своими знаниями - просто разминка))) ломанут за пару сек. На сколько мне известно, что хэшки с солью не ломаются (но слабо в это верю)

[rtty]

олк от SSL (TLS) состоит в том, что вся информация, которая передается с компьютера пользователя на WEB сервер недоступна для посторонних лиц, которые могут перехватывать трафик.

Да пусть перехватывают на здоровье! Мы тут что банковыми переводами занимается или шпионажем каким-то военным...

Для немассово посещаемых некоммерческих и хобби-сайтов эти тсл-ссл только убили совместимость со старыми ос и браузерами, больше никакой пользы, кроме полу-мнимой шифровки трафика пользователей, так кому надо выудят все равно, пусть и чуть дольше.

[ra0ahc]

 

[SYN]

Вот эта большая панель в центре на мой взгляд не смотрится, сразу и сильно отвлекает внимание. На мой взгляд разместить ее в строку в верхнем правом углу, там как раз пусто. Можно немного уменьшить. Но тут за Игорем окончательное слово конечно.