SMART-LAB
Новый дизайн
Мы делаем деньги на бирже
Информация
sMart-lab.ru
СмартЧат - Android приложение для удобного обсуждения рыночных тем с форума акций смартлаба. Обсуждайте инвестиции в российские акции в нашем чате!
социальные сети
Новости тг-канал
Купить MozgovikБлог компании sMart-lab.ru | Сейчас на смартлабе могут быть баги-лаги
- 06 июля 2017, 15:37
- |
- Тимофей Мартынов
Тестируем переход с http на https, о багах сообщайте в каментах
теги блога Тимофей Мартынов
- FAQ
- forex
- IMOEX
- IPO
- NYSE
- QE
- S&P500
- S&P500 фьючерс
- smart-lab
- smartlabonline
- tradingview
- акции
- алготрейдинг
- антикризис
- банки
- бизнес
- брокеры
- вебинар
- видео
- вопрос
- встреча smart-lab
- ВТБ
- Газпром
- Греция
- дивиденды
- доллар рубль
- ЕЦБ
- золото
- инвестиции
- Индекс МБ
- Инфляция
- Китай
- книга
- Книги
- комментарий
- комментарий по рынку
- конференция смартлаба
- конференция трейдеров
- кризис
- криптовалюта
- Лукойл
- ЛЧИ
- Магнит
- ММВБ
- мобильный пост
- мозговик
- Московская биржа
- недвижимость
- Нефть
- нищетрейдинг
- Новости
- обзор рынка
- облигации
- объявление
- опрос
- опционная конференция
- опционы
- отчетность
- отчеты МСФО
- Причины падения акций
- прогноз
- психология
- Путин
- работа над ошибками
- рассылка
- реакция рынка
- рецензия
- рецензия на книгу
- роснефть
- Россия
- рубль
- Русагро
- рынок
- санкции
- Сбербанк
- смартлаб
- смартлаб конкурс
- смартлаб премиум
- статистика
- стратегия
- страшилка
- сша
- технический анализ
- Тимофей Мартынов
- торговые роботы
- трейдинг
- Украина
- Уоррен Баффет
- уровень
- философия
- форекс
- ФРС
- фундаментальный анализ
- фьючерс mix
- фьючерс на индекс РТС
- фьючерс ртс
- экономика
- экономика США
- Яндекс
По-идее, это имеет смысл только для конфиденциальных данных, но сейчас стало модно прикручивать это где не попадя, для солидности.
Типа никто посторонний не прочитает мой блог? oO
А можно наоборот? :)))))
Что касается того, можно ли будет заходить по http, то обычно да, возможность оставляется, но для этого надо будет копаться в настройках браузера где-то, чтобы он не отправлял заголовок upgrade-insecure-requests=1, иначе сервер будет перенаправлять на https по умолчанию.
обычно всем пох*й
Если же на Вашем сайте с Вашей страницей в одном сеансе тянутся сторонние сайты, типа счётчиков Яндекса или рекламные вставки, то это НЕНАСТОЯЩИЙ https. Но если Вы потом будете использовать https для ПОД-доменов Смарт-Лаба, например отдельный (монопольный) сайт для инвестирования в акции, то в таком случае-да, это имеет смысл.
Как показывает практика, этого не понимают сисадмины денежных сайтов даже больших брокеров, таких как Альпари.
Вы о чем это? О безопасности?
Во первых, эти сторонние ресурсы тоже могут запрашиваться по https. А как Вы себе вообще представляете, что на страницу не подгружаются сторонние ресурсы? Такое редко бывает, Вы же даже видео с ютьюба так транслировать не сможете.
Во вторых, там нет опасности перехвата пакетов по сети, опасность возникает только во время исполнения скриптов на странице, когда сторонний скрипт может получить данные пользователя и отправить третей стороне. Но тут, по моему, протокол вообще не при чем.
=======================================
XSS (англ. Cross-Site Scripting — «межсайтовый скриптинг») — тип атаки на веб-системы, заключающийся во внедрении в выдаваемую веб-системой страницу вредоносного кода (который будет выполнен на компьютере пользователя при открытии им этой страницы) и взаимодействии этого кода с веб-сервером злоумышленника. Является разновидностью атаки «внедрение кода[en]».
Специфика подобных атак заключается в том, что вредоносный код может использовать авторизацию пользователя в веб-системе для получения к ней расширенного доступа или для получения авторизационных данных пользователя. Вредоносный код может быть вставлен в страницу как через уязвимость в веб-сервере, так и через уязвимость на компьютере пользователя[1].
Для термина используют сокращение «XSS», чтобы не было путаницы с каскадными таблицами стилей, использующими сокращение «CSS».
XSS находится на третьем месте в рейтинге ключевых рисков Web-приложений согласно OWASP 2013[2]. Долгое время программисты не уделяли им должного внимания, считая их неопасными. Однако это мнение ошибочно: на странице или в HTTP-Cookie могут быть весьма уязвимые данные (например, идентификатор сессии администратора или номера платёжных документов), а там, где нет защиты от CSRF, атакующий может выполнить любые действия, доступные пользователю. Межсайтовый скриптинг может быть использован для проведения DoS-атаки[3].
Ключевые слова тут у Вас «по моему», «редко бывает».=====================================
Ха-ха! Сколько тебе лет, кормилец хакерья?
Можете объяснить, какое вообще отношение к этому имеет XSS? Своими словами, без пасты, изложите пожалуйста.
Просто человек никогда про CORS не слышал, зато в 2017 узнал про XSS (основная волна чуть ли не в 2009 была в рунете).
Да, если я в чем то не уверен, я так и говорю, потому что я говорю правду. Я не уверен, может я что то не знаю, но я блеать, в упор не вижу, как https может защитить тебя от XSS? Или ты просто бредишь?
https://smart-lab.ru/blog/408135.php
Сам себе тикет написал )))
редирект пока рано делать
рассылка сломалась.
В шаблонах письма надо оставить протокол, иначе ссылки в Thunderbird не открываются:
```
<br><br>
```С уважением, администрация сайта <a href="//smart-lab.ru">sMart-lab.ru — блоги трейдеров и инвесторов. Форум акций. Котировки акций. Фундаментальный анализ акций. Трейдинг, инвестиции, экономика</a>
заменить на
```
<a href=«https:
//smart-lab.ru»>
```
Тимофей Мартынов,
гы, на работе заказчика тоже перевели на https, вторую неделю разгребаем `Mixed Content: The page at...`
Желаю и Вам успехов :)
(мне под виндой помогла вот такая утилита при подготовке к процессу переезда - http://home.snafu.de/tilman/xenulink.html#Download)
Lev,
1) бывают разные случаи (запущенности проекта).
2) Как обычно, есть оптимальная точка: бюджет->.<- кол-во «ошибок».
вот этот кусок:
<iframe width=«560» height=«315» src=....
И, кстати, о багах. Перенаправление на https c http по дефолту не работает
UPD так и есть, в консоль вываливается
Mixed Content: The page at 'https://smart-lab.ru/blog/408135.php' was loaded over HTTPS, but requested an insecure resource 'http://www.youtube.com/embed/-_6Lefw47P4'. This request has been blocked; the content must be served over HTTPS.
И там кроме этого другие ресурсы блочаться по той же причине
Для этого и нужен https.
Потом новый хозяин например РБК сделают Тимофею сотоварищи предложение от которого они не смогут отказаться. Например покупка 50% СмартЛаба, с оставлением директора на должности 1 год, с опционом на выкуп остальных 50% через год успешной работы.
И получится тогда Тимофей Мартынов… снова будет работать… на РБК.
Но это конечно при условии, что он будет слушать умных людей, будет беречь здоровье, и не будет портить себе здоровье и ауру нефтяными делами.
на почту пришли письма на подписанные блоги без ссылок на них, только текст (звёздочки я поставил) :
«Пользователь ********* опубликовал в блоге «*************» новый топик — *************.
С уважением, администрация сайта sMart-lab.ru — блоги трейдеров и инвесторов. Форум акций. Котировки акций. Фундаментальный анализ акций. Трейдинг, инвестиции, экономика»
Слева вверху на сайте висит реклама проги для айфона — «Официальный клиент для лучшего клуба трейдеров в сети Smart-Lab.ru!».
Так вот — нажимаешь, не работает. Либо пишет, что такой проги нет в русском айтюнзе (на телефоне), либо предлагает айтюнз скачать (на компутере).
а где эта реклама висит? Не могу найти
По умолчанию захожу на http. В списке блогов висят три одинаковых от Ник. Подлевских — 18:00, 18:02 и 18:15. Третий блог открывается и читается ОК, первые два выдают ошибку 404. Видимо, досточтимый Н.П. пытался запостить свой блог несколько раз, но удалось только с третьей попытки. Наверное, первые две ссылки надо стереть.
Поправьте протокол.