23 июня 2017, 22:38
Нужен ли смартлабу https?
Господа вебмастера, вебпрограммисты, сисадмины и просто разбирающиеся...
Подскажите, нужен ли смартлабу https?
И если да, то зачем?
Спасибо
А то денег это будет стоить прилично — вот и думаю, стоит ли заморачиваться. (Дело в том, что шифрование страниц увеличит сильно нагрузку на сервак и потребует покупки нового сервера)
Подскажите, нужен ли смартлабу https?
И если да, то зачем?
Спасибо
А то денег это будет стоить прилично — вот и думаю, стоит ли заморачиваться. (Дело в том, что шифрование страниц увеличит сильно нагрузку на сервак и потребует покупки нового сервера)
any_to_real, а там, где закопали — бактерии со временем сожрут? но энто слёзы, а вот что если и правда 4000 тонн вылилось...
17:33
Эдуард, а когда планируется их выплата?
Константин Дубровин, и когда Вы ждёте 1700 рублей за бумагу? Я вот смотрю, народ как-то не сильно эти акции скидывает. Многие другие акции сильна валятся, а эта по чуть-чуть снижается.
Дмитрий, об меня
17:30
Кай Лёд, Да, 3100 сильный, но если разгонится!!!!)))
17:29
KatieArya, забудь про 96
В РФ продажи грузовиков могут упасть на 23% в 2025 году – Камаз «Рынок в 2025 году будет плохой. Ориентировочно мы сейчас считаем его на уровне 85 тыс. единиц против 110 тыс. в текущем году. Думаем, ч...
17:27
Михаил Тайков, это нам не выгодно, в казахстан пуская переезжают фольксваген, бмв и мерседес, будем их оттуда возить.
ну и чьто это был за задерг?
Tempura, так облигов на 400 ярдов планируют выпускать, деньги должны быть.
Прикрути уж тогда голосовалку что ли
меня интересует больше профессиональный взгляд
другой вопрос, насколько https на это влияет
вопрос в том насколько большая разница
www.namecheap.com/security/ssl-certificates/comodo/positivessl.aspx
А кроме того, на промежуточных узлах часто данные кэшируются, это тоже отлетит, поэтому возрастут еще издержки на сеть
Иными словами, на обслуживание каждого клиента уходит больше времени, что имеет критическое значение в пики нагрузок.
Если берешь при этом, более мощный сервер, это время сокращается
Нет там никакого «сейчас», он будет загружен соответственно нагрузке на сервер, которая колеблется в течении дня и недели, там нет никакой стабильной цифры — 10 или 90, все это зависит от активности
Вот и считайте. К тому же есть абсолютно бесплатные варианты, которые может даже и лучше.
Про «отдельный сервер под шифрование» — явный перебор. У нас на проекте схожая посещаемость и никакого дополнительного железа не потребовалось.
Можно вообще уйти под cloudflare.com, тогда это обойдется в 20 баксов в месяц и никакого апгрейда железа. Тоже есть многолетний положительный опыт использования.
чем ещё хорош CloudFlare, так это тем, что предлагает «анти-DDoS buffer», хотя он далеко не единственный.
Кроме CF могу отметить Google Shield, но обширного опыта с ним не имею, только в тестовой эксплуатации.
зачем и что оно дает?
Есть бесплатная версия, можно с неё начать, она ничем не ограничена кроме отсутствия мелких вещей типа статистики оптимизации отдачи контента в реальном времени. Платный тариф стоит 20 баксов в месяц.
Про фичи можно почитать тут. Само подключение занимает буквально пару часов и минимум работы — поменять DNS-записи домена и прописать правильные ip-адреса. Переход на HTTPS — нажать пару кнопок в админке плюс надо поправить шаблон сайта, убрав «вшитые» урлы, начинающиеся с http. Тут тоже работы верстальщика на пару дней, а то и меньше.
Используем сами уже несколько лет (года 3) на довольно посещаемом коммерческом сайте.
В смысле? Самоподписанный что-ли?
Комментируешь пост. Автору коммент не нравится (правда глаза колет). Ты оказываешься в чёрном списке.
Автор задним числом подправляет пост так, что твой коммент выглядит некорректно.
Остальные участники обсуждения продолжают тебе отвечать на твой коммент, с учётом уже подправленного поста, но ты уже не можешь ничего ответить будучи в чёрном списке.
Ты оказываешься неправ, тебе пишут злобные комменты, ты не можешь ничего ответить.
Как-то не очень хорошо получается.
Мне, по большому счёту, пофиг, самоутверждаться уже давно не нужно, но какое-то внутреннее чувство справедливости оскорблено, получается :)
исправляющие пост засранцы — они обычно с гнильцой, нормальная аудитория таких не читает, а заслуживать уважение у не нормальной — трата времени =)
Не понравится атмосфера на сайте — уйду без сожаления :)
Вот и в этом топике профи набежали :)
Хотя, ходят слухи, что для поисковой оптимизации это полезно, сейчас на него повально все переходят, даже сайтеге Васей Пупкиных
Но https это хорошо.
www.keycdn.com/blog/https-performance-overhead/
Наверное, такие вопросы нужно задавать только в ЛС и только тем контактам, которых ты за все годы СЛ пометил себе aka devops…
блин, ну я совсем не знаю, но подобные зеро-вопросы высвечивают владельца ресурса, пишущего толстые книги, не с самой приглядной стороны.
(пардон за откровенную циничность ;)
Не имею права навязывать свою т.з., но...
обращение в Личку
гораздо эффективнее и не выдаёт твои слабые стороны, не нанося ущерб репутации ;)))
Теперь буду знать, что Тимофей, оказывается, экономист.
А, теперь понятно, он работал на РБК экономистом, теперь ясно.
да нет у меня никаких сведений ;)
Моя реплика касалась не вас, а известного местного клоуна сортировщика_массивов, который упорно выдаёт себя за программиста и гуру во всех it-вопросах.
P.S. Что за SSL-софт? Я не понимаю. (И вы похоже — тоже)
В теории когда на сайте вводится пользовательская информация, данные карты или просто регистрация то уже необходим сертификат.
Пока какой то критической необходимости вроде как нет.
Тут более серьезная проблема: нет адаптации под мобильные устройства (трудновато читать с телефона)
Мое мнение: почему бы сразу не сделать комплекс мероприятий адаптивную верстку+AMP+заодно сертификат
1) браузеры теперь предупреждают юзеров, когда те пытаются вводить пароль на незашифрованных страницах — будет меньше регистраций на сайте без https
2) сеть так устроена, что при обычном http мошенники воруют пароли (например, подключившись к public wi-fi, можно слушать все пакеты) — то есть ради безопасности надо включать https
3) google возможно будет пессимизировать
Теперь по поводу включения https, на моих сайтах после его включения nginx также существенно меньше ест проца по сравнению с php и базой.
Наличие https на рейтинг в Google пока практически не влияет. Пробовал на паре своих почти одинаковых ресурсов, на одном https c c 2014 года, второй работает по без secure connection — разница практически незаметна, в рамках статпогрешности.
Единственный неприятный момент, который может заставить поменять что-то, так это то что во всех популярных браузерах после последних апгрейдов появляется информация о том, что сайт не использует безопасное соединение. ИМХО, для Смартлаба это не смертельно. Это неприятно для Интернет-магазинов, где такая надпись будет пугать часть старых пердунов из числа клиентов, которые ничего не смыслят в современных IT технологиях.
Я бы ограничился исключительно запросом сертификата на страницах, которые требуют авторизации, их на сервере крайне мало, так что необходимости апгрейдить сервак не возникнет. Это, кстати, совпадает и с требованиями Гугла, который вовсе не обязывает использовать HTTPS на всем сервере, лишь приветствует его использование на страницах где нужна авторизация, например в корзинах магазинов и т.п.
Короче, минимум полгода даже не дергаться в этом направлении. Кстати, у HTTPS есть и обратная сторона — перестанут работать некоторые старые браузеры на подобных страницах. Так что не тара пися.
Есть пруф?
лол, тут форма логина на всех страницах.
Этот адрес запрашивается только тогда, когда кто-то логинится.
Вы понимаете, что просадка будет пропорциональна нагрузке на сервер? Каждый подключенный клиент будет отжирать, и это будет отражаться на всех клиентах. Про выполнение на стороне клиента тут вообще разговора нет
То есть, дополнительная операция ускоряет выполнение кода по-Вашему?
Ха-ха, этот бот sortarray, не только в экономике профан, но и в вебе тоже.
Я, дурачок, сервера писал с нуля, когда ты еще под стол пешком ходило, кого ты учить вздумало?
Вот я спрашиваю, как вы себе представляете, что при выполнении дополнительной операции код ускоряется. Зачем Вы в сторону вопрос уводите? Ваше утверждение безотносительно протокола, вообще в контексте программирования — нонсенс.
Или я что-то не так понял?
О серверном вестимо, lol
Исключительно про раздачу клиентам контента и радикальное ускорение данного процесса при переключении на https и http/2. Программирование тут вообще не при чём. Да, сервер потребляет больше CPU, но по нынешним временам это как правило не критично (на посещаемости СЛ).
То есть по-вашему, скорость раздачи контента от производительности сервера не зависит?
Это примерно то же самое, как если в магазине стоит очередь, которую обслуживает одна продавщица. Для каждого клиента продавщица выделяет какое-то время, и если Вы ее озадачили дополнительной операцией на каждого клиента, то каждый из клиентов будет ждать дольше на суммарное время данной дополнительной операции.
Если Вы возьмете более проворную продавщицу(более мощный проц) то это решит часть проблемы, но __данный__ проц будет в любом случае загружен по самые уши, не определите Вы там ничего по его текущей загрузке, она будет падать и расти только в определенном диапазоне, в остальном это будет выливаться в скорость отдачи.
Вы по-моему вообще так ничего и не поняли, из того, что вам тут пишут (не только я). Откланиваюсь.
Да-да, Ваш друг еще не такое тут понаписал, про формы на страницах, например.
smart-lab.ru/company/smartlabru/blog/406021.php#comment7335320
Я думал, что Вы чуть посерьезней.
Мы тут обсуждаем дополнительную нагрузку на процессор и требования к серверным ресурсам при переходе на https и не более того.
Вам привели (спасибо @DeltaZero) ссылку на исследование реальных практиков из CDN-сервиса:По их тестам дополнительная нагрузка на CPU составила аж целых 2%! Два процента, Карл! А google при переключении почты даже не добавлял дополнительные фронты, т.к. прирост нагрузки составил менее 1%. Один процент дополнительной загрузки CPU! О чем тут говорить? О каких асинхронных продавщицах?
И чуть ниже:В силу особенностей протокола http/2 получается обрабатывать больше пользователей меньшими ресурсами по сравнению в http!
Добавлю, что мой личный опыт (несколько сотен серверов под управлением) полностью подвтерждает выводы, сделанные в данном исследовании. Никакого существенного оверхеда от использования шифрования на современных процессорах не замечено, а скорость отдачи страниц — возросла. Так что повременю с походом в отдел кадров.
Можете не утруждать себя ответом.
конечно нужен!) сниферы big data не дремлют
можно как на сайте ЦБ запустить 2 версии:
кому надо https — зайдут туда, кому нет -все как обычно.
Но это еще и от конфигурации сервера зависит
конечно нужен
1) трафик не шифруется, это значит любой владелец устройства, через которое идет идет трафик может получить всю инфу
2) можно перехватить пароль
3) сисадмин какого-нибудь провайдера, через которого идет трафик, легко получает пароль и всю инфу
4) школьник-владелец какой нибудь вайфай точки тоже легко получает пароль
это все растраивает )
https вообще ничего не стоит, сделать сертификат — который стоит копейки или вообще бесплатен и настроить nginx
трудозатраты для опытного специалиста часа 1-4, основное время уйдет на розбор внутренней архитектуры смартлаба
А зачем там знание внутренней аритектуры? Можно ведь просто шифровать весть трафик на выходе, не?
А на разбор архитектуры такого сайта(он же самописный, и достаточно сложный), за 3-4 часа — это очень оптимистично. Как бы не 3-4 месяца:)
Но его одни и те же люди сопровождают, насколько я понял, поэтому с этим проще.
Иначе — выдача просядет на пару месяцев.
Сделай, чтоб обе версии открывались. Со временем они склеятся.
Можно только 1 главную страницу редиректить, чтоб поисковики подхватили https и начали его индексировать.
бонусом пойдет http/2
П.С. Донатство очень сильно развивается.