Насколько легко взломать сайт на Wordpress?

АртемЪ:

А когда лепят htps просто на новостном сайте где люди просто смотрят новости - это зло.

Вот я об этом!

Сертификат это элемент гарантирующий пользователю что он попал именно на тот сайт на который хотел, а не на фишинговую страницу к злоумышленникам.

А это часть заблуждений. Опасных! Получить серт на любой ГС - не велика проблема (злоумышленники - первые, кто этим забились). А кто там смотрит что внутри..
Вот я и говорю - когда это было для избранных - это было нормально. А повальная httpsaция - зло, которое убивает безопасность.

Насколько легко взломать сайт на Wordpress?

АртемЪ:

Я просто не представляю такого.

Потому, что у тебя быстрый и безлимитный интернет. Я ж говорю - этим озабочены те, кому нужно экономить и ускорить. Они знают какие это проблемы.

не согласен с тем что пользователю сложно посмотреть трафик https - ибо посмотреть его не сложнее чем http.

Да что ж такое-то.. и сложнее (нужно делать кучу лишних телодвижений с сертами и следить за ними) и затратнее (мимтпроксти пока не в счёт - это ещё сырой инструмент и не оч удобный. к тому же единственный бесплатный).
Сертификат уже сам по себе лишний и ненужный элемент в системе. А любой лишний элемент - это доп расход ресурвов и снижение надёжности системы в целом. К тому же элемент, который зависит от каких-то сторонних организаций. И доверие к нему - это лишь вопрос веры в эти организации. Можно конечно говорить о доверии к любому закрытому ПО, вплоть до винды и БИОСа да, но серт - это лишний и не нужный элемент. Кроме особых случаев. А вот как раз повальная httpsация и сводит всю идею шифрование на нет.

Насколько легко взломать сайт на Wordpress?

АртемЪ: кста, https://xakep.ru/2011/03/28/55161/ (год 2011 между прочим :) )

Насколько легко взломать сайт на Wordpress?

АртемЪ:

Какого именно толку от него вы собираетесь достичь? Я просто не вижу применения

В НС отрубить ненужную загрузку - можно в течении 0,5 сек. В 2 клика. Из онлайн-монитора. Так же и занести в блеклист.

Вот ещё реальные пример проблемы при медленном канале. Достаточно часто всякие фесбучно-гугловские-етс внедрения в сайт (виждета, метрики и тп) ОЧЕНЬ тормозят его загрузку из-за недоступности оных. До нескольких минут. Это можно увидеть в мониторе НС и отрубить - сайт тут же догрузиться. (да, не асинхронная, но я говорю не о своих, а о чужих сайтах, взгляд со стороны юзера).

Хорошо в данном случае то, что можно отрубить полностью сторонний домен с https (фейcбук и тп) - это не критично, но когда надо отрубить конкретный ресурс (большую гифку, видео и тп) с нужного сайта - тут уже засада. Даже не видишь ЧТО грузиться.

Вот см фейс НС.

В верхней части - лог, в нижней - онлайн монитор. Я не мог сейчас заскринить с тормозным ресурсом, но думаю понятно, что его можно отрубить. В случае с https воще не видно ЧТО грузится, кроме домена.

ничуть не сложнее
..
Полностью согласен.

:) Согласен, что осложняет, но не согласен, что сложнее? :)

Насколько легко взломать сайт на Wordpress?

И кстати, если взглянуть чуть шире, то это проблема не только ВП. Ну и в какой-то мере не столько ВП, сколько кривых серверов. Хотя не спорю - это косяк и ВП в тч.

Насколько легко взломать сайт на Wordpress?

АртемЪ:

handycache не использую - мне просто незачем это.
Учет трафика дома меня не интересует ибо безлимит

В этом и есть одна из причина непонимания проблемы :) Если бы тебя волновали проблемы экономии трафа и скорости - ты бы мог узнать столько нового и полезного :)

чтобы объяснить, что перехват https трафика своего браузера не является чем-то сложным и невозможным.

А я и не говорил, то это невозможно в принципе. Я говорил что это сложнее и требует доп затрат. Начиная от ресурсов ПК и заканчивая финансами.
И повторю - не прокси единым ограничивается контроль. Это просто яркий и понятный (как я думал) пример.

И вроде бы объяснил как в три клика ставится митм прокси - это ничуть не сложнее чем установить тот же хэндикэш.

Установить может и проще (и то не факт). Но толку от него меньше. :)
Но спс, что показал версию для винды. Надо будет глянуть.

Вот см какая была реальная история (просто реальный пример проблемы, которые периодически возникают). В ВП с 47 до 474 был косяк в админке - 3 автовзапускаемых видео. которые вешали ФФ. Т.к. мне приходиться обновлять 10ки сайтов это был кошмар. Я бы на фаерволе (роутера или локального) или в том же НС мог бы залочил их загрузку, но это невозможно, тк они по https. Еле удалось их залочить аблоком (и нафик бы он мне сдался в профиле браузера для разработки сайтов?), но это работа на одном профиле одного браузере, а у меня 5 профилей только в ФФ и 5 браузеров. (но да, для данной проблемы это не оч. критично - обновление ВП только в 2х делаю. Я об общей картине )
И это в принципе можно считать мелочной проблемой, но из таких мелочей и состоит вся жизнь. https, там где он нафик не нужен, только её осложняет.

Насколько легко взломать сайт на Wordpress?

АртемЪ: Да всё это... как "обучающее кино" на ютубе пока смотришь всё ОК, А когда делаешь - понимаешь сколько всего недосказано или вообще фигню показали. Да и даже что это не винда (а это, рискну предположить, до 80-90% юзеров ПК на многих сайтах) .

Но мы отвлеклись. Ты, разве, не согласен, что контролировать и управлять http намного проще, чем https? Нет?

Если нет - тогда ты просто не знаешь как в течении 0,5сек, в 2лика можно отрубить ненужную загрузку в HC, занести с чёрный список и тп. Никакие митмпрокси и вообще линуховое ПО не сравниться с этим по удобствам наглядности и пр. Говорю так, тк юзаю и линух и винду. Но только давай не будем устраивать холивар ещё и по поводу ОС.

Насколько легко взломать сайт на Wordpress?

АртемЪ:

Куда уж проще?

Серьёзно? Винда? Скачать-поставить в 2 клика? :)

Насколько легко взломать сайт на Wordpress?

АртемЪ:

Вот пожалуйста-

:))))))) Ну я ж так и знал. Читателей и теоретиков много, да вот практиков маловато будет :)
Лано, уже ничего нового и интересного не будет.

Приятно было поговорить хоть сколь-нибудь предметно.

Насколько легко взломать сайт на Wordpress?

Этой же квалификации хватит для того чтобы скачать прогаммку которая будет перехватывать https.

Ты не дочитываешь пост до конца, прежде чем отвечать? Я же вроде расжевал, что НЕТ такого (бесплатно и просто), а ты как и не слыхал.

Насколько легко взломать сайт на Wordpress?

Допустим для меня посмотреть что идет в мой браузер по https вообще не проблема, не знаю как для вас.

mitmproxy ? :)

Насколько легко взломать сайт на Wordpress?

АртемЪ:

В обоих случаях требуется некоторая квалификация и понимание работы протоколов

Не поверишь, для того, чтобы увидеть http-трафик на винде достаточно квалификации "скачать и установить программку". Напр бесплатный прокси (тот же HC к примеру)..
А вот что бы видеть и управлять чем-то в https - уже надо как минимуму платить и понимать работу с сертификатами.
Но это лишь одна из проблем с https. Есть ещё много других, но пожалуй достаточно.

Насколько легко взломать сайт на Wordpress?

АртемЪ:

- пожалуйста он может перехватить http трафик перед браузером, точно так же он может перехватить и расшифровать https трафик перед браузером. В чем проблема то?

В том, что ПЕРЕД браузером будет зашифровано. Расшифровывает браузер!
Всё, даже урлы.

Да разницы особой нет перехватывай трафик и блокируй. Разве что https придется предварительно расшифровать, ну так это вообще не проблема.

Ты не можешь ни перехватить ни даже увидеть НИЧЕГО между сервером и браузером . Именно в этом и смысл https (внезапно :) ). Чтобы это можно было сделать - нужно подменить сертификат на посреднике (той же проксе напр). Я не говорю, что это не возможно. Но это уже другой уровень и доп расходы.

Насколько легко взломать сайт на Wordpress?

CommanderLow: про "рядового" я ничего не говорил. Вернее про таких "рядовых" было в первом моём комменте: "Только очень не все это понимают. "

Но это понимают те, кого волнуют задачи и экономии трафа и обеспечения безопасности. Не говоря уже о корп. сисадминах, для которых https - страшный головняк и немалые расходы конторы.

Насколько легко взломать сайт на Wordpress?

АртемЪ:

Поэтому пользователь разумеется может отследить что к нему прилетает.

Пользователь НЕ может ничего увидеть до тех пор пока не расшифрует браузер. Но это он тоже не увидит, а браузер "это" уже запустит.

Элементарный пример: Некий сайт с которого в браузер летят вири. Ну или не вири, а скажем видео, которое юзеру не нужно и только палит дорогой траф. При http юзер может заблокировать напр на локальной проксе (ДО браузера=до выполнения и даже ДО запроса этого документа) по ЛЮБЫМ правилам ЛЮБОЙ урл: по МИМЕ-типу, по типу данных (расширению), по вождению символов в урл и тп. При https он этого не может сделать. Может только полностью залочить сайт. но не отдельные документы.

Насколько легко взломать сайт на Wordpress?

Включи голову! Как раз по причине зашифрованности трафика ЮЗЕР, который думает о безопасности и и для этого мониторит трафик не знает что получает. А когда браузер расшифрует и запустит - будет поздно.

Насколько легко взломать сайт на Wordpress?

Николай: какой-такой бред мы несем, неграмотный?

Насколько легко взломать сайт на Wordpress?

Василий Петров:

В смысле HTTPS для юзеров? Чисто для вида, что сайт "безопасен"?

Кто тебе сказал что САЙТ безопаснее?! Тебя нае обманули. HTTPS - это шифрованный протокол передачи данных, только и всего.
От наличия https сайт НЕ безопаснее ни разу. Скорее наоборот - для юзера он опаснее. тк юзер не может отследить что к нему в реальности прилетает. Только очень не все это понимают.

Как автоматически добавлять текст заголовка на изображение используемое при шаринге в социальные сети?

Генерация изображения с текстом по принципу ватрмарка, только текст надо брать из поста.
Не видел такого готового для ВП. Но не исключаю что имеется.
Если найдешь - маякни ;)

Как полностью закрыть сайт от индексации, по причине вирусного заражения?

Владимир Дружаев: и что не так? Ты не знаешь, что вирям пофик на maintenance ? Или что доступ к шелалм это не закроет? И что они всё рано будут плодиться?
Если бы ты не дописал вторую часть в ответе - вопросов бы не было, я б спасибнул без комментов, но ты же второй частью дал понять достаточность этих мероприятий.