Za drogo? Ustaw alerty cenowe na e-booki i kupuj taniej!

Świat Czytników na HTTPS

Krótkie ogłoszenie: dziś w nocy przełączyłem bloga na protokół https czyli tzw. bezpieczne połączenie.

Zapewnia ono, że transmisja między Waszym komputerem, a serwerem jest szyfrowana, a na pasku adresu zobaczycie charakterystyczną kłódeczkę.

Taka zmiana nie była w zasadzie konieczna, bo nie ma tu np. sklepu, ani innego miejsca, gdzie trzeba się logować. Jednak od pewnego czasu przeglądarki (np. Chrome) zwracają uwagę, że strona jest „niezabezpieczona”, podobno wpływa to też na pozycję w Google. Protokół https jest też ponoć nieco szybszy.

Aktualizacja: po przyjrzeniu się tematowi wycofuję się z deklaracji, że „zmiana nie była konieczna” – zgadzam się, że każdy blog powinien dziś mieć https.

Parę rzeczy może nie działać (usunąłem chwilowo widżet z promocjami dnia Ebookpoint) i będę to poprawiał, ale jeśli coś się popsuło z Waszego punktu widzenia, to piszcie w komentarzach.

Aktualizacja: RSS już działa. Strona może nie wczytywać się na Internet Explorer dla Windows XP oraz na systemie Android 2.x.

Dodam, że od ponad roku na https działa porównywarka.

Autor zdjęcia: Yuri Samoilov, CC-BY 3.0

Czytaj dalej:

Artykuł był przydatny? Jeśli tak, zobacz 6 sposobów, na jakie możesz wspomóc Świat Czytników. Dziękuję!

Ten wpis został opublikowany w kategorii Ogłoszenia. Dodaj zakładkę do bezpośredniego odnośnika.
Hosting: Zenbox

68 odpowiedzi na „Świat Czytników na HTTPS

  1. Adasss pisze:

    Myślę, że jakiś tam sens to ma. Podajemy tutaj np. swoje e-maile. Wcześniej to pewnie leciało przez sieć otwartym tekstem, teraz to będzie zaszyfrowane. Chyba mała szansa, żeby komuś chciało się to przechwytywać „po drodze”, ale zawsze to lepiej gdy nie musimy się nad taką możliwością zastanawiać.

    0
    • z pisze:

      Chmm,
      Na pewno ten co chciałby adresy mailowe przechwytywać „po drodze” nie będzie wiedział, że potem może je przeczytać bez problemu na stronie z komentarzami :)
      z.

      0
      • Robert Drózd pisze:

        Na jakiej stronie z komentarzami? Adresy nie są wyświetlane w żadnym miejscu dostępnym publicznie.

        0
        • Athame pisze:

          Tak Ci się tylko wydaje…

          2
          • Robert Drózd pisze:

            Jeśli Tobie się nie wydaje, a wiesz, to oznacza, że znalazłeś dziurę w zabezpieczeniach WordPressa lub bloga, którą powinienem najszybciej załatać. Wyślij mi proszę na priva, gdzie to znalazłeś.

            5
            • Athame pisze:

              Nie ma żadnej dziury (przynajmniej mi znanej). Adresy e-mail wyciekają przez gravatar. Ja tam nie mam konta, więc moje (zmieniałem dwa razy) nie wyciekły (tym kanałem).

              0
              • Robert Drózd pisze:

                A jest jakieś potwierdzenie że wyciekają? Bo jak wynika np. stąd: https://www.wordfence.com/blog/2016/12/gravatar-advisory-protect-email-address-identity/ problem wynikał z tego, że używali hasha md5 i w ten sposób znając czyjś adres, można znaleźć, gdzie komentował w sieci.

                0
              • bobasekp pisze:

                Robercie, przecież „Świat czytników” zawiera dane osobowe użytkowników. Jeżeli ktoś je zmienia lub też rejestruje się jako nowy użytkownik, to te dane są transmitowane w sposób niezabezpieczony.
                Zmiana była konieczna, szkoda, że tak późno. Przeglądarka Chrom i inne chyba jednak wiedzą lepiej …
                Trochę dziwi mnie Twoje podejście typu „Zmiana nie była konieczna … „. Jeżeli by nie była, to by „Świat czytników” nie wydawałby pieniędzy na jej wdrożenie.

                2
              • Marek pisze:

                @bobasekp
                Certyfikaty ssl są darmowe od ładnych paru lat. ;)

                0
              • Szymon pisze:

                @Marek, nie, nie są darmowe. Można dostać darmowy od Let’s Encrypt, ale pisanie, że ogólnie certufikaty SSL są darmowe, to mocno naciągane stwierdzenie.

                4
      • Sławek pisze:

        A mógłbyś podać adres tej strony, na której widzisz te adresy? Bo jakoś nie potrafię znaleźć, a chciałbym zerknąć.

        0
    • Marek pisze:

      Nie mówcie, że podajecie tutaj swoje prawdziwe maile…

      2
  2. Gieniak pisze:

    Zgłaszam zatem, że apka dla Androida przestała działać. Daje ciągle komunikat o braku internetu.

    0
  3. Tomkyf pisze:

    Zmiana w dobrą stronę :)
    Proponuję zwerfikować certyfikat. Łączę się z firmowej sieci poprzez Cloud Proxy. W tym przypadku ZScaler i proxy klasyfikuje certyfikat jako niezaufany i nie pozwala na połączenie.

    Komunikat:
    We found a security threat.
    Access denied due to bad server certificate
    You tried to visit:https://swiatczytnikow.pl/

    Pozdrawiam

    0
  4. Marcin pisze:

    Jak jestesmy przy zmianach, to ja bym prosil o przechowywanie sesji porownywarki, zebym sie nie musial logowac za kazdym razem.

    1
  5. BorQ pisze:

    To jak już o technologiach, to ciekawostka z cyklu startup’ów https://igg.me/at/Gligo. Smartwatch z e-ink oraz podobno prawie 2 letnim podtrzymaniem pomiędzy ładowaniami.

    1
    • Adasss pisze:

      Źle przeczytałeś. 2 lata wytrzymuje bateria guzikowa do podtrzymania zegara kwarcowego. Do ekranu jest osobny, ładowany, wbudowany akumulatorek, i ten ma wytrzymać na jednym ładowaniu „tylko” 180 dni ;)

      2
  6. Eczytanie pisze:

    Jeśli korzystasz z jakiś programów partnerskich, gdzie zlicza Ci ruch z twojej strony z wykorzystaniem Google Analytics, to mogą się pojawić problemy ze zliczaniem ruchu. Pomaga dodawanie paremetrów na końcu linku.

    0
  7. xpil pisze:

    https nie jest szybszy od http. Poza tym wszystko działa, kłódka jest zielona.

    Pozdrawiam zza blogowej miedzy!

    1
    • Robert Drózd pisze:

      Tego akurat nie wiem, po prostu przeczytałem ten artykuł: https://websitesetup.org/http-to-https-wordpress/ gdzie był link do tego testu: http://www.httpvshttps.com/ – acz nie wiem, czy to nie jest jakiś zaawansowany trolling.

      0
      • Athame pisze:

        Wygląda na żart. Jakim cudem dane o wielkości w najlepszym przypadku równej danym bez szyfrowania, a w najgorszym odczuwalnie większe, miałyby być przesyłane szybciej? W moich testach wyszło, że strona bez „s” ładuje się szybciej, ale nie o istotne wartości.

        0
        • Marek pisze:

          @Athame
          Przyspieszenie wynika ze zrównoleglenia połączeń, które strona robi do serwera o różne zasoby (obrazki, ikonki, pliki javascript, itp.)
          Podlinkowany przykład jest dosyć jaskrawy – mamy dużo małych ikonek. Stary protokół (http/1.1) mógł jednocześnie ściągać 8 (albo 4, nie pamiętam) takich obrazków. Wprowadzenie https pozwala na korzystanie z protokołu http/2, który takich ograniczeń nie ma i jednocześnie implementuje kilka innych rozwiązań zwiększających prędkość przesyłu danych (np. serwer push, gdzie serwer sam może przesłać do przeglądarki dane zanim ta o nie poprosi).
          Wbrew temu co wielu ludzi sądzi, na prędkość wczytywania strony ma wpływ nie tylko jej sumaryczna wielkość (rozmiar pliku html+css+js+obrazki), ale też (i czasami to jest nawet ważniejsze) ilość żądań, które strona wysyła do serwera (czyli np. ilość obrazków na stronie). Otwarcie i zamknięcie połączenia zajmuje parę dodatkowych milisekund, nie ma to znaczenia jak ściągamy jeden plik, ale jak jest ich więcej to czasy te liczymy już w pełnych sekundach. Dokładnie to obrazuje zalinkowana strona, gdzie ikonki są małe, ale jest ich stosunkowo dużo. Gdyby stworzyć z nich jeden plik, ten plik przesłał by się błyskawicznie. Ale ponieważ w wersji http/1.1 (bez https) strona musi otworzyć 100 połączeń i w dodatku musi ściągać te ikonki sekwencyjnie (tylko po kilka na raz) to trwa to nieporównywalnie dłużej niż w wersji z https (http/2) gdzie wszystko leci równolegle.

          Możesz spróbować sobie zerknąć w Chrome Dev Tools (naciśnij F12 w przeglądarce), w zakładkę Network (Sieć). Otwórz każdą ze stron patrząc na tą zakładkę. Tam zobaczysz na ładnych wykresach w jaki sposób ładują się zasoby w http/1.1 a jak w http/2

          3
          • Athame pisze:

            Douczyłeś mnie. HTTP/2 rzeczywiście ma znaczenie. Wałek polega na tym, że ta wersja protokołu technicznie może działać także na http/1.1, ale najpopularniejsze przeglądarki blokują to.

            Jednak test jest na specjalnie spreparowanych danych – czyli ustawiony – na moich stronach HTTPS był wolniejszy od HTTP (mimo to wszędzie mam wersję z „s”).

            0
      • Marek pisze:

        To NIE jest trolling i druga zalinkowana przez Ciebie strona bardzo dobrze pokazuje korzyści z wprowadzenia https. Https sam w sobie nie wpływa na prędkość ładowania strony, ale umożliwia przeglądarkom korzystanie z protokołu HTTP/2 (zamiast starego 1.1). To właśnie nowy protokół daje przyspieszenie. Sprawdziłem – masz włączony HTTP/2, czyli wszystko ok. (więcej informacji: https://en.wikipedia.org/wiki/HTTP/2)

        0
        • Szymon pisze:

          @Marek, cert Roberta jest od nazwa.pl, więc pewnie tam poczytał o tym, jak to strony z HTTPS są szybsze. A tutaj kontra do tego, co wypisuje sobie nazwa.pl: https://forum.rootnode.pl/topic/87-opinie-o-nazwapl/?do=findComment&comment=7471 ;)

          Podsumowując – jak zawsze wszystko zależy od danego wdrożenia. :)

          0
          • Robert Drózd pisze:

            Nie, nie poczytałem w nazwie. :) I faktycznie średnio jestem zadowolony z obsługi tam, więc pewnie w przyszłym roku poszukam innego certyfikatu. Jeśli możecie coś polecić to poproszę (tu lub na prv).

            0
            • Athame pisze:

              Dlaczego nie skorzystasz po prostu z wystawionego przez Let’s Encrypt?

              Może specjalista Marek (to nie jest ironia!) poda jakieś argumenty przeciw. Sam korzystam na kilku stronach i nie mam z nimi problemów.

              0
              • Marek pisze:

                Jedyny argument przeciw, który przychodzi mi do głowy jest taki, że trzeba go odnawiać co 3 miesiące. Oczywiście proces jest zautomatyzowany, ale trzeba umieć sobie ustawić skrypt po stronie serwera, który będzie to robił.
                Poza tym same zalety.

                0
            • Marek pisze:

              Let’s Encrypt albo bloga wstawić za Cloudflare – wystawią darmowy certyfikat.
              A z komercyjnych i tanich to chyba Comodo.

              1
        • Radek pisze:

          „Https sam w sobie nie wpływa na prędkość ładowania strony”
          Oczywiście, że wpływa. Narzut TLSowego handshake’u, do tego czas potrzebny dla przeliczenia kryptograficznych funkcji (szyfrowanie, podpisywanie). Jak ja to mówię: praw fizyki nie oszukasz ;)

          0
  8. Mateusz "Koovert" Wołczyk pisze:

    Arrr! Robert! Dlaczego piszesz, że „taka zmiana nie była w zasadzie konieczna, bo nie ma tu np. sklepu, ani innego miejsca, gdzie trzeba się logować”?
    Była konieczna!
    https://www.troyhunt.com/heres-why-your-static-website-needs-https/

    4
  9. Dziad z lasu pisze:

    „[…] transmisja między Waszym komputerem, a serwerem jest szyfrowana […]”
    Czyżby autor zakładał, że wszyscy tu zaglądający dysponują tylko jednym komputerem? A co ze smartfonami? Chyba że chodzi o „my, król”, w takim razie przepraszam.
    Przypominam również, że nazwy własne się odmienia („Strona może nie działać w Internet Explorerze dla Windowsa XP oraz w systemie Android 2.x.” – tak to powinno wyglądać).

    2
  10. czytelnik40 pisze:

    Niestety jak dla mnie to strzał w stopę – nie mogę teraz otworzyć strony, wyświetlany jest komunikat: „błąd certyfikatu strony”. Szkoda…..

    0
    • Athame pisze:

      To jak tu wszedłeś i zostawiłeś komentarz?

      2
    • Robert Drózd pisze:

      A z jakiej przeglądarki i systemu korzystasz? W tym momencie problem powinni mieć tylko użytkownicy IE pod Windows XP oraz Androida 2.x. Według statystyk z poprzedniego miesiąca to jest łącznie ok. 40 osób.

      0
  11. Marek pisze:

    > „Taka zmiana nie była w zasadzie konieczna, bo nie ma tu np. sklepu, ani innego miejsca, gdzie trzeba się logować. ”

    Od czasu do czasu, pojawiały się kiedyś na tym blogu wpisy, gdzie „masakrowałeś” Robercie dziennikarzy, którzy pisali na temat czytników e-booków bez dogłębnej znajomości tematu. Ich artykuły były w najlepszym razie płytkie, w najgorszym zawierały po prostu bzdury i słusznie punktowałeś słabości każdego takiego tekstu.

    Niestety doszliśmy do etapu, gdzie tym razem Ty wyraziłeś opinię, nie posiadając wystarczającej wiedzy na ten temat. Co więcej jest to zdanie nie tylko nieprawdziwe, ale i szkodliwe. Nie jestem blogerem, nie mam za bardzo weny, żeby napisać konstruktywną „masakrę” Twojej wypowiedzi (zwłaszcza, że wyprodukowałem już dłuższego posta powyżej). Dlatego krytykę pozostawię innym, mądrzejszym ode mnie: https://www.troyhunt.com/dont-take-security-advice-from-seo-experts-or-psychics-neil-patel/ (link do tego bloga już tu się wyżej pojawił, ale to jest inny artykuł).

    Żeby nie było, że opieram moje wynurzenia na podstawie jakichś (chociaż nazwanie blogu Troya Hunta „jakimś” to pewne nadużycie, każdy w branży go zna) blogów – pracuję przy tworzeniu aplikacji internetowych od 8 lat, miałem udział w tworzeniu wielu stron, dla dużych korporacji, banków, itp. Moich klientów migrowałem na https zanim to się stało popularne (zanim jeszcze certyfikaty ssl stały się darmowe i zanim jeszcze pojawił się protokół http2).

    Jeżeli mógłbym Cię prosić – wyedytuj to nieszczęsne zdanie, masz wielu czytelników, niektórzy z nich mają swoje strony internetowe po przeczytaniu Twojego stwierdzenia mogą zaniechać przejścia na https. To nie byłoby dobre ani dla nich ani dla ich czytelników/użytkowników.

    3
    • Robert Drózd pisze:

      Tylko to jest tak: to nie jest blog o administracji serwisami www, a o czytnikach i e-bookach. Nie ukrywam, że się na tym nie znam. Owszem, zajmowałem się tworzeniem stron internetowych, ale to było kilkanaście lat temu. Ponieważ wiedziałem, że przejście na https może mieć skutki uboczne, uznałem za stosowne poinformować czytelników.

      Jeśli ktoś prowadzi swój serwis, informacje na tematy techniczne będzie czerpał od zawodowców takich jak Troy Hunt, a nie ode mnie.

      Masz rację, że to początkowe zdanie nie było przemyślane i muszę się z niego wycofać. Zresztą jak sobie dzisiaj zrobiłem przegląd popularnych blogów, które czytam, to sporo już przeszło na https – z tym, że autor żadnego z nich tego nie ogłaszał.

      0
      • Athame pisze:

        Może poprawisz też błąd na temat zasobności słów we WSAP-ie i BuMato, o którym napisałem w komentarzu pod wpisem o słownikach. Oczywiście nie musisz wierzyć mi na słowo – te wartości możesz sam dość łatwo zweryfikować. Natomiast bezrefleksyjne wklejenie bełkotu wydawcy jest cokolwiek niepoważne.

        0
        • Robert Drózd pisze:

          Ale dlaczego ten temat poruszasz tutaj? Jeśli analizowałeś liczbę słów w obu słownikach, chętnie podam tam link do takiej analizy.

          Inna sprawa, że WSAP chwilowo nie kupimy i możliwe, że ta chwila się przedłuży.

          0
  12. rrr pisze:

    czyli nie przeczytam na k keyboardzie
    szkoda
    teraz niestety wszystkie maja ‚bledny certyfikat’ i sie nie wyswietlaja

    0

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Przed dodaniem komentarza zapoznaj się proszę z zasadami komentowania i polityką prywatności

Komentarze do tego artykułu można śledzić także w formacie RSS.