Немного безопасности для наших сайтов

Привет, друзья!

В честь дня сисадмина, мы наконец-то озаботились безопасным соединением для наших сайтов. Последней каплей стала вот эта заметка на Хабре.

Получены сертификаты для доменов modx.pro, simpledream.ru и bezumkin.ru.

Эти сайты теперь доступны только через протокол https. То есть, все соединения вашего браузера с ними зашифровано, и никто не сможет перехватить данные, что особенно актуально при работе на хостинге и в магазине.


Хоть основной контент страницы и зашифрован, она может содержать ссылки на незащищенные ресурсы: шрифты, картинки или javascript, расположенные на других доменах.
По хорошему, эти ресурсы тоже нужно грузить через https, о чем сигнализирует значок в строке адреса.


Поэтому, с сегодняшнего дня вставлять картинки можно только с протоколом https. Если вы будете вставлять картинки с незащищенных сайтов — получите ошибку. Ссылки можно давать куда угодно, а вот вставка изображений в теге img — только на https.

Напоминаю, что у нас давно работает "Файлохранилище" — очень удобный сервис, на котором есть мультизагрузка, обрезка, превьюшки и https.
Василий Наумкин
Василий Наумкин
25 июля 2014, 12:22
modx.pro
2 393
+4

Комментарии: 21

Alex Vakhitov
Alex Vakhitov
25 июля 2014, 19:34
+2
Благо цены упали на сертификаты, когда делал сайты всегда клиентам советовал закрывать все важное под https
    Sergey Leleko
    Sergey Leleko
    25 июля 2014, 21:20
    0
    Василий, как у них щас со скоростью выпуска сертификатов и стабильность работы личного кабинета? делал 2 года назад сертификат, задолбался страшно. Хотя цены конечно приятные
    Ivan Shvindin
    Ivan Shvindin
    26 июля 2014, 09:50
    0

    Остальные как положено.
      Василий Наумкин
      Василий Наумкин
      26 июля 2014, 12:49
      0
      Это потому, что там картинка с radikal.ru в одном из тикетов.

      Перезалил на modx.pro, теперь всё ок.
      Антон Слободчук
      Антон Слободчук
      26 июля 2014, 23:05
      0
      Ребята, про Heartbleed слышали? Проверьте modx.pro и simpledream.ru
        Василий Наумкин
        Василий Наумкин
        26 июля 2014, 23:26
        0
        Обновил — possible.lv/tools/hb/?domain=modx.pro
          Антон Слободчук
          Антон Слободчук
          26 июля 2014, 23:35
          0
          Ну и для справки: есть мнение, что поисковики не умеют правильно индексировать SSL, поэтому обычно на https вешают только часть сайта — авторизацию, личный кабинет и т.п. Но я уверен, что у вас своя сложившаяся точка зрения на это.
            Василий Наумкин
            Василий Наумкин
            26 июля 2014, 23:38
            0
            Во и проверим.

            Кстати говоря, самый известный поисковик сам работает через https.
        Николай
        Николай
        28 июля 2014, 09:31
        0
        чушь написал
          Николай
          Николай
          28 июля 2014, 11:48
          0
          а непосредственно в самом modx надо что-то настраивать или настроек nginx достаточно? server_protocol — https например?
            Василий Наумкин
            Василий Наумкин
            28 июля 2014, 14:05
            0
            base_url надо поменять на 
            https://адрес_сайта.ru
              Николай
              Николай
              28 июля 2014, 15:58
              0
              2 часа искал косяк…
              После объединения сертификатов встали в одну строку строки
              -----END CERTIFICATE----------BEGIN CERTIFICATE-----
              надо было ручками разделить
              -----END CERTIFICATE-----
              -----BEGIN CERTIFICATE-----
              может кому пригодится

              Теперь в админке пишет, что всё ок — замочек нарисован. А во фронте пишет, что есть незашифрованные картинки. Василий, как картинки шифровать и тоже разрешить их грузить только с https? Гугля не помог.
              Особенно интересно, что делать с аватарами тянущимися ото всюду по http
                Василий Наумкин
                Василий Наумкин
                28 июля 2014, 16:25
                0
                Никак. Все картинки должны грузиться с https — нужно менять все ссылки.
            Владимир
            Владимир
            08 августа 2014, 17:18
            0
            Кстати: Google вознаградит сайты, которые защищают данные пользователей и используют протокол https rublacklist.net/8129/
              Павел Левин
              Павел Левин
              08 августа 2014, 18:36
              0
              а если у ресурса нет кнопки «регистрация» и он не хранит юзерские данные)? что красть)? Дадут мега бонус? в виде мега шыша? xD
                  Павел Левин
                  Павел Левин
                  08 августа 2014, 19:35
                  0
                  Не знал, не думал… хотя сам использую Билайн, но таких тулбаров нет.
                  Но на некоммерческий ресурс, хз зачем https. Возможно резон есть, если планы велики), но в моём случае это излишние траты, я до сих пор жду желающего заняться плагином =) хотя прошло не так много времени.
              Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
              21