W historii Zaufanej Trzeciej Strony nastąpił przełomowy moment, który powinien mieć miejsce już ponad 3 lata temu, gdy strona startowała. Zajęło to sporo czasu, ale zawsze ważniejsze były artykuły do napisania i brakowało rąk do pomocy.
Ten problem mamy jednak za sobą i możemy z dumą ogłosić: od dzisiaj oficjalnie ZaufanaTrzeciaStrona.pl jest dostępna wyłącznie poprzez szyfrowany protokół HTTPS. Oznacza to, że jeśli Wasze połączenie internetowe jest przez kogoś podsłuchiwane po drodze między Waszym komputerem a naszym serwerem, to złoczyńca praktycznie nie będzie w stanie ustalić, które ze stron naszego serwisu odwiedzacie, czego w nim szukacie ani co piszecie do nas przez formularz kontaktowy. Złoczyńca nie będzie mógł też z tej pozycji na przykład wstrzyknąć dodatkowych treści do naszej strony wyświetlanej w Waszej przeglądarce lub podmienić jej fragmentów. Oczywiście ryzyko takich zdarzeń oceniamy raczej jako niewielkie (nie jesteśmy w końcu WikiLeaks), ale pisanie o bezpieczeństwie zobowiązuje do wyższych standardów. Niedawno na HTTPS jako jedyny oferowany protokół przeszły serwisy takie jak Wikipedia czy Reddit, więc dołączamy do zacnego grona.
Kilka szczegółów technicznych
Z punktu widzenia obsługi HTTPS proces nie był szczególnie skomplikowany. Korzystamy z CloudFlare, zatem po prostu poprosiliśmy go o włączenie HTTPS. Problemy zaczęły się potem. Najpierw trzeba było poprawić wszystkie linki i obiekty w serwisie, by były serwowane po HTTPS zamiast HTTP. Kiedy już to się udało (nie powinno już być ostrzeżeń o mieszanej treści), to okazało się, że CloudFlare używa SNI, rozszerzenia protokołu TLS, które nie jest obsługiwane przez wszystkie przeglądarki. Początkowo byliśmy zdania, że jeśli ktoś korzysta z Windowsa XP albo Androida starszego niż 3.0 to jest to raczej jego problem (i to z punktu widzenia bezpieczeństwa dość poważny), jednak kilka głosów zrozpaczonych wiernych Czytelników w końcu nas przekonało i wykupiliśmy w CloudFlare odpowiednią usługę, by wszystkie przeglądarki były obsługiwane bez wyjątków (co nie znaczy, że nie namawiamy do odejścia od XP…). Jako że CloudFlare szyfruje tylko ruch między swoimi serwerami a Waszymi urządzeniami, w kolejnym etapie także zaszyfrowaliśmy połączenie między naszym serwerem z CloudFlare (wystarczył własnoręcznie podpisany certyfikat, który i tak widzi tylko CloudFlare). Skutkiem tych zabiegów jest ocena „A” w serwisie SSL Labs (by otrzymać 100% w każdej kategorii trzeba jednak odrzucić część połączeń starszych przeglądarek, a nie chcemy aż tak bardzo utrudniać Wam życia).
Idealnie nie jest, ale przynajmniej większość użytkowników może stronę zobaczyć
Nie wiemy, czy jesteśmy pierwszym odrobinę popularnym serwisem informacyjnym w Polsce, który zdecydował się na ten ruch, ale mamy wielką nadzieję, że nie ostatnim. Teraz będzie nam łatwiej namawiać do tego pozostałych. Projekt migracji jednak nigdy by się nie zakończył, gdyby nie nieoceniona pomoc Krystiana Kochanowskiego, który sam wykonał dla nas całą czarną robotę związaną z przejściem na HTTPS. Dziękujemy! Krystian wprowadził także kilka rozwiązań poprawiających wydajność serwera – zobaczymy przy okazji najbliższego Wykop efektu na ile będą skuteczne. Drobnej zmianie uległ także wygląd strony – mamy nadzieję, że jej lektura będzie jeszcze przyjemniejsza.
W związku ze skalą zmian prosimy o zgłaszanie wszelkich problemów z funkcjonowaniem strony. Mimo tygodnia testów i wielu poprawek może się jeszcze zdarzyć, że coś nie zadziała. Dajcie znać a naprawimy.
Komentarze
problem z polskimi znakami
Niestety z jasnowidzeniem u nas marnie, więc podeślij proszę opis problemu, system, przeglądarkę i najlepiej zrzut ekranu…
Klasyk – polski font wyświetla się nie z Waszego wybranego zestawu.
U mnie W8.1 i Chrome
Wojtku drogi, zanim kiedyś gdzieś podniesiesz zbliżony problem, bądź łaskaw poświęcić odrobinę czasu i wrzucić testowaną stronę chociażby na browsershots.org
aby zweryfikować czy to co widzisz w swojej przeglądarce powiela się gdzieś jeszcze.
U mnie (najnowsze Safari+OS X) nie ma żadnych problemów z wyświetlaniem stron.
Iceweasel 38.* na Debianie 8.1 KDE wszystko działa.
Dziwne, u mnie działa :-)
Adam, serwis pracuje zacnie, bez jakichkolwiek problemów.
dzięki. ;)
Hmm, przy tych wynikach da się osiągnać ocene A+ jeszcze ;-)
https://www.ssllabs.com/ssltest/analyze.html?d=codepot.pl
tylko nie wie czy CF pozwala ;-)
CF nie pozwala :-(
No świetnie, lepiej późno niż wcale.
Patrząc na resztę serwisów związanych z bezpieczeństwem – można się za głowę złapać. Tacy wylewni w tych tematach a podstawowe sprawy leżą. Wstyd.
To takie… niezwykłe? :O
Od momentu, kiedy Google woli HTTPS-owców, moja strona ma SSL z dokładnie takimi samymi wynikami, lecz niestety tylko dla SNI. http://wrzuc.se/images/5585b7cb3b8c2.png
Tak, też używam CloudFlare. Nie, nie znam się na bezpieczeństwie. A moja strona to tylko moje portfolio webmastera.
Na prawdę nie rozumiem, dlaczego musieliście prosić kogoś z zewnątrz, by włączył Wam obsługę SSL… :O Czyż to nie Wy jesteście od bezpieczeństwa, a skonfigurowanie tego wszystkiego, zajmuje mniej niż 2 godziny? Jak wspomniałem, nie znam się na bezpieczeństwie, a sam ogarnąłem instalację normalnego certyfikatu na dedyku z linuksem, self-signed na hostingu i włączenie obsługi „wyłącznie SSL” na CloudFlare.
Ale bądź, co bądź, gratulacje za https :)
Nie jest łatwo być jednocześnie dziennikarzem i administratorem, o rolach społecznych nie wspominając. Doba ma tylko 24h…
Rozumiem, sam często różne rzeczy odkładam na potem, bo nie mam czasu, a i tak kilka rzeczy na raz robię. Doba jest faktycznie za krótka, ale bez przesady, że 3 lata w sumie to robiliście :) (patrząc na to, ile zwlekaliście)
Mnie bardziej zbulwersował sam artykuł – chwalenie się czymś oczywistym w taki sposób, a dokładniej pisanie w takim stylu, jakby to była wiedza tajemna do tego stopnia, że musieliście to zlecić komuś innemu. Wydaje mi się, że ta strona, tematyka tej strony, nie jest dla mas, tylko dla pewnej wąskiej (ale nie za bardzo wąskiej) grupy osób i spora część wie, że nie należy to do najtrudniejszych zadań, a pozostałym wmawiacie (nieświadomie), że to trudne („z3s wprowadziło szyfrowanie dopiero teraz, mieli problemy z elementami na stronie, bo nie chciały się wczytywać po HTTPS, więc wygląda na to, że to dość trudne”).
Co mnie osobiście by zadowoliło? Opisanie przypadku. Co, jak, dlaczego. Aktualnie tylko jest co oraz główne dlaczego. Brak faktycznych szczegółów (z wyjątkiem SNI, gdzie jest co się stało, dlaczego i jak temu zapobiec).
(tak, zawsze musi być ktoś, kto się przyczepi, tym razem będę to ja. Mam nadzieję, że wystarczająco konstruktywnie skrytykowałem :)
Co do trudności – wymieńmy może polskie serwisy informacyjne powyżej 100 tysięcy miesięcznych użytkowników które wdrożyły HTTPS only skoro to takie proste :) Ja zacznę:
1. zaufanatrzeciastrona.pl
Strona stronie nie równa. Przełączenie niektórych zajmuje 2 godziny, innych 2 miesiące albo i więcej (pracowałem przy takich projektach). Ocena na podstawie własnych doświadczeń, nie zawsze będzie właściwa.
z artykułu wynika, że zmiana nie tylko dotyczy https
A co z weekendową lekturą? :)
Przeciez to roboty na 2h, nie ma sie czym chwalic, niestety zacofanie jest tak duze, ze jestescie wyjatkiem.
Co do Cloudflare, to czy tylko ja uwazam, ze wykorzystanie ich stanowi wade z perspektywy bezpieczenstwa it?
Opisz swój model zagrożeń, w którym użycie CloudFlare stanowi wadę z perspektywy bezpieczeństwa IT.
W naszym modelu zagrożeń realne są ataki DDoS oraz prawie-0-day na elementy WWW, a przed takimi CloudFlare nas zabezpiecza.
state-sponsored attack. A tak na poważnie, to niekorzystanie z firm amerykańskich to, w czasach ich tajnych nakazów sądowych i innych rzeczy, kwestia smaku, tak, smaku.
Do tego z pewnością dla NSA trudniej byłoby zrobić listę czytelników z3s i przeprowadzić na nich watering hole attack gdyby strona była hostowana (w kompetentnym DC) w Polsce bez żadnych proxy w stylu CF.
Ok, można powiedzieć, że takiego ataku na polski ryneczek można się bardziej spodziewać ze strony poslkich służb, wtedy faktycznie CF może być dla nich nie do przejścia :)
Trochę paranoi z mojej strony :)
Jako potencjalny informator zastanowiłbym się czy, aby Cloudflare nie jest 'gumowym uchem’, czy aby nie przechwyci i nie przekaże np. co łączy GRU, byłego polskiego premiera, CA i Google.
To może prościej użyć PGP?
to może firmę załóż „SSL w 2h bo to proste” i jak taki mędrzec z ciebie to spokojnie będziesz bogaty?
Myslisz, ze byliby na to klienci? Ogolnie jestem na etapie rozkrecania czegos podobnego, ale pomysle o Twoich wskazowkach.
fajnie, też ostatnio sieknąłem https’a w sklepie który przygotowuję, a teraz dzięki wam potwierdziłem swój zamiar wykupienia ClaudFlare Pro :) Dzięki!
W pełni rozumiem, że temat outsorsowaliście. Ja ze względu na ograniczone środki i brak pośpiechu zdecydowałem się samodzielnie podejść do tematu….ogarnięcie wszystkiego zajęło mi spokojnie dwa popołudnia…ale byłem zielony jak kłódka przed httpsem. Teraz faktycznie zrobiłbym w mniej niż dwie godzinki..;)
pierwszy raz chyba was komentuje ale śledzę od zawsze! :)
Gratulacje.
Ale moglibyście przy okazji zmian dorzucić gdzieś link włączający opcjonalnie inny styl strony – taki normalny – czarne literki na białym tle, bo człowiek oczopląsu dostaje.
Konkurencja też tak brzydko ma.
Przy dłuzszych artykułach i wielu komentarzach jest to naprawdę dość uciążliwe.
Przy okazji – usunięcie z głównej strony informacji o ilości komentarzy do artykułu to też nieładne posunięcie. Wczesniej wiedziałem czy jest coś nowego do czytania, a teraz to już bezsensowne nabijanie klików.
„ładniej, szybciej i bezpieczniej” – co jest ładniejsze? W wersji normalnej nie widzę różnicy i dalej jest raczej brzydka. Za to wasza wersja mobilna jest ładna. Choć na wygląd tej strony za bardzo się nie skarżę, bo nadrabiacie treścią :-)
Wy jesteście tacy specjaliści jak ten wasz specjalista co wam pomagał konfigurować notatnik.a Tka samo wielki specjalista jest niebezpiecznik, ciekawe kiedy się wykoleicie tak jak potral hacker, haker itd.
wyrobiłeś normy w banku?
Ja się wypowiem w ten sposób, że z3s polubiłem przez bardzo przemyślane i obszerne artykuły oraz dobrze opisane, racjonalne newsy na konkretne tematy, jednak od mniej więcej 3 miesięcy z3s po prostu porzuciło swój własny poziom. Może to wina dumnie prezentowanego „sponsora”, a może to maybeline, nikt nie wie. W każdym bądź razie, z IT security weszliśmy na poziom IT Pudelek (nooooo dobra, niech nikt się nie czepia, z3s i tak w ogólnym rozrachunku jest lepszym pudelkiem niż Konieczny :P).
strzel jakiś artykuł, pośmiejemy się razem :D
Chciałbym chciałbym, niestety nie operuję językiem polskim na takim poziomie, byś mógł mnie zrozumieć ;)
> jednak od mniej więcej 3 miesięcy z3s po prostu porzuciło swój własny poziom.
Teksty przestały być pisane pod ludzi z branży, a zaczęły pod gimbusów z wykopu, bo to daje odwiedziny. To samo było z pudelkiem ze 2 lata temu.
Oj,
OS X 10.10.3
Safari 8.0.6
[IMG]http://i59.tinypic.com/xda0jo.png[/IMG]
przecież to specjalny format reklamy ;)
Nie macie A+, bo:
1. Trzeba by właczyć HSTS
2. Macie podpis w SHA1
Poprawcie i będzie super
Ale wysłałeś to do Cloudflare?
Po czo, jeśli CloudFlare oferuje możliwość ręcznego aktywowania HSTS? ;)
Stronka chodzi błyskawicznie :)
„to złoczyńca praktycznie nie będzie w stanie ustalić, które ze stron naszego serwisu odwiedzacie, czego w nim szukacie ani co piszecie do nas przez formularz kontaktowy.” = marzenia.
No ok. Poświęciliście szanownego pana Krystiana, aby wdrożył Wam certyfikat SSL – i po stronie CloudFlare, i own hosted, ale po co? Co tu szyfrować poza formularzem kontaktowym (który de facto jest absurdem, w dobie, gdy mamy skrzynki pocztowe wraz z możliwością załadowania PGP ;)).
https://niebezpiecznik.pl/ – oni też mają SSL, ale nie jest wystawione publiczne. Jest tylko wtedy, gdy tego potrzeba, np. na formularzu kontaktowym. A to, że posiadacie te pełne szyfrowanie, nie czyni Was serwisem wyjątkowym czy wyróżniającym się spośród reszty, a serwisem, który czyni Was jednym z wielu, którzy muszą się chwalić takimi oczywistkami.
W każdym razie, miło widzieć chociaż brak przejawu ignorancji wobec takich 'oczywistek’… ;)
Czy zmiana ma coś wspólnego z faktem, że ostatnio przez jakiś czas zamiast „Patronem serwisu jest …” wyświetlało się XSS (
alert(’LogicalTrust’);)?Nie, to taka reklama i dalej się wyświetla
Racja, teraz zauważyłem.
A ja w pełni popieram całkowite przejście na ruch szyfrowany. Dla mnie to nie jest kwestia mody, tylko ukłon w stronę czytelników. Tak jakby nawiązując do waszej nazwy, tego elementu brakowało aby „zaufana” znaczyło co powinno.
Ostatnio tyle się dzieje w temacie szyfrowania/ SSL-a, TLS-a, że jakoś na dalszy plan zeszła koncepcja PKI i „web of trust”. Gdzieniegdzie (za oceanem) pojawiają się wskrzeszenia w temacie „Let’s encrypt” i nie mają one wyłącznie na celu atrybutu poufności komunikacji.
Co do SSL Labs to dzisiejsze skany wykazują słaby podpis dla certyfikatu (SHA-1), moze warto przesiąść się na nowszy (SHA-2) po tym 11 Października?
Ino dodajcie teraz flagę do cookies, skoro już secure.
LMDE i firefox 38.0.1 czasami pojawiają się punktory przy tematach w kolumnach po prawej a czasem nie (bez nich jest lepiej)
„jesteśmy pierwszym odrobinę popularnym serwisem” – ale po co ta skromnośc chłopaki? NB został w tyle jakis czas temu, solidnie wymiatacie…
Serio został w tyle?
Ilość komentarzy na to nie wskazuje. Jesli ilość odwiedzin przekłada sie na ilość komentarzy to chyba jeszcze w tyle nie został.
Przydały by sie jakieś staty…
Wg naszych szacunków proporcja ruchu z3s do nbzp utrzymuje się w tym roku w proporcjach jak 1 do 3.