Re: Problemes d'acces webs catalanes amb FF
Hola,
On Jan/30/2021, Ermengol Bota wrote:
> El ds., 30 de gen. 2021, 8:23 p. m., Narcis Garcia <debianlists@actiu.net>
> va escriure:
>
> >
> > >
> > > A banda de dir-me, no usis aquesta opció, algú sap el motiu o pot
> > formular una hipòtesi plausible per explicar-ho? No em refereixo al motiu
> > tècnic, intento comprendre el motiu "filosòfic" pel que tota
> > l'Administració s'ha posat d'acord en oferir llocs web HTTP enlloc de
> > HTTPS. Em sembla contradictori ja que és la mateixa administració la que
> > m'exigeix certificats per a tot (i especialment "l'Adobe" si vull obrir un
> > dels seus formularis PDF) per continuar interaccionant amb ells?
> >
>
> No sé el rerefons filosòfic, però sí has d'administrar una web que
> només ofereix contingut i no hi ha formularis, ni sessions.... no
> sempre té sentit emmerdar-se a gestionar certificats.... Els has de
Quan miro una Web de l'administració (o qualsevol cosa) m'agrada saber
que la Web és de qui diu ser. Potser tot és estàtic, no hi ha
formularis, tot públic... però m'agrada saber que el que llegeixo no ha
estat canviat per algú pel mig (com pot ser un proxy de l'operador que
posi publicitat o seguiments)
Apart de temes de privacitat: estic d'acord que és possible per algú
saber que estic mirant la Web de la Generalitat (via IPs, SNI depenent
del TLS i configuració, etc.) però potser a algú li interessa que no se
sàpiga si miro gencat.cat/divorcis o gencat.cat/covid.
> pagar, renovar, i administrar (si tens proxy's o balancejadors... no
> sempre és trivial). Sovint també es parla de consum de CPU com a
> factor limitant però no en sé el grau d'importància tot i que està
> clar que 2000 connexions https no són el mateix que 2000 sense..,
> Diria que https es va desenvolupar per protegir principalment les
> dades que els clients enviaven als servidors. Fins i tot al principi
i saber que els que llegim no ha estat modificat... (ho dius més avall)
> les grans webs (fb, gmail...) només l'utilitzaven al login, i després
> tornaven a http normal (fins que van aparèixer coses com firesheep que
però això fa anys em sembla que no passa...
> permetia robar sessions a cop de clic dins d'una lan...ja els hi val
> :-D )
>
> Vaja, no et responc, però em poso al costat dels tècnics :-D
La meva sensació és que gairebé tot va amb https. Que si és una cosa
petita amb Letsencrypt és, normalment, fàcil avui dia... i si és una
cosa gran doncs millor montar-ho bé.
Gràcies al mail del Robert he activat ara el "Mode només HTTPS", a veure
si la meva percepció és com és o no :-)
M'agradaria saber el motiu que no és HTTPS a les webs que no ho és
(m'imagino que pot ser més de descuit o que es va fer sense i ara ningú
ho ha posat...)
> Altra cosa és que considerem que és bo utilitzar-lo sempre per evitar
> seguiments o suplantacions i similars... però sense https és molt
> senzill aixecar una web, amb https no tant (no dic que sigui
> complicat, però que no és igual de senzill tot i iniciatives com let's
> encrypt que ho han facilitat molt)
Pot no agradar però amb CloudFlare es pot posar un proxy https davant
fàcil i escala moltíssim... sé d'empreses grans que ho passen tot per
CloudFlare amb el gratis.
Fins aviat!
--
Carles Pina i Estany
https://carles.pina.cat
Reply to: