Обновление версии SMF до 2.1

[iopq]

Не читал всю тему, но будет ночная версия?

Что ещё за ночная версия?

night mode, чтоб легче на глаза

[Python]

Что ещё за Веб 3.0? Этот форум даже до 2.0 не дотягивает.

Обнаружил, что под Web 3.0 подразумеваются минимум две совершенно разные концепции, которые, впрочем, выглядят как тупиковые или второстепенные вспомогательные относительно того, куда веб движется в действительности сейчас. Про семантический веб сейчас уже мало кто помнит; блокчейн более актуален, но современный веб слишком тяготеет к централизации, а то, что предлагалось в прошлом десятилетии на эту тему, задвигается куда-то в даркнет.
Фактически же мы наблюдаем тенденции к централизации, закрытости, потере совместимости с ранним вебом (созданное раньше становится проблематично воспроизвести на современных платформах, а совместимость современного контента с даже немного устаревшими браузерами не заботит никого — следствие прекращения браузерных войн). Формальная «безопасность» сводится к принудительному использованию https и темных схем приобретения сертификатов безопасности, в чем мало кто разбирается — как следствие, мелкие любительские сайты умирают по непонятным причинам — что способствует централизации веб-пространства и усилению контроля над пользователями. Да, еще бегство в мессенджеры (которые, впрочем, несовсем веб), верификация по телефонному номеру, смена приоритетов (даже веб-страница, превращенная в веб-приложение, становится менее приоритетным продуктом, чем мобильное приложение — опять же, несовсем веб). Видимо, Веб 3.0 фактически выглядит вот так, а не как то, что когда-то пробовали нафантазировать.

[Upliner]

темных схем приобретения сертификатов безопасности, в чем мало кто разбирается

А что в них тёмного? Наоборот, с появлением LetsEncrypt всё стало просто и понятно, https стал доступен всем и каждому. Если уж даже Авваль разобрался, то не разберуться пожалуй только всякие 60+.

даже веб-страница, превращенная в веб-приложение, становится менее приоритетным продуктом, чем мобильное приложение — опять же, несовсем веб

Как по мне, то всё наоборот. Сейчас кругом всякие электроны, куча десктопных приложений по сути переделаны из веб.

[Python]

А что в них тёмного? Наоборот, с появлением LetsEncrypt всё стало просто и понятно, https стал доступен всем и каждому.

Действительно ли нужен https любому статичному сайту без закрытого контента? Зато открывается пространство для всевозможных неполадок с самим сертификатом: не так установлен, просрочен, несовместим с чуть более устаревшим (а иногда и чуть более новым) браузером и т.д. Кого и от чего именно защищает https? Почему пользователь должен доверять https, если ни он, ни даже владелец сайта зачастую не понимает, как работает https и что именно гарантирует сертификат? Хорошо, LetsEncrypt доступен каждому — но его сертификат умирает каждые 3 месяца (следовательно, сайт нужно выключать для обслуживания) — если сайт с https выполняет некую жизненно важную функцию, не создает ли необходимость этой процедуры дополнительные дыры в безопасности?

[Upliner]

Действительно ли нужен https любому статичному сайту без закрытого контента?

Если контент "жизненно важный" и чувствительный -- то нужен. Если просто хомпага -- то конечно не нужен.

(следовательно, сайт нужно выключать для обслуживания)

Зачем выключать? В худшем случае просто загружать новый сертификат незадолго до истечения старого. Но сейчас на многих хостингах скрипты делают это автоматически.

[RawonaM]

Действительно ли нужен https любому статичному сайту без закрытого контента?

Главное чтобы данные слались зашифровано, а не открыто. Когда-то я занимался ловлей трафика со спутника, там было все: места, явки, пароли.
Вот например нельзя ЛФ нешифрованым держать, хоть и вроде как ничего секретного нет, но утечет админский пароль и значит все данные пользователей тоже. Собственно везде где есть хоть какие-то личные данные этот риск есть.

[Python]

Если есть пользовательские данные — да, подход к защите паролей в раннем вебе был явной недоработкой.
Но вот берем чей-то личный блог, в котором пишет один человек и который можно сделать статически генерируемым — риск кражи пароля через http в этом случае будет нулевой, а существующие подходы, используемые в работе и обслуживании протокола https, гарантируют, что сайт, по сравнению с http, будет несколько чаще лежать. Но делать http не будут, потому что тогда сайт не будет нормально индексироваться поисковиками, да и некоторые браузеры стремятся http вообще запретить.

[Upliner]

Если есть пользовательские данные — да, подход к защите паролей в раннем вебе был явной недоработкой.
Но вот берем чей-то личный блог, в котором пишет один человек и который можно сделать статически генерируемым — риск кражи пароля через http в этом случае будет нулевой, а существующие подходы, используемые в работе и обслуживании протокола https, гарантируют, что сайт, по сравнению с http, будет несколько чаще лежать. Но делать http не будут, потому что тогда сайт не будет нормально индексироваться поисковиками, да и некоторые браузеры стремятся http вообще запретить.

Лично я не представляю себе чувака, который будет пилить стандалон, вместо того, чтобы просто осесть на обычных социалках и блогоплатформах, который в то же время будет заморачиваться с индексацией и seo, но в то же время будет иметь проблемы с настройкой LetsEncript-а...

[RawonaM]

Но вот берем чей-то личный блог, в котором пишет один человек и который можно сделать статически генерируемым — риск кражи пароля через http в этом случае будет нулевой

Не понял, почему риск кражи пароля нулевой. Такой же как и везде. Личных данных нет, но пароль админа есть, его украсть напостить спама или там пропаганды.

[Bhudh]

созданное раньше становится проблематично воспроизвести на современных платформах, а совместимость современного контента с даже немного устаревшими браузерами не заботит никого

Особенно бесит при этом, что archive.org, специально предназначенный для показа старых копий старых сайтов, пользуется при этом новейшими технологиями, вот сейчас в него влепили новую версию Reactʼа и он в Firefox ESR стал показывать только шапку и чистое белое поле под ней.
И выходит так, что тем браузером, под который и был разработан старый сайт, его на archive.org посмотреть невозможно.

[Upliner]

Не понял, почему риск кражи пароля нулевой. Такой же как и везде. Личных данных нет, но пароль админа есть, его украсть напостить спама или там пропаганды.

Он видимо имеет в виду, что никакой CMS-ки непосредственно на сайте вообще не будет и весь контент будет заливаться по другим каналам -- админка хостинга с https или sftp.

[Upliner]

night mode, чтоб легче на глаза

В общем, в винде по-прежнему скучные обои. Печалька...

[iopq]

Если есть пользовательские данные — да, подход к защите паролей в раннем вебе был явной недоработкой.
Но вот берем чей-то личный блог, в котором пишет один человек и который можно сделать статически генерируемым — риск кражи пароля через http в этом случае будет нулевой, а существующие подходы, используемые в работе и обслуживании протокола https, гарантируют, что сайт, по сравнению с http, будет несколько чаще лежать. Но делать http не будут, потому что тогда сайт не будет нормально индексироваться поисковиками, да и некоторые браузеры стремятся http вообще запретить.

Браузер только умеет соединятся по https к http/2

[iopq]

https://imagekit.io/demo/http2-vs-http1

вот наглядно

[Andrey Lukyanov]

https://imagekit.io/demo/http2-vs-http1
вот наглядно

У меня картинка слева (там, где должно быть http2) вообще не загрузилась. Справа всё нормально.

[Upliner]

Браузер только умеет соединятся по https к http/2

Кстати, спасибо что напомнили. Включил http2 на всех своих сайтах.

[Python]

Но вот берем чей-то личный блог, в котором пишет один человек и который можно сделать статически генерируемым — риск кражи пароля через http в этом случае будет нулевой

Не понял, почему риск кражи пароля нулевой. Такой же как и везде. Личных данных нет, но пароль админа есть, его украсть напостить спама или там пропаганды.

Статически генерируемый внешним инструментом (типа такого — админка на сайте с блогом отсутствует, блог редактируется десктопным приложением и заливается на сайт через ftp. Если незащищенное ftp-соединение использует пароль в открытом виде, то кража возможна, конечно, но не через http блога). Либо если сайт организован так, что редактирование и доступ к админке возможны только через https, а чтение блога — также и через http.

Лично я не представляю себе чувака, который будет пилить стандалон, вместо того, чтобы просто осесть на обычных социалках и блогоплатформах, который в то же время будет заморачиваться с индексацией и seo, но в то же время будет иметь проблемы с настройкой LetsEncript-а...

Раньше держал апач с блогом на домашнем компе. Социалки не устраивают из-за политики принудительной деанонимизации и ужасной структуры сайта. Блогоплатформы — в принципе, возможный вариант, но стандалон дает дополнительные технические возможности и защищен от попыток хозяев блогоплатформы искалечить ее. С одной стороны, хотелось бы, чтобы публикации в блоге можно было нагуглить. С другой, особо заморачиваться с технической поддержкой сервера не было ни желания, ни возможности — старый комп со старым софтом, из которого много не выжмешь. Один раз установил систему, поднял сервер — и пусть работает год, два, десять, без необходимости что-то переустанавливать каждые два месяца.

[RawonaM]

Статически генерируемый внешним инструментом (типа такого — админка на сайте с блогом отсутствует, блог редактируется десктопным приложением и заливается на сайт через ftp. Если незащищенное ftp-соединение использует пароль в открытом виде, то кража возможна, конечно, но не через http блога). Либо если сайт организован так, что редактирование и доступ к админке возможны только через https, а чтение блога — также и через http.

И зачем все эти осложнения, если можно все по одному протоколу?

Есть еще другая проблема, даже не кража данных, а подстановка. Любой посредник может вставить что угодно в незашифрованное соединение, то есть на безвинную страничку можно поставит спам, пропаганду, фишинг. В общем сейчас не начало 2000-х, нет места открытому трафику.

[iopq]

Статически генерируемый внешним инструментом (типа такого — админка на сайте с блогом отсутствует, блог редактируется десктопным приложением и заливается на сайт через ftp. Если незащищенное ftp-соединение использует пароль в открытом виде, то кража возможна, конечно, но не через http блога). Либо если сайт организован так, что редактирование и доступ к админке возможны только через https, а чтение блога — также и через http.

И зачем все эти осложнения, если можно все по одному протоколу?

Есть еще другая проблема, даже не кража данных, а подстановка. Любой посредник может вставить что угодно в незашифрованное соединение, то есть на безвинную страничку можно поставит спам, пропаганду, фишинг. В общем сейчас не начало 2000-х, нет места открытому трафику.

Или хуже, жабаскрипт. Так Китай ддосил github

[Python]

И зачем все эти осложнения, если можно все по одному протоколу?

Затем, что общий вход для админа и анонимуса порождает проблемы, требующие усложнения протокола. Если админвход нужен всего одному пользователю из общего множества, то два протокола все равно придется имитировать некоторым образом при помощи серверного ПО, пусть даже технически это будет один протокол и общий вход через один адрес.  Если же сайт статичный, админвход в него отделен от пользовательского просмотра, а весь софт для его генерирования лежит на компе админа, то сервер можно сделать максимально облегченным, без скриптов и пр., либо иметь возможность переехать на любой хостинг с какими-угодно техническими возможностями. Кроме того, наличие админвхода через тот же сайт позволяет осуществить взлом хотя бы путем брутфорса — если же админка неизвестно-где (или вообще отсутствует), это несколько усложняет работу хакерам.

Да, админвход и пересылку файлов на сервер можно сделать тоже через http(s) в виде отдельного сайта — вернее, скорее всего, хостинг предоставляет и такую возможность, но что это дает? Протокол ftp унифицирован, пересылка файлов автоматизируется одинаковым образом независимо от хостинга. А с http(s) мы получаем веб-интерфейсы для пересылки файлов путем ручного тыканья пальцами, для автоматизации которых придется делать отдельный софт для каждого хостинга, работающий ровно до первого обновления админки.

[Bhudh]

Если домашний сервер на чём-то типа Denwerʼа, то для админского доступа вообще никакого протокола не нужно.

[Upliner]

Раньше держал апач с блогом на домашнем компе.

Так я не понял, а на домашний-то комп какие проблемы certbot поставить? Я бы ещё понял, если бы был кривой хостинг, на который ничего нормально не поставишь, хотя вроде уже есть и php-клиенты для LetsEncrypt-а, но сам не пробовал, как они работают...

[Bhudh]

Обратил сейчас внимание на выводящуюся внизу страницы служебную информацию на двух форумах и удивился.
При разнице в количестве запросов в 2 раза скорость генерации отличается на 2 порядка.

LF	LP

[RawonaM]

Нельзя сравнивать несравнимое. Гадание на кофейной гуще.

[Bhudh]

А кому эта инфа вообще нужна, кроме админов?
Может, убрать её нафиг из шаблона так же, как «[IP] Записан»?