ТС,это правда?

VCC, что именно? что все данные по http передаются открытыми? да, это правда.
теоретически, любое третье лицо, участвующее в передаче данных от твоего ПК до сервера с сайтом (включая провайдера) может видеть всё, что передаётся. от данных сессии, до текста, что ты отправил в посте, темы, которые смотришь и т.п.. теоретически, может не просто прочитать а ещё и изменить. поэтому и придумали HTTPS. почему этот протокол не поддерживается здесь - не понятно

Очень интересное замечание,надеюсь обратят внимание на это.Действительно,а почему у форума нет сертификата защищённого протокола?Так мысли вслух..

Форум год назад перешел на SSL - http://darkmoney.cc/novosti-proekta-...l-na-ssl-3272/

Недавно я тоже заметил, что не заходит под https://darkmoney.cc

Хорошо что вы подняли эту тему, меня данный факт тоже интересует.

В чем проблема Лука ?

Уточню

Примечательно, что на соседних форумах тоже не поддерживается HTTPS
https://forum.kriminala.net
https://dublikat.org/
https://migalki.org/
https://ksivi.co/
Как-то это странно.

Люди ! Вы чего прикалываетесь или реально Вас это волнует ????
по http данные передаются не закодировано ... ипать как удивил, давайте все перейдем на https !
Вы хоть тему по курите прежде чем такое писать.
Ладно, сейчас я вам кое что страшное приватное расскажу, только не описайтесь.
Итак, начнем с того, что сайт перешел на https и все успокоились но давайте будем откровенны и вспомним, что httpS - где S = безопасное это всего навсего потоковое шифрование по SSL с помощью сертификата. Но, есть еще такое понятие как класс сертификата, в зависимости от которого, данные в адресной строке отличаются.
Вот смотрите:
и вот так

Что дальше ? да вот что, зачем биться яйцами об стену и атаковать https сессию и удаленный сайт, когда цель атаки Вы и Ваш компьютер.
Вот так вот:


Что же получится да очень просто надо принимать у Вас запросы, отправлять их по ssl к серверу, Для простоты будем заменять в потоке данных от сервера к клиенту все вхождения подстроки https на http, без какого-либо анализа кода страницы.
вот как то так.
Для того чтобы сервер не волновался по поводу того, что клиент подключается к нему по открытому каналу – все соединения с ним будет осуществлять по SSL. Вот такой вот не приятный момент, если хакер нацелен на вас, все, что ему нужно - это встроить что бы запросы шли через его "переделанный прокси", а это делается уже атаками на DNS.

И все, вы передаете данные думая, что канал защищен, но, на самом деле, данные легко декодируются и Вам браузер предательски об этом молчит.


А что мы видим на стороне хакера, а вот такой поток данных

Что хотим с ним делать ? хотим парсируем, хотим видоизменяем.

В случае же всяких страшных отделов К и прочего им ни чего не стоит в случае реальной необходимости приехать к провайдеру и завернуть весь поток идущий на определенный адрес через себя. ну, я так думаю
Так что https не фига не панацея ! думайте головой, когда пишите в личку сайта с человеком. Используйте жаберы с отр и пгп. всячески скрывайте Ваш реальный ip. Надо заботиться о себе, пока, о Вас не по заботились другие.

Всем мира !

Только вот чтоб перехватывать ССЛ трафик нужно подсунуть левый сертификат. В burp suite это делается установкой CA в доверенные, но как быть с удаленной машиной, о которой не знаешь вообще ничего?
HTTPS очень нужная вещь все-таки хоть и не панацея.

ubivi, всё о чём ты написал возможно именно в том случае, если не использовать HTTPS.

>В случае же всяких страшных отделов К и прочего им ни чего не стоит в случае реальной необходимости приехать к провайдеру и завернуть весь поток идущий на определенный адрес через себя.

Наверное, да - им ничего не стоит. только в том то всё и дело, что если сервер настроен правильно и данные передаются через SSL, то прочитать их не удасться даже отделу К.

То есть htpps не будет?