من سعی می کنم پدیده ای را که در چند سال گذشته از جامعه امنیتی بیرون آمده است ، بفهمم.
من یک وبلاگ محبوب در مورد گربه ها و سگ ها دارم. به من گفته می شود که باید HTTPS و HSTS را فعال کنم ، دستور TLSv1.2 + را بدهم ، و بدون قید و شرط از HTTP به HTTPS هدایت کنم. با این حال هیچ کس نمی تواند به من اطمینان دهد که همه بازدید کنندگان من قادر خواهند بود بعد از انجام این اقدامات با سایت من ارتباط برقرار کنند. چرا دقیقاً این یک چیز خوب است؟
در حقیقت ، خرابی اتصال پس از چنین اقداماتی در طرح بزرگ چیزهایی که به مخاطب کافی بزرگ می رسند بسیار متداول است – ممکن است به این دلیل باشد که برخی بازدید کنندگان از TLSv1 ناامن قدیمی برخوردار هستند. 2 دستگاه ، یا شاید به دلیل مسدود شدن درگاه HTTPS (به عنوان مثال ، Wi-Fi مکمل T-Mobile US در خطوط هوایی آمریکایی یا برخی از این موارد). یا شاید یک فایروال شرکتی یا بازیگر دولتی در حال انجام MitM از کل ترافیک مبتنی بر HTTPS باشد. یا شاید بازدید کننده قانونی از داشتن رمزگذاری منع شود. یا شاید در وسط هیچ کابین کافی شاپ وجود داشته باشد که فقط به اتصالات HTTP اجازه دهد تا بتوانند تبلیغات را با طعم ضعیف در وب سایت بدون آگهی من با جدیدترین تصاویر گربه درج کنند تا امکان تهیه رایگان فراهم شود دسترسی به اینترنت به بازدید کنندگان خود.
آیا همه موارد فوق نباید بین بازدید کننده و ISP یا تولید کننده دستگاه آنها باشد؟ هیچ کدام از مشاغل من نیست ، نه؟ اینها همه بازیگران بزرگسالی هستند ، نه؟
چرا باید به اندازه کافی این شرایط را مراقبت کنم تا با قطع کردن دسترسی مبتنی بر HTTP ، زندگی وب سایت خود را به طور کامل و بدون قید و شرط خاتمه دهم ، از اینکه اصلاً با توجه به شرایطی که مانع بازدید همه افراد می شویم ، مانع بازدید آن نشویم. آنها داخل هستند؟ من نمی بینم که چگونه این متفاوت از قتل ناموسی است که توسط برخی از افراد در برخی جوامع برای نسل ها انجام شده است. چرا بهترین شیوه امروز به شخص توصیه می شود به چنین آداب و رسوم خشونت آمیز منسوخ شده توسط سازمان ملل متوسل شود؟ منظور من این است که هیچ کس نباید HTTPS را تقلب و مسدود کند ، درست است؟ اما اگر این کار را کنند ، آیا خاتمه بهترین گزینه برای ما است؟
