Názory k článku Seznam a weby na HTTPS – dobrá i špatná zpráva

A vy si myslite ze niekto kto dnes beha po webe s IE6kou nenaraza na problemy na obycajom http? Zoberme si take CSS. Ziadne child selectory, chained classy, atribut classy, sibling selectory, pseudo classy a selectory, ... to je uplne zuzo, poviem vam. Co tam mame dalej, ano, javascript. jQuery 2.x - podpora IE9+, angular detto, cize papa javascript na webe. Hmm, co mame dalej, ano websockety a hromadu uzitocnych veci bez ktorych dnesne weby negunguju. Takze si to zhrnme. Taky clovek sa nedostane ani na facebook, ani maiy si neprecita na gmaili.

Ale ano, urcite ho naserie ze sa nedostane na web fera mrkvu kvoli https ... pritom aj keby tam bola plain http, tak z toho webu ma s prepacenim prd.

A riesenie - stiahnut chrome/FF a zrazu vsetk oco nefungovalo funguje. Ale ano, urcite su ludia masochisti a behaju po webe s IE6kou. Pozrite si ake desatiny percenta tvori stare IEcko a potom sa mozeme bavit dalej

Na XP s tím má problém pouze IE6, všechny ostatní prohlížeče HTTPS zvládají. A kvůli nějakým prehistorickým nebo nevyvíjeným prohlížečům se přeci nemůže zastavit pokrok.

Seznam je web založen pro běžného (frantu) uživatele, který jej používá jako rozcestník pro zprávy, videa..., vyhledá si, co potřebuje a nějaká bezpečnost ho vůbec nezajímá. Zato daleko více ho zvede ze židle změna designu (Vyzkoušeno za vás- hodinové dráma na téma "ne, opravdu instalací jiného browseru nevrátíš zpět starý seznam").

Seznam se v podstatě snaží jen vyhovět poptávce a drží se hesla "nebude-li pršet, nezmoknem". I to je jedna z mnoha věcí, která se mi nelíbí, stejně jako šílené úsilí pořád přicházet s něčím novým (Veštec, geocaching na mapy.cz....) a stávající věci udržovat jen do nezbytně nutné míry.

Naučit běžné uživatele, že bezpečnost na webu je stejně důležitá, jako bezpečnost při práci kdekoliv jinde je nadmíru složitý úkol. Zvláště, pokud se snažíte o osvětu u člověka o generaci až dvě staršího, pc samouka a příležitostného šovinistu).

I tak si ale myslím, že v seznamu pracují kvalitní lidé, takže to není přímo o neschopnosti vývojářů.

A všimla jsem si, že v odkazu na vyvojari.seznam.cz máš chybu, Michale:) Taktéž se těším na mega hate

ano, hlavní problém je se SNI (více domén s vlastními certifikáty na jednom serveru) a Internet explorerem, který na Windows XP nelze vyřešit.

Poté sha-2 je na Windows XP až od SP3.

Ostatní prohlížeče jsou OK. Problémy dále nastávají ve starších kódech a aplikacích, které nemají aktualizované zejména na linuxu balíčky, těch je ještě hodně. Museli jsme pro pár dodavatelů kvůli jejich starým apičkám nasazovat vlastní ssl endpointy...

Bavím se o slíbených termínech.

Když je to tak strašně složité, nemusí to dělat nikdy. Anebo za deset let.

Stejně furt nevim proc prostě odkazy na http a https nesečtou s nějakou nadefinovanou váhou. Pochopil jsem akorát že https narozdíl od googlu downrankují a to je smutný

teď jste to trochu domotal, nejprve chcete srovnávat týmy pro vyhledávání, ale pak řeknete, že Google má 50 produktů. To má i Seznam, to není jen vyhledávač, to je i portál, sklik, mapy, novinky atd. a pokud vím, tak v Seznamu pracuje celkově do 1000 lidí, kdežto Google jich má kolem 20tis.

Ano, seznam může mít klidně tým 8 lidí, kteří dělají na fulltextu, zbytek pokryjí ostatní produkty a doprovodné práce.

Další roli hraje i báze potenciálních vývojářů na fulltext, seznam čerpá defacto z ČR/SR, google z celého světa, dokáže tedy vyselektovat schopnější lidi.

Ono stačí seznamácký tým zdvojnásobit a zvednout mu rozpočet a kvalita bude zase někde jinde.

Tak krom toho, že si nemyslím, že by stačilo zvednout rozpočet a přidat lidi (něco na tenhle způsob jsem zažil a výsledek to spíše zhoršilo), tak především záleží na tom, jakou důležitost vyhledávači přisuzuje management.

Už to bylo zmíněno, ale 100 lidí neznamená 100 programátorů. Jsou v tom testeři, produkťáci, analytici atd. A v jiném příspěvku jsem zmiňoval, že také záleží na tom, jakou důležitost vyhledávači přisuzuje management. Pro Google je to společně s adwords/adsense klíčová služba, ale pro Seznam vyhledávač takovou prioritu mít asi nebude.

Nikoliv, tech 100 lidi u Seznamu dela prave jenom to vyhledavani, coz je jejich vlastni informace (napr. http://e-svet.e15.cz/internet/vyhledavac-seznamu-roste-a-vyrazne-posiluje-hledani-z-mobilu-1030621).

Ten pocet produktu u Googlu zminuji, protoze zjistit pocet lidi v search teamu je slozitejsi nez u Seznamu. Je ale cca znamy pocet vsech jejich vyvojaru, to je tech 10 000. Samozrejme vyuzivaji efektu uspor z rozsahu, a globalniho poolu lidi/prilezitosti, ale prece jenom, ten rozdil miry zisku na zamestnance a urovne sluzeb je mnohem vetsi.

Ano, nakonec pomohla metoda Show and tell. Několikrát:)

Chápu, že časem je redesign prostě nutný a vždy se najde někdo, komu nová podoba nevyhovuje, ale kritika se dá přijímat i jinak, než zespěšněním. Zvláště pokud se dělá produkt pro běžné uživatele, kteří se ve webových aplikacích a IT všeobecně neorientují.

Ale to už je na hony vzdáleno tématu bezpečnosti

Ano, na zjisteni toho, zda na http/s variante je nebo neni totez, je treba vyvinout expertni system, a to pochopitelne potrva nejmene nekolik let.

Pritom problem neni ani zdaleka jen v tom, stranka na tom bude (vyrazne) hure i v pripade, ze pouzije zcela korektni presmerovani z http na https. A na to uz je treba nejmene 100 let vedeckeho badani, protoze to jen tak nekdo nevymysli.

Jak ta firma jedná se svými uživateli je krásně vidět na recenzích zde: http://www.firmy.cz/detail/155088-seznam-cz-praha-smichov.html

A na "úspěchu" lide.cz: http://www.pooh.cz/pooh/a.asp?a=2018311

Opravte si pls přebytečnou čárku před než.
"Umí, jen to dělají jinak, než Google."

problem so SNI u XP je len u IE. Normalne prehliadace so SNI na XP nemali problem. To iste plati aj o SHA2.

To nic nemeni na fakte ze XP su uz nepodporovany system na ktory sa oficialne nevydavaju zaplaty (zmena registrov na POSReady sa neda povazovat sa oficialny update kanal) a preto je uplne zbytocne plakat ze IE v 13+ rocnom OS nieco nepodporuje a preto treba zvazovat pouzitie https...

Neaktualizovane balicky, no uz vidim tie RedHat 4.0 z roku 1996 s 2.0 kernelom, glibc 1.09, atd... ale tak ked zakaznik chce...

https://www.seroundtable.com/https-google-adsense-19035.html

oni tam mají v adsense zaintergrovaných víc platforem, mmj. i doubleclick, který koupili a je vidět, že něco z toho je zatím ještě pořád http-only. tak se na https ty typy reklam vypnou.

to si samozřejmě také nemyslím, více lidí (= více znalostí) a více peněz je nutná podmínka, nikoliv postačující.

Ano, kvalita vyhledávače je přesně na průsečíku schopností vývojářů, vůli vedení a nárocích trhu.

To je podle mě krásný příklad kde by šel použít ten machine learning nebo i jednodušší metody - tedy poznat jestli je obsah http a https totožný resp velmi podobný

Http/2 je v prohlížečích implementováno pouze přes tls. Dá se tedy čekat, že v budoucnu poběží většina webů na internetu přes https kvůli rychlosti.

Co nechapete na tom, ze XP stale maji podle ruznych udaju neco mezi 15 - 25%, a tudiz je pro provozovatele webu zcela neakceptovatelne je odstrihnout, bez ohledu na to, zda system je nebo neni podporovan? A to se da predpokladat, za znacna cast tech XP se primo na web vubec nedostane. Coz situaci jeste zhorsuje.

Nemluve ani o tom, ze ty win a prave IE budou mit dost pravdepodobne neaktualizovane i CA certifikaty, tudiz budou na libovolnem https webu hlasat, ze jde o nebezpecny web.

Drtiva tech XP pak bude ve firmach, doma si davno kazdy upiratil novejsi. A prave ve firmach bude dost casto IE jediny nainstalovany browser.

nešifrované http2 nebude v serverech oficiálně implementováno.

a některé JS funkce budou ještě navíc v budoucnu omezeny, tak aby na HTTP nešly spouštět.

Stale sa tocite dookola - bu bu bu, zly winXP. Ale unika vam podstata ktoru som uz napisal a evidentne ju neviete pochopit.

JE TO ZALEZITOST PREHLIADACA A NIE OPERACNEHO SYSTEMU

Takze ak si vo firme niekto nechal XP a vedome pouziva neaktualizovany OS s neaktualizovanym browserom, tak nejaka nefungujuca webstranka na https je jeho najmensi problem.
Ak je tak neschopny ze nevie vo firme nechat upgradovat OS na visty, win7, win8 alebo win 10 (ved predsa vsade sa pise o tej uzasnej windows spatnej kompatibilite), resp. nedokaze na bezpecne browsovanie zabezpeci vo firme aktualizovany browser, tak na trhu uz urcite nebude dlho, aby to Vas pripadne niekoho ineho zasadne trapilo

to není tak docela pravda, v kombinaci IE + sha-2 + XP na verzi OS záleží.

Stejně tak záleží na verzi OS v případě mobilních telefonů, tam je ale situace dost nepřehledná.

Objektivně řečeno, XP již není tím hlavním problémem s https a není důvod se na něj ohlížet.

PS: Vista má posledního půl roku podporu, pak také umře...

100 lidi je malo? Na jeden produkt, jeden jazyk?

Jen tak pokusne - kolik lidi asi dela na vyhledavani Googlu? Maji asi 10 000 vyvojaru, ale cca 50 produktu, mozna stovku jazyku? Ve finale to nemusi byt zas tak silene vic, nez kolik by se zdalo pri pohledu na vesmirne jinou kvalitu obou sluzeb.

seznam? neznam...

Tento amatérský přístup Seznamu k tak zásadní bezpečnostní otázce nelze omlouvat. Možná bych to pochopil, kdyby bylo o 20 let zpatky. Doporučuji NEpoužívat Seznam jako vyhledávač !

Když si vzpomenu, jak dlouho Seznamu trvaly triviální úpravy v Skliku, které byly slíbené rok předem a jak dlouho triviální podpora IDN domén, tak si dovedu představit, jak dlouho bude trvat podpora https přesměrování.

A těším se v lednu na ten MEGA HEJT článek od Špačka

to není tak jednoduché :). Ne každý web má stejný obsah na http a https například. Pokud máš pro vyhledávání vytvořený rozhodovací strom, těžko můžeš něco sečíst, proto jim asi dělá velké problémy následovat přesměrování.

Oni přímo https nedownrankují, ale jejich domácí mazlíček se naučil, že http stránky mají povětšinou lepší obsah, tak vracel raději je :).

Můžeme se seznam smát a říkat, že jiní to dokázali, ale seznam má velice malý tým a malý rozpočet, obdivuji ho, jak dokázal udržet krok a není outsider.

A co když to právě něco mění? A třeba by byla na https schválně jiná stránka než na http? Asi to nebude tak jednoduché :-)

To jiste, 0,000 promile webu, ktere nabizeji neco jineho na https variante je treba resit tak, ze to 100% znemozni https pouzivat. A urcite z toho bude nadsen kazdy administrator, az bude resit s kazdym dotazem zpetny dotaz, zda jde dotycny na http nebo https.

což jsem četl někde na blogu, tak již něco podobného umí, stránku si rozsekají na několik části a poté jednotlivé části porovnávají. Rozdíl je třeba ve všech url.

Zásadní problém bude asi, že http a https nestahují zároveň a že díky personalizaci a dynamickéhomu obsahu mohou být výrazněji rozdílné.

Nemyslím si, že by měli zavádět takovouhle logiku, kanoické url s přesměrováním je standard, pokud to nelze, existují různé meta hlavičky, které bonzují shodnost.

že je spousta prohlížečů, které se na https nedostalou, a tudíž jsou pro ně takovéto weby irelevantní.
Jinak opravdu nevím, proč by měl být třeba osobní blog na https.

Mohou s tím mít potíže prohlížeče na win XP (a těch je ještě dost). Já mám na Debianu 6 Iceweasel (free verze Mozilly), která https umí a Epiphany (pokračování Galeonu), která ho neumí, ale mám na ní jednak spoustu záložek, jednak neumí ani flash, takže mě neobtěžuje část reklam.
Nevím, jestli tento protokol zvládají textové prohlížeče, jako lynks nebo links nebo prohlížení webu přes Emacs. Ony se občas hodí, když v důsledku nestandardního sw nenaběhne počítač do grafického režimu a potřebujete pohledat na internetu např. ovladače pro to či ono.

A jak to můžeš vědět, že instalace jiného browseru nepomůže? No jak? Zkusíme to!

Ale co si asi tak myslet o firmě, kde se veřejně vysmívají svým uživatelům: https://twitter.com/Feixm/status/649906185479561217

Místo aby se zamysleli, jak lidé chápou webové aplikace a zda je přirozené, když někomu měníte aplikaci "pod rukama", pranýřují své zákazníky a dělají z nich blbce.

Miluji lidi, kteří nemají ani páru co za tím stojí, ale dokáží zhodnotit, že jde o triviální úpravy, přitom, kdyby vás k tomu posadili, tak byste na to čuměl jak tele na vrata a ty úpravy byste neudělal ani za rok...

Vam prozmenu nedochazi, ze funcionalita prohlizece je do znacne miry dana systemem a ne kazdy web je web "prumerny". Nehlede na to, ze jak jsem psal, spousta tech systemu se primo na web nedostane, web ve skutecnosti vidi nejakou proxy, ale za ni je ten IE.

Majitele webu pak naprosto nezajima jaky mate prohlizec, ani to, jak si prejete resit zabezpeceni, ale zda mu (v casti pripadu) vygenerujete nejaky zisk. A jesli ma pocit, ze mu zisk generuje http, tak ho bude provozovat, naprosto jej nezajima https.

Ano, soucasti (dokonce povinnou) IPv6 take byl ipsec, da se tudiz ocekavat, ze na webu se nezmeni vubec nic. Nesifrovane http2 bude 2x rychlejsi nez sifrovane.

Který reálně používaný prohlížeč do té "spousty" spadá?

Windows XP s tím žádný problém nemá. Pokud ano, tak je to jen špatně nastavené na serveru.

Nicméně je pravda, že kvůli rušení podpory zastaralých a nezbezpečných protokolů se podpora omezuje. Týká se to ale jen archivních kousků jako IE6 a podobně, která už mají být stejně dávno po smrti.

to sice ano, ale uz od roku 2012 je pro ČR použití IE6 pod 1 procentem a aktuálně je už skoro neměřitelné

asi vám trochu nedochází, že majitele webu nezajímá jaký máte OS, ale jaký máte prohlížeč a podíl IE6/7/8 vytrvale klesá a pohybuje se dnes ji na úrovni kdy je možné je odstřihnout.