HTTPS/ru

From Meta, a Wikimedia project coordination wiki

HTTPS — веб-проткол, предоставляющие защищённое соединение между пользователем и сервером. Он даёт следующее:

  • вы можете быть уверены, что просматриваемый вами контент не изменён никакой промежуточной системой, будь то интернет-провайдер или правительственная система;
  • вы можете полагаться на то, что никто не знает, какие страницы вы посещаете, и
  • вы можете быть уверены, что никто не изменяет содержимое ваших правок во время его доставки к серверам Викимедиа.

Продолжающаяся работа по повышению безопасности и конфиденциальности пользователей проектов Викимедиа является заявленной целью Фонда Викимедиа. Эта работа усилилась после известий о внутреннем шпионаже Агентством национальном безопасности США, как показали события о шпионском скандале с Эвардом Сноуденом летом 2013 года. Проект Википедия ссылается на несколько документов, как определяющие источник для отслеживания поведения участников.[1] Просмотр веб-контента через незащищённый протокол HTTP позволяет третьей стороне отслеживать то, какие страницы вы просматриваете, и какую информацию отправляете в

Что это означает для вас[edit]

В дополнение к предыдущим улучшения безопасности и конфиденциальности на сайтах Викимедиа (см. ниже), 28 августа 2013 года Wikimedia Foundation ввело по умолчанию протокол HTTPS для всех авторизовавшихся участников проектов. Это работает просто: если участник хочет авторизоваться, то это делается по HTTPS для безопасности передачи имени и пароля, а после входа работа продолжается по HTTPS на том сайте проекта, на который был выполнен вход.

Исключаемые страны[edit]

Некоторые участники проживают в странах, где HTTPS является недоступной опцией в большинстве случаев из-за блокировок, сделанных правительствами. По запросу этих сообществ мы сделали исключениях для участников из таких стран. Проще говоря, участникам из Китая и Ирана не требуется использовать HTTPS ни для входа, ни для просмотра любых сайтов проекта Викимедиа.

Отключение[edit]

Ваш просмотр сайтов Викимедиа стал медленным или нестабильным? В таком случае вы можете выключить HTTPS в своих настройках участника. Зайдите во вкладку "Настройки" и снимите галочку на пункте "Всегда использовать защищенное соединение при входе в ". Вам нужно будет выполнить выход и новый вход на сайт, чтобы предпочтения вступили в силу. Но помните, что вам всё равно нужно авторизоваться, используя HTTPS.

В настоящее время зафиксирована проблема, затрудняющая отключение HTTPS для авторизованных участников: после снятия галочки в указанном выше месте, разлогинивании с сайта и удалении всех кукисов проектов Викимедиа, названия которых содержат "forceHTTPS" (например, "enwikiforceHTTPS"). Если вы не знаете, как удалить куки, то воспользутесь нижеследующим:

  • Для Firefox:
    1. В панели меню браузера перейдите в Инструменты → Настройки → Приватность и щёлкните по ссылке "удалить отдельные куки"
    1. [ИЛИ] Щёлкните на значок замочка в строке адреса, щёлкните на "Подробнее" и щёлкните на "Просмотреть куки"
    2. У вас должно появиться новое окно с заголовком "Куки" - разверните его для облегчения дальнейших действий
    3. В строке поиска этого окна введите forceHTTPS с учётом регистра
    4. Выделите строку и щёлкните Удалить куку
    5. Повторите для всех найденныъ и затем щёлкните Закрыть

Помогите![edit]

Вы не можете авторизоваться и редактировать вики-проекты Викимедиа после этих изменений? Пожалуйста, свяжитесь с командой Wikimedia Foundation Operations любым удобным для вас способом, включая страницу обсуждения этой инструкции, канал IRC #wikimedia-operationsсоединиться или по адресу электронной почты https@wikimedia.org.

Help! My code is broken![edit]

Are you a bot maintainer or Gadget author and you're seeing weird or broken behavior after this switch? Hopefully you can fix that easily.

For Gadget authors, simply modifying any hardcoded urls from "http://..." to "//..." should fix the issue (this is called using "protocol relative urls").

For bot maintainers, you have a couple of choices. Either login as the bot and select the preference to not use HTTPS for that account, or update your code to use SSL instead. If you use Pywikipediabot, please update to the latest version (More technical details: [1],[2]) and read this mailing list post for more information.

Various small problems[edit]

Missing images[edit]

If images are missing, check if you can see for instance this thumb image from Commons. If you get a certificate warning and accept it, you should see images afterwards (although you shouldn’t have a certificate warning, please see the next section about this).

Missing scripts[edit]

If you had custom scripts (but site-wide can have the same problem) you retrieved by calling a some function loadJS or importScriptUri, you should change the function or the syntax to call scripts with "https://..." or even better with protocol-relative URLs "//..." (i.e. without the http: or https:). In any case, there is probably a generic function in the MediaWiki:Common.js of your wiki that you should prefer over a custom similar function. If you are still using a syntax like document.write('<script src="http://..." />'); replace it immediately with mw.loader.load, because the document.write methodology can easily break in certain browsers.

Certificate error or warning[edit]

If your browser silently removes the safe in the address bar (or bottom of your browser) or explicitly reports you a warning:

  • you can check if your computer clock is up-to-date: since the HTTPS certificate is valid in a specific time range (January 2012-January 2016 for Wikimedia projects), any bad clock will generate a warning;
  • you can check you have the authority certificate with the following explanations; if you don’t find please it, please report in the talk page
    • Firefox: go to Edit > Preferences > Advanced > Encryption > View Certificates > Authorities and you should find the certificate "Digicert Inc" > "DigiCert High Assurance EV Root CA";
    • Opera: go to Tools > Preferences > Advanced > Security > Manage Certificates > Authorities and you should find the certificate "DigiCert High Assurance EV Root CA";
  • check the site you are visiting is really Wikipedia or a Wikimedia project: the address bar should be https://your-language.wikipedia.org or the exact name of your project; if there are strange characters in the address bar (dashes in the project name, unusual slashes, etc.) this is possibly a fake website, please report it in the talk page https://meta.wikimedia.org/wiki/Talk:HTTPS
  • check if you have also certificate error in the domains upload.wikimedia.org and bits.wikimedia.org
  • report it in the talk page and specify your browser, your browser version (generally in the browser menu Help > About), your operating system and its version.

History of HTTPS at WMF[edit]

Initial activation in 2005[edit]

HTTPS was first activated on the Wikimedia projects by Brion in December 2005, although it was on special URLs of the form https://secure.wikimedia.org/wikipedia/en/wiki/Main_Page and it was quite slow and unscalable (one single server for this task), making it unsuitable for everyone’s use.

Large-scale deployment in 2011[edit]

HTTPS with canonical URLs https://en.wikipedia.org/wiki/Main_Page was activated in October 2011, after months of effort to make it work in a cache-friendly manner. This meant that

  • protocol-relative links could be used, to avoid caching two versions of the same page;
  • correctly setting up servers and caching to handle HTTPS; and
  • ensuring that all resources were served using the same protocol, either HTTP or HTTPS, to avoid mixed content on the page (mixed content negates the secure state of the page).

This deployment of HTTPS was described in Wikimedia engineering reports from May 2011 to December 2011.

28 августа 2013 безопасный вход с безопасным просмотром и редактированием для авторизованных участников[edit]

В соответствии с планами, изложенными в блоге с постом под заголовком "The future of HTTPS on Wikimedia Projects", 28 августа 2013 в 20:00 UTC, в большинстве своём все авторизованные пользователи во всех проектах стали использовать протокол HTTPS. (Первоначально мы объявляли, что эти изменения назначены на 21-е августа; мы отложили эту дату на одну неделю.[2]) По умолчанию все пользователи после входа для просмотра и редактирования контента будут использовать HTTPS.

Ссылки[edit]

Примечания[edit]

  1. Jimmy Wales’ tweet, see the linked image leaked from a "top secret" document.
  2. "Wikitech-l: HTTPS for logged in users delayed. New date: August 28"

См. также[edit]