有没有人碰到最新的 chrome 把开发环境自定义的.dev 域名都跳 https 了

2017-12-11 10:32:54 +08:00
 zjsxwc

今天来上班, 用 mac chrome 打开我本机开发域名 http://my.dev 他都强制跳了 https://my.dev

换 firefox 和 opera 却都没这问题

11468 次点击
所在节点    程序员
99 条回复
phpcxy
2017-12-11 10:34:08 +08:00
chrome v63 开始.dev 域名强制使用 https
raysonx
2017-12-11 10:36:53 +08:00
.dev 是 gTLD,有效的公网顶级域名,所有权在 Google。Google 自然有权限对这个域名下的所有子域名设置 HSTS Preload.
msg7086
2017-12-11 10:38:34 +08:00
dev 和 foo 顶级后缀现在归 Google 公司了……
zjsxwc
2017-12-11 10:39:11 +08:00
妈的, 改用 opera 了
wunonglin
2017-12-11 10:42:14 +08:00
为什么不用 dev.XXXXX.XXX 啊?
raysonx
2017-12-11 10:43:01 +08:00
作为一个程序员,要时刻按照规范行事。一个域名进入 HSTS Preload List 之后,其他浏览器厂商后续也有可能跟进。把.dev 挪为私用就和把 11.0.0.0/8 挪为内网 IP 一样,既然做了就是承担风险。.dev 域名是 Google,所有权不在你。
sobigfish
2017-12-11 10:43:52 +08:00
如果你是单纯吐槽就算了
想找解决办法的话就是改后缀
早晚要改
用 opera 也改变不了.dev 是 Google 管理的事实.
raysonx
2017-12-11 10:46:35 +08:00
不想用自己的域名的话,可以用.test。这个域名是被 RFC 规定保留的。
zjsxwc
2017-12-11 11:00:48 +08:00
.dev 后缀的域名我们开发环境里用到的地方很多, 而且不单单是只是我一个人的开发环境 hosts, 各种配置脚本里也存在, 换后缀的话, 工作量有点大的, 比如 docker 容器也要重新 build


.
mooncakejs
2017-12-11 11:21:23 +08:00
@raysonx 这里我觉得谷歌跨界了:浏览器的权限范围在哪里? 如果浏览器的定义仅仅是浏览器,那么应该老老实实遵守协议, 请求 dns,http 请求,如果有 hsts header 或者缓存,那么请求 https, 如果在一个私有的网络环境(比如纯内网),浏览器也应该遵守 http 协议。
如果你认为 chrome 不仅仅是一个浏览器,而是谷歌实现霸权的工具,无可辩驳。
题外话:
互联网“已经”变得越来越不开放。
Moker
2017-12-11 11:23:52 +08:00
chrome 62.0.3202.94 目前没发现此问题
wwqgtxx
2017-12-11 11:37:13 +08:00
@mooncakejs 从所有权上说.dev 现在已经是 google 的了,那么他在自己的产品中把自己的域名加入 hsts 有什么问题。
chrome 本来就是商业产品,人家的许可证上说有为了纯私有网络服务了么?
至于浏览器不遵守标准,当初 chrome 支持 spdy,然后支持 quic,按照你的说法都是不老实的行为喽
mooncakejs
2017-12-11 11:48:37 +08:00
@wwqgtxx 支持更多的协议当然没问题,但是不能不兼容现有的协议,这事严重点说叫不兼容 http 协议。
谷歌当然可以这么做,只不过不支持 HTML5 的 IE 骂得,现在连 http 协议都有问题的 chrome 说不得?
msg7086
2017-12-11 11:51:20 +08:00
@mooncakejs HSTS Preload 什么时候变成不兼容 HTTP 协议了?
zuohuadong
2017-12-11 11:52:29 +08:00
@mooncakejs hsts 的目的不是霸权,而是因为太多的域名劫持,https 本身可以防止中间人攻击 和 域名劫持的现象,所以推荐都使用 https。 其次,谷歌在自己域名加入 hsts,因为 dev 本来就是谷歌的,无可厚非
zuohuadong
2017-12-11 11:54:17 +08:00
@msg7086 他估计还没搞懂 为什么会有 https 为什么会有 hsts ~
xderam
2017-12-11 11:57:14 +08:00
https://www.iana.org/domains/root/db

建议了解下 new gTLD,我也是刚刚才知道,虽然从 2013 年就开始有了。

另外:
从个人来说,了解其争议的流程和制度比单纯抱怨更有意义。
从单位来说,了解申请流程和对自己的保护比眼馋人家注册这么好的域名更有意义。
mooncakejs
2017-12-11 12:07:10 +08:00
@msg7086
@zuohuadong
hsts 请求头是 w3c 标准,RFC6797
preload list 是谷歌搞出来的玩意,不是 w3c 标准。
mooncakejs
2017-12-11 12:10:19 +08:00
@zuohuadong 如果是为了安全,这和 360 的绿标认证有什么区别?
xderam
2017-12-11 12:13:25 +08:00
不过 g 家这个做法有点类似于国内推行普通话标准的感觉了。
争论起来估计又是地域战争。所以大家了解下
hsts RFC gTLD 啥的科普下就 ok 了,貌似真没啥好坏之分。

PS 我个人怎么也不太喜欢 new gTLD 的那个做法呢,看到好多国内的域名贩子注册公司开始了这项生意了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/413661

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX