Vlákno názorů k článku Analýza šifrovaného provozu pomocí síťových toků od mad - Tak za prve, cela saskarna s sifrovanim info,...
-
Tak za prve, cela saskarna s sifrovanim info, ktera vubec netreba sifrovat, pada na vrub google - jeho bussiness stoji na cilene reklame. Tam chce mit monopol.
Z pohledu uzivatele, tomu je jedno, kdo mu do webovych stranek vklada bordel (a kdo ho monitoruje scripty, kdyz o tom nevi).
Z pohledu inzerenta, zaplati tomu, kdo reklamu zobrazi uzivateli, a zobrazi ji cilene.
Tezko nekoho popotahovat za to, ze jednoduchym DNS nebo http rewrite trikem svym zakaznikum na IP konektivite doruci reklamy nekoho jineho, nebo je tise nahradi uplne (treba obrazkem 1x1 pixel)
To zalovat nelze, ale ksefty to kazi. A tak se musi vse sifrovat (vcetne DNS), protahovat DoH, zlikvidovat SNI (zasifrovat) a vubec vymyslet idiocie typu Letsencrypt.
Nekdo mi ziska pristup na webserver, a vygeneruje si certifikatu kolik chce. Jaky to ma smysl ? Co takovy certifikat prokazuje ?
Potreba desifrace v ramci firem je enormni. Zakazat vse krom webu, web desifrovat. Pak bude opet mozno blokovat a vyrezavat reklamy jinak, nez na strane pofidernich extensions v browserech. Narky ohledne homebankingu jsou nesmyslne. Desifrace se da on-fly vypnout (tcp tunel misto desifrace) presne a cilene tam, kde ji nechcete - podle IP, podle hostname, podle kategorie URL (dle reputacni sluzby nebo vlastni), podle user-agenta, podle detekce typu provozu (streaming), a to v kombinaci s identifikaci lokalniho uzivatele (ip, username), nebo i nacitanim z online API od duveryhodneho partnera (MS takhle pres API live publikuje IP jednotlivych svych cloud sluzeb).
Stavajici technologie proxy to podporuji , takze desifrovat vse, co desifrovat lze. Vetsina internetoveho provozu totiz bohuzel opravdu zmigrovala z tcp o vrstvu vys do https, vcetne utocniku, zatimco klienti mnohdy zustali bez ochrany (i pred ochranou a smirovacimi javascripty, coz ovsem Google maximalne vyhovuje)
-
Filip JirsákStříbrný podporovatelTak za prve, cela saskarna s sifrovanim info, ktera vubec netreba sifrovat
Zřejmě myslíte TLS. Jenže TLS nezajišťuje jenom šifrování, ale také integritu dat. A integritu dat je potřeba zajistit u všech přenášených dat. Pokud by pro vás nějaká data byla tak nezajímavá, že nevadí, když je někdo cestou změní, nepotřebujete ta data vůbec.Z pohledu uzivatele, tomu je jedno, kdo mu do webovych stranek vklada bordel
Není to jedno. Třeba u banky se dá předpokládat, že skripty na těžbu kryptoměn do internetového bankovnictví dávat nebude.Co takovy certifikat prokazuje ?
Že má dotyčný přístup na server. Není to mnoho, ale pro spoustu webů to stačí.Potreba desifrace v ramci firem je enormni.
Já bych to nenazýval „potřeba“. Prostě se to dělá takhle špatně, i když mnozí vědí, že je to špatně.Desifrace se da on-fly vypnout
Což ale vůbec neřeší ten problém. Problém je, že se neustále snažíte vychovávat uživatele, že mají být ostražití a kontrolovat, zda opravdu komunikují s tím, s kým si myslí, že komunikují – a vzápětí jim řeknete, že komunikovat s někým jiným, než s kým chtěli, je vlastně úplně normální, a někdo to ověřil za ně.MS takhle pres API live publikuje IP jednotlivych svych cloud sluzeb
To byla původní idea Microsoftu – že se nikdo nebude připojovat do celosvětového otevřeného internetu, ale do celosvětové privátní sítě Microsoftu MSN. Naštěstí Microsoft nebyl úspěšný. A většina lidí je ráda, většina lidí nechce, aby se internet redukoval na síť, kterou se mohou klienti připojit k velké čtyřce.(i pred ochranou a smirovacimi javascripty, coz ovsem Google maximalne vyhovuje
Protože šmírovat mohou jenom ti správní, třeba firemní IT.
