Nejak sem nepochopil proc kdyby Billboard serviroval banner pres SSL tak by uzivatel obdrzel nejaky warningy, pokud by pouzivali certifikat podepsanej nejakou znamou (tj. nainstalovanou v default instalacich browseru) autoritou tak by zadnej browser nevaroval, ty varovani se objevujou kdyz server pouziva certifikat co je podpsanej nekym neznamym, vyprsenej (nebo jeste neni platnej) anebo pokud je vydanej na jinej web nez na kterej se pristupuje. Ale pokud SSL stranka linkuje dokumenty na jinym SSL webu (coz vzdycky bude znamenat jinej certifikat) tak je to naprosto v pohode.
No a to ze Billboard vyzaduje referer hlavicku je docela drsny, vetsina lidi co znam si posilani referer hlavicky blokujou.
Nevim, zda to je presne ten pripad, ale rekl bych, ze je to pozorovatelne napr. ve statistikach navrcholu - sledovani poctu stranek "jejich adresa nebyla zjistena" (to by melo byt zpusobeno prave neposlanim refereru).
Pak by stacilo porovnavat treba http://navrcholu.cz/Statistika/14/ http://navrcholu.cz/Statistika/30925/2003/12/30/zobrazovane-stranky/ a http://navrcholu.cz/Statistika/8389/
Vetsina to rozhodne neni, otazka zni, zda je to dostatecne malo.
Jde o to, že ne všichni musí mít autoritu Billboardu mezi důvěryhodnými. Z hlediska bezpečnosti je lepší důvěryhodné autority promazat a nechat tam jenom ty, kterým skutečně věřím.
Pokud by autoritu Billboardu měla většina uživatelů mezi důvěryhodnými, problém by většinou nenastal. Pokud ale chci mít jistotu, musel by Billboard používat stejnou autoritu jako já. To je ale těžké zaručit např. v případě, kdy mám autoritu vlastní :-).
1) Nemusite mit Billboard mezi duveryhodnymi - staci tam mit tu, ktera Billboardu vydala certifikat (treba Thawte). Ziskat takovy certifikat neni velky problem a bude jej bez reci akceptovat vetsina prohlizecu.
2) Nevim o tom, ze by servery ktere generuji objekty na strance musely mit stejnou CA. Podle mne staci, kdyz maji certifikat od libovolen duveryhodne CA (viz vyse).
Ohledne detailu funkce SSL viz moje serie clanku zde na root.cz ;-)
Mluvíme oba o tomtéž. Samozřejmě uživatel nemusí mít certifikát BillBoardu mezi důvěryhodnými. Když jsem psal "autoritu Billboardu", měl jsem na mysli "certifikační autoritu, která vydala certifikát pro BillBoard".
Objekty na stránce samozřejmě nemusí mít stejnou CA. Ale pokud ji mají různou, může se stát, že uživateli, který má mezi důvěryhodnými tu mojí a nemá tam tu BillBoardu, se zobrazí varování.
Tak to ano, na druhou stranu mit stranky pro sirokou verejnost (navic stranky tak "skryteho" systemu jako je BB) zapepecene certifikatem od CA kterou nezna vetsina browseru na moc neni :-/ Proto me tato moznost ani nenapadla :-)
