Vlákno názorů k článku Chrome omezí webům přístup do místní sítě: brání útokům dle standardu PNA od RRŠ - Přijde mi to takové nějaké blbé.... Chápu důvody,...
-
Přijde mi to takové nějaké blbé.... Chápu důvody, chápu řešení, ALE: nemám rád, když prohlížeč "myslí" za programátora či uživatele.
Konkrétně já používám "rozcestník", který mi umožní připojit se na stroje z místní sítě. Má to tu chybu, že je dostupný (pouze z místní sítě!) na veřejné IP adrese.
Podle nových pravidel ale nebude možné jej použít, bude potřeba ho "přestěhovat" na jiný server, s IP v lokální síti. (Ve skutečnosti to bude spočívat ve vytvoření nového záznamu v DNS a přegenerování certifikátů - plus zapamatovat si, že teď je to jinde.)
Nebo bych mohl naučit DNS v lokální síti, aby překládala jméno "rozcestníku" na lokální adresu.
V každém případě je to zbytečná práce navíc, která jen zkomplikuje používání nástrojů pro webovou správu ve vnitřní síti. Ještě pár takových a nejspíš definitivně přejdu na Lync nebo něco podobného. ;o) -
Tak ještě by asi fungovala reverzní proxy; za předpokladu, že rozcestník se na ty stroje dostane.
Nicméně napadá mě jedna věc - určitě to na tohle bude vadit? Neaplikují se ty pravidla výše jenom když je ten obsah načítaný přímo ze stránky (iframe, atd) a samotný obyčejný odkaz by mohl být v pohodě?
-
Filip JirsákStříbrný podporovatelPokud je to skutečně „rozcestník“, tj. jsou tam jenom odkazy, nebude s tím žádný problém.
Jinak váš argument je nerelevantní. Samozřejmě, že každá bezpečnostní změna někoho omezí. To, o čem se dá diskutovat, je to, jak jsou vyvážené přínosy a negativa takové změny. Všimněte si, že Chrome tuhle změnu nasazuje v testovacím režimu, bude se teprve vyhodnocovat, zda to takhle může fungovat (za jsou ztráty přijatelné), nebo zda bude potřeba to ještě nějak změnit, případně že se to zase úplně vypne.
Asi se všichni shodneme na tom, že v ideálním světě by nic takového nebylo potřeba, všechna zařízení v místních sítích by byla dobře zabezpečená, „interní“ SOHO sítě by nebyly považovány za bezpečné a oddělené od internetu, a všichni by měly veřejné IP adresy, takže by vlastně ani nikoho nenapadlo považovat SOHO síť za nějak automaticky chráněnou.
Bohužel v ideálním světě nežijeme a PNA může dávat smysl. A má smysl se bavit o té hranici, jestli nepůsobí víc škody než užitku. Mně by třeba pro mne dávalo smysl, že by uživatel mohl tuto funkci pro konkrétní web vypnout. Ale na druhou stranu si uvědomuju, že jakmile takovouhle možnost do prohlížeče dáte, najde se dost uživatelů, kteří budou postupovat přesně podle instrukcí škodlivého webu a tuhle funkcionalitu vypnou. Když je někdo schopen podle návodu vybalit vir ze zašifrovaného souboru a spustit ho, proč by neudělal tohle.
-
Ono to je IMHO tak, že se (každá větší) změna otestuje "na uživatelích" a když bude vyhovovat "velké většině", tak se nasadí - a ta "malá menšina" může skřípat zubama nebo přejít jinam.
Problém je, že neustálé opakování tohoto postupu vede ke stavu, kdy buď patříte do "sjednocené množiny všech velkých většin" (což ve výsledku může být i menšina) nebo (xor) skřípete zubama či hledáte alternativu.
Ono to nemusí být xor - můžete skřípat zubama a hledat alternativu i v té sjednocené množině. ;oD19. 1. 2022, 12:56 editováno autorem komentáře
-
Filip JirsákStříbrný podporovatel
Nemyslím si, že by v tomhle mělo smysl hledat alternativu – pokud se neukáže, že to způsobuje problémy, o kterých se nevědělo, nasadí to postupně všechny prohlížeče (i Safari). Častější (a jednodušší) řešení je udělat takovou změnu, abyste se dostal do té většiny. Třeba v tomhle případě pokud máte nějakou aplikaci, která oprávněně komunikuje se zařízeními ve vnitřní síti, ale ta aplikace samotná je z nějakých historických důvodů na veřejné IP adrese, přesune se na privátní adresu. (Lepší by bylo, kdyby se zařízení přesunula na veřejnou, ale nikdo nebude zavádět IPv6 zrovna kvůli PNA.)
