Vlákno názorů k článku HTTPS by mělo být všude od to_je_jedno - To je stejny humbuk a medialni masaz s...
-
Starous (neregistrovaný)
vy věříte svému poskytovateli internetu že vaše data nebude číst, nahrávat nebo modifikovat? Všichni 3 velcí výrobci browserů se domluvili že http2.0 budou podporovat pouze ve https variantě. Není důvod nešifrovat, naopak podpoří to síťovou neutralitu že do provozu nebude zasahovat kdo by neměl, v americe mají občas kreativní nápady typu přidávání reklamy navíc, supercookies, tajné služby a hackeři vkládají do http traficku JavaScriptové exploity... a mohl bych pokračovat dál... svět se od 90.let hodně změnil
-
Starous (neregistrovaný)
presne tak, verejne se na podvrhování rychle prijde, tento tyden napr symantec vydal "omylem" testovaci certifikat pro google.com a diky certificate transparency se na vse prislo behem 24 hodin...PKI je sice dost hrozna vec ale "funguje" http://arstechnica.com/security/2015/09/symantec-employees-fired-for-issuing-rogue-https-certificate-for-google/
-
j (neregistrovaný)
Jak bylo receno, odhaleni zalezi na zpusobu vyuziti, a pokud na web s podobnym certifikatem poslu nekolik vybranych cilu, je odhaleni prakticky nemozny. A klidne se vsadim, ze nejen tato autorita ma stovky tisic takovych certifikatu aktivnich.
Jinak prave to ukazuje jak je zcela chorej koncept, kdy se vubec neresi, zda alespon autorita odpovida te, ktera prislusi danemu webu.
-
karel (neregistrovaný)
Problém je, že jsme naučili uživatele klikat ano věřím, pokračovat dále.
Takže podsouvat vlastní certifikáty po cestě bude stále možné, nehledě na to že spousta organizací včetně státních má své vlastní certifikáty a lidé si prostě zvykli.ale já třeba pro https jsem jen stejně jako s ipv6 se jde trochu skřížkem po funuse
-
Ano, hodně nepoučených uživatelů odklikne i podvržené certifikáty, takže to bude na nic.
Je tady ale i skupina poučených uživatelů, kteří by rádi věděli, zda se připojují ke správnému serveru a že po cestě jim nikdo do obsahu nic nevkládá.
Váš názor je stejně nedokonalý, jako názor zrušit bezpečnostní pásy v autech, protože se vždy najde někdo, kdo je používat nebude. -
Ondra Satai NekolaZlatý podporovatelTo je základní nepochopení, někde zdaleka jenom o utajení. Htps v rámci nějakých omezení řeší třebas i inegritu dat.
-
PJ (neregistrovaný)
Prestavte si, ze na tom yDese uvidite clanok, ze vasa oblubena strana zabija mile kotata. Alebo chce prijat aspon 10mil imigrantov.
Zda sa vam to divne, ale na stranke tej strany je to tiez. Na inych spravodajskych weboch rovnako. Par blogerov to bude hned kritizovat, par schvalovat.
Budete volit tu stranu, ked sa toto stane pred volbami? -
Ondro (neregistrovaný)
Predstavujem si to a ani trochu ma to nedesi.
Nepravdive informacie nam su podvrhovane aj dnes a stale budu vzdy podvrhovanie. HTTPS na tom nic nezmeni.BFU si tie informaci neoveruje teraz, ani potom. Trochu rozumny clovek chape, ze nielen taketo informacie si musi preverit(z roznych zdrojov a medii) a nemoze im slepo verit. HTTPS mu v tom nijako nepomaha a ani v buducnosti nepomoze.
Tento clanok povazujem za bulvarny clanok, dobry tak na oblbnutie BFU. Nieje vobec kriticky a riesi len vyhody, nespomina nevyhody, problemy a uskalia.
-
Prosím, kdokoliv má možnost napsat další článek, kde shrne nevýhody. Zatím tu ale žádné reálné nepadly: jen že to je k ničemu, je to složité, drahé a celkově tak nějak vůbec problém. Jakou by mělo pro uživatele nevýhodu, kdyby měl Root zapnuté SSL?
Nebo jinak: Jakou má pro uživatele nevýhodu, když je web LinuxDays.cz za SSL? Zhoršuje mu to nějak situaci? Nebo mně jako správci toho serveru?
-
Ondro (neregistrovaný)
Opacna otazka. Aku vyhodu mi prinesie zapnute SSL na root?
Podla mna ziadnu. Rovnako na tom bude kopa stranok.Niekde sifrovanie nema zmysel(je zbytocne) a v dnesnom stave by tam prinieslo komplikacie a zvysene naklady. A aj keby sa sifrovanie zjednodusilo(zrusenie vydavania crtifikatov,...), tak to bude aj tak pre kopu stranok zbytocne.
Je to podobne ako keby ma na poste nutili vsetky listy posielat doporucene(prvou triedou). Na co pozdrav z dovolenky posielat doporucene.
Je to tazke pochopit?
-
Znám aspoň tři bezpečnostní důvody, proč provozovat HTTPS místo HTTP:
1) http://j.mp/1FtQAEF
2) http://j.mp/1G2ciuB
3) http://j.mp/1FtR5yJJaké znáte bezpečnostní důvody pro HTTP místo HTTPS?
-
DannyStříbrný podporovatelNiekde bezpecnost nieje potrebná.
To muze vypustit z ust (klavesnice) tak akorat clovek, ktery znamych slabin sam aktivne zneuziva a stve ho, ze okoli mu hazi klacky pod nohy ;-)
-
Nikdo netvrdí, že HTTPS vyřeší všechno.
Můžete být konkrétní, jaké problémy HTTPS přináší?
Zabezpečit komunikaci na 100% se nikdy nedá. Nikdo ale přece netvrdí, že HTTPS vyřeší všechny problémy světa. Nebo snad ano?
Máte pravdu, že bezpečnost není vždy potřebná. Ale když je, tak to není nic proti ničemu. Zvláště, když HTTPS neřeší jen bezpečnost, ale i integritu přenášených dat, zrychlení komunikace mezi klientem a serverem, atd. -
A je nějaký objektivní důvod, proč by blog o křečcích a morčatech nemohl používat HTTPS?
Nedávno jsem si zřizoval osobní web server www.flajshans.cz a získání cerifikátu a konfigurace HTTPS byla otázkou několika málo minut.
A vím, že návštěvníci mého webu jsou odolní proti těmito útokům, resp. injektáže do http provozu (ať už ze strany ISP nebo infikovaných routerů po cestě):
http://j.mp/1G2ciuB
http://j.mp/1FtR5yJ
http://j.mp/1FtQAEF
Já nevidím problém v tom, aby uživatelé byli varování při vstupu na http stránky, že to není bezpečné/zabezpečené. HTTPS je další krok ke zvýšení bezpečnosti oproti HTTP.
Mě zřízení certifikátu (zadarmo) trvalo pár minut. A až bude rozchozeno letsencrypt.org, tak to bude ještě jednodušší. Tak proč se tomu bránit? Já nevidím jedinou bezpečnostní výhodu HTTP oproti HTTPS... -
Nedělejte z toho drama. Já jsem si zřizoval SSL od www.startssl.com pro svůj web www.flajshans.cz. Bylo to zdarma a stálo mě to 5 minut času včetně nastavení web serveru. Nevím jestli trápí čtenáře křečků to, že po http streamu jim tam může infikovaný router na cestě ze serveru k čtenáři injektovat do stránky škodlivý kód, ale mě jako provozovatele trápí to, aby čtenář dostal do webového prohlížeče tu samou stránku, kterou servíruji z web serveru.
A nikdo to nebudete direktivně vynucovat, prohlížeče nezapomenou HTTP. Jen při vstupu na HTTP stránky budou uživatele informovat, že to není tak bezpečné jako HTTPS (a mají pravdu). -
jehovista (neregistrovaný)
"ale mě jako provozovatele trápí to, aby čtenář dostal do webového prohlížeče tu samou stránku, kterou servíruji z web serveru."
A to se vazne tem kreckum uz stalo?
Tech vasich pet minut je pekna pitomost. Za tech pet minut z tech stranek ani nevydolujete certifikat, nehlede na to, ze tam maji tuny podminek, ktere musite odsouhlasit(precist je bude tak na pul dne) a navic jim dat kompletni osobni udaje. No a za rok vas zacnou fandove krecku otravovat, ze je prosly certifikat. Ne, proste to za to nestoji! -
Ano, to už se vážně čtenářům křečkům stalo. A injektáž HTTP provozu začíná být běžnou praxí. Viz
http://j.mp/1FtQAEF
http://j.mp/1G2ciuB
http://j.mp/1FtR5yJStačí?
Ano, za pět minut jsem schopen z nich vydolovat certifikát. Je faktem, že už jsem tam zaregistrován a tuny podmínek se čtou jen registraci. Takže ano, při první registraci strávíte 20 minut registrací a pak už vydávání certifikátu jde samo. A že jim dáváte osobní údaje? No a co? Když kupujete něco na netu, tak jako doručovací adresu zadáváte nějakou falešnou nebo snad žádnou?
No a před koncem vypršení mi přijde mail, kliknu na odkaz, vygeneruji si během chvíle nový certifikát. A to je problém? -
Pokud je to mrtvej web, do kterého nechcete už vrážet ani čas, ani peníze, tak ho necháte žít na http. Pouze uživatelům při vstupu na tento web se zobrazí navíc hláška, že http není tak bezpečný jako https.
Pokud je to normální web, který se s časem vyvíjí, tak je to otázka několika málo minut času, kdy můžete mít jak hotový certifikát, tak nakonfigurován web server. Žádné drama se nekoná. -
hugochavez (neregistrovaný)
Obavam se ze jsi vedle jak ta jedle. Pro sifrovani VESKEREHO OBSAHU na netu je hned nekolik dobrych duvodu:
V USA je hromada ISP kteri mapuji VESKERY TVUJ TRAFIK a data prodavaji tretim stranam= takhle si prilepsuji ke svym uz nemalym ziskum (staci porovnat ceny pripojeni k internetu v USA s cenikem jakekoliv jine civilizovanejsi zeme a pochopis o cem mluvim; no ale kdyz si americka "neviditelna ruka trhu" prolobovala monopoly budiz uzivatelum prano) Toto "analyzovani spotrebitele" je defaultne aktivovano ale ty jako uzivatel (vetsinou- ne vsak vzdycky) mas pravo tzv. opt-out kdy reknes ze nechces bejt takhle fizlovanej ale to muze znamenat 2 veci= budto te ISP rovnou odstrihne, anebo si priplatis abys tak "nahradil tvemu ISP uslej Xtra zisk". Jistotu ze by s tim ISP prestal i po zaplaceni "vypalneho" nemas v podstate zadnou viz.pripad Ashley Madison kdy si users taky zaplatili vymaz z DB. Technicky zdatnejsi user muze jeste zkusit 3ti variantu, totiz poridi si VPN a bude skrz sveho nenazraneho ISP trafik tunelovat.... (pak muze s prekvapenim zjistit ze napr Netflix mu pojede mnohem RYCHLEJI nez predtim, pripadne ze mu opet zacne fungovat bittorrent a problem "connection reset by remote node" jaxi zmizi :o))) Muze ale take rychle zjistit ze ho ISP kontaktuje pripadne zacne vnucovat svuj browser certifikat (proste se ti prestane zobrazovat obsah a skoncis na nejaky "landing page" kde ti ISP "v ramci posileni tvoji bezpecnosti" natlaci svuj vlastni cert...... Pak uz se vse vrati "back to basics" a zacnes bejt o5 dojenej a tvuj ISP ti o5 zacne poskytovat MiTM service. Pokud si myslis ze uteces na mobilni sit moc si nepomuzes (protoze ji casto provozuje stejna verbez jako statickou) a pokud do toho zatahnes urady uslysis od ISP takovy perly jako ze "jeto normalni takhle to delaji vsichni" Osobne si myslim ze je otazkou casu kdy tohle napadne nejakyho chytraka v EU. BTW tyhle praktiky byly take duvod pro ten velky humbuk v USA ohledne net neutrality, protoze situace nabrala uz takrka surrealistickych rozmeru. Pokud by ti tento argument nestacil muzu uvest dalsi, se kterym prisel bruce schneier ktery rekl (velmi vystizne) "udelali jsme plosne sledovani uzivatelu prilis snadne a levne. Prisli jsme tim o nas internet tak jak jsme ho znali. Je cas si ho vzit zpet. Je cas zacit sifrovat UPLNE VSECHNO- i tu nejmensi malickost. Tim se plosne fizlovani pro NSA a podobna uskupeni "prodrazi" a budou muset zacit delat to co jim zakon ukladal odjakziva- totiz soustredit se na vybrane dulezite cile a ne komplet cele obyvatelstvo. S tim uzce souvisi i odpoved pana jmenem vint cerf casto oznacovaneho jako "otec internetu" na to co by udelal jinak kdyby tehdy mel tu moznost? Rekl: "urcite bych udelal 2 veci- defaultne sifroval vsechno a taky nadefinoval mnohem vetsi adresni prostor" :o)))) Na to prvni jsme tenkrat vubec nemysleli protoze na akademicke pude vladne pomerne duvera, navic jsme byli radi ze nam to vubec jakztakz funguje a to druhe nas nenapadlo protoze nikdo nemohl tusit ze se internet tak masivne rozsiri. Vint Cerf je rozhodne velmi sympaticky chlapik-> video zde 24.minuta je hodne zajimava= vubec jsem nevedel ze myslenku v podstate identickou s dnesnim internetem dostal uz v r.1934 jakysi vizionar ktery pak bohuzel zahynul po obsazeni Belgie Hitlerem. Namisto dnesnich PC chtel pouzit telefon/ni linky a TV :o)))
Takze shrnuto a podtrzeno- sifrovat vsechno a vsude, projekt LetsEncrypt je urcite reakce na tuto potrebu, problem je ale PKI coz je v principu nepouzitelnej neverohodnej bordel viz Diginotar, Google cert od Symantecu a vsechny ty malery poslednich let. Schvalne se mrkni do svyho cert store- opravdu veris entitam jako HongKong postoffice?? Anebo tureckej telekom? anebo CA "autoritam" jejichz nazev ani nedokazu vyslovit?
PS: tohle je taky dobrej test jak "skvele" funguje revokovani certs u PKI. Zejmena je dobry zkusit na Android founech s browserem od Googlu :o))))
https://revoked.grc.com/ -
hugochavez (neregistrovaný)
PS: kdysi jsem slysel docela dobrej napad- beznej http trafik by mel vyvolat ze URL radek zcervena, pokud by tam byl DV cert tak by byl zlutej a pokud EV cert tak by byl zelenej (jako uz to dneska je) - Ja osobne bych klidne pridal modrou anebo nakou jinou sympatickou barvu pro "self-signed cert which I trust" cili takovej kterej jsem si sam vygeneroval anebo nekdo komu verim a u koho jsem i 100% overil ze sedi fingerprint. To ze tohle za me udela jakasi "neuplatitelna/spolehliva" CA navic jeste spadajici pod US jurisdikci je pro me NULOVA ZARUKA bezpecnosti
-
Filip JirsákStříbrný podporovatelProč mít dva protokoly, když HTTPS umí všechno, co HTTP? A pak je tu ještě jeden pádnější důvod – úplným zrušením podpory HTTP v prohlížečích v budoucnosti úplně zrušíte všechny bezpečnostní problémy založené na downgrade z HTTPS na HTTP.
-
Kolemjdoucí (neregistrovaný)
Dva protokoly nejsou. HTTPS je SSL/TLS+HTTP, uvnitř HTTPS to běhá podle HTTP protokolu.
Řešení HTTPS nepodporuje snadný load balancing a snadný provoz více domén na jedné IP, bez dešifrování nelze určit o jaké URL se jedná.
Kdyby se HTTPS přinutilo befelem, stejně to dopadne tak že většina lidí co měla HTTP si ani nekoupí certifikát, takže to bude stejně k ničemu. -
Google by mohl mluvit o nefunkčním load ballancingu na HTTPS. Samozřejmě to normálně funguje a provozovat se to dá, většina CDN to dnes běžně umí.
Provoz více domén je taky dávno vyřešená věc, já to třeba běžně používám, všechny slušné web hostingy to taky mají.
Certifikát už nebude třeba brzy kupovat, stačí to zapnout a všechno se udělá samo. I web hosteři už na to čekají, implementují to pak pravděpodobně úplně automaticky. S některými už jsem mluvil, připravuji o tom další článek.
-
Filip JirsákStříbrný podporovatel
Jsou to dva protokoly, HTTPS není jen SSL/TLS+HTTP. A s HTTP/2 se liší ještě víc.
Řešení HTTPS nepodporuje snadný load balancing a snadný provoz více domén na jedné IP, bez dešifrování nelze určit o jaké URL se jedná.
Tohle už HTTPS podporuje (SNI). A navíc je to právě příklad, že HTTP a HTTPS jsou opravdu dva různé protokoly… -
Petr M (neregistrovaný)
Třeba proto, že nějaká lama bude chtít podle návodu na rootu nastavit OpenVPN. Stačí, aby si ISPík přidal řádek textu, který lama vloží... Třeba "cp /home/usr/.openvpn/* 10.1.1.5/certs/publicip/username" s vysvětlivkou, že tam má nacpat svou veřejnou IP a uživatelský jméno...
Nebo proto, že jste registrovaný, budujete si tady nějakou "odbornou image", někdo unese session a udělá z vás totální móku.
Nebo proto, že root může někdo zneužít stejně, jak to dělaly benga při nasazování odposlechů...
Nebo kvůli stovce dalších důvodů.
Akorát bych bral spíš to, kdyby klíče dostal majitel k doméně od registrátora automaticky a současně mu registrátor automaticky podepsal i DNS. Ale to je moc jednoduchý na to, aby to někdo realizoval :(
