Názory k článku HTTPS má být zdarma a pro všechny, říká Tomáš Hála
-
JD (neregistrovaný)
Cituji: "Jediným řešením by podle Hály bylo, kdyby prohlížeče podporovaly jen HTTPS."
Proc, proc, proc?
Tim se odstrihne moznost konfigurovat zarizeni pres HTTP. (Je technicky nemozne mit v embeded za ucelem konfigurace platny certifikat, uz jen kvuli expiraci. Jedine self-signed a ten neni idelani cestou a je potlacovan napriklad v Chrome)
Takze pokud k tomu dojde, bude se vse resit bud privatnim SW (navrat do 90-tych let, nocni mura), nebo konfiguraci pres cloud (coz znamena pripojit na internet zarizeni, ktera tam byt z duvodu bezpecnosti ani byt nesmi)
Pripominam ze se to netyka jen IoT typu kotle, kdy uzivatel ocekava zivotnost pres 10 let a na internet by se pripojit mozna dal. Jedna se i o vyrobni technologie v hodnote mnoha milionu za kus, ktere nesmi byt pripojeny na sit (jak by se vam spalo, kdy by napriklad michaci zarizeni v tovarne na vybusniny pripojeno bylo?)
Vynutit HTTPS za kazdou cenu budemit nasledky, ktera se nam libit nebudou -
Jenda (neregistrovaný)
> Takze pokud k tomu dojde, bude se vse resit bud privatnim SW (navrat do 90-tych let, nocni mura), nebo konfiguraci pres cloud
A nebo budeš mít jeden prohlížeč na web, který bude podporovat, já nevím, jenom HTTP2 s šifrováním, a jiný na konfiguraci krabiček, který bude podporovat plaintextové HTTP, ale nebudeš s ním chodit na „veřejný web“.
-
JD (neregistrovaný)
Tahle varianta se od verze s "privatnim SW" lisi jen nepatrne.
Kouzlo HTTP prohlizece je prave v tom, ze je dostupny pro kazdou myslitelnou platformu uz pres 20 let.
Jeste zacatkem tohoto roku jsem to pavazoval za stejnou jistotu do budoucnosti, jako je moznost precist plain TXT soubor. A on si nekdo vezme do hlavy ten nesmysl zrusit HTTP. -
Petr M (neregistrovaný)
Plain text ani DOM tree vám nikdo nebere. I s HTTPS se dá uložit stránka jako .html soubor. Bere jenom možnost, aby někdo změnil cestou dokumenty... Na standardním webu změnu uživatel nepostřehne, ale může se spolehlout na to, že když si stáhne text zákona, je to opravdu autentický a nikdo mu nesmazal odstavec, který by ho mohl při nesplnění dostat do průšvihu.
Teď ještě nahradit e-maily něčím bezpečným... Jsou i banky, kde se s klienty komunikuje na základě nepodepsaných e-mailů, mohl bych jmenovat...
-
JD (neregistrovaný)
Banky posilaji e-maily nejenom nepodepsane. Ale mel jsem asi mesicni konverzaci s bankou proc nepouzivaji ani TLS prenos server-server. Odpoved byla, ze dle jejich "odborniku" je treba zvysit "jistotu" doruceni a proto to oni nezapnou. Hnus.
A to jsem ZAMERNE na komunikaci pouzil FB, aby si tu ostudu vychutnali verejne. Zbytecne, davu je to uplne jedno. A nejedna se o jednu banku, je to bezny stav, neuveritelne.Ale my si nerozomume. Problem neni v tom, ze server zapne sifrovani, to jedine schvaluji. Problem je v tom, ze nekdo bere nebezpecny napad odstranit z prohlizece moznost HTTP prenosu vazne. Proc je ten napad nebezpecny uz jsem napsal.
-
BobTheBuilderStříbrný podporovatelTo už nastalo teď - mám doma přes rok VoIP gateway SPA112. Funguje, takže na ni nechodím, ale když jsem to na jaře zkusil, tak se s ní nešlo spojit. Proč? Komunikuje výhradně přes SSL, ovšem má to děravé a to dnešní prohlížeče odmítnou docela. Takže jsem si z archívu musel vyhrabat FF17, ten vždycky rozbalím, použiju a smažu (protože by se příště už zase zkusil aktualizovat).
Aktualizovat firmware je řešení, kdyby ovšem Linksys měl aktualizaci, která problém řeší.
To ovšem není řešení pro majitele IoT věcí.
Leda že by prohlížeče měly "router configuration mode", klidně orámovaný výstrahami (když už mají ten private mode), a tam by povolili obyčejné HTTP a případně staré SSL - klidně s další výstrahou. -
Petr M (neregistrovaný)
Přesně tak. Je naivní očekávat, že se to zlepší.
Navíc tohle ukazuje, že jde o nepodporovaný produkt a v případě změny kodeku atd. by musel stejně za svoje kupovat nový. Lepší s ním trefi tmezi oči prodejce, dokud je to ještě v záruce. Po roce už je to na ultralevný upgrade na výkonnější železo ;)
Obdivuju lidi, kteří si nechají nakálet od prodejce na hlavu a pak věnují čas, peníze a energii řešení něčeho, co by měli místo nich řešit šmejdi, co sem ten aušus tahají. Já bych na to neměl nervy.
-
Petr M (neregistrovaný)
Jak si to zařídí, tak to bude mět.
Když si někdo koupí online analyzátor stolice s HTTP, snímkováním zadnice, bez updatů ale s posíláním obrázků na server výrobce, tak se nesmí divit, že se někde na webu objeví jeho holý pozadí a seznam toho, co za celý týden sežral.
Ale šifrovat nezačne, ani kdyby se hacker zmocnil onlne ovládání sondy a vyvrtal mu s ní do zadku další díru.
-
DannyStříbrný podporovatelJo, a kazdej BFU bude mit 4 prohlizece jen proto, aby se jednim moh podivat do lednice, druhym na TV a tretim na hajzl jestli nedosel papir ...
Tak to vubec nesouvisi s tim, zda se to ovlada pres HTTP/HTTPS. To je bezny stav i dnes, ze v nekterych prohlizecich neco nejde - protoze vyvojar te webovky to proste zprasil a testoval v tom podle sebe jedinem spravnem browseru - a na ostatni se vykaslal. -
Petr M (neregistrovaný)
Předně, HTTP znamená Hyper Text Transfer Protocol. Není, a nikdy nebyl, určený pro konfiguraci zařízení, ale pro přenos textových, prolinkovných dokumentů. Že se s jeho pomocí zpřístupnily hloupý krabičky ještě hloupějším uživatelům, to je jiná věc.
A nejenom, že to není šifrovaný. Protože konfigurace není statický dokument a lidi požadují vizualizace jako traffic, refresh logu a podobný featury, rve se do toho JavaScript, animovaný klikátka vypadají dobře v Javě, ... A nas... se do toho bezpečnostních děr, až to hezký není. Vše nešifrovaně. A co nešifrovaná komunikkace v uzavřené síti umí, to už semyslím ukázalo v praxi (Stuxnet).
Nemyslím, že by někdo soudný kritickou infrastrukturu nechal baz zabezpečení, byť na fyzicky oddělené síti. A kdyby už, tak počítač přece v dnešní době nestojí tolik, co půl prosperující firmy. Starý noťas se starým prohlížečem, určený jenom pro konfiguraci, by firmu finančně nevyčerpal. Z úspor za bezpečnost se jich zaplatí hned několik.
A co by se mě nemělo líbit?
- To, že SoHo router bude mít víc výkonu, aby dal minimálně HTTPS konfiguraci? Výkonnější železo se neztratí (ostatně, osekaný SoHo byly důvod ke vzniku hardware Turrisu, protože dnešní "standard" nemá výkon ani na pitomý logování trafficu).
- To, že se pár lidí probere a začnou požadovat, aby jejich zařízení drželo krok s (bezpečnostním) vývojem a začnou požadovat update? A výrobce bude muset mít nějakou rezervu? Máte pracvdu, číňanům se to líbit nebude. Ale já to vítám.
- Nebo to, že když budu chtít vrtat do muzejního exponátu, budu muset nabootovat ze starýho LiveCD, nebo spustit virtuální mašinu? -
Vlhky sny pubertaka. Skutecny svet je uplne jinde. Tady prece nejde o jeden archivni notebook ve firme(nesmysl, mame virtualizaci) nybrz prave o domaci krabicky. Proc by muj teplomer mel mit zasadne https z bozi vule redakce root.cz ktera zda se zahajila svatou valku za svou pravdu. Kdysi se tady clovek docetl neco zajimavyho po technicke strance. Posledni tydny je to tady politicka sracka nekoho (kdo vi kdo na tom muze mit takovy zajem?) kdo se snazi lidem namluvit, ze HTTPS je dulezite a potrebne VSUDE. Je to k bliti.
-
- treba protoze kdyz chci videt teplotu tak je nejjednodussi kliknout na zalozku v prohlizeci ktery je zapnuty cely den?
- treba protoze to teplomery a jina cidla te firmy pouzivaji desitky let vcetne stale stejneho xml vystupu?
- treba proste protoze je to nejjednodussi, nejvice dostupne a nejefektivnejsi reseni? -
Takže tvůj komp bootuje rovnou do prohlížeče? Tam už není žádný OS, ve kterém bys spouštěl jiné příkazy? Já nevím, já jsem celkem zvyklý pro data ze senzorů prostě jen napsat sensors<enter> nebo ekvivalentní. Je to dokonce rychlejší, než klikat do prohlížeče. Na tabletech a telefonech mám nativní aplikace (dokonce tam jsou nativní aplikace pro věci, které na desktopu běží jen v prohlížeči), které agregují i několik zařízení nebo data z několika serverů. Nemusím jít na adresu každého zvlášť. Na světě není jen prohlížeč.
Nehledě na to, že když to zařízení má takové krásné xml, tak možnost curl, nebo wget, nebo třeba přímo na tcp socket bude existovat vždy. tcp/ip nezmizí tím, že některé prohlížeče budou umět jen šifrované http2. Stejně předpokládám, že výrobce nebyl až takový debil a že k tomu dodal nějaký agregátor, který si postahovává ty xmlka.
Nehledě na to, že takové zařízení má celkem určitě snmp, které by mělo být ještě jednodušší na implementaci, než http.
-
Ses opravdu debil nebo si na nej jen hrajes? Vylezl jsi nekdy ze sveho kamrliku mezi normalni lidi? Tusis co by rikal vyrobce zakaznikum kteri by se najednou po upgrade prohlizece(ze pry bezpecnost, sic!) nedostanou na svuj teplomer (protoze proste nejsou schopni/ochotni to resit jinak)? Vyndej hlavu ze zadale, dostuduj skolu a vydej se pracovat nekam do firmy ktera si na svoje zivobyti musi vydelat bez dotaci apod. Pak zjistis, ze zakaznik je na prvnim miste. Vlhke sny pubertaku a akademiku te nechaji v klidu - kdyz se ti nebudou srat do byznysu tak jak naznacuje posledni mesic masirka ze strany rootu (toliko upadajiciho mezi bulvar)
-
Jeden by řekl, že když je diskuse zrovna o webu, tak jeden ten web využije pro zjištění informací. ;-)
Jinak nezbývá než zopakovat, že ty změny se neodehrávají ze dne na den. Podpora http tady bude ještě hodně dlouho (takže na svůj teploměr se bez problémů dostaneš a podpora bude patrně tak dlouhá, že mezitím ten teploměr umře na sešlost věkem. A mezitím se snad výrobce přizpůsobí aktuální situaci, takže si budeš moci pořídit nový s bezproblémových přístupem.). Na všechny změny v šifrování, které proběhly loni, byla možnost se připravit 15 let. Na jednu změnu, která proběhla letos, minimálně 5 let (a asi neexistuje implementace, která by měla jen jednu šifru). Jestli toto někomu nestačí, tak je jen dobře, že z trhu zmizí. Udělá se místo pro schopnější.
-
Seti (neregistrovaný)
"Takže tvůj komp bootuje rovnou do prohlížeče? Tam už není žádný OS, ve kterém bys spouštěl jiné příkazy? Já nevím, já jsem celkem zvyklý pro data ze senzorů prostě jen napsat sensors<enter> nebo ekvivalentní. "
A to napíšeš kam, do vypnutého kompu? :-)
Já nevím, co je na tom nejasného, že browser je nejuniverzálnější a nejdostupnější řešení, místo nějakých obskurních "sensor <enter>" monoplatformních řešení. Vy se divíte (možná ne ty osobně, ale řada jiných určitě), že linux má na desktopu ubohé necelé 2 %. No bodejť by neměl, když nabídka aplikací na něj (a ne, počet balíků v repu nevypovídá naprosto o ničem) je tristní a to včetně a hlavně různých odborných věcí. Kdyby bylo vše tak multiplatformní, jak jsou browsery, žádný OS by se nejspíš neřešil.
-
Nepletu. Je s podivem, že se lm_sensors dokáže připojit na senzory (sběrnice senzorů, dokonce až tak různé sběrnice, že i2c, sbbus, dokonce i senzory procesoru a jeho jader), když podle této diskuse každý správný senzor běží výhradně na http. Opravdu záhada ;-)
V praxi je to samozřejmě tak, že senzory se (externě) připojují na nějakou více méně průmyslovou sběrnici (RS232, RS485, domácí KNX apod.) a nějaký agregátor je vyčítá.
Ale jak jsem psal, nešifrované protokoly nikdo nezakázal, takže si ty senzory klidně vyčítejte po tcp / ip, třeba podobně jako kdysi unix služby (xinetd time, echo apod.) Nebo třeba po http
-
Filip JirsákStříbrný podporovatelAd 1 – To ovšem vůbec neznamená, že by protokol HTTP muselo implementovat to čidlo teploty. Dokonce bylo dříve normální, že takové čidlo komunikovalo jiným protokolem a do webu se to integrovalo někde jinde. A když to čidlo začalo používat protokol HTTP, lidé jako vy si stěžovali, co je to za novoty. Navíc když to čidlo implementuje HTTP, obvykle to má nějaké příšerné webové rozhraní, nejlépe „optimalizováno pro MSIE 6 a rozlišení 800×600“ a hodnoty z toho musíte dostávat pomocí HTML parseru.
Ad 2 – Jistě, desítky let, HTTP a XML.
Ad 3 – Není.
-
Kaacz (neregistrovaný)
Jsi úplně mimo ale chápu, že je za tím jako vždy nevědomost. Každý tím trpíma. Dokud jsem se s tím nesetkal, tak bych napsal to samé.
Dnes jsou za pár korun k dispozici destičky s IP připojením a GPIO porty pro komunikaci se senzory.
Problem je ten, jakým způsobem ten levný jednočip předá ta data.
1) předat do IoT cloudu. Jak? No přeci http! Na https zapomeňte, to v tom čipu za 50Kč není.
2) vrácení "http" stránky na přímý dotaz.
V obou případech je to jen sprostý string o max velikosti paketu!
Tk asi tak představa o čem je řeč ohledně "senzorů, čidel a teploměrů. Nejde o nějaké shitózní proprietární komerční blbosti.. :) -
Filip JirsákStříbrný podporovatel
To, že se na všechno používá protokol HTTP, je dané především tím, že je spousta zařízení za NATem a nemohou spolu komunikovat přímo. A HTTP je jediný protokol, který NATem spolehlivě projde.
Ani jeden z vámi uváděných příkladů ale není důvodem, proč by měl webový prohlížeč podporovat nešifrované HTTP – všimněte si, že se v těch vašich příkladech webový prohlížeč nikde nevyskytuje.
-
Petr M (neregistrovaný)
"... teplomery a jina cidla te firmy pouzivaji desitky let ..."
Ha ha ha. Množný číslo bych si odpustil.
Jinak jestli je to to, co si myslím, tak je to nedodělek, který k té firmě docela sedí. Nechtěl bych to mít ve své síti. A pokud je ta změna zabije, houby zle. S jejich produktem už jsem se jednou pěkně vypekl.
"Pro nastavení teploměru je možné využít:
Webové rozhraní
Protokol Telnet (viz stranu 26)
Pro prvotní konfiguraci IP adresy je určen program Ethernet Configurator"Zmíněný konfigurátor je podle datasheetu určený pro Visty... :Q
A volby z bezpečnosti:
"Stránka pro mobilní zařízení (dostupná na /wap.html) není nikdy zabezpečena. Tímto nastavením je možné zobrazení stránky povolit nebo zakázat." Mimo to jenom nastavení hesel. Otázka je, jak je zabezpečeno HTMLDalší věc, po HTML to podporuje tři uživatele. Superadmin, Admin, User. Hesla se tahají v plaintextu. Pokud mám přístup do sítě, stanu se po prvním přihlášení superadmina taky superadminem. A kde je pak problém nastavit to jako TCP klienta a posílat si automaticky teploty na vlastní server?
Argumentace tím, že je to jenom teplota, neobstojí. Asi to nebude jenom na jednom z jejich produktů a pokud budou stejně "zabezpečeny"všechny jejich krabičky a všechno běžní na stejným jádru... Mají tam třeba i Ethernetový tenzometr. Pokud byly použitý k měření stavu mostů na dálnici, kde ta data můžou rozhodnout o tom, jestli dodavatel zaplatí v rámci reklamace jednotky nebo stovky mega, tak by byla sakra silná motivace si někde po cestě pohrát s nešifrovaným datovým tokem... Ale jsou to přece jenom hloupý čidla, tak co...
Btw, z toho, co to podporuje, je asi nejpoužitelnější Modbus over TCP.
-
Element (neregistrovaný)
"Protoze tohle co tady nekteri obhajuji tak je prave snaha vzit lidem lowcost osobak a dat jim neco co nepotrebuji a nechteji."
Lidi nechtej byt nemocni, tloustnout a chteji prachy bez prace a pritom zerou tucny, cukry, nehejbaji se a vetsina prachy bez prace neporidi... Takze tolik o lidech co vedi co chteji :-)
Pokud nekomu bude vadit, ze jeho oblibeny browser najednou neumi to co umel, tak halt prejde na jiny, pokud diky implementaci https zarizeni bude drazsi a bude vic zrat nebo bude pomalejsi, tak si halt lidi koupi jine.
-
Kaacz (neregistrovaný)
Pokud teploměr předává data někam na server, http je asi zbytečné. Na druhou stranu - jak funguje cloid IoT?? Senzor pošle data jako http s uživatelským hash tokenem. Bomba. :)
V opravdu low-cost řešeních na ssl není prostor.
Hraju si s wifi ESP8266 za 60Kč, ke které připojím čidlo teploty, tlaku a vlhkosti za 80Kč .. a to mi může posílat data.. ale bez ssl! Na IoT http server? No prostě problém. Http se dnes používá na kdeco jako nosné médium. :) -
JD (neregistrovaný)
Chapejte, ze HTTPS nastaveni je problem nejen z duvodu vykonu. Konkretne jeproblemem certifikat. Podepsany autoritou tam byt nemuze, protoze:
a) ma vzdy omezenou platnost
b) nelze ho vystavit na obecnou konfiguraci IP/DNS pouzite na misteA self-signed certifikat neni zadne zvyseni zabezpeceni (MITM utok). Krome toho je v prohlizeci potlacovan (Chrome napriklad)
Navic je tu problem zastaraleho protokolu nebo implementace a nepripojite se vubec.
Takze to nakonec stejne skonci na fyzicky oddelene siti. Nic jineho u technologii s vice nez desitkou let zivotnosti stejne nemame. Nebo dokonce zcela bez pripojeni na sit, jen zarizeni s RJ45 nebo M12 konektorem a notebook, co si prinesete na diagnostiku s sebou.
-
Starous (neregistrovaný)
omezenou platnost? jo, má..ale dá se nastavit třeba na 10 let. Kdy jste naposledy viděl domácí router v provozu tak dlouho?
Self-signed certifikáty si můžete přidat mezi trusted roots v prohlížeči a pak jsou stejně důvěryhodné jako od nějaké CA.
Většina routeru ma defaultni konfiguraci 192.168.0.1 tak by tam mohl byt i self signed certifikát. no a pri zmene ip nebo jednou za 10 let by se holt pregeneroval. Pri certificate pinning je to i bezpecne proti mitm.
-
A co takhle toho chytráka, který do kotle cpe webserver, někde pro výstrahu pověsit?
Zajímala by mě analýza, ze které plyne http jako nejvýhodnější protokol pro správu takových (polo)průmyslových jednotek.
Už z minulých diskusí tady na rootu tak nějak vyplynulo, že pro některé je http jediný existující protokol a že ip konektivita pro ně znamená jen tolik, že "to" mohou zadat do adresního řádku webového prohlížeče...
-
Neni urcite nejlepsi, ale je nejdostupnejsi z hlediska klientu. Webovy prohlizec a tim padem http protokol je dostupny KAZDEMU na pocitaci, v telefonu, v tabletu apod. Co presne tam mas lepsiho? A divej se na to z pohledu BFU, divej se na to z pohledu vyrobce a poctu prodanych kusu. On takovy "webserver" totiz muze mit taky jen par desitek/stovek kB.
-
Filip JirsákStříbrný podporovatel
Tak holt od jednoho krásného dne bude místo toho platit „webový prohlížeč a tím pádem HTTPS protokol“. Není důvod, proč by se to mělo kvůli vám měnit na „webový prohlížeč, vedle toho HTTP protokol, a to vše dokonce integrované do jediného programu“.
-
Předně, HTTP znamená Hyper Text Transfer Protocol. Není, a nikdy nebyl, určený pro konfiguraci zařízení, ale pro přenos textových, prolinkovných dokumentů. Že se s jeho pomocí zpřístupnily hloupý krabičky ještě hloupějším uživatelům, to je jiná věc.
Kdyby jenom, já si pamatuju, jak VMware přestal ke konfiguraci používat normální aplikaci, ale "imprúvoval" to k ovládání přes prohlížeč.
BÍDA A DĚS*.(* Možná se od té doby něco změnilo, já popisuji zkušenost z minulosti)
-
"Kdyby jenom, já si pamatuju, jak VMware přestal ke konfiguraci používat normální aplikaci, ale "imprúvoval" to k ovládání přes prohlížeč."
Hlavně vmware v průběhu dějin pendloval mezi webovým a tlustým klientem už několikrát. Aktuální je stav, kdy je to přes web, chce to flash (!) a je to tak dokonalé, že do konzole window ani nepošlete ctrl+c.
Takže ono to sice formálně běží v prohlížeči, ale fakticky je to tlustý klient napsaný ve flashi běžící pouze na vybraných platformách (prohlížečích). To, že to komunikuje po http(s) je asi celkem nepodstatné (to by tlustý nativní klient mohl taky).
Takže dokonale dokriplené.
-
j (neregistrovaný)
A co budes delat, az si poridis a vymenis vsechny krabky za https ... a nejakej frikulin prohlasi, ze pouzivany sifrovani neni bezpecny a odstrihne ho. Ses vprdeli. Viz nedavna akce FF a spol. Jasne, ty, ja ... mozna vsichni na tomhle serveru si poradime. Ale ty miliardy BFU si neporadej.
-
Petr M (neregistrovaný)
Nejde o to, co ta krabka umí teď. Jde o to, aby ta krabka dostávala update a podporovala to, co je standard právě teď.
Jediný způsob, jak toho dosáhnout, je tlak na výrobce od lam. Lamy to neřeší, protože zatím jim to "funguje". Teprve až se to začne sypat a lamy začnou řešit problémy, vznikne na výrobce dostatečný tlak.
-
Petr M (neregistrovaný)
Proč by to dělali, když není poptávka? Legislativa to nevyžaduje, ISP červivý zařízení neodstřihávají (při tom stačí jenom jedna věta ve smlouvě a nestojí je to ani korunu), BFU nezajímá, co jeho krabičky za jeho zády páchají za lumpárny....
Mám veřejnou IP a na ní, jenom tak ze srandy, malej hrníček medu na nepoužívaných portech. Když jsem nedávno viděl v diskusi IP adresu *), ze které mě zrovna šly do hrníčku mailíky na zvětšení pindíka, tak jsem dotyčnýho upozornil. Reakce byla, že ty mailový adresy nezná a že nejsou jeho...
*) o tom ISP vím, že dává veřenou adresu koncákům
-
Petr M (neregistrovaný)
Když neumí do smlouvy napsat "V případě, že ze strany klienta dojde ke kybernetickému úrotu, rozesílání spamu, šíření malware a podobně, bude klient odpojen od Internetu na dobu, než klient zjedná nápravu a vyrozumí o tom poskytovatele. Je-li klient odpojen od Internetu z tohoto důvodu, je nadále povinen poskytovateli platit za služby stejně, jako by k odpojení nedošlo.", tak má BFU smůlu.
Zadokumentovat, odstřihnout, za těžký peníz nabídnout výjezd technika s pomocí. ISP neprodělá, BFU začne trochu řešit (ne)bezpečnost jeho online hraček...
-
j (neregistrovaný)
Tvle ty ses taky padlej na hlavu ze? Uzivateli je zcela UPRDELE co si kdo pise do smluv, uzivatele zajima, ze ho nakej kreten odpojuje od internetu, a u takovyho kratena se pripojovat nenecha.
Nadto ISPcku je to taky zcela uprdele, protoze on proste proda nejakk tlusty draty, a je mu absolutne jedno, co si po nich kdo posila. Proc by to mel resit? CO z toho bude mit?
A ve finale bych chtel videt jak u soudu obhajujes pozadavek na platbu za nedodane sluzby.
-
wsh (neregistrovaný)
Nám se to teď stalo na jednom serveru. Provozovatel hostingu dostal varovaní z nějakého honeypotu a odpojil náš server od sítě. My jsme mu poděkovali, vyčistili zavšivený Wordpress a víc ho zabezpečili. Spokojenost.
Problém je, že u koncáků to bude mnohem složitější. Krabičku jim před x-lety zapojil kamarád, se kterým se už ani nevídají a jediným výsledkem bude nasranost zákazníka a takové náklady na support u providera, že z těch asi 20 Kč, které na přeprodávaném DSL měsíčně vydělá, to nikdy nezaplatí.
-
j (neregistrovaný)
Ukaz mi JEDINYHO vyrobce, ktere dela support vcetne doplnovani zcela nove funcionality, alespon 15 let. Aspon jednoho jedinyho. A to vcetne toho, ze si za to rad zaplatim. Zrovna ted cumim na 10 let stary cisco, a dokud bude fungovat, tak ho nikdo vymenovat nebude. Kde si mam sosnou novou verzi?
-
A jaké východisko navrhuješ ty? Nechat ty BFU používat nezabezpečený protokol (a vědět o tom)?
Ty "akce" FF nejsou akce ze dne na den. O tom se ví roky nebo alespoň měsíce dopředu. Nehledě na to, že se roky ví, že ty protokoly a šifry jsou nějaké podezřelé (sha1 se ve státní správě nesmí používat od 2010, jestli v roce 2015 přišel někdo s vylepšeným útokem, tak by to nikoho nemělo překvapit, protože už min. 5 let ví, že sha-1 nebrat; na rc4 upozorňoval test ssllabs už několik let (min. od 2011, co si pamatuji)).
Tak o čem se bavíme? Jestli odborníkům nestačí několik let na změnu ... ačkoliv změnu, nevím o žádném případu, kdy by byl protokol odstaven bez náhrady, TLS je tu od roku 1999, tedy, jestli někdo nebyl schopen 15 let vedle SSLv3 zprovoznit i TLS, tak je to spíš další známka toho, že by se měl výrobkům takového "výrobce" na míle vyhnout.
-
Takže umožnit všechny ty útoky ssl striping a podobné útoky typu změny protokolu?
Nehledě na to, že protokol http nikdo neruší. servery pro http budou existovat ještě hodně dlouho, stejně jako klienti. Z toho mimo jiné plyne, že vždy půjde postavit proxy, která na jedné straně bude připojena na http server a z druhé strany poskytovat moderní šifrované spojení. Asi není překvapením, že se to tak dělá už dnes.
-
Takže když máte za úkol vyřešit nějaký problém, tak se k němu postavíte tak, že ignorujete vše, co se vám nelíbí a prostě to nějak zbastlíte?
Na (drtivou) většinu cílů nikdy žádný útok nebude. To ale přece není důvod to udělat špatně, obzvláště za situace, kdy rozdíl mezi dobře a špatně je v podstatě nulový, nebo dokonce záporný. Já nevím, já svůj trapný malý soukromý blog mám na https nikoliv proto, že by byl pod neustálým útokem, ale prostě proto, že je to skoro ta nejjednodušší možnost, jak to nastavit (rozdíl mezi https a http vhostem jsou jen ty řádky obsahující cestu k certifikátu a použití RS si ukládá odkazy v absolutním tvaru včetně schematu, takže by bylo velmi komplikované umožnit provoz jak po http, tak po https. Takto to běží pouze přes https, prohlížečům se to sdělí přes HSTS, a v http vhostu je jen redirect. Jednoduché, primitivní a netřeba myslet na to, že některé stránky (třeba přihlášení) by mělo být za https a jiné ne. Až prohlížeče budou preferovat https, tak se to ještě zjednoduší tím, že tam ten http vhost nebude vůbec.).
Proč bych měl například na server, který je ve vedlejší místnosti používat telnet a z vnější sítě se přihlašovat pomocí ssh? Pro mě je jednodušší nepřemýšlet nad tím, zda jsem ve vnitřní nebo vnější síti a prostě to ssh používám i při přímém spojení kabelem mezi klientskou stanicí a serverem. Je to prostě ta nejjednodušší možnost. Telnet tam nainstalovaný ani není, netřeba na to myslet při nastavování FW apod.
-
Seti (neregistrovaný)
"Proč bych měl například na server, který je ve vedlejší místnosti používat telnet a z vnější sítě se přihlašovat pomocí ssh?"
No a zase... pokud zařízení umožňuje šifrování a intelechtuálové neusoudí, že šifra je nedostatečná, tak není problém ji použít. Ale jsou hromady zařízení, které to neumí a nikdy umět nebudou, i když jinak budou naprosto funkční. Fakt mám dojem, jak kdybych se někdy bavil s jedinci z Jedličkova ústavu.
-
"Fakt mám dojem, jak kdybych se někdy bavil s jedinci z Jedličkova ústavu."
Na tom se shodneme ;-)
"Ale jsou hromady zařízení, které to neumí a nikdy umět nebudou, i když jinak budou naprosto funkční."
A on vám ta zařízení někdo bere? Nebo o co jde? Plaintext komunikaci si můžete vesele používat dál, nikdo vás nenutí šifrovat něco, co vy nechcete. Dokonce vám ani nikdo nezakazuje šifrovat já nevím Caesarovou šifrou, když se vám líbí.
Jenže stejnou svobodu musíte uznat také výrobci prohlížeče. Jestliže se výrobci prohlížeče znelíbí césarovo kódování, tak má plné právo ho tam nedat. A zatím to výrobce prohlížeče dělá stylem, který znamená dostatek času (spoustu let, bavíme se tu o 5-15 letech) se na změnu připravit. Můžete si tedy připravit proxy mezi césarovým kódováním na straně vašeho zařízení a něčím, čemu rozumí prohlížeč. Nebo dokonce máte svobodu se na prohlížeč úplně vykašlat a napsat si vlastní prohlížeč vašich dat.
Ta o co jde? :-)
-
Seti (neregistrovaný)
"A on vám ta zařízení někdo bere?"
Nebere. Bere mi možnost to funkční zařízení používat dál s aktualizovanym a tím pádem maximálně zabezbečeným programem.
"Jenže stejnou svobodu musíte uznat také výrobci prohlížeče."
Já to uznávám. Ale ať se pak nikdo nediví, že jim lidi nadávaj, a že na updaty dlabou a web je zaplevelený botnety. Aneb dobroserství v akci :-)
"Ta o co jde? :-)"
Jde o to, že je to zbytečná investice času a peněz u řešení, které dosud bylo funkční a mohlo zůstat funkční ještě řadu let. Je to prostě security through obscurity. Zakazovat místo možnosti dát na výběr je doménou politiků a korporací.
-
Ale však podpora https tu bude patrně déle, než je živostnost takového zařízení, i kdybyste si jej zakoupil letos. Tak o co jde? A výrobce jistě následující model vyrobí tak, aby podporoval https/2. Nebo, pokud se https/2 nehodí, tak pořád může zařízení posílat plain text a nějaký program (klidně jako plugin v prohlížeči) to vyhodnotí. Prostě možností je mnoho a času je dost.
-
j (neregistrovaný)
Tvle, fak ses tatar ... https je ti napicu, kdyz ti nebude fungovat sifrovani, ktery pouziva protistrana, protoze ho nejakej jak rika seti dobroser zarizne. To ze si dneska koupim novou krabici vubec neznamena, ze se na ni jeste za mesic pripojim, protoze prijde kreten, kterej rekne "hola hej, prisli sme na to jak tuhle sifru naborit, je treba ji zakazat".
Je to PRESNE stejna situace jako elektronicky podpis alternativne nasle slavny DS. Oboje dolsova a dospismena nahovno, protoze az bude chtit nekdo neco za 20+ let necim takovym dokladovat, tak se mu vsichni leda vysmejou.
A vysledek? 100% BFU rekne, ze zadny https nechtej, protoze nebudou resit, ze jim to prestane fungovat.
-
"To ze si dneska koupim novou krabici vubec neznamena, ze se na ni jeste za mesic pripojim, protoze prijde kreten, kterej rekne "hola hej, prisli sme na to jak tuhle sifru naborit, je treba ji zakazat".
Můžete mi uvést konkrétní příklad, kdy od nalezení problému k vypuštění funkce uběhl měsíc?
A co že to vlastně kupujete za skvělé zařízení, které měsíc po zakoupení nelze updatovat ani reklamovat?
Zařízení, které implementuje pouze jednu šifru (obvykle se nasazuje celá řada šifer) a to ještě jak na potvoru tak slabou, že lze prolomit za měsíc (už jen tohle samo o sobě je absurdní vzhledem k procesu, jakým se šifrovací algoritmy vybírají).
Zařízení, k jehož zprovoznění (po té vaši vysněné události, kdy za měsíc nebude provozu schopné) ani výrobce nevydá patchovadlo, které se tam připojí tou jednou povolenou šifrou?
Tohle už je zkrátka absurdní.
"Je to PRESNE stejna situace jako elektronicky podpis alternativne nasle slavny DS."
Datové schránky byla malá domů pro Íčka, po jehož pracovně a bytě se v noci procházela policie. O "kvalitě" návrhu a implementace se snad nemusíme bavit. To šlo naimplementovat mnohem lépe, mnohem jednodušeji a mnohem levněji.
Elektronický podpis vám za 20+ let k něčemu bude, protože ten dokument můžete přepodepisovat, takže bude zaznamenán chain až k originálu. Pokud se vám to nelíbí, můžete si jej vytisknout na archivní papír a podepsat rukou, jak se to dělalo stovky let. Nikdo vám to nezakázal.
-
Seti (neregistrovaný)
"Takže umožnit všechny ty útoky ssl striping a podobné útoky typu změny protokolu?"
Tývole, to je jak u blbečků na dvorečku. Kolikrát je jen v téhle diskuzi zmíněno, že browsery naprosto stupidně řvou u self-signed certifikátu, ale u HTTP mlčí jak zařezaní? Tak se u HTTP prostě zobrazí okno s tlustým červeným rámem a nápisem POZOR NEBEZPEČÍ! A pokud dojde ke změně z výchozího HTTPS na HTTP, tak ten rám bude tlustší dvojnásobně a bude žlutě pruhovaný.
-
Franta (neregistrovaný)
Předně, HTTP znamená Hyper Text Transfer Protocol. Není, a nikdy nebyl, určený pro konfiguraci zařízení, ale pro přenos textových, prolinkovných dokumentů. Že se s jeho pomocí zpřístupnily hloupý krabičky ještě hloupějším uživatelům, to je jiná věc.
To myslíte třeba Enterprise disková pole, SAN switche, firewally apod, kde SW podpora stojí statisíce ročně a tudíž ne všichni zákazníci ji platí?
Celkem bych chápal , kdybych mohl jako ještě před rokem nebezpečí plynoucí z neupdatované Javy a nedůvěryhodných certifikátů po upozornění vědomě ignorovat, ale to, co se děje s browsery teď, kdy jako admin ani nedostanu šanci, musel vymyslet někdo netušící, na co se browsery nyní také používají. A je jedno, na co byly tyhle protokoly vymyšleny původně ... -
j (neregistrovaný)
Jenze ty jako admin si poradis. Ja tu trebas mam virtual s XPckama, a na nich 5 let starou javu a 5 let starej browser. Presne kvuli temhle imbecilum, hura, mame vse dokonale bezpecne.
Ale BFU, kterej ma doma kabku, je proste v riti, a pokud mu to bude se starsim browserem fungovat tak co? Mno najde postup, jak aktualizace vypnout a dal to resit nebude.
-
j (neregistrovaný)
Mi povidej ... v mym pripade tak v 30% pripadu resim, jak se k ty krabici vubec pripojit. Kdyz to ma seriak, tak na ten mam pro sychr asi 4 ruzny redukce, protoze kazda funguje s necim ... protoze nativne to holt neni dost nobl. Pro nejhorsi pripady mam pak jeste stary IBM thinkpad, s nativnim seriovym portem ...
A kdyz to ma jen web/javu, tak je to casto na par hodin zkoumani ktera verze je ta spravna ... a to zakose vzdycky potesi, kdyz to ma platit.
Nedavno sem se opravdu pobavil, banka (tusim CSOB) hazela chybovy hlasky, a po rozhovoru s hotline z nich vylezlo, ze ta jejich hruza oficielne podporuje asi 3 roky starou verzi javy, a zadnou novejsi.
-
DannyStříbrný podporovatel
Neni nad citace vytrzene z kontextu odstavce... zvlast kdyz v druhe vete je konstatovano, ze jde o utopiii :)
Bezpecnost u IoT pri zivotnosti 10 let je zajimave tema. Pristup "zapnu a zapomenu" se jednou krute vymsti. Zvlast pri kvalite SW vyvoje. Cinan chrlici levne krabicky se na bezpecnostni zaplaty nejspise vykasle. Co je proti tomu proprietarni konfiguracni SW. Mimoto provoz vlastni CA, zajisteni duveryhodnosti v prohlizeci a vystavovani certifikatu s libovolne dlouhou dobou platnosti vazne problem neni.
-
Filip JirsákStříbrný podporovatel
Co byste dělal vy, kdyby se vás třeba auto zeptalo „Opravdu chcete použít hambram bumbram?“ Máte občanku a nepočůráváte se, takže byste se určitě zodpovědně rozhodl. Jak?
-
Jenda (neregistrovaný)
V anketě chybí možnost „HTTPS by nemělo být nikde“.
Proč? Nelíbí se mi, že existuje HTTPS, IMAPS, SSH, SMTPS, …. Každý si implementuje šifrování podle svého, někde je to alespoň podobné (vše přes TLS), někde se musí uprostřed protokolu implementovat STARTTLS příkaz, někde je to úplně samodomo. Z pohledu admina mám pět různých služeb, u kterých musím pětkrát nakonfigurovat šifrování (protože třeba Postfix měl ještě nedávno v defaultu naprosto insane šifry jako DES nebo 40bit RC-4), u každé samozřejmě jiným způsobem, a když se něco rozbije, nemám si jak ten protokol sniffnout, protože ty služby nenabízí žádné API, jak z nich dostat klíč (kvůli Perfect Forward Secrecy mi už nepomůže nahrát do Wiresharku privátní RSA, ale potřebuju přímo per-session ephemeral), a tak to naprosto nelze debugovat.
Z pohledu vývojáře mi zase přijde pakárna to řešit, pokud chci jen jednoduchého TCP klienta. A z pohledu uživatele si to každý klient zase řeší sám a jinak.
Podle mě by tohle mělo být záležitostí nižších vrstev s tím, že by to exportovalo nějaké API, přes které by se řešily věci jako přihlašování klientským certifikátem.
-
Jenda (neregistrovaný)
Současně je třeba nemožné, abych se jako uživatel rozhodl „teď chci DANE“. V „mém“ modelu se browser zeptá „Je protistrana ověřená?“ a nechá na OS, jestli se podívá na důvěryhodné CA, do DNSSECu, jestli na druhou stranu zatelefonuje, nebo to vytáhne z křišťálové koule. Takže by se přidalo DANE tam a bylo by.
Zatímco teď to musí implementovat úplně všechny Firefoxy, Chromy, Thunderbirdy, a spousty knihoven, které používají CLI aplikace, které si chtějí z HTTPS webu stáhnout soubor nebo přes SMTPS poslat e-mail.
-
DannyStříbrný podporovatel
Z pohledu admina mám pět různých služeb, u kterých musím pětkrát nakonfigurovat šifrování
Tak jiste, ono to nastavovani kazdeho admina jen obtezuje :D Pak by ale sam admin mel predevsim zvazit, zda by se nemel jit venovat jine praci - kdyz to, co by delat mel ho nebavi. -
-
Tak ono spíš jde o to, že na ostatní věci se zapomíná. Poslední dva roky je docela dost slyšet o webu a https a ty věci se dost zlepšily. Navíc instituce jako CSIRT (nebo NIC nebo kdo to posílá), posílaly, alespoň veřejným institucím, výsledky testů a upozorňovaly je na problém.
Jenže vedle toho jsou třeba VPNky, kde se používá 10 let stejná konfigurace s 1024b klíči, sha1, někde i md5 podpisy apod. A to nikdo neřeší. Takže vedle relativně dobře zabezpečeného webu je díra do zdi v podobě vpn, která je nastavená z doby krále klacka.
-
MichalekII+ (neregistrovaný)
IP adresy došly a konec internetu se nekoná ... jak jste prorokovali nedávno.
(takže vyrobíme nové téma ...)Tato panická kampaň okolo HTTPS je naprosto to samé, prostě se jen někdo potřebuje za každou cenu zviditelnit. Případně řídit ty masy hlupáků na internetu co tápou nevědí co a jak používat.
-
DannyStříbrný podporovatel
Divam se na .com, .net, .org, .info, .gov, .mil, .eu a vsude DNSSEC vidim. Jakou ze generickou domenu jste mel na mysli? :-D
-
DannyStříbrný podporovatel
Miliontin promile? :-) Pocitani s procenty se vyucuje jiz na zakladni skole.
http://www.statdns.com/ -
Jenda (neregistrovaný)
> IP adresy došly a konec internetu se nekoná ... jak jste prorokovali nedávno.
Co? Internet už dávno skončil. Nebo jak jinak nazvat situaci, kdy je naprosto běžné, že se nemůžu stát ISP, a že není možné do Internetu připojit nové zařízení, protože už RIR v mém regionu prostě nemá čísla, a kdy je naprosto běžné, že spolu dvě zařízení nemohou kvůli NATu komunikovat?
-
Slusny fail. Ale asi nelze cekat, ze se nekdo chytne za nos a prestanou tady sirit ty nesmysly z hlav posahanych geeku kteri jsou na sto honu vzdaleni bezne realite a zijou si v tom svem IT sklepe s Richmondem za dverma.
root je krasna ukazka jak nesmyslne by bylo https only. proc? proc bych sakra tady mel chtit https na vecne casy a nikdy jinak? Kdo by mi tak asi tady mohl chtit neustale posilat pokazenej obsah nebo vymenene reklamy? Cim by me to melo ohrozit? Paranoia je hezka vec, ale ani s ni se to nema prehanet.
Jak to budu resit se svym letitym ethernet teplomerem pro pouziti v interni siti to mi nikdo z tech chytraku nerekne(jo poradi - kup si nove s aspon ctyrjaderm a giga ram..). Za me teda root posledni mesic horsi bulvar nez lZive.
Ja vim, nikdo me nenuti to cist, nikdo mi nezakazuje clanky psat...
-
DannyStříbrný podporovatel
Jak to budu resit se svym letitym ethernet teplomerem pro pouziti v interni siti to mi nikdo z tech chytraku nerekne
Ted jeste mit 100% jistotu, ze ten teplomer v privatni siti skutecne jen meri teplotu :-) Ono je dost castym jevem, ze sami vyrobci pri honbe za ziskem letite krabicky prestavaji aktualizovat... takze jednou s tim softwarovym muzeem muze byt jeste veselo. -
Filip JirsákStříbrný podporovatel
U kolika domácích sítí je pravda, že je dostupný opravdu jen z domácí sítě a ta domácí síť je bezpečná?
-
Filip JirsákStříbrný podporovatel
Co se týče té mé, zařízení konfigurovatelná přes HTTPS v ní mám a HTTP jsem tam vypnul. Bohužel tam mám i nezabezpečitelná zařízení, která musím schovávat za proxy server. Takže z mého pohledu je dobře, že prohlížeče pomalounku směřují k bezpečným protokolům.
-
Filip JirsákStříbrný podporovatel
Nebudu na to používat aktuální webový prohlížeč, ale třeba Firefox 2.0, který si nechám vyhrazený pouze pro konfiguraci těchhle zařízení. Nevidím jediný důvod, proč bych je musel, konfigurovat zrovna v moderním prohlížeči. K některým zařízením přistupuji třeba přes Telnet, protože SSH neumí – a taky to neznamená, že bych vyžadoval, aby SSH klient podporoval Telnet. Prostě si nainstaluju jiný program jenom pro tenhle účel.
-
Filip JirsákStříbrný podporovatel
Myslíte používat k práci ten program, který je pro ni vhodný? Já to nikomu necpu, klidně si používejte webový prohlížeč k přístupu k FTP serverům a VLC pro prohlížení webu – akorát pak za to, že se vám to blbě používá, nadávejte sám sobě a ne autorům těch programů. Na prohlížení webu nejsou prohlížeče zas až tak špatné a VLC přehrává videa také docela dobře.
-
Filip JirsákStříbrný podporovatel
To je přesně ten důvod, proč takových zařízení bude v praxi minimum. Protože pokud má špatně udělanou administraci, kterou není možné aktualizovat, bude mít nejspíš špatně udělaný a neaktualizovatelný i zbytek softwaru, brzy se v něm objeví bezpečnostní díra a pak nezbyde, než takové zařízení vyhodit.
-
Filip JirsákStříbrný podporovatel
Což ovšem předpokládá, že to zařízení bude napadeno nějakým útočníkem. Přeci jen slušné zařízení v továrním nastavení od výrobce snad nebude hackovat prohlížeč. A pokud ano, nebudu řešit, jak se k němu připojím mým výchozím webovým prohlížečem, ale jak ho co nejdál zahodím.
-
Filip JirsákStříbrný podporovatel
A nebo mít obraz s Windows XP a MSIE 6, protože to je přesně ta kombinace, se kterou spousta těch hloupých krabiček používá.
-
Petr M (neregistrovaný)
Fakt?
Když vezmu dnešní obecnou krabičku, tak
- Na ní běží nějaký OS
- Je připojená do privátní sítě a dobře vidí traffic
- Skrz NAT by v pohodě viděla C&C
- V UI bývá tlačítko pro kontrolu update, aktualizace kontroluje a stahuje z HTTP.Stačí jednoduchý MITM, podvrhnout novou verzi FW a máš v nešifrované síti za NATem křížence agenta STB s trójskou kobylkou. A i kdyby to nenašlo cennější data, obvykle je tam mailový klient pro odesílání logu, obvykle vypnutý. Stačí drobná změna konfigurace a hned se zvedá traffic.
Argument s doma dělaným bazmekem neberu. To je jak argumentovat proti rychlostním limitům tím, že po závodním okruhu se dá jet rychlej a posledních X let se při rychlosti do 200km/h nikdo nezabil...
-
no a v plno ostatnich krabickach ten OS neni. to sou krabicky oproti kterym je puvodni rasp pi superpocitac. to je mame kvuli nejakymu trotlovi z akademicky sceny nebo odkud(evidentne s nulovou praxi v obchode) vyhazet a nasadit tam veci co zerou radove vice energie? veci ktere jsou radove zranitelnejsi taky! v tomto ohledu je naopak to http to nejmene nebezpecne reseni.
-
Jenda (neregistrovaný)
> root je krasna ukazka jak nesmyslne by bylo https only. proc?
Aby mi zlý ISP nemohl vkládat do stránky vlastní reklamy. Aby NSA nemohla profilovat uživatele na základě toho, co je zajímá. Aby na mě orgáni nevytahovali u soudu, že u ISP sniffli, že jsem tu četl články o tom, jak funguje nmap, a potom někdo vyhackoval nmapem elektrárnu, tak jsem to určitě musel být já.
-
A jsi normální?
Oni mají na práci důležitější věci:Mozilla rovněž ohlásila, že spolupracuje s firmou Unity na možnosti spuštění her vytvořených ve stejnojmenném enginu přímo v prohlížeči.
Viz
http://www.root.cz/zpravicky/firefox-ukonci-podporu-npapi-pluginu-do-konce-roku-2016/ -
Ondro (neregistrovaný)
To by bolo prilis jednoduche.
Tu je ocividna snaha pretlacit HTTPS ako spasu ludstva.
V dnesnom stave osobne nepovazujem nasadenie only HTTPS za riesenie. Prv je potrebne to cele sifrovanie dat "dokopy", prehodnotit, upravit a ujednotit Ma to vacero dier a vobec sa nemysli na to, ze HTTP je a bude potrebne stale. Problem s potrebou HTTP asi vyusti do alternativnych prehliadacov, ktore ho budu podporovat a najlogickejsi je tento postup s default HTTPS.
HTTPS nic nevyriesi.
Potlacenie cenzury- to som sa pobavil. HTTPS nikdy nepotlaci cenzuru, skor bude viest k tomu, ze sa schvalia nove zakony, v ktorych bude sposob ako zakonne cenzurovat a odpocuvat. Sposob na obidenie HTTPS sa vzdy najde.Modifikacia webu po ceste. To je problem ale nie taky velky ako je prezentovany.
Nech weby prechadzaju na HTTPS, proti tomu nemam nic. Som proti aby prehliadace nutili weby aby prechadzali na HTTPS, to je velka sprostost.
Chvali, ze v clanku je aj info nedokonalosti aktualneho HTTPS.
-
Filip JirsákStříbrný podporovatel
Nestačilo. Jakmile prohlížeč umí HTTP, fungují všechny útoky spočívající v downgrade spojení (uživatel by chtěl HTTPS, ale dostane HTTP).
Spíš si myslím, že to půjde cestou zařízení jako OnHub. Kde kdo se divil, k čemu domácí samoobslužný router. Tak tohle je zrovna jeden z příkladů – zaregistruje nové domácí zařízení, přidělí mu domácí DNS adresu a vygeneruje pro něj certifikát, který k adrese připíchne pomocí DANE. Akorát se teda budou muset v Googlu domluvit vývojové týmy OnHubu a Chrome, aby Chrome začalo podporovat DANE.
-
Petr M (neregistrovaný)
Ideální řešení v současné situaci, když už je potřeba konfigurovat hračky, by bylo:
1) Prohlížeč "upraví" URL na https://. Automaticky, bez ptaní.
2) Jestliže nedostane odpověď a zařízení je na lokální síti (IP z 10.x.x.x, 192.168.x.x,... a shoda s prefixem aktuálního stroje nebo VPN), zkusí to po HTTP.
3) Jestliže nedostane odpověď, nebo je neplatný certifikát: Zobrazení informace pro uživatele, kde bude napsáno, co se stalo, v případě chyby certifikátu nabídne bezpečnostní výjimku (jednorázovou nebo trvalou) a tlačítko "zkusit nezabezpečeně na vlastní riziko"
4) Při odpovědi na https s nebezpečným protokolem vyhodit chybu a neřešit to. Pokud se admin o web nestará, zřejmě ani nepotřebuje návštěvníky a v případě např. routeru za litr až dva nemá cenu riskovat, že někdo podstrčí slabší zabezpečení do banky a vycucne 50-100 tisíc z účtu, ...A tohle všechno jde udělat i bez nových protokolů a opičáren kolem. Je to přece jenom na pár řádků v browseru.
-
Filip JirsákStříbrný podporovatel
Akorát že to zavádí do webového prohlížeče logiku rozpoznávání embedded zařízení a komunikaci s nimi. Přitom původní premisa byla, že HTTP je univerzální protokol a není potřeba pro embedded zařízení vymýšlet nic nového… Nevidím žádný důvod, proč by se o tohle měl starat prohlížeč. Naopak si myslím, že tohle je přesně role pro domácí router. Ten má přece mít přehled o všech zařízeních v síti a řídit k nim přístup.
-
Petr M (neregistrovaný)
On taky původné předpoklad byl, že nebude potřeba zabezpečení. A že nebude potřeba update zařízení kvůli bezpečnosti. A že html bude mít statický obsah. A že ...
Realita je, že routery se neupdatují (ani kvůli kritickým bezpečnostním chybám) a tuhle funkcionalitu do nich nikdo nedostane. Takže cos HTTP se dá řešit až na místě, kde update existuje. A když to odmítají řešit autoři OS/firewallu (volbou v nastavení, zda povolit HTTP a whitelist), je nejbližší místo, kde to řešit, webový browser. Výhodou navíc je, že tam je rovnou user interface a dá se použít browser s podporou nestandardních standardů.
-
Filip JirsákStříbrný podporovatel
Do té doby, než bude HTTP z prohlížečů vymýceno, budou ty současné domácí routery vyměněné pětkrát. Mnohem dřív se dostaneme do situace, kdy nebude použitelný domácí router, který se neuktualizuje sám automaticky.
-
j (neregistrovaný)
To co pises je poradna hovadina.
1) prohlizec nema co upravovat, ten ma jit tam, kam ho uzivatel posle (a nejvic me serou weby jako google a spol, ktery se snazej usera automaticky forwardovat podle IP ...)
2) jasne, takze neplatnej/expirovanej/revokovanej cert je bezpecnejsi, nez validni cert na slabsim sifrovani ... lol
3) admin se o web nemuze starat protoze je to web UPSky/routokrabky/... a zcela jiste je o rad bezpecnejsi pouzit http ... protoze PRESNE to ted VSECHNY browsery userum rekly.a) browser ma na https drzet hubu presne stejne jako ji drzi na http.
b) browser NESMI obsahovat zadne "duveryhodne" autority, protoze zadne takove neexistuji.
c) browser muze uzivateli nabidnout ulozeni certifikatu a/nebo autority ke KONKRETNIMU webu.
d) teprve tady muze browser rvat jak protrzenej, kdyz se certifikat zmeni, pripadne neni od schvaleny autority.To vsechno samo muzi byt konfigurovatelny, necht si to kazdy nastavi dle vlastnich preferenci a potreb.
-
Verton (neregistrovaný)
Moc se mi přednáška líbila, ale proč znovu omílat něco co již bylo řečeno a je dostupné na netu? https://www.youtube.com/watch?v=BfozNgH7ynk
Podle mě stačilo zmínit přednášku v souhrnu z konference Linuxdays.
-
Kolemjdoucí (neregistrovaný)
HTTPS na běžné denní zpravodajství, počasí, burzovní zprávy a podobně není potřeba, zbytečně to vybíjí baterku. Opět ani Hála nepodal důkaz proč ano.
Dále je třeba zmínit nedávné vypnutí SSLv3 v aktualizacích prohlížečů a i dalších aplikací, které všeobecně způsobilo výpadky služeb a finanční ztráty.
-
Petr M (neregistrovaný)
Tak zrovna u toho burzovního zpravodajství by bylo fajn mít jistotu, že před investicí půl mega někdo ty čísla nepomíchal.
A to počasí se taky může prodražit, pokud se z toho vezmou data pro řízení tepemýo čerpadla a někdo mu nakecá, že je pod blance pointem...
U zpravodajství opravdu ověření autenticity nemá smysl. Tam často platí, že se útočník prozradí tím, že to začne dávat smysl.
-
Starous (neregistrovaný)
nejde o Vašeho souseda, ale o služby typu shodan které vám všechna zranitelné zařízení vygooglí, a pak přidání do nějakého botnetu automatizovaným skriptem není žádná práce... https://en.m.wikipedia.org/wiki/Shodan_(website)
-
Filip JirsákStříbrný podporovatel
Takže ten webový server v tom zařízení nakonec neběží? To je dobře, že jste si to rozmyslel.
-
Petr M (neregistrovaný)
Opravdu? On ten hloupý teploměr může vypadat třeba takhle: http://www.papouch.com/cz/shop/product/tme-ethernetovy-teplomer/#productDownload
Pokud nepoužíváš maily, tak si může někdo bez tvýho vědomí posílat teploty poštou... Nebo pokud je používáš, vyčíst konfiguraci SMNP a fejkovat ti hodnoty... Nebo používat tvůj login na SNMP k rozesílání kdo ví čeho. Nebo prubnout tvoje admin heslo k teploměru na NASu... a co třeba prohodit IP adresy dvou čidel, to je taky povedený žertík (pokud je jedno s vnitřní a druhý s venkovní teplotou a řídíš tím online kotel, je to dvojnásob srandovní)... Fantazii se meze nekladou.
Btw. Zařízení není bezpečný proto, že si myslím, že na něm není co hacknout. Zařízení je bezpečný ve chvíli, kdy překonání zabezpečení stojí víc, než co může útočník získat.
P.S. Jsem rád, že takoví jako ty berou zabezpečení na lehkou váhu. Blackhati jdou cestou nejmenšího odporu, takže ty a tobě podobní hrajete v zabezpečení klíčovou roli... ;) Jak se cítíš v první linii?
-
Quark66 (neregistrovaný)
Tak já prodávám akcie pouze na základě ověřených informací z několika zdrojů (bloomberg a tak) https všechno. A na prodej mám "těžkého klienta" se secure channelem, klasická banka.
Ale fejkování obyč zpravodajsví...proč ne. Ono by se vlastně ani nic nestalo. Třebas ofiko zpráva amíků: "rusové nepoužívají naváděné střely" (idnes) by se zvrhla v "rusové používají naváděné střely" a stala by se pravdivou. -
DannyStříbrný podporovatel
A z ceho usuzujete, ze svou elektronickou komunikaci nesifruji uz dnes? :-)
-
mc (neregistrovaný)
Pochybuji ze v horizontu 10 let prestanou majoritni prohlizece podporovat ciste http.
Samotne https je "nestabilni". Certifikaty maji casove omezenou platnost, crypto veci dobre dnes jsou spatne zitra... O kazde zarizeni s https je nutne se aktivne starat
https urcite poroste na ukor http a to je dobre.
Propagujme https a vylepsujme ho. Zaroven, ale nezapominejme, ze nemuze byt hned a vsude a s nejnovejsim crypto. Pozor na pouzivani hrube sily pri prosazovani.
-
Petr M (neregistrovaný)
http: Zadám URl, zjistí si při z DNS IP a naváže spojení.
https: Zadám URL, najde v DNS IP adresu, stáhne a ověří ověří certifikát a naváže spojení.
Kde je rozdíl, mimo toho, že je tam dotaz navíc před navázáním spojení? Na získání metadat, kam se připojuješ, stačí to DNSko, který tam je tak jako tak.
A víš, co je super? Že to DNSko ti může fejkovat kdokoliv cestou, nejenom CA. Sledovat a podvrhávat domény se dá cestou nejmenšího odporu...
-
NULL (neregistrovaný)
Tak samozřejmě bez radikálního titulku to dneska nejde ;-),ale otázka bezpečnosti IoT a vůbec, přece nestojí jen v HTTPS vs HTTP. To je jen jeden z článků řetězu. Přece MITM není problém jen toho, že někdo valí HTTP místo HTTPS.
Podobně se to tady řešilo s těmi vychytralými automobily. Uvedu příklad: Když Vám synek vleze na nějaké herní fórum, stahne si patch z ruska a zasviní Vám PC, AVG zareguje za měsíc jestli vůbec a bude se jednat o nákazu cílící na IoT, bude pak záležet na tom, jestli na router, či co, z browseru lezete s HTTPS? Myslím že ne.
Obdobně: pokud někdo nahackuje autoritu nebo server výrobce, podobně jako se to stalo třeba s jQuery co si namátkou vzpomínám, nebo zase někomu jen tak pošlou certifikáty jen tak za milý email, MITM Vám HTTPS kompletně kompromituje a ještě si budete myslet, jak jste v pohodě.
Bezpečnost dneska je celkem problém a čekat, že když se to moc nedaří jinde, najednou vše vyřeší HTTPS, je myslím úplně zcestné.
A řešení? Neznám. Bude pravděpodobně spočívat v nějaké mnohofaktorové autentikaci, HW oddělení součástí, možná výcvik BFU, nějaké perimetry v zabezpečení + soukr. kód nebo kdoví co ještě.Možné řešení by mohlo být firmware a aktualizační HW/SW galvanicky oddělit od zbytku pro vše ostatní s tím, že společný bude jen display. Pokud přijde aktualizace, tak se jednocestně nahraje na veřejnou část mechanicky bez možnosti ovlivnit to softwarově. Pro technika třeba reload tlačítkem při přístupu ručně. A pak třeba kontroly checksumů instalace, požadavků na operace atd. Ale asi to bude chtít kvalitnější železo. No a neveřejnou část řešit jako aktualizace klasických OS třeba?
Jiná otázka je, jestli to opravdu výrobce zajímá. Po tom, co předvádějí s těmi chytrými automobily, telefony ... jsem komplet nabyl dojmu, že je jim celková bezpečnost úplně u <zadek />
-
Petr M (neregistrovaný)
"Uvedu příklad: Když Vám synek vleze na nějaké herní fórum, stahne si patch z ruska a zasviní Vám PC, AVG zareguje za měsíc jestli vůbec a bude se jednat o nákazu cílící na IoT, bude pak záležet na tom, jestli na router, či co, z browseru lezete s HTTPS? Myslím že ne."
Pokud si zasviní svůj PC a na IoT jako admin lezu z jinýho PC, tak heslo v HTTP / TELNETu sniffne, v HTTPS / SSH ne. Opravdu na tom nezáleží?
"pokud někdo nahackuje autoritu nebo server výrobce, podobně jako se to stalo třeba s jQuery co si namátkou vzpomínám, nebo zase někomu jen tak pošlou certifikáty jen tak za milý email, MITM Vám HTTPS kompletně kompromituje a ještě si budete myslet, jak jste v pohodě."
Jo, to je problém. Ale jakou škodu může způsobit? Řekl bych, že prolomením šifry bude komunikace s daným serverem na stejné úrovni, jako kdyby nebyla šifrovaná, je to tak? Pokud je to jako argument proti https, je to hodně slabý, protože takový útok posune DOČASNĚ JEDNU STRÁNKU na http, který by odpůrci https chtěli TRVALE NA VŠECH STRÁNKÁCH.
Dejme tomu, že že je 100 lidí, kteří mají zájem odposlouchávat mou komunikaci a mají k tomu prostředky. Jeden z nich sežene klíč od jedné ze 100 URL, který navštěvuju. Pak může 1% útočníků odposlouchávat mou komunikaci s 1% webů. Šance na odposlech je 1: 10 000. Navíc když se to zjistí, tak jde certifikát revokovat a odposlech je jenom dočasný.
S čistým HTTP v té situaci poslouchá 100 lidí, každý na 100 webech trvale a nemám šanci to zjistit ani ovlivit. Furt žádný rozdíl? Furt to nedává smysl?
-
Ty vsak porad nechapes, ze jsou pripady kdy je http proste good enough nez aby stalo za to vynakladat usili na cokoliv jineho. Proste jsou mista kde zadnymu utocnikovi nestoji za minmutu casu se tomu venovat. O tom to cele je. Dat https jakou default volbu v prohlizeci ok, ale vyndat klasicky http je proste nesmyl nagelovanych akademiku ktery zivi stat.
-
Nechapem, naco sa s nim hadas. Nakoniec aj tak rozhodne trh o tom, ake riesenie je najlepsie. Tito akademici od stola si mozu tliachat svoje vizie, mozu si organizovat circlejerky na diskusnych forach a pisat tisice clankov o tom, aky nadherny by bol svet, keby vsetci zili podla ich predstav. A to je asi tak vsetko, co mozu. Ked sa vyrobca nejakeho browseru rozhodne, ze zo svojej pozicie potrebuje vychovavat ludi, tak ludia proste prejdu na iny. Vsetko je len o urovni otravovania. Kazdy ma svoju internu hranicu nastavenu inak a alternativa tu vzdy bude.
Preto klud a nech sa tu evangelizatori za kazdu drbnutu novinku uplne odtrhnutu od reality kludne postavia na hlavu.
-
Petr M (neregistrovaný)
Asi to opravdu nechápu.
Řeší se tady barák, co má dvoje dveře vedle sebe. Jedny s 10mm kovovou výztuží, cylindrickým zámkem, zesílenýma futrama a alarmem, druhý jsou devěný rám, panty z králíkárny, pobitý trojkou překližkou a zabezpečený háčkem na očko.
Zatím padly jenom tyhle pádný důvody, proč tam mít oboje:
1. Zadávat PIN na alarmu je nepohodlný, stojí to 5s života.
2. Když mám vopici, můžu se prokecnout a někomu ten PIN vyzvonit. Co když se z hospody dopotácí dřív, než já a vypne alarm?
3. Stodola má stejný dveře z překližky a nikdo tam nikdy nic neukradl. Protože tam nic není.
4. Překližkový dveře mají chabý futra, nic lepšího by tam nedrželo
5. Nevěřím firmě, která ten alarm montovala, můžou kontrolovat, kdy chodím z hospody a hlásit to manželce
6. Pojišťovna trvá na tom, abych měl bezpečnostní dveře, takže je nemůžu zrušit.
7. Cestou do kůlny udělám o dva kroky míňTakže znovu pro nechápúavce. Kteý z důvodů 1-7 by mě měl přesvědčit, abych ty překližkový nezazdil a nevyužil získaný kus zdi třeba jako botník?
-
Přezdívka je povinná (neregistrovaný)
Chybi vam tam 8. duvod...
Zed je z papundeklu, ve zdi jsou jen ty drevene dvere a na ty nove kovove s poradnym zamkem neni vedle na zdi dost mista. Navic tam neni elektrina, tak neni z ceho napajet alarm a do tretice za dverma je jen teplomer, kterej zadnyho utocnika nezajima... -
Petr M (neregistrovaný)
To ale mluvíte o té kůlně z zrgumentu, kde není co ukrást. Ne o tom domě, kde už ty dvoje dveře jsou .
V domě jsou cennější věci - sbírka obrazů (= fotky z dovolené), vkladní knížky (= bankovní certifikát), nějaký ty akcie (= kupní smlouvy, pojistný smlouvy,...), nějaký vybavení půjčený z práce, za který má pan domácí hmotnou zodpovědnost,...
A otázka zní, jestli je stávající stav - dvoje dveře od domu - to nejlepší, co můžu s ohledem na ochranu těch věcí mít?
-
Přezdívka je povinná (neregistrovaný)
Ale o tom to je. Tam kde neni co ukrast to http staci. Nebo tam, kde se zlodej nema sanci dostat (za FW). Takovych zarizeni je...
Samozrejme, v soucasnem stavu si muzu VYBRAT, jestli ty dvere zazdim. Pokud chci bezpeci, MAM MOZNOST, pokud nechci, neni tam nic duleziteho, nemam tam tu elektrinu apod tak tam MAM MOZNOST nechat ten papundekl.
V HTTPS stavu si NEVYBERU, protoze ty HTTP dvere budou jen namalovany na zdi a realne se skrz nebude dat projit. Nebude browser. Naopak BUDU se muset starat o alarm apod. i kdyz tam bude jen ten teplomer.
Proste to pridela praci tam, kde to neni potreba. To je vse.
-
NULL (neregistrovaný)
Dovolím si napsat proč tam ty dveře mít a pár poznámek k tomu domu.
Třeba proto, že když dělám cokoliv kolem toho domu, jsou u Nás děti které PIN nezadají nebo jim ho nechci říct, z objektivních důvodů, ty děti stejně létají pořád dovnitř a ven, já chodím přes den dovnitř - ven tak používáme ty dveře s překližkou, protože ty zaPINované jsou pro pojišťovnu a stejně musí být zavřené. Pokud jdu z domu, dám na ty nuzné dveře zevnitř nějakou petlici a je hotovo (Ekvivalent vyžádání HTTPS).
Pokud mi nevěříte nebo to zase nedává smyl, k příkladu s tím hypotetickým domem, tak v reálu jsou takové liché dveře třeba ty terasové. A v reálu, aby jste měl vstup jen přes ty Vaše supr dveře pro pojišťovnu s PIN, by jste nesměl mít na domu okna, jinak je dům nabouratelný. I zdí se dá prokopnout dovnitř. Takže by jste potřeboval tak titanový železobeton a i tak se tam dá vyhloubit díra. No a celé to může padnout tím, že někdo dá Vám nebo manželce nůž na krk a Vy mu ten PIN dáte, protože komp, telka a mobil za to prostš nestojí ani náhodou.
ad 1): To s tím PINem by to bylo správně: (5s života) x (kolikrát ho za život zadám) = čas na tom strávený.
-
Petr M (neregistrovaný)
Zadávat PIN stačí 3x denn, to je 15s/den (průchod do práce, odemčení po příchodu, zamčení, když jdu chrnět). Druhý jde vynechat, staří naprogramovat ústřednu, aby se aktivovala třeba ve 21:00.
Za rok je to 30 minut. Na první pohled hodně, ale je to investice, kterou si můžu naplánovat a je rozložená v čase. Nakonec vyjde, že můžu těch 30 minut vypatlat nadarmo, ale můžu taky přijít o 30 minut při čekání na kriminálku, tři hodiny na místě činu s policajtama, tři hodiny sepisování protokolu, hodinu v pojišťovně, 2h u soudu s chyceným pachatelem, 2h po tom, co se lump odvolá k vyšší instanci,... a z 30 minut je 10,5 hodiny (ekvivalent 21 let kódování). Z toho 6,5 hodiny nárazově a neplánovaně a na potvoru zrovna ve chvíli, kdy bylo v plánu něco jinýho.
Zkus vysvětlit chlebodárci, ža na tu služebku nejedeš, protože ti někdo vlezl do baráku překližkovou atrapou dveří, vyraboval ho a mezi věcma je i tvůj služební noťas.
-
NULL (neregistrovaný)
Kolikrát člověk projde za den, je relativní. Stačí začít chodit ven s kamarády a nebo na sport a Váš počet průchodů za den je téměř double. To nepočítám nákupy, pokud to za Vás nedělá maminka.
Takže za rok to může být i 20 hodin. Z toho důvodu padá i ten ekvivalent při tom trestném činu a nevím kolik máte zkušeností Vy, ale ta procedura od sepsání policií až přes soud by dle mne trvala tak 10x déle .Ale proč ne, v pořádku. Víme proč to děláme. Ok.
Ale jaksi jste pozapomněl nebo nepobral, že to samé co těmi terasovými dveřmi (z příkladu je to ekvivalent HTTP) se dá udělat rozbitým oknem (z příkladu je to ekvivalent třeba keyloggeru v pc) na domě s dveřmi na kód (HTTPS).A vysvětlit to chlebodárci? Není žádná překližková atrapa, protože správný ekvivalent pro HTTP ,jehož použití lze zakázat, resp. vynutit použití HTTPS, na tom hypotetickém domě, jsou dveře s petlicí zevnitř(zakázání HTTP/ vynucení HTTPS), které jsou regulérní dveře, jen bez zámku. A to už není žádná atrapa, jak jsem psal, takových např. terasových dveří je hodně.
Tímto končím a k tomu Vámi špatně udanému příkladu domu alá HTTP/HTTPS, již odepisovat nebudu, protože se nehodlám točit v kruzích, když už samotný Vámi daný příklad minimálně pokulhává. Proč pokulhává? Psal jsem v příspěvku předešlém i nynějším.
Děkuji
-
NULL (neregistrovaný)
To je totiž tím, že jste si vybral jen několik vět z toho, co jsem napsal. Já tam totiž napsal, že HTTPS není všechno a tudíž se tím všechno nevyřeší.
Ad 1. citace:
Samozřejmě že z jiného pc to neplatí. Ale já psal o klasickém domácím případu alá 1pc a domácí IoT. Samozřejmě z jiného PC by se situace musela opakovat. A Když už máš nákazu na PC, tak tě nemusí nikdo sniffovat, stačí obyč. KeyLogger. A kde je pak to Vaše HTTPS ???????????Jěště to shrnu aby jsi nemusel číst můj příspěvek znova a dovolím si upozornit že vytrhávat z kontextu může být ošidné.
Takže:
Napsal jsem, že HTTPS není samospása a podložil jsem to 2 příklady. Vy jste se jen chytl příkladů.Za mě jednoznačně HTTPS na HTTP komunikaci, zdarma určitě, ale HTTPS prakticky krom sniffování hesel nebo obecně pozměnění dat po cestě nic jiného neřeší. Úplně stejně je možno použít třeba SSH nebo openPGP atd. A taky HTTPS má tu nepříjemnou část s Autoritama a to může být taky dost ošidné.
Nehledě na to , že při HTTP se s podvrhnutím dá počítat, ale pokud se Vám někdo povrtá v certifikátech, tak MITM i s certifikátem není problém. To se stalo např, České spořitelně minulý rok. Proběhlo akorát varování o mailech a způsob byl ten, že podvrhli v pc certifikáty a pak se celé jejich bankovnictví připojilo přes někoho a celé to sniffovali MITM. Takže Váš příklad s 100URL .... platit vůbec nemusí.Celkem jsem to napsal právě proto, že se diskuze zvrhla v konstatování že HTTPS řeší vše a jinak je vše špatně. A tak to není, protože zabezpečení není jen o zašifrování dat po cestě.
Furt to nedává smysl?
-
Petr M (neregistrovaný)
Smysl to dává. https tafdy nikdo neoznačil za univerzální řešení. Ale spíš jde o boj proto lidské blbosti, který se nesmí vzdát, i když nejde vyhrát.
Z logiky některých diskutujících vypadlo: "Protože já mám doma 15 let nepodporovaný kus železa za zenitem, tak na veřejné síti nesmí nikdo šifrovat, pokud k tomu není důvod."
Tohle teda vidím úplně opačně a třeba v e-shopu bez https nenakupuju... A samotný http už bych dávno vykopnul na firewalu, nebýt posledních pěti webů, co mě zajímají a nešifrují.
-
Kolemjdoucí (neregistrovaný)
Takhle to není. Logika zastánců HTTPS je že TLS a je jediný možný transportní protokol pro HTTP a kdo neumí TLS tak toho fyzicky zlikvidujeme.
Přirozený postup by byl, že pokud má být v prohlížeči stránka zelená, tak musí povinně mít důvěryhodné šifrování a povinně důvěryhodný certifikát, v opačném případě se to také zobrazí ale bude to červené nebo s vykřičníkem.
-
Petr M (neregistrovaný)
Ne. Logika zastánců HHTPS je, že máme způsob, jak se vyhnout tomu, aby kdokoliv mohl číst nebo pozměňovat zprávy, technicky nic nebrání ho nasadit, tak ho nasaďme a jeden bezpečnostní problém z mnohea je zredukován.
To, že data patří jedině do HTML a nešifrovaně, je argument druhé strany:
- Bastlířů, co staví "kariéru" na tom, že Arduino s ethernetovým shieldem po jejich klikacím zásahu umí zabalit číslo z A/D převodníku mezi dva HTML tagy.
- Šetřílků, co kdysi před xy lety dali tisícovku za nejlevnější šunt z nejlevnějších a vytvořili si k němu citový, ne-li sexuální vztah
- Web "adminů", co nějakým zázrakem nějak rozchodili web, neví pořádně, kam, co a proč nastavili a mají panickou hrůzu, že se jim to rozsype a web bude nedostupný
- "Ajťáků", co někde něco slepě naklikávali měsíc, než to začalo nějak fungovat a teď se obávají, že se jim jejich řešení rozsype
- Lidí, co se bojí změny jako úředník odebrání razítka -
Petr M (neregistrovaný)
Ne. Noťas mám 3,5 roku, PC držím při životě osm let, mobil 6 let, včera jsem se zbavil auta 22 let starýho,...
Věci měním jenom v jednom ze tří důvodů:
1) Přestane fungovat a náklady na opravu překročí 50% ceny novýho. Naposledy na jaře kotel (stáří 10 let).
2) Přestane být bezpečná. Naposledy router bez dostupnýho update, bez možnosti instalovat WRT, zato s ROM-0
3) Přestane splňovat to, co od toho očekávám. Jak když jsem se kdysi potřeboval připojovat po GPRS a stávající mobil to neuměl. -
Petr M (neregistrovaný)
Tak to je víc než odvážný tvrzení, vzhledem k vysychání elektrolytů, změnám koncových zařízení, změnách komunikačních protokolů, životnosti pamětí FLASH, riziku přepětí, rostoucí zátěži...
Kdysi jsem si o routeru myslel to samý. Do chvíle, než na starým routeru přestalo stačit a/b/g a bylo potřeba n-ko s 1Gbps uplinkem...
U switche to platilo do chvíle, kdy se zaplnil 8p switch a na spotřebu vyšel líp 16+1 než další krabička vedle... (switch je funkční, ale jako rezerva, kdyby se něco stalo).
-
Seti (neregistrovaný)
Sorry, ale to nevypovídá naprosto o ničem. Já jsem nehlasoval a bůhvíkolik dalších taky ne.
Jinak obecně proti HTTPS nejsem, aby bylo jasno. Může za to čím dál víc se rozmáhající dobroserství. Bohužel nejde o žádnou konspiraci nebo agenty, je to jen arogance a egoismus případně říznuté napoleonským komplexem. Stačí se podívat na reakce na bugy toho šiřitele dobra, co spáchal systemd.
-
Filip JirsákStříbrný podporovatel
O tom, která varianta je správně, napovídá už jenom to, že své názorové oponenty urážíte jenom proto, že si dovolují mít jiný názor, než vy. Vy jste totiž úplně stejný „dobroser“, jako ti, které kritizujete. Akorát máte jinou představu o tom, co je to dobro. Že je za tím arogance a egoismus jste odhadl správně.
-
Seti (neregistrovaný)
Jirsáku, co tady lžete! Já nemluvím o názorových oponentech! Mmch já se nesnažím lidem vnucovat něco, co nechtějí, nebo něco zakazovat pro JEJICH DOBRO. To se snažíte vy a nejen v této diskuzi, ale třeba i v diskuzi, která zde proběhla ohledně šmírovací dobroserské krabičky jménem e-call. Takže než se budete navážet do ostatních, zameťte si laskavě před vlastním prahem.
A dále bych vás požádal, abyste na mě nereagoval. Já to na vás taky nereaguji, protože diskuze s trolly mě přestaly bavit. Děkuji.
-
Filip JirsákStříbrný podporovatel
Kdo je tedy ten „dobroser“, když to není někdo, kdo má jiný názor, než vy?
Když se tedy snažíte lidem vnucovat, co nechtějí (třeba povolené použití starých šifer v prohlížeči), chcete to pro jejich zlo? Nebo to chcete pro své dobro a na ostatní zvysoka a upřímně kašlete?
To, že vás jiné názory tolik deptají, že ty, kdo si dovolí mít jiný názor nazýváte „dobrosery“ a trolly, je čistě váš osobní problém. Stejně jako vy můžete mít názor, že prohlížeč má ve výchozím nastavení podporovat i slabé šifry, já můžu mít názor, že je ve výchozím nastavení podporovat nemá.
-
Seti (neregistrovaný)
Dobroser je někdo, kdo lidem vnucuje, zakazuje, či jinak ovlivňuje negativně jejich život, a tvrdí, že to dělá pro jejich dobro. Tedy přesně váš případ, když se snažite pro dobro ostatních podporovat vyřazení protokolu, nebo obhaujete tu povinnou šmírovací hnusárnu.
"Když se tedy snažíte lidem vnucovat"
Já nikomu nic nevnucuji.
"To, že vás jiné názory tolik deptají, že ty, kdo si dovolí mít jiný názor nazýváte „dobrosery“ "
Viz výše, jiný názor s tím nemá absolutně nic společného.
"Stejně jako vy můžete mít názor, že prohlížeč má ve výchozím nastavení podporovat i slabé šifry"
Žádný takový názor nemám a jasně to tady v příspěvcích výše uvádím. To, že mi ho opět cpete, jasně dokazuje, že jste troll.
Moje žádost o nereagování se minula účinkem... no, co taky čekat od trolla.
-
Filip JirsákStříbrný podporovatel
Vy lidem také vnucujete, zakazujete či jinak negativně ovlivňujete jejich život. Takže rozdíl musí být v tom tvrzení – buď tvrdíte, že to děláte k jejich škodě, nebo vám je to úplně jedno a nezajímá vás nic jiného, než to, co z toho budete mít vy. To už jsem ale psal, že? Jde tedy přesně o váš případ, kdy se snažíte podporovat zachování protokolu – akorát pořád nevíme, jestli to děláte proto, abyste ostatní poškodil, nebo jestli na ostatní kašlete (jediné, co víme, že to neděláte pro dobro ostatních).
Když já podporuju vyřazení protokolů, je to vnucování. Když vy podporujete zachování protokolů, není to vnucování. Hlavně, že v tom máte jasno.
-
Seti (neregistrovaný)
"Vy lidem také vnucujete, zakazujete či jinak negativně ovlivňujete jejich život."
Nic takového nedělám a už vůbec ne pro nějaké jejich imaginární dobro.
"Když já podporuju vyřazení protokolů, je to vnucování. Když vy podporujete zachování protokolů, není to vnucování."
Evidentně nechápete rozdíl mezi vnucováním něčeho nového (za každou cenu) nebo zakázáním něčeho současného (za každou cenu) a možností zachování stávajícího a zároveň možností nabídnout k používání něco nového (třeba ve výchozím stavu), ať si každý vybere.
"Hlavně, že v tom máte jasno."
Já ano. Jasno v tom nemají dobroserové. Jsem si jist, že by to pochopil i žák nižšího stupně ZŠ.
A opět se má žádnost o nereagování minula účinkem... co taky čekat od trolla.
-
Filip JirsákStříbrný podporovatel
Mezi vnucováním něčeho nového a vnucováním něčeho starého opravdu žádný rozdíl nevidím. Mezi vnucováním nutnosti volby a vnucováním jedné varianty taky žádný rozdíl nevidím.
Navíc si pořád vybrat můžete, takže netuším, co vlastně chcete.
Vy lidem také vnucujete, zakazujete či jinak negativně ovlivňujete jejich život. – Nic takového nedělám
Aha, takže ty vaše komentáře, že chcete, aby se prohlížeč choval tak a tak, jste vlastně vůbec nepsal vy. A nebo to vlastně vůbec nechcete. -
Seti (neregistrovaný)
"Mezi vnucováním nutnosti volby a vnucováním jedné varianty taky žádný rozdíl nevidím."
Ostaním se omlouvám za výrazivo, ale vy nejste jen troll, vy jste ještě ke všemu idiot. Hlavně že v tom mém příspěvku je 2x napsáno "MOŽNOSTÍ", vy mi tady cpete, že někoho NUTÍM se rozhodnout. Fakt idiot.
Dál se odmítám váma zabývat. Svého času si cením a odmítám ho ztrácet s idioty.
-
Filip JirsákStříbrný podporovatel
Tak nám názorně popište, jak to uděláte, aby se uživatel mohl rozhodnout, ale zároveň nemusel. Uživatel klikne na odkaz, který vede na nějaký web se špatným zabezpečením. Dotaz, co má prohlížeč dál dělat, se zobrazit nemůže – to by znamenalo, že se uživatel musí rozhodnout. Co se tedy má podle vás stát?
-
Seti (neregistrovaný)
Špatné zabezpečení bude standardně vypnuté, ale bude možnost jej někde v nastavení zapnout. Šíleně obtížné řešení na vymyšlení.
Mmch fakt nechápu, co máte vy a další vypatlanci proti možnosti si vybrat. Zřejmě si myslíte, že jste nejchytřejší a všichni ostatní jsou blbci a proto je třeba vybrat za ně, protože "my přece víme, co je pro vás nejlepší".
-
Filip JirsákStříbrný podporovatel
Právě jste popsal způsob, jak je to teď řešeno. Takže ty vaše dalekosáhlé teorie vycházejí jenom z vaší neznalosti. A mimochodem, vítejte mezi dobrosery – tak jste přece označoval ty, kteří vymysleli řešení, že špatné zabezpečení bude standardně vypnuté, ale bude možnost jej někde v nastavení zapnout.
-
Seti (neregistrovaný)
Vy jste vážně idiot. Celá, nebo skoro celá diskuze je o ZAKAZOVÁNÍ buďto nevyhovujících šifrování, nebo ve vašem případě HTTP protokolu. To je to, o čem se tady celou dobu píše. No a vy teď, když se vám to hodí, nebo když potřebujete (kdo ví), tuto skutečnost absolutně pomitenete začnete hovořit o přítomnosti - a to ještě ke všemu blbě, protože podporu zakázaných šifrování pochopitelně nikde zapnout nelze. Ale hlavně že jste si mohl něco plácnout a zařadit mě mezi dobrosery. Ani po polopatickém vysvětlení jste nepochopil, co ten pojem znamená. Tak co ještě vypotíte za moudro?
K možnosti si vybrat ani ťuk, že.
-
Filip JirsákStříbrný podporovatel
Ta nevyhovující šifrování jsou zakázána v konfiguraci. Máte možnost si vybrat, že je chcete povolit, a uděláte to tak, že to změníte v té konfiguraci. O tom, že by něco mělo být zakázáno tak, že nebudete mít možnost to povolit, nic nevím – zřejmě to bude váš výmysl. Nějak si nedokážu představit, jak by vlastně takový zákaz podle vás měl vypadat. I kdyby to někdo z té konfigurace odstranil – doopravdy, ne jenom že vy to neumíte najít – pořád máte možnost si Firefox zkompilovat s podporou těch šifer. Takže možnost vybrat si máte pořád.
-
Filip JirsákStříbrný podporovatel
Samozřejmě píšu o výchozím nastavení. Těžko kdokoli ovlivní to, že si tu podporu třeba sám zkompilujete nebo zapnete v konfiguraci.
-
Starous (neregistrovaný)
STK mi nechce pustit můj trabant na (informační) dálnici mezi ostatní lidi, jsou to dobroseři...dyť to furt jede, i 4 kola a motor to má, tak proč to vyhazovat, emise jsou stejně kapitalistické konspirační teorie a já na ně kašlu, můj trabant se posledních 20 let nevyboural, sice mu už uhnívá spodek, ale proč by měl zítra?
