Vlákno názorů k článku HTTPS má být zdarma a pro všechny, říká Tomáš Hála od JD - Cituji: "Jediným řešením by podle Hály bylo, kdyby...
-
JD (neregistrovaný)
Cituji: "Jediným řešením by podle Hály bylo, kdyby prohlížeče podporovaly jen HTTPS."
Proc, proc, proc?
Tim se odstrihne moznost konfigurovat zarizeni pres HTTP. (Je technicky nemozne mit v embeded za ucelem konfigurace platny certifikat, uz jen kvuli expiraci. Jedine self-signed a ten neni idelani cestou a je potlacovan napriklad v Chrome)
Takze pokud k tomu dojde, bude se vse resit bud privatnim SW (navrat do 90-tych let, nocni mura), nebo konfiguraci pres cloud (coz znamena pripojit na internet zarizeni, ktera tam byt z duvodu bezpecnosti ani byt nesmi)
Pripominam ze se to netyka jen IoT typu kotle, kdy uzivatel ocekava zivotnost pres 10 let a na internet by se pripojit mozna dal. Jedna se i o vyrobni technologie v hodnote mnoha milionu za kus, ktere nesmi byt pripojeny na sit (jak by se vam spalo, kdy by napriklad michaci zarizeni v tovarne na vybusniny pripojeno bylo?)
Vynutit HTTPS za kazdou cenu budemit nasledky, ktera se nam libit nebudou -
Jenda (neregistrovaný)
> Takze pokud k tomu dojde, bude se vse resit bud privatnim SW (navrat do 90-tych let, nocni mura), nebo konfiguraci pres cloud
A nebo budeš mít jeden prohlížeč na web, který bude podporovat, já nevím, jenom HTTP2 s šifrováním, a jiný na konfiguraci krabiček, který bude podporovat plaintextové HTTP, ale nebudeš s ním chodit na „veřejný web“.
-
JD (neregistrovaný)
Tahle varianta se od verze s "privatnim SW" lisi jen nepatrne.
Kouzlo HTTP prohlizece je prave v tom, ze je dostupny pro kazdou myslitelnou platformu uz pres 20 let.
Jeste zacatkem tohoto roku jsem to pavazoval za stejnou jistotu do budoucnosti, jako je moznost precist plain TXT soubor. A on si nekdo vezme do hlavy ten nesmysl zrusit HTTP. -
Petr M (neregistrovaný)
Plain text ani DOM tree vám nikdo nebere. I s HTTPS se dá uložit stránka jako .html soubor. Bere jenom možnost, aby někdo změnil cestou dokumenty... Na standardním webu změnu uživatel nepostřehne, ale může se spolehlout na to, že když si stáhne text zákona, je to opravdu autentický a nikdo mu nesmazal odstavec, který by ho mohl při nesplnění dostat do průšvihu.
Teď ještě nahradit e-maily něčím bezpečným... Jsou i banky, kde se s klienty komunikuje na základě nepodepsaných e-mailů, mohl bych jmenovat...
-
JD (neregistrovaný)
Banky posilaji e-maily nejenom nepodepsane. Ale mel jsem asi mesicni konverzaci s bankou proc nepouzivaji ani TLS prenos server-server. Odpoved byla, ze dle jejich "odborniku" je treba zvysit "jistotu" doruceni a proto to oni nezapnou. Hnus.
A to jsem ZAMERNE na komunikaci pouzil FB, aby si tu ostudu vychutnali verejne. Zbytecne, davu je to uplne jedno. A nejedna se o jednu banku, je to bezny stav, neuveritelne.Ale my si nerozomume. Problem neni v tom, ze server zapne sifrovani, to jedine schvaluji. Problem je v tom, ze nekdo bere nebezpecny napad odstranit z prohlizece moznost HTTP prenosu vazne. Proc je ten napad nebezpecny uz jsem napsal.
-
BobTheBuilderStříbrný podporovatelTo už nastalo teď - mám doma přes rok VoIP gateway SPA112. Funguje, takže na ni nechodím, ale když jsem to na jaře zkusil, tak se s ní nešlo spojit. Proč? Komunikuje výhradně přes SSL, ovšem má to děravé a to dnešní prohlížeče odmítnou docela. Takže jsem si z archívu musel vyhrabat FF17, ten vždycky rozbalím, použiju a smažu (protože by se příště už zase zkusil aktualizovat).
Aktualizovat firmware je řešení, kdyby ovšem Linksys měl aktualizaci, která problém řeší.
To ovšem není řešení pro majitele IoT věcí.
Leda že by prohlížeče měly "router configuration mode", klidně orámovaný výstrahami (když už mají ten private mode), a tam by povolili obyčejné HTTP a případně staré SSL - klidně s další výstrahou. -
Petr M (neregistrovaný)
Přesně tak. Je naivní očekávat, že se to zlepší.
Navíc tohle ukazuje, že jde o nepodporovaný produkt a v případě změny kodeku atd. by musel stejně za svoje kupovat nový. Lepší s ním trefi tmezi oči prodejce, dokud je to ještě v záruce. Po roce už je to na ultralevný upgrade na výkonnější železo ;)
Obdivuju lidi, kteří si nechají nakálet od prodejce na hlavu a pak věnují čas, peníze a energii řešení něčeho, co by měli místo nich řešit šmejdi, co sem ten aušus tahají. Já bych na to neměl nervy.
-
Petr M (neregistrovaný)
Jak si to zařídí, tak to bude mět.
Když si někdo koupí online analyzátor stolice s HTTP, snímkováním zadnice, bez updatů ale s posíláním obrázků na server výrobce, tak se nesmí divit, že se někde na webu objeví jeho holý pozadí a seznam toho, co za celý týden sežral.
Ale šifrovat nezačne, ani kdyby se hacker zmocnil onlne ovládání sondy a vyvrtal mu s ní do zadku další díru.
-
DannyStříbrný podporovatelJo, a kazdej BFU bude mit 4 prohlizece jen proto, aby se jednim moh podivat do lednice, druhym na TV a tretim na hajzl jestli nedosel papir ...
Tak to vubec nesouvisi s tim, zda se to ovlada pres HTTP/HTTPS. To je bezny stav i dnes, ze v nekterych prohlizecich neco nejde - protoze vyvojar te webovky to proste zprasil a testoval v tom podle sebe jedinem spravnem browseru - a na ostatni se vykaslal. -
Petr M (neregistrovaný)
Předně, HTTP znamená Hyper Text Transfer Protocol. Není, a nikdy nebyl, určený pro konfiguraci zařízení, ale pro přenos textových, prolinkovných dokumentů. Že se s jeho pomocí zpřístupnily hloupý krabičky ještě hloupějším uživatelům, to je jiná věc.
A nejenom, že to není šifrovaný. Protože konfigurace není statický dokument a lidi požadují vizualizace jako traffic, refresh logu a podobný featury, rve se do toho JavaScript, animovaný klikátka vypadají dobře v Javě, ... A nas... se do toho bezpečnostních děr, až to hezký není. Vše nešifrovaně. A co nešifrovaná komunikkace v uzavřené síti umí, to už semyslím ukázalo v praxi (Stuxnet).
Nemyslím, že by někdo soudný kritickou infrastrukturu nechal baz zabezpečení, byť na fyzicky oddělené síti. A kdyby už, tak počítač přece v dnešní době nestojí tolik, co půl prosperující firmy. Starý noťas se starým prohlížečem, určený jenom pro konfiguraci, by firmu finančně nevyčerpal. Z úspor za bezpečnost se jich zaplatí hned několik.
A co by se mě nemělo líbit?
- To, že SoHo router bude mít víc výkonu, aby dal minimálně HTTPS konfiguraci? Výkonnější železo se neztratí (ostatně, osekaný SoHo byly důvod ke vzniku hardware Turrisu, protože dnešní "standard" nemá výkon ani na pitomý logování trafficu).
- To, že se pár lidí probere a začnou požadovat, aby jejich zařízení drželo krok s (bezpečnostním) vývojem a začnou požadovat update? A výrobce bude muset mít nějakou rezervu? Máte pracvdu, číňanům se to líbit nebude. Ale já to vítám.
- Nebo to, že když budu chtít vrtat do muzejního exponátu, budu muset nabootovat ze starýho LiveCD, nebo spustit virtuální mašinu? -
Vlhky sny pubertaka. Skutecny svet je uplne jinde. Tady prece nejde o jeden archivni notebook ve firme(nesmysl, mame virtualizaci) nybrz prave o domaci krabicky. Proc by muj teplomer mel mit zasadne https z bozi vule redakce root.cz ktera zda se zahajila svatou valku za svou pravdu. Kdysi se tady clovek docetl neco zajimavyho po technicke strance. Posledni tydny je to tady politicka sracka nekoho (kdo vi kdo na tom muze mit takovy zajem?) kdo se snazi lidem namluvit, ze HTTPS je dulezite a potrebne VSUDE. Je to k bliti.
-
- treba protoze kdyz chci videt teplotu tak je nejjednodussi kliknout na zalozku v prohlizeci ktery je zapnuty cely den?
- treba protoze to teplomery a jina cidla te firmy pouzivaji desitky let vcetne stale stejneho xml vystupu?
- treba proste protoze je to nejjednodussi, nejvice dostupne a nejefektivnejsi reseni? -
Takže tvůj komp bootuje rovnou do prohlížeče? Tam už není žádný OS, ve kterém bys spouštěl jiné příkazy? Já nevím, já jsem celkem zvyklý pro data ze senzorů prostě jen napsat sensors<enter> nebo ekvivalentní. Je to dokonce rychlejší, než klikat do prohlížeče. Na tabletech a telefonech mám nativní aplikace (dokonce tam jsou nativní aplikace pro věci, které na desktopu běží jen v prohlížeči), které agregují i několik zařízení nebo data z několika serverů. Nemusím jít na adresu každého zvlášť. Na světě není jen prohlížeč.
Nehledě na to, že když to zařízení má takové krásné xml, tak možnost curl, nebo wget, nebo třeba přímo na tcp socket bude existovat vždy. tcp/ip nezmizí tím, že některé prohlížeče budou umět jen šifrované http2. Stejně předpokládám, že výrobce nebyl až takový debil a že k tomu dodal nějaký agregátor, který si postahovává ty xmlka.
Nehledě na to, že takové zařízení má celkem určitě snmp, které by mělo být ještě jednodušší na implementaci, než http.
-
Ses opravdu debil nebo si na nej jen hrajes? Vylezl jsi nekdy ze sveho kamrliku mezi normalni lidi? Tusis co by rikal vyrobce zakaznikum kteri by se najednou po upgrade prohlizece(ze pry bezpecnost, sic!) nedostanou na svuj teplomer (protoze proste nejsou schopni/ochotni to resit jinak)? Vyndej hlavu ze zadale, dostuduj skolu a vydej se pracovat nekam do firmy ktera si na svoje zivobyti musi vydelat bez dotaci apod. Pak zjistis, ze zakaznik je na prvnim miste. Vlhke sny pubertaku a akademiku te nechaji v klidu - kdyz se ti nebudou srat do byznysu tak jak naznacuje posledni mesic masirka ze strany rootu (toliko upadajiciho mezi bulvar)
-
Jeden by řekl, že když je diskuse zrovna o webu, tak jeden ten web využije pro zjištění informací. ;-)
Jinak nezbývá než zopakovat, že ty změny se neodehrávají ze dne na den. Podpora http tady bude ještě hodně dlouho (takže na svůj teploměr se bez problémů dostaneš a podpora bude patrně tak dlouhá, že mezitím ten teploměr umře na sešlost věkem. A mezitím se snad výrobce přizpůsobí aktuální situaci, takže si budeš moci pořídit nový s bezproblémových přístupem.). Na všechny změny v šifrování, které proběhly loni, byla možnost se připravit 15 let. Na jednu změnu, která proběhla letos, minimálně 5 let (a asi neexistuje implementace, která by měla jen jednu šifru). Jestli toto někomu nestačí, tak je jen dobře, že z trhu zmizí. Udělá se místo pro schopnější.
-
Seti (neregistrovaný)
"Takže tvůj komp bootuje rovnou do prohlížeče? Tam už není žádný OS, ve kterém bys spouštěl jiné příkazy? Já nevím, já jsem celkem zvyklý pro data ze senzorů prostě jen napsat sensors<enter> nebo ekvivalentní. "
A to napíšeš kam, do vypnutého kompu? :-)
Já nevím, co je na tom nejasného, že browser je nejuniverzálnější a nejdostupnější řešení, místo nějakých obskurních "sensor <enter>" monoplatformních řešení. Vy se divíte (možná ne ty osobně, ale řada jiných určitě), že linux má na desktopu ubohé necelé 2 %. No bodejť by neměl, když nabídka aplikací na něj (a ne, počet balíků v repu nevypovídá naprosto o ničem) je tristní a to včetně a hlavně různých odborných věcí. Kdyby bylo vše tak multiplatformní, jak jsou browsery, žádný OS by se nejspíš neřešil.
-
Nepletu. Je s podivem, že se lm_sensors dokáže připojit na senzory (sběrnice senzorů, dokonce až tak různé sběrnice, že i2c, sbbus, dokonce i senzory procesoru a jeho jader), když podle této diskuse každý správný senzor běží výhradně na http. Opravdu záhada ;-)
V praxi je to samozřejmě tak, že senzory se (externě) připojují na nějakou více méně průmyslovou sběrnici (RS232, RS485, domácí KNX apod.) a nějaký agregátor je vyčítá.
Ale jak jsem psal, nešifrované protokoly nikdo nezakázal, takže si ty senzory klidně vyčítejte po tcp / ip, třeba podobně jako kdysi unix služby (xinetd time, echo apod.) Nebo třeba po http
-
Filip JirsákStříbrný podporovatelAd 1 – To ovšem vůbec neznamená, že by protokol HTTP muselo implementovat to čidlo teploty. Dokonce bylo dříve normální, že takové čidlo komunikovalo jiným protokolem a do webu se to integrovalo někde jinde. A když to čidlo začalo používat protokol HTTP, lidé jako vy si stěžovali, co je to za novoty. Navíc když to čidlo implementuje HTTP, obvykle to má nějaké příšerné webové rozhraní, nejlépe „optimalizováno pro MSIE 6 a rozlišení 800×600“ a hodnoty z toho musíte dostávat pomocí HTML parseru.
Ad 2 – Jistě, desítky let, HTTP a XML.
Ad 3 – Není.
-
Kaacz (neregistrovaný)
Jsi úplně mimo ale chápu, že je za tím jako vždy nevědomost. Každý tím trpíma. Dokud jsem se s tím nesetkal, tak bych napsal to samé.
Dnes jsou za pár korun k dispozici destičky s IP připojením a GPIO porty pro komunikaci se senzory.
Problem je ten, jakým způsobem ten levný jednočip předá ta data.
1) předat do IoT cloudu. Jak? No přeci http! Na https zapomeňte, to v tom čipu za 50Kč není.
2) vrácení "http" stránky na přímý dotaz.
V obou případech je to jen sprostý string o max velikosti paketu!
Tk asi tak představa o čem je řeč ohledně "senzorů, čidel a teploměrů. Nejde o nějaké shitózní proprietární komerční blbosti.. :) -
Filip JirsákStříbrný podporovatel
To, že se na všechno používá protokol HTTP, je dané především tím, že je spousta zařízení za NATem a nemohou spolu komunikovat přímo. A HTTP je jediný protokol, který NATem spolehlivě projde.
Ani jeden z vámi uváděných příkladů ale není důvodem, proč by měl webový prohlížeč podporovat nešifrované HTTP – všimněte si, že se v těch vašich příkladech webový prohlížeč nikde nevyskytuje.
-
Petr M (neregistrovaný)
"... teplomery a jina cidla te firmy pouzivaji desitky let ..."
Ha ha ha. Množný číslo bych si odpustil.
Jinak jestli je to to, co si myslím, tak je to nedodělek, který k té firmě docela sedí. Nechtěl bych to mít ve své síti. A pokud je ta změna zabije, houby zle. S jejich produktem už jsem se jednou pěkně vypekl.
"Pro nastavení teploměru je možné využít:
Webové rozhraní
Protokol Telnet (viz stranu 26)
Pro prvotní konfiguraci IP adresy je určen program Ethernet Configurator"Zmíněný konfigurátor je podle datasheetu určený pro Visty... :Q
A volby z bezpečnosti:
"Stránka pro mobilní zařízení (dostupná na /wap.html) není nikdy zabezpečena. Tímto nastavením je možné zobrazení stránky povolit nebo zakázat." Mimo to jenom nastavení hesel. Otázka je, jak je zabezpečeno HTMLDalší věc, po HTML to podporuje tři uživatele. Superadmin, Admin, User. Hesla se tahají v plaintextu. Pokud mám přístup do sítě, stanu se po prvním přihlášení superadmina taky superadminem. A kde je pak problém nastavit to jako TCP klienta a posílat si automaticky teploty na vlastní server?
Argumentace tím, že je to jenom teplota, neobstojí. Asi to nebude jenom na jednom z jejich produktů a pokud budou stejně "zabezpečeny"všechny jejich krabičky a všechno běžní na stejným jádru... Mají tam třeba i Ethernetový tenzometr. Pokud byly použitý k měření stavu mostů na dálnici, kde ta data můžou rozhodnout o tom, jestli dodavatel zaplatí v rámci reklamace jednotky nebo stovky mega, tak by byla sakra silná motivace si někde po cestě pohrát s nešifrovaným datovým tokem... Ale jsou to přece jenom hloupý čidla, tak co...
Btw, z toho, co to podporuje, je asi nejpoužitelnější Modbus over TCP.
-
Element (neregistrovaný)
"Protoze tohle co tady nekteri obhajuji tak je prave snaha vzit lidem lowcost osobak a dat jim neco co nepotrebuji a nechteji."
Lidi nechtej byt nemocni, tloustnout a chteji prachy bez prace a pritom zerou tucny, cukry, nehejbaji se a vetsina prachy bez prace neporidi... Takze tolik o lidech co vedi co chteji :-)
Pokud nekomu bude vadit, ze jeho oblibeny browser najednou neumi to co umel, tak halt prejde na jiny, pokud diky implementaci https zarizeni bude drazsi a bude vic zrat nebo bude pomalejsi, tak si halt lidi koupi jine.
-
Kaacz (neregistrovaný)
Pokud teploměr předává data někam na server, http je asi zbytečné. Na druhou stranu - jak funguje cloid IoT?? Senzor pošle data jako http s uživatelským hash tokenem. Bomba. :)
V opravdu low-cost řešeních na ssl není prostor.
Hraju si s wifi ESP8266 za 60Kč, ke které připojím čidlo teploty, tlaku a vlhkosti za 80Kč .. a to mi může posílat data.. ale bez ssl! Na IoT http server? No prostě problém. Http se dnes používá na kdeco jako nosné médium. :) -
JD (neregistrovaný)
Chapejte, ze HTTPS nastaveni je problem nejen z duvodu vykonu. Konkretne jeproblemem certifikat. Podepsany autoritou tam byt nemuze, protoze:
a) ma vzdy omezenou platnost
b) nelze ho vystavit na obecnou konfiguraci IP/DNS pouzite na misteA self-signed certifikat neni zadne zvyseni zabezpeceni (MITM utok). Krome toho je v prohlizeci potlacovan (Chrome napriklad)
Navic je tu problem zastaraleho protokolu nebo implementace a nepripojite se vubec.
Takze to nakonec stejne skonci na fyzicky oddelene siti. Nic jineho u technologii s vice nez desitkou let zivotnosti stejne nemame. Nebo dokonce zcela bez pripojeni na sit, jen zarizeni s RJ45 nebo M12 konektorem a notebook, co si prinesete na diagnostiku s sebou.
-
Starous (neregistrovaný)
omezenou platnost? jo, má..ale dá se nastavit třeba na 10 let. Kdy jste naposledy viděl domácí router v provozu tak dlouho?
Self-signed certifikáty si můžete přidat mezi trusted roots v prohlížeči a pak jsou stejně důvěryhodné jako od nějaké CA.
Většina routeru ma defaultni konfiguraci 192.168.0.1 tak by tam mohl byt i self signed certifikát. no a pri zmene ip nebo jednou za 10 let by se holt pregeneroval. Pri certificate pinning je to i bezpecne proti mitm.
-
A co takhle toho chytráka, který do kotle cpe webserver, někde pro výstrahu pověsit?
Zajímala by mě analýza, ze které plyne http jako nejvýhodnější protokol pro správu takových (polo)průmyslových jednotek.
Už z minulých diskusí tady na rootu tak nějak vyplynulo, že pro některé je http jediný existující protokol a že ip konektivita pro ně znamená jen tolik, že "to" mohou zadat do adresního řádku webového prohlížeče...
-
Neni urcite nejlepsi, ale je nejdostupnejsi z hlediska klientu. Webovy prohlizec a tim padem http protokol je dostupny KAZDEMU na pocitaci, v telefonu, v tabletu apod. Co presne tam mas lepsiho? A divej se na to z pohledu BFU, divej se na to z pohledu vyrobce a poctu prodanych kusu. On takovy "webserver" totiz muze mit taky jen par desitek/stovek kB.
-
Filip JirsákStříbrný podporovatel
Tak holt od jednoho krásného dne bude místo toho platit „webový prohlížeč a tím pádem HTTPS protokol“. Není důvod, proč by se to mělo kvůli vám měnit na „webový prohlížeč, vedle toho HTTP protokol, a to vše dokonce integrované do jediného programu“.
-
Předně, HTTP znamená Hyper Text Transfer Protocol. Není, a nikdy nebyl, určený pro konfiguraci zařízení, ale pro přenos textových, prolinkovných dokumentů. Že se s jeho pomocí zpřístupnily hloupý krabičky ještě hloupějším uživatelům, to je jiná věc.
Kdyby jenom, já si pamatuju, jak VMware přestal ke konfiguraci používat normální aplikaci, ale "imprúvoval" to k ovládání přes prohlížeč.
BÍDA A DĚS*.(* Možná se od té doby něco změnilo, já popisuji zkušenost z minulosti)
-
"Kdyby jenom, já si pamatuju, jak VMware přestal ke konfiguraci používat normální aplikaci, ale "imprúvoval" to k ovládání přes prohlížeč."
Hlavně vmware v průběhu dějin pendloval mezi webovým a tlustým klientem už několikrát. Aktuální je stav, kdy je to přes web, chce to flash (!) a je to tak dokonalé, že do konzole window ani nepošlete ctrl+c.
Takže ono to sice formálně běží v prohlížeči, ale fakticky je to tlustý klient napsaný ve flashi běžící pouze na vybraných platformách (prohlížečích). To, že to komunikuje po http(s) je asi celkem nepodstatné (to by tlustý nativní klient mohl taky).
Takže dokonale dokriplené.
-
j (neregistrovaný)
A co budes delat, az si poridis a vymenis vsechny krabky za https ... a nejakej frikulin prohlasi, ze pouzivany sifrovani neni bezpecny a odstrihne ho. Ses vprdeli. Viz nedavna akce FF a spol. Jasne, ty, ja ... mozna vsichni na tomhle serveru si poradime. Ale ty miliardy BFU si neporadej.
-
Petr M (neregistrovaný)
Nejde o to, co ta krabka umí teď. Jde o to, aby ta krabka dostávala update a podporovala to, co je standard právě teď.
Jediný způsob, jak toho dosáhnout, je tlak na výrobce od lam. Lamy to neřeší, protože zatím jim to "funguje". Teprve až se to začne sypat a lamy začnou řešit problémy, vznikne na výrobce dostatečný tlak.
-
Petr M (neregistrovaný)
Proč by to dělali, když není poptávka? Legislativa to nevyžaduje, ISP červivý zařízení neodstřihávají (při tom stačí jenom jedna věta ve smlouvě a nestojí je to ani korunu), BFU nezajímá, co jeho krabičky za jeho zády páchají za lumpárny....
Mám veřejnou IP a na ní, jenom tak ze srandy, malej hrníček medu na nepoužívaných portech. Když jsem nedávno viděl v diskusi IP adresu *), ze které mě zrovna šly do hrníčku mailíky na zvětšení pindíka, tak jsem dotyčnýho upozornil. Reakce byla, že ty mailový adresy nezná a že nejsou jeho...
*) o tom ISP vím, že dává veřenou adresu koncákům
-
Petr M (neregistrovaný)
Když neumí do smlouvy napsat "V případě, že ze strany klienta dojde ke kybernetickému úrotu, rozesílání spamu, šíření malware a podobně, bude klient odpojen od Internetu na dobu, než klient zjedná nápravu a vyrozumí o tom poskytovatele. Je-li klient odpojen od Internetu z tohoto důvodu, je nadále povinen poskytovateli platit za služby stejně, jako by k odpojení nedošlo.", tak má BFU smůlu.
Zadokumentovat, odstřihnout, za těžký peníz nabídnout výjezd technika s pomocí. ISP neprodělá, BFU začne trochu řešit (ne)bezpečnost jeho online hraček...
-
j (neregistrovaný)
Tvle ty ses taky padlej na hlavu ze? Uzivateli je zcela UPRDELE co si kdo pise do smluv, uzivatele zajima, ze ho nakej kreten odpojuje od internetu, a u takovyho kratena se pripojovat nenecha.
Nadto ISPcku je to taky zcela uprdele, protoze on proste proda nejakk tlusty draty, a je mu absolutne jedno, co si po nich kdo posila. Proc by to mel resit? CO z toho bude mit?
A ve finale bych chtel videt jak u soudu obhajujes pozadavek na platbu za nedodane sluzby.
-
wsh (neregistrovaný)
Nám se to teď stalo na jednom serveru. Provozovatel hostingu dostal varovaní z nějakého honeypotu a odpojil náš server od sítě. My jsme mu poděkovali, vyčistili zavšivený Wordpress a víc ho zabezpečili. Spokojenost.
Problém je, že u koncáků to bude mnohem složitější. Krabičku jim před x-lety zapojil kamarád, se kterým se už ani nevídají a jediným výsledkem bude nasranost zákazníka a takové náklady na support u providera, že z těch asi 20 Kč, které na přeprodávaném DSL měsíčně vydělá, to nikdy nezaplatí.
-
j (neregistrovaný)
Ukaz mi JEDINYHO vyrobce, ktere dela support vcetne doplnovani zcela nove funcionality, alespon 15 let. Aspon jednoho jedinyho. A to vcetne toho, ze si za to rad zaplatim. Zrovna ted cumim na 10 let stary cisco, a dokud bude fungovat, tak ho nikdo vymenovat nebude. Kde si mam sosnou novou verzi?
-
A jaké východisko navrhuješ ty? Nechat ty BFU používat nezabezpečený protokol (a vědět o tom)?
Ty "akce" FF nejsou akce ze dne na den. O tom se ví roky nebo alespoň měsíce dopředu. Nehledě na to, že se roky ví, že ty protokoly a šifry jsou nějaké podezřelé (sha1 se ve státní správě nesmí používat od 2010, jestli v roce 2015 přišel někdo s vylepšeným útokem, tak by to nikoho nemělo překvapit, protože už min. 5 let ví, že sha-1 nebrat; na rc4 upozorňoval test ssllabs už několik let (min. od 2011, co si pamatuji)).
Tak o čem se bavíme? Jestli odborníkům nestačí několik let na změnu ... ačkoliv změnu, nevím o žádném případu, kdy by byl protokol odstaven bez náhrady, TLS je tu od roku 1999, tedy, jestli někdo nebyl schopen 15 let vedle SSLv3 zprovoznit i TLS, tak je to spíš další známka toho, že by se měl výrobkům takového "výrobce" na míle vyhnout.
-
Takže umožnit všechny ty útoky ssl striping a podobné útoky typu změny protokolu?
Nehledě na to, že protokol http nikdo neruší. servery pro http budou existovat ještě hodně dlouho, stejně jako klienti. Z toho mimo jiné plyne, že vždy půjde postavit proxy, která na jedné straně bude připojena na http server a z druhé strany poskytovat moderní šifrované spojení. Asi není překvapením, že se to tak dělá už dnes.
-
Takže když máte za úkol vyřešit nějaký problém, tak se k němu postavíte tak, že ignorujete vše, co se vám nelíbí a prostě to nějak zbastlíte?
Na (drtivou) většinu cílů nikdy žádný útok nebude. To ale přece není důvod to udělat špatně, obzvláště za situace, kdy rozdíl mezi dobře a špatně je v podstatě nulový, nebo dokonce záporný. Já nevím, já svůj trapný malý soukromý blog mám na https nikoliv proto, že by byl pod neustálým útokem, ale prostě proto, že je to skoro ta nejjednodušší možnost, jak to nastavit (rozdíl mezi https a http vhostem jsou jen ty řádky obsahující cestu k certifikátu a použití RS si ukládá odkazy v absolutním tvaru včetně schematu, takže by bylo velmi komplikované umožnit provoz jak po http, tak po https. Takto to běží pouze přes https, prohlížečům se to sdělí přes HSTS, a v http vhostu je jen redirect. Jednoduché, primitivní a netřeba myslet na to, že některé stránky (třeba přihlášení) by mělo být za https a jiné ne. Až prohlížeče budou preferovat https, tak se to ještě zjednoduší tím, že tam ten http vhost nebude vůbec.).
Proč bych měl například na server, který je ve vedlejší místnosti používat telnet a z vnější sítě se přihlašovat pomocí ssh? Pro mě je jednodušší nepřemýšlet nad tím, zda jsem ve vnitřní nebo vnější síti a prostě to ssh používám i při přímém spojení kabelem mezi klientskou stanicí a serverem. Je to prostě ta nejjednodušší možnost. Telnet tam nainstalovaný ani není, netřeba na to myslet při nastavování FW apod.
-
Seti (neregistrovaný)
"Proč bych měl například na server, který je ve vedlejší místnosti používat telnet a z vnější sítě se přihlašovat pomocí ssh?"
No a zase... pokud zařízení umožňuje šifrování a intelechtuálové neusoudí, že šifra je nedostatečná, tak není problém ji použít. Ale jsou hromady zařízení, které to neumí a nikdy umět nebudou, i když jinak budou naprosto funkční. Fakt mám dojem, jak kdybych se někdy bavil s jedinci z Jedličkova ústavu.
-
"Fakt mám dojem, jak kdybych se někdy bavil s jedinci z Jedličkova ústavu."
Na tom se shodneme ;-)
"Ale jsou hromady zařízení, které to neumí a nikdy umět nebudou, i když jinak budou naprosto funkční."
A on vám ta zařízení někdo bere? Nebo o co jde? Plaintext komunikaci si můžete vesele používat dál, nikdo vás nenutí šifrovat něco, co vy nechcete. Dokonce vám ani nikdo nezakazuje šifrovat já nevím Caesarovou šifrou, když se vám líbí.
Jenže stejnou svobodu musíte uznat také výrobci prohlížeče. Jestliže se výrobci prohlížeče znelíbí césarovo kódování, tak má plné právo ho tam nedat. A zatím to výrobce prohlížeče dělá stylem, který znamená dostatek času (spoustu let, bavíme se tu o 5-15 letech) se na změnu připravit. Můžete si tedy připravit proxy mezi césarovým kódováním na straně vašeho zařízení a něčím, čemu rozumí prohlížeč. Nebo dokonce máte svobodu se na prohlížeč úplně vykašlat a napsat si vlastní prohlížeč vašich dat.
Ta o co jde? :-)
-
Seti (neregistrovaný)
"A on vám ta zařízení někdo bere?"
Nebere. Bere mi možnost to funkční zařízení používat dál s aktualizovanym a tím pádem maximálně zabezbečeným programem.
"Jenže stejnou svobodu musíte uznat také výrobci prohlížeče."
Já to uznávám. Ale ať se pak nikdo nediví, že jim lidi nadávaj, a že na updaty dlabou a web je zaplevelený botnety. Aneb dobroserství v akci :-)
"Ta o co jde? :-)"
Jde o to, že je to zbytečná investice času a peněz u řešení, které dosud bylo funkční a mohlo zůstat funkční ještě řadu let. Je to prostě security through obscurity. Zakazovat místo možnosti dát na výběr je doménou politiků a korporací.
-
Ale však podpora https tu bude patrně déle, než je živostnost takového zařízení, i kdybyste si jej zakoupil letos. Tak o co jde? A výrobce jistě následující model vyrobí tak, aby podporoval https/2. Nebo, pokud se https/2 nehodí, tak pořád může zařízení posílat plain text a nějaký program (klidně jako plugin v prohlížeči) to vyhodnotí. Prostě možností je mnoho a času je dost.
-
j (neregistrovaný)
Tvle, fak ses tatar ... https je ti napicu, kdyz ti nebude fungovat sifrovani, ktery pouziva protistrana, protoze ho nejakej jak rika seti dobroser zarizne. To ze si dneska koupim novou krabici vubec neznamena, ze se na ni jeste za mesic pripojim, protoze prijde kreten, kterej rekne "hola hej, prisli sme na to jak tuhle sifru naborit, je treba ji zakazat".
Je to PRESNE stejna situace jako elektronicky podpis alternativne nasle slavny DS. Oboje dolsova a dospismena nahovno, protoze az bude chtit nekdo neco za 20+ let necim takovym dokladovat, tak se mu vsichni leda vysmejou.
A vysledek? 100% BFU rekne, ze zadny https nechtej, protoze nebudou resit, ze jim to prestane fungovat.
-
"To ze si dneska koupim novou krabici vubec neznamena, ze se na ni jeste za mesic pripojim, protoze prijde kreten, kterej rekne "hola hej, prisli sme na to jak tuhle sifru naborit, je treba ji zakazat".
Můžete mi uvést konkrétní příklad, kdy od nalezení problému k vypuštění funkce uběhl měsíc?
A co že to vlastně kupujete za skvělé zařízení, které měsíc po zakoupení nelze updatovat ani reklamovat?
Zařízení, které implementuje pouze jednu šifru (obvykle se nasazuje celá řada šifer) a to ještě jak na potvoru tak slabou, že lze prolomit za měsíc (už jen tohle samo o sobě je absurdní vzhledem k procesu, jakým se šifrovací algoritmy vybírají).
Zařízení, k jehož zprovoznění (po té vaši vysněné události, kdy za měsíc nebude provozu schopné) ani výrobce nevydá patchovadlo, které se tam připojí tou jednou povolenou šifrou?
Tohle už je zkrátka absurdní.
"Je to PRESNE stejna situace jako elektronicky podpis alternativne nasle slavny DS."
Datové schránky byla malá domů pro Íčka, po jehož pracovně a bytě se v noci procházela policie. O "kvalitě" návrhu a implementace se snad nemusíme bavit. To šlo naimplementovat mnohem lépe, mnohem jednodušeji a mnohem levněji.
Elektronický podpis vám za 20+ let k něčemu bude, protože ten dokument můžete přepodepisovat, takže bude zaznamenán chain až k originálu. Pokud se vám to nelíbí, můžete si jej vytisknout na archivní papír a podepsat rukou, jak se to dělalo stovky let. Nikdo vám to nezakázal.
-
Seti (neregistrovaný)
"Takže umožnit všechny ty útoky ssl striping a podobné útoky typu změny protokolu?"
Tývole, to je jak u blbečků na dvorečku. Kolikrát je jen v téhle diskuzi zmíněno, že browsery naprosto stupidně řvou u self-signed certifikátu, ale u HTTP mlčí jak zařezaní? Tak se u HTTP prostě zobrazí okno s tlustým červeným rámem a nápisem POZOR NEBEZPEČÍ! A pokud dojde ke změně z výchozího HTTPS na HTTP, tak ten rám bude tlustší dvojnásobně a bude žlutě pruhovaný.
-
Franta (neregistrovaný)
Předně, HTTP znamená Hyper Text Transfer Protocol. Není, a nikdy nebyl, určený pro konfiguraci zařízení, ale pro přenos textových, prolinkovných dokumentů. Že se s jeho pomocí zpřístupnily hloupý krabičky ještě hloupějším uživatelům, to je jiná věc.
To myslíte třeba Enterprise disková pole, SAN switche, firewally apod, kde SW podpora stojí statisíce ročně a tudíž ne všichni zákazníci ji platí?
Celkem bych chápal , kdybych mohl jako ještě před rokem nebezpečí plynoucí z neupdatované Javy a nedůvěryhodných certifikátů po upozornění vědomě ignorovat, ale to, co se děje s browsery teď, kdy jako admin ani nedostanu šanci, musel vymyslet někdo netušící, na co se browsery nyní také používají. A je jedno, na co byly tyhle protokoly vymyšleny původně ... -
j (neregistrovaný)
Jenze ty jako admin si poradis. Ja tu trebas mam virtual s XPckama, a na nich 5 let starou javu a 5 let starej browser. Presne kvuli temhle imbecilum, hura, mame vse dokonale bezpecne.
Ale BFU, kterej ma doma kabku, je proste v riti, a pokud mu to bude se starsim browserem fungovat tak co? Mno najde postup, jak aktualizace vypnout a dal to resit nebude.
-
j (neregistrovaný)
Mi povidej ... v mym pripade tak v 30% pripadu resim, jak se k ty krabici vubec pripojit. Kdyz to ma seriak, tak na ten mam pro sychr asi 4 ruzny redukce, protoze kazda funguje s necim ... protoze nativne to holt neni dost nobl. Pro nejhorsi pripady mam pak jeste stary IBM thinkpad, s nativnim seriovym portem ...
A kdyz to ma jen web/javu, tak je to casto na par hodin zkoumani ktera verze je ta spravna ... a to zakose vzdycky potesi, kdyz to ma platit.
Nedavno sem se opravdu pobavil, banka (tusim CSOB) hazela chybovy hlasky, a po rozhovoru s hotline z nich vylezlo, ze ta jejich hruza oficielne podporuje asi 3 roky starou verzi javy, a zadnou novejsi.
-
DannyStříbrný podporovatel
Neni nad citace vytrzene z kontextu odstavce... zvlast kdyz v druhe vete je konstatovano, ze jde o utopiii :)
Bezpecnost u IoT pri zivotnosti 10 let je zajimave tema. Pristup "zapnu a zapomenu" se jednou krute vymsti. Zvlast pri kvalite SW vyvoje. Cinan chrlici levne krabicky se na bezpecnostni zaplaty nejspise vykasle. Co je proti tomu proprietarni konfiguracni SW. Mimoto provoz vlastni CA, zajisteni duveryhodnosti v prohlizeci a vystavovani certifikatu s libovolne dlouhou dobou platnosti vazne problem neni.
-
Filip JirsákStříbrný podporovatel
Co byste dělal vy, kdyby se vás třeba auto zeptalo „Opravdu chcete použít hambram bumbram?“ Máte občanku a nepočůráváte se, takže byste se určitě zodpovědně rozhodl. Jak?
