Vlákno názorů k článku HTTPS má být zdarma a pro všechny, říká Tomáš Hála od H0ax - Nestačilo by prostě v browserech otočit výchozí nastavení...
-
A jsi normální?
Oni mají na práci důležitější věci:Mozilla rovněž ohlásila, že spolupracuje s firmou Unity na možnosti spuštění her vytvořených ve stejnojmenném enginu přímo v prohlížeči.
Viz
http://www.root.cz/zpravicky/firefox-ukonci-podporu-npapi-pluginu-do-konce-roku-2016/ -
Ondro (neregistrovaný)
To by bolo prilis jednoduche.
Tu je ocividna snaha pretlacit HTTPS ako spasu ludstva.
V dnesnom stave osobne nepovazujem nasadenie only HTTPS za riesenie. Prv je potrebne to cele sifrovanie dat "dokopy", prehodnotit, upravit a ujednotit Ma to vacero dier a vobec sa nemysli na to, ze HTTP je a bude potrebne stale. Problem s potrebou HTTP asi vyusti do alternativnych prehliadacov, ktore ho budu podporovat a najlogickejsi je tento postup s default HTTPS.
HTTPS nic nevyriesi.
Potlacenie cenzury- to som sa pobavil. HTTPS nikdy nepotlaci cenzuru, skor bude viest k tomu, ze sa schvalia nove zakony, v ktorych bude sposob ako zakonne cenzurovat a odpocuvat. Sposob na obidenie HTTPS sa vzdy najde.Modifikacia webu po ceste. To je problem ale nie taky velky ako je prezentovany.
Nech weby prechadzaju na HTTPS, proti tomu nemam nic. Som proti aby prehliadace nutili weby aby prechadzali na HTTPS, to je velka sprostost.
Chvali, ze v clanku je aj info nedokonalosti aktualneho HTTPS.
-
Filip JirsákStříbrný podporovatelNestačilo. Jakmile prohlížeč umí HTTP, fungují všechny útoky spočívající v downgrade spojení (uživatel by chtěl HTTPS, ale dostane HTTP).
Spíš si myslím, že to půjde cestou zařízení jako OnHub. Kde kdo se divil, k čemu domácí samoobslužný router. Tak tohle je zrovna jeden z příkladů – zaregistruje nové domácí zařízení, přidělí mu domácí DNS adresu a vygeneruje pro něj certifikát, který k adrese připíchne pomocí DANE. Akorát se teda budou muset v Googlu domluvit vývojové týmy OnHubu a Chrome, aby Chrome začalo podporovat DANE.
-
Petr M (neregistrovaný)
Ideální řešení v současné situaci, když už je potřeba konfigurovat hračky, by bylo:
1) Prohlížeč "upraví" URL na https://. Automaticky, bez ptaní.
2) Jestliže nedostane odpověď a zařízení je na lokální síti (IP z 10.x.x.x, 192.168.x.x,... a shoda s prefixem aktuálního stroje nebo VPN), zkusí to po HTTP.
3) Jestliže nedostane odpověď, nebo je neplatný certifikát: Zobrazení informace pro uživatele, kde bude napsáno, co se stalo, v případě chyby certifikátu nabídne bezpečnostní výjimku (jednorázovou nebo trvalou) a tlačítko "zkusit nezabezpečeně na vlastní riziko"
4) Při odpovědi na https s nebezpečným protokolem vyhodit chybu a neřešit to. Pokud se admin o web nestará, zřejmě ani nepotřebuje návštěvníky a v případě např. routeru za litr až dva nemá cenu riskovat, že někdo podstrčí slabší zabezpečení do banky a vycucne 50-100 tisíc z účtu, ...A tohle všechno jde udělat i bez nových protokolů a opičáren kolem. Je to přece jenom na pár řádků v browseru.
-
Filip JirsákStříbrný podporovatel
Akorát že to zavádí do webového prohlížeče logiku rozpoznávání embedded zařízení a komunikaci s nimi. Přitom původní premisa byla, že HTTP je univerzální protokol a není potřeba pro embedded zařízení vymýšlet nic nového… Nevidím žádný důvod, proč by se o tohle měl starat prohlížeč. Naopak si myslím, že tohle je přesně role pro domácí router. Ten má přece mít přehled o všech zařízeních v síti a řídit k nim přístup.
-
Petr M (neregistrovaný)
On taky původné předpoklad byl, že nebude potřeba zabezpečení. A že nebude potřeba update zařízení kvůli bezpečnosti. A že html bude mít statický obsah. A že ...
Realita je, že routery se neupdatují (ani kvůli kritickým bezpečnostním chybám) a tuhle funkcionalitu do nich nikdo nedostane. Takže cos HTTP se dá řešit až na místě, kde update existuje. A když to odmítají řešit autoři OS/firewallu (volbou v nastavení, zda povolit HTTP a whitelist), je nejbližší místo, kde to řešit, webový browser. Výhodou navíc je, že tam je rovnou user interface a dá se použít browser s podporou nestandardních standardů.
-
Filip JirsákStříbrný podporovatel
Do té doby, než bude HTTP z prohlížečů vymýceno, budou ty současné domácí routery vyměněné pětkrát. Mnohem dřív se dostaneme do situace, kdy nebude použitelný domácí router, který se neuktualizuje sám automaticky.
-
j (neregistrovaný)
To co pises je poradna hovadina.
1) prohlizec nema co upravovat, ten ma jit tam, kam ho uzivatel posle (a nejvic me serou weby jako google a spol, ktery se snazej usera automaticky forwardovat podle IP ...)
2) jasne, takze neplatnej/expirovanej/revokovanej cert je bezpecnejsi, nez validni cert na slabsim sifrovani ... lol
3) admin se o web nemuze starat protoze je to web UPSky/routokrabky/... a zcela jiste je o rad bezpecnejsi pouzit http ... protoze PRESNE to ted VSECHNY browsery userum rekly.a) browser ma na https drzet hubu presne stejne jako ji drzi na http.
b) browser NESMI obsahovat zadne "duveryhodne" autority, protoze zadne takove neexistuji.
c) browser muze uzivateli nabidnout ulozeni certifikatu a/nebo autority ke KONKRETNIMU webu.
d) teprve tady muze browser rvat jak protrzenej, kdyz se certifikat zmeni, pripadne neni od schvaleny autority.To vsechno samo muzi byt konfigurovatelny, necht si to kazdy nastavi dle vlastnich preferenci a potreb.
