To už mi přijde jako přehnané tvrzení, zvlášť v situaci, kdy zvýrazňují doménu (hned vedle) a případně zobrazují info o EV certifikátu (taky hned vedle). Safari dokonce ukazuje vedle zámečku pouze doménu bez zbytku adresy. Zelený zámek prostě říká, že je nějakým* způsobem ověřeno, že jsem skutečně na té stránce, která je uvedena hned vedle. Nic víc. Jeho absence zase znamená, že to prohlížeč nezaručuje.
*) Nechci tu diskutovat o vhodnosti PKI atd. Berte to tak, že je to všechno *za jistých předpokladů*.
Na to nepotrebujes CA a daleko bezpecnejsi je selfsign cert ... ovsem to by ti kokoti co delaj browsery museli zvladat aspon jednu binarni operaci mesicne ... pri ty svy polovine jedny moznovy bunky.
Jednoduse web by se mel tvarit stejne (ne) bezpecne zcela bez oheldu na to, ejstli na nej lezes pres http nebo pres https, protoze to exaktne totez je. To bys nejdiv musel sam nejakym zpusobem autorizovat CA pro ten konkretni web, nebo si pro nej ulozit konkretni cert (a browser by te s libovolnym jinym musel poslat dohaje) nebo by muselo fungovat DANE, aby se dalo mluvit o nejakym overeni ze ses vazne tam, kde si myslis ze ses.
Ani jedna varianta se dneska neda pouzit, takze bezpecne na webu browsat nemuzes vubec.
HTTPS přece nezaručuje bezpečné chování protistrany. To nezaručuje žádné šifrování, ani to, které si ověřím ručně. Naopak zaručuje, že nikdo nemůže do komunikace vstoupit a vložit do proudu vlastní data, třeba ten malware, supercookie, sledovací kód nebo že třeba neupraví obsah nebo neznepřístupní některé konkrétní podstránky (hint: Wikipedie).
- Lebo do hromadneho rozsirenia HTTPS sa to dialo skoro stale
- Hlavne ze sa do stranky nacita milion skriptov z pochybnych reklamnych zdrojov - to je BEZPECNE
- Ak niekto dokazal kontrolovat tok dat pred tym, nebude mu robit problem fejknut to aj teraz
HTTPS proste nic neriesi :-/
Nevycitam len konstatujem a zdoraznujem ze ma to netesi.
Vyriesila by to povinnost registracie s overenim udentity (obciansky, ID, firma, ...), aby sa potom dali najst a popotahovat takychto ludi.
Ano, děje se to. Na letištích, v hospodách, v hotelích. Na mnoha různých místech vám síť pozmění toky, případně přidá supercookies nebo vlastní reklamy. Zároveň se snaží řada států monitorovat a blokovat některé stránky, s HTTPS už to není možné, tam platí všechno nebo nic.
„Fejknout“ HTTPS jednoduše nejde, protože vám autority nevydají certifikát na libovolné doménové jméno. Chyby se samozřejmě stávají, znám velmi dobře slabiny PKI, ale praxe ukazuje, že to funguje velmi dobře. Není běžné, že by se unášela spojení ke Google, Facebooku nebo jinam. Je to velmi netriviální záležitost.
Ta registrace uživatelů internetu na občanku byla předpokládám vtip.
- Ako nam tak po svete vlady roznych statov predvadzaju blokovanie stranok nie je problem. Nemyslim si ze ich zaujima selektivne blokovanie stranok pre jozka.
- Myslim ze ich skor zaujima kam chodite, na ake stranky, co sa dost dobre zistit aj z HTTPS (viem virtual hosting ale ...)
- Registracia DOMEN na obciansky
Bavíme se o selektivním blokování, třeba na základě klíčových slov. Na HTTP jako provozovatel sítě vidím, kdo kam přesně jde, jakou stránku otevře a jaký obsah na ní přesně je. Vidím i jak se přihlásil a jaké má heslo. Vidím všechno. Proti tomu na HTTPS vidím jen doménu, nic víc.
Já jako uživatel jsem si pak jistý, že mi nikdo na cizí síti neukradne heslo, že mi neunese cookie session nebo že nemonitoruje, co přesně dělám. Má jen velmi málo a jen hodně obecných informací: uživatel komunikuje s Googlem, uživatel komunikuje s Facebookem, uživatel je připojený do nějakého datacentra v Praze. V tom podle mě je naprosto dramatický rozdíl.
Té registraci domén na občanku už vůbec nerozumím. Já mám třeba své domény registrované na občanku (přes mojeID). Ovšem nevím, jak to souvisí s HTTPS.
Tak prihlasovanie uz asi nikto neriesil cez HTTP aj pred nastupom HTTPS. Nespada taketo smirovanie pod nejaky trestny cin? Takze si to komunikacne spolocnosti dovolit len tak nemozu. Ale OK s rozmachom WIFI proti drobnym smirakom. Myslim ale ze ked teraz vystavim free wifi kde napisem aby sa ludia pripajali cez nejake PROXY tak sa mi tam vsetci pripoja a mozem smirovat dalej.
'Té registraci domén na občanku už vůbec nerozumím' - S HTTPS to suvisi velmi silne. Certifikat by obsahoval aj to ze sa pripajam na domenu vlastnenu spolocnostou 'Internet Info, s.r.o.' nie vykrik do tmy 'root.cz' lebo to vidim aj bez certifikatu. Tak ako maju napriklad banky, kompletny O (organization) record.
2Palo:
Pamatuješ Telnet? Konzola na dálku, všechno v plain textu. Stačilo se napíchnout na linku a poslouchat, krásně bylo vidět, co kdo dělá. Chtěl jsi heslo? No problem, hodíš dálnopis na telefonní lajnu a až se uživatel přihlásí, vidíš heslo, co zadal. Nebo stačilo zadat příkaz, když je přihlášený root, a udělat si tak vlastní účet...
Nahrazeno SSH. Tam chytneš leda guláš, ze kteráho poznáš. že 192.168.1.227 komunikuje s 192.168.1.3, ale nevíš uživatele, nevytáhneš z toho heslo, nepodvrhneš příkaz, nepřečteš citlivý informace.
Evoluce HTTP k HTTPS je o samý. Akorát zatímco u SSH si vygeneruješ klíč, hodíš ho protistraně a při navázání spojení musíš potvrdit klíč protistrany. U HTTPS, kde to nejde dělat ručně (načtení stránky třeba ze 30 domén, každá s jiným cerifikátem) by to bylo docela drsný a řeší se to tak, že import proběhne automaticky, pokud pravost klíče potvrdí někdo "důvěryhodný".
A certifikát na osobu/firmu přece existuje... Dokonce se ti zobrazí v adresním řádku před URL, na koho je psaný. Akorát se to nedá vygenerovat zdarma jenom na základě toho, že mám kontrolu nad svou URL v DNS...
2Petr Krčmář: " Naopak zaručuje, že nikdo nemůže do komunikace vstoupit"
Ne, tohle sifrovani rozhodne nezarucuje, protoze kdyz nevim s kym (sifrovane) komunikuju, tak vim leda kulovy o tom, jestli mezi mnou a tim, o kom si !myslim! ze s nim komunikuju, neni nekdo dalsi.
Klidne muzu na prvni hop nahodit transparentni porxy, a oveckam natlacit nejakej cert nejaky svy CA ... jejich browsery budou zcela spokojene ukazovat zeleny zamecky a ja jim tam klido muzu vkladat co jen budu chtit, pripadne si vesele zapisovat jejich hesla.
2lojzak: A ty mistni kokot kterej v kazdy diskusi dava najevo, jako lautrhovno vi o tom jak co funguje.
@j
"Klidne muzu na prvni hop nahodit transparentni porxy, a oveckam natlacit nejakej cert nejaky svy CA"
Což ale je o několik levelů složitější než pasivní odposlech HTTP.
HTTPS není úplně bezpečné, tak budu používát HTTP, aneb fabka jde odemknout planžetou, tak nebudu zamykat.
Mimochodem, falešné certy by krásně řešilo HPKP, proti kterému tak ostře vystupuješ.
transparentni porxy, a oveckam natlacit nejakej cert nejaky svy CA
Mohl byste popsat podrobněji, jak to tlačení z transparentní proxy bude vypadat? Dejme tomu, že se tedy uživatel bude chtít dostat na nějakou stránku přes HTTP, aby vám ta transparentní proxy vůbec k něčemu byla. Jak na takový požadavek odpoví ta vaše transparentní proxy? Proxy odpoví nějakým tajným HTTP stavovým kódem „nainstaluj si tenhle certifikát“?
Ano, přesně tuhle srajdu, která upozorňuje na zadávání hesla do nonHTTPS webu vypínám jako první věc po čisté instalaci FF. Od prohlížeče chci aby dělal to co má a nezdržoval tím, že musím zmáčknout o jednu šipku dolů, abych mohl vybrat to, co chci a né pokaždé mít na vrchu nějaké hlášení, které je sice pěkné, ale když se přihlásit musím, tak stejně jej musím ignorovat, takže v konečném důsledku je úplně k ničemu.
Neboj, brzo to vylepsej tak, ze budes muset pouzivat starou verzi browseru, protoze s tou aktualni se neprihlasis vubec ... respektive, provozovatel webu jednoduse vymeni textbox s type "password" za texbox s typem "kreteni" a budes moc s klidem to heslo zadat ... uz sem to na hromadce webu videl.
Tohle neudělají, na to nemají koule. Nicméně tohle nesmyslné protlačování HTTPS za každou cenu je opravdu funny, protože při představě, že by mi mělo vadit, že někdo náhodou odposlechne moje heslo na řadovej webíček, mi víc bude vadit, když zjistím, že mi v lednice chybí večeře, než že si budu muset udělat novej účet.
Vis co reklamujou zcela pravidelne lidi tady na rootu? Nj, ze ten uzasnej reklani system, za kterej prece provozovatel nemuze, vklada vsemozny srackomety ... ani na to nepotrebujou nabouravat https ... ze?
Kazdej jeden web, kterej vlozi !COKOLI! z externiho zdroje, neni a nemuze bejet bezpecnej, nikdy a nijak. Webu ktery to nedelaj bude min nez promile. Vesele to delaj i banky ...
@j
Míra urážek se stupňuje, to znamená, že už jsi v úzkých...
"Nj, ze ten uzasnej reklani system, za kterej prece provozovatel nemuze, vklada vsemozny srackomety ... ani na to nepotrebujou nabouravat https ... ze?"
A to je chyba HTTPS nebo provozovatele webu? To je jako říct, že HTTPS je špatné, protože na webu exaple.com jde udělat SQL injection a HTTPS tomu nezabránilo.
Pravděpodobně ne, ale vzhledem k tomu "Takže až" mě to trápí asi tak jako, že se možná zítra probudím a bude vyhaslé Slunce. Obhajovat HTTPS si můžete jak chcete, ale osobně kromě kritických aplikací v tom vidím akorát zbytečnou buzeraci. Kdo ho chce, tak ať si ho používá, nemám s tím problém, ale nutit ty, kdo ho ať už z jakéhokoliv důvodu nechtějí, aby si ho zařídili i tak, není OK.
Dobře, já chci na example.com šifrovat (například vložit dokument ke stažení a nechci, aby došel pozměněný - i kdybych na změnu přišel po hodině, už ho bude mít 100 lidí stažený a nedonutím je aktualizovat jej). Ty chceš na example.com vložit komentář a nezáleží ti na tom, že si ho někdo přečte už cestou a pokud se pozmění, tak ho edituješ, takže ti nešifrovaná komunikace nevadí.
1) Jak example.com pozná, že já chci šifrovat a ty ne?
2) Je jiná možnost, než udržovat dva různý weby se stejnou db na dvou protokolech, pokud třeba administraci a moderování diskusí nechce majitel povolit nešifrovaně (se vším, co to obnáší - náklady na vývoj a testování navíc)?
3) Může provozovatel example.com u verze s http nějak řešit, že je placený z reklamy a velký ISP mu je nahrazuje vlastníma, takže na jeho obsahu rejžuje ISP a on nedostane za čtenáře z jeho sítě ani vindru?
4) Pokud je jenom jedna verze webu, je lepší nešifrovat vůbec (a tím dovolit podvržení reklamy, odposlechnutí admin hesel) a jít proti vůli části čtenářů, nebo šifrováním vyřešit problémy s reklamou i přihlášením falešných adminů a jít proti vůli části čtenářů?
2Petr M: To je zajimavy, ze presne takhle hromada webu desitky let funguje ... tzn cast je sifrovava povine, cast podle toho, jestli tam klient prileze pres http(s).
Jo a neuzasnejsi vec co sem uz taky v posledni dobe parkrat videl, je kdyz web dela jeste proxy ... to aby browser ovecky drzel hubu, tak on misto aby ten nesifrovanej obsah rovnou vlozil ze zdroje, tak to protahne pres svuj srv, aby se to tvarilo, ze je to sifrovany ... lol.
Mno hlavne ze ti sviti zelenej zamecek ...
Dnes už hlavně neplatí že to co je v URL tak tam se posílají data a teď mám na mysli i přihlašovací údaje. Viz např. nákup na Ebay - embedovaný widget s Paypal modálem. V url je ebay.com, ale jak mám věřit tomu, že data putují přímo na paypal.com. Přitom je Paypal založen právě na tom, že ostatní prodejci nemají mít přímý přístup k jeho účtu, ale jak tomu věřit, když se zdá dle URL že data putují k prodejci.
Já technicky zdatný si ještě poradím, ale co poradit obyčejnému uživateli. Aby se učil javascript a sledoval síťovou komunikaci po něm nemůžu chtít.
Navíc mám pocit, že tohle je v souladu s OAuth2, nějakou takovou kapitolu o embedování cizýho javascriptu jsem tam viděl. Hlava mi to nebere.
> Dnes už hlavně neplatí že to co je v URL tak tam se posílají data a teď mám na mysli i přihlašovací údaje.
To neplatilo nutně nikdy. Mělo by ale platit, že obsah stránky ovlivňuje výhradně ten, kdo je uveden v adrese, popřípadě ten, na koho to deleguje. (Za předpokladu důvěryhodnosti spojení.)
Co se týče stránek, které po vás chtějí heslo na jinou stránku (je jedno, jestli je to iframe, form s action atd. – nejenže to běžný uživatel nepozná, ale ani pro pokročilého to není sranda dobře zkontrolovat), souhlasím, že je na místě obezřetnost a ideální je se tomu vyhnout.
Konkrétně eBay po mě nikdy takto heslo na PayPal nechtěl, teda ne na desktopu. V mobilní aplikaci ano, tam ale nenakupuju, pohodlnější je to nakoupit z webového prohlížeče, zvlášť když neznám to heslo zpaměti.
A PayPal je případ sám pro sebe – stačí se podívat, kolik mají phishing-like domén a jak na ně odesílají odkazy v e-mailech.
Plosne nasazovani https je neskutecna pitomost. Lide musi pochopit, ze veskera bezpecnost na Internetu je jen v jejich rukou, respektive hlavach.
Aktualni trend je pouze a vyhradne o kseftu a ne o bezpecnosti. Poto je u vetsiny browseru cim dal tezsi a slozitejsi zobrazit si detaily o certifikatu serveru, pritom certifikat vyda kdokoliv komukoliv online, nasledne staci jen zneuzit preklepy nebo IDN ... a najdou se jiste i dalsi triky.
Treba odpovedi proxy jine nez 200 vracejici html s javascript byly vyslovene o zivot - a nastavit troubovi do cesty proxy je easy. Procez ted nefunguji dle RFC, v zajmu bezpecnosti. To mi trochu smysl dava.
Ale pokud jen naucite bezneho uzivatele slepe verit zelene fajfce, tak mu nekdo namaluje falesne okno browseru s falesnou URL listou, klidne s jeste zelenejsi fajfkou, logem cz.nic nebo statni vlajkou ... i hymnu mu zahraji, bude-li potreba :-)
Pripadne si k tomu jiste pujde v Polsku legalne koupit i "czech made" logo ...
Představ si, že standardní komunikace probíhá tak, že naložíš potištěný papíry do dronu a někomu je pošleš. Je tvoje zodpovědnost (a byla a bude), ke komu ten dron pošleš, jestli mu ho pošleš a že pošleš to, co máš.
Ale to neznamená, že není rozdíl mezi dronem ze síťovkou, do které si může kdokoliv sáhnout, něco vyndat nebo přidat a modelem, který má zamykatelnou kovovou schránku na dokumenty.
Kdys poslu milion mailu na tema Ceska sporitelna ma bezpecnostni problem, overte si zda vas nepostihl take. ... tak ... 1/2M lidi klikne.
A klidne na tu stranku pak napisu ... "Nejprve si overte, ze jste pripojeni bezpecne - tzn ze vas browser zobrazuje zeleny zamecek" ...