Vlákno názorů k článku Phishingových webů s HTTPS přibývá, reagují na vývoj prohlížečů od Vít Šesták - Konečně někdo, kdo to nepodává ve stylu „viníkem...
-
To už mi přijde jako přehnané tvrzení, zvlášť v situaci, kdy zvýrazňují doménu (hned vedle) a případně zobrazují info o EV certifikátu (taky hned vedle). Safari dokonce ukazuje vedle zámečku pouze doménu bez zbytku adresy. Zelený zámek prostě říká, že je nějakým* způsobem ověřeno, že jsem skutečně na té stránce, která je uvedena hned vedle. Nic víc. Jeho absence zase znamená, že to prohlížeč nezaručuje.
*) Nechci tu diskutovat o vhodnosti PKI atd. Berte to tak, že je to všechno *za jistých předpokladů*.
-
j (neregistrovaný)
Na to nepotrebujes CA a daleko bezpecnejsi je selfsign cert ... ovsem to by ti kokoti co delaj browsery museli zvladat aspon jednu binarni operaci mesicne ... pri ty svy polovine jedny moznovy bunky.
Jednoduse web by se mel tvarit stejne (ne) bezpecne zcela bez oheldu na to, ejstli na nej lezes pres http nebo pres https, protoze to exaktne totez je. To bys nejdiv musel sam nejakym zpusobem autorizovat CA pro ten konkretni web, nebo si pro nej ulozit konkretni cert (a browser by te s libovolnym jinym musel poslat dohaje) nebo by muselo fungovat DANE, aby se dalo mluvit o nejakym overeni ze ses vazne tam, kde si myslis ze ses.
Ani jedna varianta se dneska neda pouzit, takze bezpecne na webu browsat nemuzes vubec.
-
HTTPS přece nezaručuje bezpečné chování protistrany. To nezaručuje žádné šifrování, ani to, které si ověřím ručně. Naopak zaručuje, že nikdo nemůže do komunikace vstoupit a vložit do proudu vlastní data, třeba ten malware, supercookie, sledovací kód nebo že třeba neupraví obsah nebo neznepřístupní některé konkrétní podstránky (hint: Wikipedie).
-
Palo (neregistrovaný)
- Lebo do hromadneho rozsirenia HTTPS sa to dialo skoro stale
- Hlavne ze sa do stranky nacita milion skriptov z pochybnych reklamnych zdrojov - to je BEZPECNE
- Ak niekto dokazal kontrolovat tok dat pred tym, nebude mu robit problem fejknut to aj teraz
HTTPS proste nic neriesi :-/
Nevycitam len konstatujem a zdoraznujem ze ma to netesi.
Vyriesila by to povinnost registracie s overenim udentity (obciansky, ID, firma, ...), aby sa potom dali najst a popotahovat takychto ludi. -
Ano, děje se to. Na letištích, v hospodách, v hotelích. Na mnoha různých místech vám síť pozmění toky, případně přidá supercookies nebo vlastní reklamy. Zároveň se snaží řada států monitorovat a blokovat některé stránky, s HTTPS už to není možné, tam platí všechno nebo nic.
„Fejknout“ HTTPS jednoduše nejde, protože vám autority nevydají certifikát na libovolné doménové jméno. Chyby se samozřejmě stávají, znám velmi dobře slabiny PKI, ale praxe ukazuje, že to funguje velmi dobře. Není běžné, že by se unášela spojení ke Google, Facebooku nebo jinam. Je to velmi netriviální záležitost.
Ta registrace uživatelů internetu na občanku byla předpokládám vtip.
-
Palo (neregistrovaný)
- Ako nam tak po svete vlady roznych statov predvadzaju blokovanie stranok nie je problem. Nemyslim si ze ich zaujima selektivne blokovanie stranok pre jozka.
- Myslim ze ich skor zaujima kam chodite, na ake stranky, co sa dost dobre zistit aj z HTTPS (viem virtual hosting ale ...)
- Registracia DOMEN na obciansky -
Bavíme se o selektivním blokování, třeba na základě klíčových slov. Na HTTP jako provozovatel sítě vidím, kdo kam přesně jde, jakou stránku otevře a jaký obsah na ní přesně je. Vidím i jak se přihlásil a jaké má heslo. Vidím všechno. Proti tomu na HTTPS vidím jen doménu, nic víc.
Já jako uživatel jsem si pak jistý, že mi nikdo na cizí síti neukradne heslo, že mi neunese cookie session nebo že nemonitoruje, co přesně dělám. Má jen velmi málo a jen hodně obecných informací: uživatel komunikuje s Googlem, uživatel komunikuje s Facebookem, uživatel je připojený do nějakého datacentra v Praze. V tom podle mě je naprosto dramatický rozdíl.
Té registraci domén na občanku už vůbec nerozumím. Já mám třeba své domény registrované na občanku (přes mojeID). Ovšem nevím, jak to souvisí s HTTPS.
-
Palo (neregistrovaný)
Tak prihlasovanie uz asi nikto neriesil cez HTTP aj pred nastupom HTTPS. Nespada taketo smirovanie pod nejaky trestny cin? Takze si to komunikacne spolocnosti dovolit len tak nemozu. Ale OK s rozmachom WIFI proti drobnym smirakom. Myslim ale ze ked teraz vystavim free wifi kde napisem aby sa ludia pripajali cez nejake PROXY tak sa mi tam vsetci pripoja a mozem smirovat dalej.
'Té registraci domén na občanku už vůbec nerozumím' - S HTTPS to suvisi velmi silne. Certifikat by obsahoval aj to ze sa pripajam na domenu vlastnenu spolocnostou 'Internet Info, s.r.o.' nie vykrik do tmy 'root.cz' lebo to vidim aj bez certifikatu. Tak ako maju napriklad banky, kompletny O (organization) record. -
Petr M (neregistrovaný)
2Palo:
Pamatuješ Telnet? Konzola na dálku, všechno v plain textu. Stačilo se napíchnout na linku a poslouchat, krásně bylo vidět, co kdo dělá. Chtěl jsi heslo? No problem, hodíš dálnopis na telefonní lajnu a až se uživatel přihlásí, vidíš heslo, co zadal. Nebo stačilo zadat příkaz, když je přihlášený root, a udělat si tak vlastní účet...
Nahrazeno SSH. Tam chytneš leda guláš, ze kteráho poznáš. že 192.168.1.227 komunikuje s 192.168.1.3, ale nevíš uživatele, nevytáhneš z toho heslo, nepodvrhneš příkaz, nepřečteš citlivý informace.Evoluce HTTP k HTTPS je o samý. Akorát zatímco u SSH si vygeneruješ klíč, hodíš ho protistraně a při navázání spojení musíš potvrdit klíč protistrany. U HTTPS, kde to nejde dělat ručně (načtení stránky třeba ze 30 domén, každá s jiným cerifikátem) by to bylo docela drsný a řeší se to tak, že import proběhne automaticky, pokud pravost klíče potvrdí někdo "důvěryhodný".
A certifikát na osobu/firmu přece existuje... Dokonce se ti zobrazí v adresním řádku před URL, na koho je psaný. Akorát se to nedá vygenerovat zdarma jenom na základě toho, že mám kontrolu nad svou URL v DNS...
-
j (neregistrovaný)
2Petr Krčmář: " Naopak zaručuje, že nikdo nemůže do komunikace vstoupit"
Ne, tohle sifrovani rozhodne nezarucuje, protoze kdyz nevim s kym (sifrovane) komunikuju, tak vim leda kulovy o tom, jestli mezi mnou a tim, o kom si !myslim! ze s nim komunikuju, neni nekdo dalsi.Klidne muzu na prvni hop nahodit transparentni porxy, a oveckam natlacit nejakej cert nejaky svy CA ... jejich browsery budou zcela spokojene ukazovat zeleny zamecky a ja jim tam klido muzu vkladat co jen budu chtit, pripadne si vesele zapisovat jejich hesla.
2lojzak: A ty mistni kokot kterej v kazdy diskusi dava najevo, jako lautrhovno vi o tom jak co funguje.
-
Ondra Satai NekolaZlatý podporovatel@j: kdyz mas moznost ovladat masiny s browserem, tak je to trosku jako strilet kraliky v kralikarne. V tom ti tezko nekdo zabrani, ale to neni problem https.
-
Ondra Satai NekolaZlatý podporovatel
Uz jsi prudici pochopil, jak funguje ta transparency, ktera to resi? Nebo se porad budes vztekat nad soucasnym stavem a nadavat nad funkcnimi resenimi?
-
lojzak (neregistrovaný)
@j
"Klidne muzu na prvni hop nahodit transparentni porxy, a oveckam natlacit nejakej cert nejaky svy CA"
Což ale je o několik levelů složitější než pasivní odposlech HTTP.
HTTPS není úplně bezpečné, tak budu používát HTTP, aneb fabka jde odemknout planžetou, tak nebudu zamykat.
Mimochodem, falešné certy by krásně řešilo HPKP, proti kterému tak ostře vystupuješ.
-
Filip JirsákStříbrný podporovateltransparentni porxy, a oveckam natlacit nejakej cert nejaky svy CA
Mohl byste popsat podrobněji, jak to tlačení z transparentní proxy bude vypadat? Dejme tomu, že se tedy uživatel bude chtít dostat na nějakou stránku přes HTTP, aby vám ta transparentní proxy vůbec k něčemu byla. Jak na takový požadavek odpoví ta vaše transparentní proxy? Proxy odpoví nějakým tajným HTTP stavovým kódem „nainstaluj si tenhle certifikát“?
