Hlavní navigace

Názor k článku Postřehy z bezpečnosti: všechny prohlížeče opět pokořeny od Vít Šesták - „Pokud se nestaráte o to, kam odkaz vede,...

  • Článek je starý, nové názory již nelze přidávat.
  • 24. 3. 2015 17:28

    Vít Šesták

    „Pokud se nestaráte o to, kam odkaz vede, je vám jedno, že se dostanete někam jinam.“

    Scénář 1:
    Franta mi pošle zabezpečeným kanálem prosbu, jestli bych mu zkontroloval jeho text na https://test-review.example.com/5mD3D4S9X0uuZSrysKgmQA . V této chvíli nepotřebuju vědět nic o tom, kdo spravuje test-review.example.com – ostatně mu žádná svoje data neposkytuju, ta mu poskytl Franta, který mu věří. Kliknu na odkaz, který mi Franta poslal zabezpečenou cestou a u kterého Franta explicitně chtěl, abych jej načetl přes HTTPS. Jenže někdo mi downgradne spojení. I pokud následně zkontroluju, zda jsem na správné adrese (ale podle Vás je blbost kontrolovat linky), dopadne to v nejlepším případě v tomto stylu: http://www.lamer.cz/quote/50132

    Scénář 2:
    Pepa si prohlíží fotoalbum na webu. Stránku jako takovou si načte zabezpečeně (její URL by mi nepomohla), ale fotky jsou uloženy na tajných adresách v CDN, kde downgradnu spojení a dostanu se k fotkám.

    Kdo by takto fotoalbum navrhoval? Třeba Facebook…

    Scénář 3:
    Jdu na stránku výrobce tiskárny stáhnout třeba ovladače. Jdu na https://my-printer-vendor.example.com, najdu si ovladač ke své tiskárně, kliknu na odkaz. Jejda, on mi někdo downgradnul spojení a já si stáhl upravený ovladač s nějakým škodlivým kódem.

    Ne, nemyslím, že by to byl okrajový problém. Naopak, nějaké ‰ webů, jejichž admin vyžaduje HTTPS, aniž by si pořídil důvěryhodný certifikát, je dnes okrajový problém. A s Let’s Encrypt bude ještě okrajovější.

    Souhlasím, že není dobré obtěžovat uživatele zbytečnými varováními. Odeslání formuláře nešifrovanou cestou je dobrým příkladem zbytečného varování.* Naproti tomu ale neplatný certifikát je celkem odůvodněné varování a je jen otázka, jakou má mít podobu.

    „Nikdo jiný to [Let’s Encrypt] používat nebude, protože by skončil přesně v té situaci, že jeho uživatelé budou muset odklepávat spoustu hlášek o nedůvěryhodném certifikátu.“

    To je dobrá úvaha, ale na základě nesprávných předpokladů – Let’s Encrypt bude crossignuto s Identrustem a budou usilovat o pozici kořenové CA. Hádám, že minimálně ve Firefoxu se jim to povede velmi brzy.

    *) Pokud vyplním formulář na HTTP, data mi může odeslat někam JS automaticky, a to, že se to odešle na jinou stránku přes HTTP je už detail. Smysl by mělo maximálně varovat před odesláním formuláře na zabezpečené stránce na nezabezpečenou stránku – v podobném duchu jako mixed content.