Hlavní navigace

Názor k článku Postřehy z bezpečnosti: všechny prohlížeče opět pokořeny od Vít Šesták - „máte v prohlížeči nainstalován certifikát té autority, příslušný...

  • 29. 3. 2015 11:28

    Vít Šesták

    „máte v prohlížeči nainstalován certifikát té autority, příslušný self-signed certifikát, nebo používáte prohlížeč, který netrénuje uživatele v automatickém odklikávání všech hlášek.“
    IMHO to je dost vzácná situace, jak jsem psal.

    Pokud máte web a chcete uživatelům znemožnit odklikávání hlášek o chybném certifikátu, doporučuji použít HSTS a ideálně se ještě nechat zapsat do HSTS preload listu. Já to už u jednoho webu takto udělal. Zkuste si třeba ve Firefoxu nebo Chrome jít na http://badcert.typingrevolution.com/ .

    „Nastudujte si, co je to same-origin policy.“
    O SOP bych si dovolil něco vědět. Poukazoval jsem ale na to, že pojem „stejný web“ může mít jiný význam v SOP a jiný význam v chápání uživatele.

    „Aby mohly použít protokol HTTP/2.“
    Je ignorace této informace snad podmínka pro HTTP/2? Zdroj?

    „Například tak, jak jsem napsal ve svém komentáři.“
    Pokud myslíte z DNS, pak pokud budeme mít DNSSEC, pak můžeme všude nasadit HTTPS a čisté HTTP může být deprecated. Nepotřebovali bychom vůbec CA a prohlížeč by mohl vědět najisto, zda na drátě sedí útočník. Ale dokud CA potřebujeme, mají hlášky o neověřeném certifikátu svůj význam. Zatím jeho úlohu částečně přebírá zmíněné HSTS a HSTS preload list. (Umí minimálně Firefox a Chrome, má to umět i nové IE.)