Vlákno názorů k článku První krok: Chrome začal upozorňovat na weby bez HTTPS od Petr Stehlík - Jestlipak bude prohlížeč červeně varovat, i když se...

Naopak, rvát vegany do každé diskuze je lvl systemd.

V cem je problem? Vyse zde zminuji zvolani hori. To s chromem taky tak nejak nesouvisi. Petr Stehlik psal co delat az mu to bude rvat pri pokusu o zobrazeni obsahu webserveru na arduinu, kde je https takrka neimplementova­telne. Napsal jsem, ze udela totez co udela kdokoliv jiny kdyz mu neco nesedi a uvedl priklad se systemd. Ale je videt ze vam slovo systemd a jeho mozne nepouziti hodne hybe zluci :) Kdybych nenapsal o systemd ale treba o firefoxu misto chrome jako priklad, asi by se potrefena husa neozvala :D Chapu. v diskuzich o chrome se vyjadrujeme pro pana Ondru zasadne o chrome, muzeme uvest priklad s podobnym principem i odjinud, treba hori, ale jak jde o systemd, pritahne to Ondru jako magnet. :D

Že na Arduinu nejde HTTPS není problém Chromu, ale tvůrců Arduina.

To není problém ani Chrome ani tvůrců Arduina. Google se chystá z toho udělat problém lidem, co Arduino apod. používají.

Prd budou upozornovat, budou otravovat lidi, a zakaz http je jen dalsi krok. Je to PRESNE stejny, jako ten nehoraznej vopruz, kdyz ma stranka selfsign https. To je samo o sobe o 2 rady bezpecnejsi, nez zcela jakejkoli cert jakykoli CA, ale browser u toho rve jak protrzenej. Pritom jedina adekvatni reakce by bylo rozsviceni nejaky ne moc rusivy ikony.

@j

"kdyz ma stranka selfsign https. To je samo o sobe o 2 rady bezpecnejsi, nez zcela jakejkoli cert jakykoli CA, ale browser u toho rve jak protrzenej."

To asi ne... Kde máš jistotu, že komunikuješ s tím, s kým si myslíš? Nejdřív si ten selfsign ověř (např. kontaktuj vlastníka webu...) a pak si ho nainstaluj a prohlížešč ti přestane řvát. Kde je problém?

2lojzak: Ty vubec netusis jak (ne)funguje https, ze? Ty jako vis, komu vydala nejaka CA nejakej cert kterymu duverujes, protoze ti nekdo importoval tu CA do browseru/systemu? megalol

Vis naprosto kulovy tak jako tak, a ten cert je tam VYHRADNE proto, aby se SIFROVALA komunikace, nema absolutne vubec nic spolecnyho s nejakym urcovani s kym komunikujes.

@j

Právě proto, že vím, jak HTTPS funguje, tak musím nesouhlasit.

"Ty jako vis, komu vydala nejaka CA nejakej cert kterymu duverujes, protoze ti nekdo importoval tu CA do browseru/systemu? megalol"

Vím, že CA vydala certifikát někomu, koho ověřila, ať už to bylo fyzicky a nebo automaticky ověřila, zda je držitelem příslušného doménového jména.
Pokud útočník neovládl DNS a nebo CA naudělala zásadní chybu, je vše v pohodě.

A zatímco v případě nedůvéryhodného certifikátu může udělat MITM kdokoli na lince, bez čehokoli dalšího, tak v případě důvěryhodného certifikátu musí překonat další ochranu (získat přístup k DNS, aby si mohl nechat vystavit jiný cert).

Takže tvoje tvrzení, že selfsign je bezpečnější než cert od důvěryhodné CA je pitomost.

Proč je selfsigned bezpečnější než certifikát podepsaný CA?

Chápu, že někdo CA nevěří, a proto bude oba považovat za stejně bezpečné. Ale jak může být certifikát s podpisem CA nebezpečnější?

2jenda:

Co je na tom k nepochopeni? Kdyz o selfsign prohlasis, ze to je ten, kterymu duveruju, tak ti nikdo zadnej jinej cert nepodvrhne. Kdyz prohlasi nekdo za tebe, ze duveruje nejakym (stovkam) CA, tak libovolna z nich muze vydat libovolnej cert pro libovolnej web, a ty vis naprosto kulovy, jestli opravnene nebo ne.

Jenomže certifikáty se periodicky mění a navíc pro jednu sajtu jich může být vydáno několik (Google, YouTube, Facebook, Twitter) a při každé návštěvě tě může hodit loadbalancing na jiný fyzický webserver.
Sposta sajt si tahá obrázky, videa, skript... z různých CDN. To znamená, že bys musel při návštěvě jistých stránek potvrdit třeba i několik desítek certifikátu a to možná i při každé další návštěvě a v tu chvíli bys neměl ani minimální jistotu s kým komunikuješ. No a při další návštěvě když ti browser začne řvát něco o neznámém certifikátu, tak nebudeš vědět, jestli tě loadbalancer hodil na jiný server a nebo na tebe někdo dělá MITM.
Ty asi budeš geniální myslitel...

CA sice dělají čas od času průsery, ale je to 1000x méně debilní, než to, co jsi vymyslel.

Kromě toho, kontrolovat správnost certifikátu můžeš i u těch, které podepsala nějaká CA. Co ti v tom brání?

Asi nechápu, jak to myslíš. Bavíme se snad o situaci "selfsigned" vs. "certifikát podepsaný CA které nedůveřuji a nebudu si ji importovat", ne? O tom druhém můžeš prohlásit že mu důvěřuješ úplně stejně jako o tom selfsigned a žádná CA s tím nemá nic společného.

@j
Když o self-signed prohlásíš, že mu důvěřuješ, tak mu bude prohlížeč důvěřovat a zobrazí ho zeleně. Překvapení!

2sten: Neumis cist na co reagujes, prekvapive kdyz ti nejaka CA vyda dalsi cert tak bude zelenej taky ... PREKVAPKO co?

2lojzak: Pokud chce nekdo provozovat bezpecnej web, tak rozhodne nic odnikud zvenku nenacita, to uz nema s bezpecnosti nic spolecnyho. Proto nema zadnej smysl uzivatele jakkoli vopruzovat.

2Jenda: Takze browser ani system nepatchujes ... protoz jinak se ti tam stovky CA nactou samy, bez tvyho pricineni.

@j

Tak OK, oni jsou asi všichni, co používají CDNky úplně na hlavu a nemají bezpečné weby... :-/

Pořád jsi nevysvětlil, jak se tvůj úžasný systém vypořádá s load balancingem? Nebudeš vědět, jestli na tebe někdo dělá MITM nebo jsi jenm byl přehozenej na jinej server.

Uznej, že jsi plácl blbost a už neopruzuj.

> 2Jenda: Takze browser ani system nepatchujes ... protoz jinak se ti tam stovky CA nactou samy, bez tvyho pricineni.

To ale pořád nijak nesouvisí s důvěryhodností selfsigned vs. někdo-jiný-signed.

2jenda: To ze meles dohola hnuj z toho papu nedela ...

O duveryhodnosti selfsing rozhoduju JA, o cemkoli jinym tard jako TY. Tzn, selfsign je o miliardu radu bezpecnejsi.

@j

"O duveryhodnosti selfsing rozhoduju JA"

No a to je ta hlavní slabina, protože z toho selfsignu poznáš úplnej prd.

"Tzn, selfsign je o miliardu radu bezpecnejsi."
Ještě jsi pořád nevysvětlil proč. U certu podepsaným nějakou důvěryhodnou CA si taky můžeš určit, jestli mu budeš věřit nebo ne, stačí ho nacpat do HPKP keše prohlížeče a mít hřejivý pocit v bříšku, že sis něco sám potvrdil.

No a hlavně jsi pořád nevysvětlil, jak budeš řešit to, že velké weby mají loadbalancery, které tě hodí pokaždé na jiný webserver s jiným certifikátem. A jak budeš na stránce odlikávat certifikáty pro 10 různých externích zdrojů.

Přál bych si, ale speciálně pro tebe někdo udělal browser, který se bude chovat tak, jaks' popisoval. A přál bych tě vidět, jak si každý den odklikáváš stovky certifikátů. To by ses z toho dřív posral.

jenže to by musel po každé aktualizaci zjišťovat, jestli se mu tam nenacpala nějaká nová důveryhodná autorita, což není zrovna moc praktické. Stačí jednou zapomenout nebo přehlédnout a je tam... opravdu bezpečné.

> o cemkoli jinym tard jako TY

Já rozhoduju o důvěryhodnosti daného veřejného klíče a je mi úplně jedno, jestli je podepsán sám sebou, tvojí CA nebo NSA. Vlastně tu informaci o podepsání můžu klidně zahodit.

"Proč? Že se dozví, že se komunikace nešifruje? To je přeci užitečná informace, která ale nedělá z věci problém. "

Nevyzadane informace byvaji povazovany za SPAM. Informaci o tom ze spojeni neni sifrovane Chrome poskytuje odjakziva (pred URL neni zobrazen zeleny prouzek s nazvem Subjektu).

Kdyby tvůrci Arduina přidali čip pro akceleraci RSA a AES za pár šupů, tak by HTTPS nebyl problém.

Tvurci arduina tohle ale kvuli tvurcum chrome delat rozhodne nepotrebuji. Kdezto tvurci chrome nuti sve uzivatele delat zbytny krok navic. A ten kdo chce https na arduinu (skutecne asi spise rarita) ma zcela svobodnou moznost arduino dovybavit, nebo pouzit Raspberry Pi.

@q

"Tvurci arduina tohle ale kvuli tvurcum chrome delat rozhodne nepotrebuji."

Tvůrci Arduina by to neměli dělat kvůli Chrome, ale kvůli svým zákazníkům.

Mě teda přijde normální používat šifrované protokoly všude. Taky se nepřipojuju na domácí server přes telnet, protože je v mé domácí síti, ale použiju SSH.

Kolik lidí používá AtMegu pro HTTP komunikaci? Podle mě se to nevyplatí, ten hardware by zaplatili všichni a pak by ho naprostá většina lidí nevyužila.

Ze me tvurci chromu nuti klikat na neco co nepotrebuji je problem tvurcu chromu, nikoliv arduina. Koleduje si to o nahrazeni jinym, nepotrebnou funkcnost nevnucujicim prohlizecem, nebo navyk k ignorovani takove vynucene funkcnosti.

A ono je jako používání HTTP problém? No to jsou mně noviny… 25 let to šlo, a najednou je to komplikace. :-D

"A ono je jako používání HTTP problém?"

Ano, je to problém.

A vida. Už je na mě sneseno opovržení od jasnozřivých . . .