Vlákno názorů k článku První krok: Chrome začal upozorňovat na weby bez HTTPS od lojzak - Všichni, co mrční na Chrome, by se měli...
-
lojzak (neregistrovaný)
Všichni, co mrční na Chrome, by se měli nejdříve zamyslet, jestli není chyba někde jinde. Proč nepoužívat HTTP ani na webech, kde nejsou citlivé informace bylo vysvětleno více než dostatečně. DV certifikát lze získat zadarmo od LE nebo StartSSL (pokud to někomu nevyhovuje, tak od jiné CA za 300 na rok). Ke všem významným webserverům je kvalitní dokumentace a na internetu jsou spousty tutoriálů, jak nasadit HTTPS.
Ten pravý problém se musí hledat mezi neschopnými správci. Jejich ego neunese, když Chrome začne upozorňovat na jejich neschopnost.Za mě osobně - klidně bych HTTP v prohlížeči vypnul a povoloval ho pouze na výjimky, aby se lidi dostali na svá embedded zařízení atd.
-
Existuje spousta argumentů proti. Třeba nedávná zranitelnost TCP v Linuxu se dala zneužít jen proti nešifrovaným spojením, nešifrovaný obsah nelze „embednout“ do šifrovaného webu, zabraňuje to monitorování dat na lince (třeba co si kde čtu), umožňuje to nasadit HTTP/2 a podobně. Viz článek HTTPS by mělo být všude.
-
Technicky ne, teď se opravovaly nějaké poslední drobnosti, ale já už dávno mám ručně v HSTS Roota přidaného a jedu výhradně na HTTPS a funguje to bez problémů. Čekalo se na Seznam, až jejich vyhledávač bude HTTPS umět správně – proto je pořád k dispozici HTTP varianta. Současný stav vlastně neznám, zeptám se na to.
-
Filip JirsákStříbrný podporovatelSeznam už přechod českého webu na HTTPS oficiálně odstartoval, akorát nedoporučuje dělat to v období největší návštěvnosti (typicky e-shopy před Vánocemi), protože změna může někdy způsobit dočasný propad návštěvnosti. Starší vyjádření na blogu týmu vyhledávání a novější rozhovor s Dušanem Janovským.
-
Já už přecházím na HTTPS ve velkém, v rozhodnutí mi pomohl i root.cz ;). Už jsem https nasadil i na větších webech a i seznam poměrně v pohodě, naopak stoupáme. Pokud vím, měla by být jen jedna varianta (ideálně https) a z té druhé by se mělo přesměrovávat pomocí 301 (pro boty a lidi se starými adresami apod.). Nevím jak je to u vyhledávačů s možnou duplicitou - mám http a https variantu = 2 weby. Ale to nemám ověřeno, člověk nesmí seo expertům věřit vše. ;)
-
j (neregistrovaný)
Jo a proto se nemuzu k open/dd/wrt pripojit pres https ... protoze je to pres http daleko bezpecnejsi ... mno ted uz to prosychr nepude vubec, zejo ...
Nemam nic proti https, ale mam zcela zasadni problem s tim, jak to ti curaci (a sorry, ale jinak to napsat vazne nejde) implementujou.
Po tisici prvni
1) browser ma by default proste zcela VZDY drzet hubu a zobrazit web
2) browser MUSI podporovat VSECHNY i historicky sifry, zcela bez ohledu na jejich bezpecnost (a samo nesifrovanou komunikaci)
3) browser MUZE uzivatele upozornit (trebas ikonou, podbarvenim, ...) ze pouzivany kanal neni zcela koser, a na VYZADANI poinformovat co se mu nezda
4) browser by MEL umoznit UZIVATELSKY definovat, kde se bezpecnost resit ma a jak - napr autorizovat konkretni CA(pripadne cert) pro konkretni web, pripadne kontrolovat DANE a dalsi.
5) pouze a vyhradne v takovym pripade, ze uzivatel pro dany web bezpecnot resit chce, muze (a mel by) browser zcela znemoznit web pouzivat, pokud neco neni vporadku.Proc? Protoze v 99,9999999% uzivatele nejaka bezpecnost stejne naprosto nezajima. Druhak proto, ze to co se aktualne deje nema s bezpecnosti zhola nic spolecnyho, je to jen jedna velka LEZ. Anzto a jelikoz - jak se stale dokola ukazuje, certifikat si muze vyda kdokoli jakejkoli, a pokud by to udelal UMYSLNE, tak na to ani nikdo neprijde. Vsechny odhaleny pripady sou totiz objeveny jen proto, ze se ten "falesnej" cert dostane verejne na net. Pokud bych si nechal vydat cert proto, ze chci na nekoho delat MITM, tak ho nikdo jinej nez ten dotycnej nikdy neuvidi => nikdo nikdy nezjisti, ze takovej cert existuje.
-
lojzak (neregistrovaný)
@j
Sorry, ale to je pitomost. Pokud bude browser podporovat i staré šifry, tak nejen, že bude v jeho zdrojácích zbytečný bordel, ale bute to mít negativní dopad na bezpečnost, protože bude riziko downgrade útoku.
Hodně štěstí s hledáním nového browseru, který bude splňovat tvé úchylné představy.
PKI is broken. Ale nikdo nic lepšího nevymyslel a jsou techniky, jak bezpečnost zvýšit (HPKP, DANE, CertPatrol).
6. 9. 2016 14:34 redakčně upraveno, důvod: Prosíme bez zbytečných vulgarit. -
Durill (neregistrovaný)
Ono nejde o weby. Máte spoustu zařízení, které mají management na starých verzích, bez problémů fungují a dělají co mají, ale už je nikdo nepodporuje. A jediný problém jsou prostě staré verze protokolů, šifer a pod. pro management.
Z bezpečnostního hlediska to není problém, tohle prostě zavřete tak, že se k tomu nikdo jiný než někdo důvěryhodný po zabezpečené cestě nedostane. A tady narazíte na jediný problém, kdy se někdo prostě rozhodne ty protokoly všude zahodit. A nemáte jak to zařízení spravovat. Protože někdo je moudřejší než vy. A protože to vezme tak jednoduše jako vy, tak ani nedá možnost někde tu podporu zapnout. A jen kvůli tomu měnit zařízení ne za pár stovek, zkuste s tím jít za majitelem firmy, finančním... takže pak držíte staré verze, ze kterých to ještě můžete ovládat, kde jsou známé chyby. Co je pak lepší?
Tohle chování mi prostě na Google dost vadí. My se rozhodneme a všechno zahodíme. A vy se poserte jak chcete.
Stejně tak třeba interní aplikace, které jsou psané na nějaký konkrétní účel a pro běh prostě potřebují starší verze software. A zase to jen tak předělávat nikdo moc nechce. V tomhle mi je Internet Explorer s jejich režimem kompatibility sympatičtější. Stejně jako s možností si prostě SSLv3 zapnout, když ho zrovna potřebuji k připojení k něčemu a pak opět vypnout. -
Filip JirsákStříbrný podporovatel
Google Chrome je webový prohlížeč, takže jde o weby. Dříve se na konfiguraci takovýchhle zařízení běžně dodával proprietární software. Takže se k tomu modelu klidně můžeme zase trochu vrátit a pro taková zařízení používat „proprietární webový prohlížeč“ – nějakou starší nebo upravenou verzi webového prohlížeče. Ostatně mnohá z těch zařízení hlásí, že pro jejich management potřebujete Internet Explorer 6.0 a rozlišení obrazovky 800×600, takže vás nějaké aktuální webové prohlížeče nemusí zajímat. To samé ty interní aplikace. Když pro to potřebujete nějaký konkrétní prohlížeč, tak si prostě udržujte ten prohlížeč – není žádný důvod, aby ho měli podporován všichni na celém světě. Tohle v žádném případě není důvod, proč navždy blokovat tu nejzákladnější bezpečnost celého webu.
-
Ondra Satai NekolaZlatý podporovatelS tim se da souhlasit. S dodatkem, ze sifrovat je treba vsude.
-
lojzak (neregistrovaný)
"Instalovat HTTPS tam kde není třeba šifrovat je do nebe volající blbost. Howgh."
HTTPS dává smysl na všech stránkách. Třeba už jenom kvůli tomu, aby vám po cestě někdo nepodstrčil nechtěný obsah.
V Číně podstrkávali malware do HTTP největší ISP a reklamy vám do HTTP nacpe nejmíň polovina free WiFi hotspotů. -
ehmmm (neregistrovaný)
Opravdu je nutne mit sifrovani i u nasledujicich webu (?):
http://jetencurakjesteprezidentem.cz/
Je opravdu napriklad root.cz o tolik hodnotnejsi, ze musi byt sifrovan?
Kdyz si trochu zaprehanim, tak o tolik dulezitejsi informace, nez na vyse uvedenych webech, tu zase nejsou. -
Jenda (neregistrovaný)
Ano.
- Je to multihosting. Použití HTTPS skryje na kterou z hostovaných domén se koukáš. Až Zeman nastolí čipovou totalitu, budeš mít o trošku nižší rank, protože o tobě nebude jistě vědět, že ses díval na jetencurakjesteprezidentem.cz
- Čína do toho nebude moct vkládat javascript na DDoS.
-
To ma dve chyby:
1) sit ISP muze byt velmi velka a nejde spolehat na to, ze se do ni nikdo nedostane.
2) nekazdy pouziva DNS ISP. Nektery ISP maj s DNS dost problemy, takze je vicemene nutnost pouzit externi DNS. A k tomu se v nekterych OS nastavujou verejny DNS (vetsinou 8.8.8.8) jako default, kdyz DHCP selze, takze na tohle fakt nejde spolihat. -
Filip JirsákStříbrný podporovatel
Opravdu je nutne mit sifrovani i u nasledujicich webu (?):
Důležité jsou jiné otázky. Opravdu je nutné šifrování tam nemít? K čemu je dobré rozhodovat se, zda daný web má nebo nemá být šifrován – není jednodušší o tom nepřemýšlet a šifrovat?A nakonec ta nejdůležitější. Existence HTTP a to, že uživatel není prohlížečem důrazně upozorněn, že je to nezabezpečené, je ten nejsnazší vektor útok na většinu HTTPS webů. Opravdu je nepřítomnost HTTPS u takovýchhle webíků tak zásadním přínosem, aby ospravedlnila existenci tak jednoduchého útoku na elektronické bankovnictví vaší banky, na váš webmail, na Datové schránky, na e-shopy a na všechny ostatní weby používající HTTPS? -
Vzhledem k problemum (hlidani platnosti certifikatu, hlidani podpory pouzivanych sifer v ruznych browserech ci jinych klientech) jaky sifrovani prinasi, je lepsi pro nektery weby sifrovani nepouzivat.
S utoky na banky atd existence HTTP nema absolutne nic spolecnyho a jeho absence by nic neresila. Naopak by zbytecne zvysovala zatez jak klientu tak serveru, pricemz nektery klienty a servery jednodusse ani nemaj moznost sifrovani pouzit. -
Filip JirsákStříbrný podporovatel
Hlídání platnosti certifikátu řeší software, podporu používaných šifer řeší aktualizace. Problémy s podporou pouze slabých šifer mohou být v jiných klientech, než jsou prohlížeče – ale to pak neřešíme web, ale třeba webové služby (kde stejně HTTPS většinou musí být z povahy přenášených údajů, takže tam akorát řešíte podporu pro slabé šifry).
Existence HTTP a to, že před ním prohlížeč nevaruje nijak, natož velmi důrazně, samozřejmě s útoky na banky a podobné souvisí. Třeba jste na letišti a vzpomenete si, že nemáte cestovní pojištění. Tak se přes místní WiFi připojíte na web pojišťovny, kterou si pamatujete nebo vidíte na plakátu, zadáte osobní údaje a zaplatíte. A ve skutečnosti se děje to, že jste na webu nějakého útočníka, protože vaše připojení přes WiFi jednoduše napadl a na dotaz vašeho počítače na doménové jméno webu pojišťovny podstrčil adresu na svůj server. Prohlížeč se na ten server připojí, a server útočníka samozřejmě nebude dělat přesměrování na HTTPS, ale zůstane na HTTP. Vy mu zadáte osobní údaje, a pokud nebudete pozorný, zadáte tam i údaje o platební kartě (začíná být moderní je zadávat přímo ve stránce a „zabezpečit“ to tím, že kolem toho nasypete spoustu obrázků o tom, jak je to bezpečné). Podle míry zabezpečení té WiFi sítě se náročnost provedení takového útoku pohybuje na škále od triviální po „pořád řádově jednodušší, než jakýkoli útok na HTTPS“. A celé je to umožněné jenom tím, že prohlížeč podporuje protokol HTTP a uživatele žádným způsobem nevaruje.Některé servery a někteří klienti neměli možnost použít protokol HTTP, používali třeba Gopher. A prostě zanikli. Není možné donekonečna ohrožovat bezpečnost velké části internetové komunikace jenom proto, že existují jakési obskurní instalace, které mají s bezpečnou komunikací problém. Holt si to bude muset vyřešit ten, kdo takovou instalaci provozuje, a nebudou to za něj řešit všichni ostatní.
-
j (neregistrovaný)
A co ty tupce nechapes na tom, ze sou mezi lidma miliardy zarizeni, ktery https nikdy umet nebudou, a dalsi miliardy takovych, ktery https sice umej, ale z vule kretenu v mozille/googlu/... to prej uz neni dostatecne bezpecny, takze se na ne z aktualniho browseru ani jinak nez pres http dostat vubec neda.
A tenhle problem bude exponencialne narustat, protoze pokud kazdy 2 roky vyradej jednu variantu sifrovani, tak tu za 10 let budou biliony krabek, se kterejma se dohodnes leda za pomoci 10 let staryho browseru ... lol.
-
lojzak (neregistrovaný)
@j
To je jednoduché, zařízení, co HTTPS neumí vyhodit (nebo nechat dožít) a kupovat pouze ta, která HTTPS umí.
Šifrovací sady, které jsou stále bezpečné, tu byly i před 10 lety. To, že některá relativně nová zařízení mají certifikáty s dávno prolomeným MD5 a nebo slabým 1024 RSA klíčem není problém chromu.I 15 stará verze Openssl umí AES a SHA2. Že si koupíš krabičku, co tohle neumí, tak se můžeš zlobit maximálně tak sám na sebe.
-
Petr M (neregistrovaný)
Taková krabička ale nemá na veřejné síti co pohledávat -> HTTP jenom v privátní síti (10.0.0.0:255.0.0.0 nebo 192.168.0.0:255.255.0.0) jako uživatelem schválená výjimka. Jinde červená a stop.
Co chceš nešifrovaně z té "krabičy" na veřejnosti tahat?
Kopie smluv z nějakýho prehistorickýho NASu po HTTP? Sorry, pak jsi vůl nebo blbec.
Nebo snad bezpečnostní web kameru ze zahrady, aby mohl kdokoliv okukovat, jak se ta tvoje koupe bez plavek? Sorry, ale pak jsi buďto vůl, nebo kandaulista.
Nebo firmware upgrade pro ty krabičky? Pak jsi vůl nebo dobrovolník pro botnet.
Nebo data z nějakýho PLC, senzoru nebo procesu? To bys pak byl vůl nebo sebevrah.
Nebo dokonce konfigurační rozhraní té krabičky? Sorry, ale potom jsi kvadratický vůl...
