Hlavní navigace

Chrome bude nejdříve doplňovat před adresu HTTPS

Sdílet

Jan Fikar 26. 3. 2021
Chrome Autor: Google

Pokud do adresního řádku nenapíšete http:// nebo https:// Chrome bude automaticky nejdříve doplňovat před adresu https://. To ušetří čas nahrávání stránek, které automaticky přesměrovávají HTTP na HTTPS. Pokud se HTTPS stránka nenačte do 3 – 10 sekund, použije se HTTP.

Minulý měsíc začal tento experiment pro uživatele Chrome Canary, Dev a Beta. Ostatní uživatelé Chrome pro desktop a Android se dočkají v Chrome 90, který vyjde 13. dubna. Pro iOS to bude o něco později. Pokud chcete novou vlastnost vyzkoušet, můžete si ji již nyní zapnout pomocí chrome://flags/#omnibox-default-typed-navigations-to-https.

(zdroj: bleepingcomputer)


Autor: J. Fikar
Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 26. 3. 2021 11:53

    Petr Krčmář

    To není fér poznámka. V roce 2015 se teprve začalo masivně přecházet na HTTPS a vznikal Let's Encrypt. V té době stále ještě vládlo HTTP. Kdo chtěl, mohl signalizovat povinné HTTPS pomocí hlavičky HSTS. Současná změna je jen další krok v řadě.

  • 26. 3. 2021 13:24

    Filip Jirsák

    Souhlasím s tím, že tahle změna měla přijít mnohem dřív. HSTS funguje jenom při druhé a další návštěvě, kdy prohlížeč zároveň už může pracovat s historií. Díra je právě v té první návštěvě, což je zároveň jediný případ, kdy prohlížeč musí u ručně napsané adresy „tipnout“ HTTP nebo HTTPS. A Chrome prostě dost dlouho používal nebezpečný default, a to zbytečně – aby se ušetřily dvě tři vteřiny u webů, které neřešily bezpečnost. Rok 2015 byl asi na tuhle změnu opravdu brzo, ale třeba v roce 2016 nebo 2017 už na to byl čas. Je prostě divné, když prohlížeč na jednu tlačí na používání HTTPS, a na druhou stranu volí HTTP, když je volba na něm.

  • 26. 3. 2021 13:38

    Petr Krčmář

    Problém první návštěvy (TOFU) se řeší pomocí HSTS preloadu. Doména Root.cz v něm třeba je, stejně jako například Alza.cz. Na tyhle domény nikdy nepřijdeš po HTTP, ani s čistou instalací prohlížeče.

    Já bych byl osobně taky trochu rychlejší, ale zase je chápu. Jsou konzervativní, protože každá tahle změna vyvolá mezi uživateli hysterii. Stačí si přečíst diskuse před pár lety tady na Rootu. Počkali tedy do doby, kdy se skutečně 90 % webů načítá po HTTPS a nemělo by to nikoho zaskočit.

  • 26. 3. 2021 15:14

    Filip Jirsák

    HSTS preload je šílenost a nejsem schopen ho považovat za řešení nějakého problému. Pořád se řeší, aby internet dobře škáloval, aby v DNS nebylo úzké hrdlo, někdo má problém s tím, že unikají názvy domén skrze certificate transparency – a pak přijdeme s tím, že adresy všech webů (což je dnes zdaleka nejdůležitější služba na internetu) nacpeme do jednoho textového souboru.

    Konzervativní přístup chápu v situaci, kdy změna může něco rozbít. Ale tady změna spočívá v tom, že dříve byly čekáním na přesměrování penalizováni ti, kteří měli web server nastaven dobře (s HTTPS), nyní budou penalizováni (trochu delším) čekáním na timeout ti, kteří mají server nastavený špatně. Rozbít to může jedině případy, kdy někdo má správně nakonfigurovaný HTTPS server, ale nemá na něm správný obsah – a ten bude mít problémy i bez téhle změny.

  • 26. 3. 2021 14:49

    Lukáš Turek

    Já už delší dobu používám ve Firefoxu rozšíření HTTPS by default, které dělá víceméně to samé jako plánuje Chrome, a narážel jsem na weby, které byly na HTTPS rozbité jinak než špatným certifikátem. Některé části obsahu se nenačetly kvůli mixed content (nejspíš se skripty načítaly z domény bez HTTPS). Teprve poslední rok, nejvýš dva je jich už jen minimum.

    Jenže pokud ten fallback na HTTP bude automatický (bez potvrzení uživatelem), tak to stejně z hlediska bezpečnosti nic neřeší, MitM útočníkovi stačí zablokovat HTTPS a výsledek je jako dřív. Je potřeba, aby prohlížeč u webu bez HTTPS zobrazil stejné varování jako v případě špatného certifikátu, které uživatel musí potvrdit, aby se dostal dál.

  • 26. 3. 2021 15:19

    Filip Jirsák

    Podle mne jde hlavně o to, aby prohlížeč používal bezpečný default a nepenalizoval servery, které používají HTTPS (přesměrování způsobí určitou prodlevu).

  • 26. 3. 2021 15:49

    Lukáš Turek

    Jasně, ale to co zavádí Chrome řeší jen ten druhý požadavek: prodlevu u serverů s HTTPS. Bezpečný default to není (MitM útočník si může vynutit načtení webu po HTTP, a to i v případě, že web přesměrovává na HTTPS).

  • 26. 3. 2021 16:05

    Filip Jirsák

    Bylo to myšleno tak, že když má na výběr mezi nezabezpečeným HTTP a bezpečným HTTPS, jako první zkusím bezpečné HTTPS.

    To, aby default byl bezpečný, tj. nebyl napadnutelný útočníkem, bude teprve tehdy, až prohlížeč úplně přestane podporovat nešifrované HTTP.

  • 28. 3. 2021 22:20

    Petr Šmíd

    Podle mně dává. Příkladem jsou všechny možné domácí krabičky s webovým rozhraním.
    My prodáváme software, který má webové rozhraní, ale spouští se jako součást nějakého stroje. Kam jej nasadí, dopředu netušíme. Https je pro nás problém, protože uživatelé by si nedokázali poradit s nastavením certifikátů. Naši zákazníci přitom takovou bezpečnost ani nepožadují a byla by to jen komplikace navíc.
    (navíc se jedná typicky o intranet bez připojení ven do internetu)

  • 29. 3. 2021 8:53

    Filip Jirsák

    Jak to celé souvisí s tím, že by prohlížeč poslal požadavek na port 443, dostal by odpověď, že port je nedostupný, a pak by dalších 10 sekund čekal, jestli se nestane zázrak a přeci jen nedostane na portu 443 odpověď?

  • 26. 3. 2021 10:41

    Ondřej Caletka

    Nebude. V citovaném blogpostu se píše:

    > Chrome will fall back to HTTP when the HTTPS attempt fails (including when there are certificate errors, such as name mismatch or untrusted self-signed certificate, or connection errors, such as DNS resolution failure.

    Moc mě ovšem nenapadá, jak pomůže přepnutí z HTTPS na HTTP v případě, kdy selže překlad doménového jména. :)

  • 26. 3. 2021 10:45

    Miroslav Šilhavý

    Moc mě ovšem nenapadá, jak pomůže přepnutí z HTTPS na HTTP v případě, kdy selže překlad doménového jména. :)

    Asi to prostě stojí za pokus :).

  • 26. 3. 2021 11:01

    Filip Jirsák

    To může být implementační záležitost. Může tam být funkce, která řeší „připoj se na https://example.com“, a když z jakéhokoli důvodu selže, zkusí se varianta s HTTP. Přičemž ta funkce uvnitř dělá překlad DNS, pak naváže spojení atd. A nevyplatí se to překopávat a DNS vytahovat ven, protože už je to stejně optimalizované – když chci nejprve https://example.com a vzápětí https://example.com/welcome, prohlížeč rychle sáhne pro DNS do interní cache.

  • 26. 3. 2021 11:02

    Vít Šesták

    > Moc mě ovšem nenapadá, jak pomůže přepnutí z HTTPS na HTTP v případě, kdy selže překlad doménového jména. :)

    Taky jsem se nad tím pozastavil, ale jeden edge case mě napadl: Při nastavené HTTP proxy může DNS resolution dělat samotná proxy. HTTP i HTTPS mohou mít nastavenou jinou proxy, která bude resolvovat jinak. Je to šílený setup, ale v principu to může být právě ten edge case, kvůli kterému to Google řeší.

    26. 3. 2021, 11:03 editováno autorem komentáře

  • 5. 4. 2021 9:55

    Vít Šesták

    Ještě mě napadá jiný důvod: Pokud selže načítání kompletně (třeba uživatel není připojen), co má zůstat v adrese?

    a. Žádný protokol – to by bylo čisté řešení, otázka je, jak moc je na to Chrome připraven.
    b. HTTPS – fajn, ale pokud při načítání ručně zadané adresy (bez protokolu) selze připojení a uživatel zkusí reload, šlo by se rovnou na HTTPS, již bez fallbacku.
    c. HTTP – bude to ve scénáři dočasného selhání připojení trochu penalizovat weby s HTTPS. Ale asi to není tak častá situace.

    Zjevně Google nezvolil variantu B. Jsem zvědav, jestli zvolil variantu A, nebo C.

  • 26. 3. 2021 11:14

    bez přezdívky

    "including when there are certificate errors, such as name mismatch or untrusted self-signed certificate"

    Tak tohle je zajimave.

    self-signed cesta:
    1] https spojeni -> oh, self signed, zkus http
    2] http spojeni -> funguje, ale web posila redirect na https
    3] https spojeni
    4] profit

    Asi takhle nejak?

  • 26. 3. 2021 15:09

    Miroslav Šilhavý

    Pokládáte tu otázku hodně sugestivně, ale ve skutečnosti ani toto nastavení moc bezpečnost nezvyšuje. U HTTP se bojíme hlavně MitM útoku, ale tomu nezabrání ani nové výchozí nastavení. Útočník zablokuje (poškodí) HTTPS komunikaci a prohlížeč přejde do HTTP nešifrovaného režimu se vším, co k tomu patří.

    Já to vnímám, že je to krok, který má provozovatele ještě víc motivovat k podpoře TLS. S tím mám spíš principiální problém. Vnímám vztah uživatel-poskytovatel obsahu jakožto exkluzivní, zadělávající na práva a povinnosti právě mezi těmito dvěma stranami. Tyto dvě strany by si měly - ve vlastním zájmu - nastavit bezpečnost tak, aby jim nevznikala rizika škod. Vyvážit nastavení služby rizikům, nákladům, požadavkům na výkon a odezvu. Nepřijde mi moc šťastné, že se do tohoto dvoustranného vztahu míchá třetí strana (vendor prohlížeče).

    Tato změna už je jen malý detail, který je v rámci uběhlého vývoje docela logický. Samotné násilí, kterým se pár gigantů rozhodlo udělat změny, mi nesedí. Poškodilo to malé, upevnilo to pozici velkých. Nesmírně zajímavé je, jak všem záleží "na bezpečnosti", pokud se týká o prohlížení webu, který generuje obrovské zisky v online službách. Proti tomu, mailová komunikace, ve které ve skutečnosti zasíláme mnohem důvěrnější informace, si dál, prakticky bez povšimnutí sviští nešifrovaně.

  • 26. 3. 2021 15:28

    Filip Jirsák

    Na té otázce nic sugestivního nevidím. A nepsal jsem v ní nic o bezpečnosti.

    Změna je to především v rovině symbolické, protože vypadá opravdu zvláštně, když se prohlížeč všelijak snaží přesvědčit uživatele i tvůrce webů, že mají používat HTTPS – ale když je volba přímo na prohlížeči, zvolí HTTP.

    Vnímám vztah uživatel-poskytovatel obsahu jakožto exkluzivní, zadělávající na práva a povinnosti právě mezi těmito dvěma stranami.
    V tom se ale mýlíte. Jak už bylo mnohokrát řečeno – a vy jste k tomu směřoval v prvním odstavci – skutečná bezpečnost nemůže být založena na tom, že se dvě strany po nezabezpečeném kanálu dohodnou, že chtějí začít používat bezpečný kanál. Do tohohle dohadování totiž může vstoupit útočník a překazit ho. Proto se směřuje k tomu, aby TLS bylo použité všude. Největší bezpečnostní riziko HTTPS je totiž to, že prohlížeč podporuje i HTTP.

    Samotné násilí, kterým se pár gigantů rozhodlo udělat změny, mi nesedí. Poškodilo to malé, upevnilo to pozici velkých.
    Myslím, že tato vaše tvrzení nemají nic společného s realitou.

    Proti tomu, mailová komunikace, ve které ve skutečnosti zasíláme mnohem důvěrnější informace, si dál, prakticky bez povšimnutí sviští nešifrovaně.
    Řekl bych, že nemáte moc představu o tom, jak dnes e-mailová komunikace vypadá.

  • 26. 3. 2021 18:00

    Miroslav Šilhavý

    Jak už bylo mnohokrát řečeno – a vy jste k tomu směřoval v prvním odstavci – skutečná bezpečnost nemůže být založena na tom, že se dvě strany po nezabezpečeném kanálu dohodnou, že chtějí začít používat bezpečný kanál. Do tohohle dohadování totiž může vstoupit útočník a překazit ho.

    Těžko do toho útočník vstoupí, když poskytovatel obsahu usoudí, že HTTP vypne, a ponechá si jen HTTPS, et vice versa. Bohatě by stačilo stanovit právní rámec, aby za zabezpečení odpovídala strana, poskytující službu (což by byl v 99 % ten, kdo provozuje server). Další možností by bylo přidat bezpečný kanál, kterým by se prohlížeč dozvěděl že druhá strana nešifrovaný přenos vylučuje.

    Možností by se našlo určitě víc, které by k bezpečnosti směřovaly dokonce více, a zároveň by zachovaly volnost obou stran.

    Víte, já uznávám, že některé změny by bez vnějšího impulsu vůbec nepřišly (typicky ekologie), protože obecný (veřejný) zájem je proti přímému zájmu jednotlivce. U bezpečnosti je zájem jednotlivce vyvážen mezi náklady a přínosy, optimum se tedy nalezne.

  • 26. 3. 2021 18:43

    Filip Jirsák

    Těžko do toho útočník vstoupí, když poskytovatel obsahu usoudí, že HTTP vypne, a ponechá si jen HTTPS, et vice versa.
    Jenže to byste si jako klient musel být jistý, že komunikujete s poskytovatelem a ne s útočníkem. A jste zase na začátku.

    Možností by se našlo určitě víc, které by k bezpečnosti směřovaly dokonce více, a zároveň by zachovaly volnost obou stran.
    Volnost stran je největší bezpečnostní problém.

    U bezpečnosti je zájem jednotlivce vyvážen mezi náklady a přínosy, optimum se tedy nalezne.
    U bezpečnosti jde hlavně o veřejný zájem. Možná ještě víc, než u ekologie. Navíc náklady na HTTPS se dnes často limitně blíží nule. U moderních serverů už je nákladnější HTTPS nemít, protože to musíte explicitně nakonfigurovat.

  • 26. 3. 2021 19:28

    Miroslav Šilhavý

    Volnost stran je největší bezpečnostní problém.

    Jakákoliv svoboda je bezpečnostní problém, když se na to díváte optikou systému. Jde jen o to, kde leží konsensus, kterých svobod se částečně vzdáme a jaký je přínos. To už je asi individuální otázka, ale obvykle se ke změnám sahá až poté, co s nimi souhlasí většina. Zde ovšem nedošlo k žádnému plebiscitu, ani nepřímému. Někdo silný určil, co je pro všechny nejlepší (což by se dalo ještě s přivřením oka přijmout), ale taky určil způsob, jakým se toho dobereme (a zde vidím potíž).

    Navíc náklady na HTTPS se dnes často limitně blíží nule. U moderních serverů už je nákladnější HTTPS nemít, protože to musíte explicitně nakonfigurovat.

    To je podle mě sebeklam. Ve skutečnosti to způsobilo a způsobuje problémy v místních sítích, všemožně se to obchází - anebo častěji, lidi raději utíkají do cloudu, kde je vše vyřešené (jistě jen shodou okolností se jedná o ty samé firmy, co nám tu medicínu naordinovaly). Dat se přenáší čím dál víc, a vše se musí zašifrovat - což globálně opět stojí nějaké tuny paliva, přeměněné na elektřinu. Legacy systémy potřebují zvláštní péči i tam, kde o bezpečnost nejde.

    Nejde o to, že ta částka je neviditelná. Jde o to, že je dost možná vyšší, než kdyby si to trh určil sám, trochu přirozeněji (asi můžeme ale vést i diskusi tom, že Google a další jsou také součást trhu). Možná by, bez zásahu firem s podstatným vlivem, došel k podobnému výsledku o něco pomaleji, ale jsem přesvědčený, že mnohem spravedlivěji. Náklady by nebyly neviditelně rozložené mezi všechny, ale ukázaly by se tam, kde opravdu jsou.

    Já chápu, že jste přesvědčený, že šifrovaná komunikace je tak velkým přínosem, že ospravedlňuje i trochu ráznější přístup. Já si dovolím zůstat přesvědčen, že to má i svá a ne nulová negativa.

  • 26. 3. 2021 19:44

    Filip Jirsák

    Zde ovšem nedošlo k žádnému plebiscitu, ani nepřímému. Někdo silný určil, co je pro všechny nejlepší (což by se dalo ještě s přivřením oka přijmout), ale taky určil způsob, jakým se toho dobereme (a zde vidím potíž).
    Jenže ti „někdo silní“ se stali silnými proto, že jim zákazníci dávají přednost před konkurencí. Soutěž na volném trhu se považuje za jedno z nejsvobodnějších prostředí.

    Ve skutečnosti to způsobilo a způsobuje problémy v místních sítích
    Ne, problémy to nezpůsobuje. Odhaluje to problémy, které v té síti byly dávno, jenom byly různě dovedně zamaskované.

    což globálně opět stojí nějaké tuny paliva, přeměněné na elektřinu
    Řešení problémů způsobených nešifrovanou komunikací je snad zdarma?

    Jde o to, že je dost možná vyšší, než kdyby si to trh určil sám, trochu přirozeněji (asi můžeme ale vést i diskusi tom, že Google a další jsou také součást trhu).
    A taky můžeme vést diskusi o tom, zda pes je zvíře… Samozřejmě, že Google je součástí trhu, a své velikosti dosáhl tak, že nabídl služby, které uživatelé chtějí. Nevím, jak byste to chtěl udělat lépe, než že to určil trh.

    Možná by, bez zásahu firem s podstatným vlivem, došel k podobnému výsledku o něco pomaleji, ale jsem přesvědčený, že mnohem spravedlivěji.
    Co vám na volném trhu připadá nespravedlivé?

    Náklady by nebyly neviditelně rozložené mezi všechny, ale ukázaly by se tam, kde opravdu jsou.
    Myslíte tam, kde je nutné je vynaložit, nebo tam, kde vznikají? Bezpečnost má totiž výrazné externality.

    Já chápu, že jste přesvědčený, že šifrovaná komunikace je tak velkým přínosem, že ospravedlňuje i trochu ráznější přístup.
    Nemyslím si, že současný přístup k bezpečnosti je rázný. Podle mne je naopak dost konzervativní. Každopádně považuji za podstatné to, že to řešení vzniká přirozeně na volném trhu.

  • 26. 3. 2021 22:25

    Miroslav Šilhavý

    Jenže ti „někdo silní“ se stali silnými proto, že jim zákazníci dávají přednost před konkurencí. Soutěž na volném trhu se považuje za jedno z nejsvobodnějších prostředí.

    Ano, i ne. V případě hráčů s podstatnou tržní silou už je potřeba si dávat velký pozor. Oni zůstávají silní i kvůli tomu, že už nedopustí, aby je další dorostl. Google v tomto úsilí považuji za geniální (jakkoliv můj obdiv nesklízí). Dovede trpělivě čekat na správný okamžik a upevňuje si svoji sílu po kolečkách salámu. Na ztrátě diverzity trhu dlouhodobě spotřebitelé nevydělají.

    Řešení problémů způsobených nešifrovanou komunikací je snad zdarma?

    Ne, ale je adresné na ty subjekty, kterých se to týká. Když nad tím budete uvažovat, i chléb se dá péct několika málo efektivními způsoby (řekněme z pohledu energetické účinnosti), mouka se dá také vyrobit efektivně, obilí může růst ve správných oblastech a být správně ošetřeno. I to by bylo pro lidstvo přínosem, aby se neplýtvalo energií (tj. penězi každého) - přesto to nikdo nedopustí. Nechávají se bojovat malí zemědělci, mlýny, pekaři. Malí s velkými. Bochník za 20 Kč i za 120 Kč.

    Myslíte tam, kde je nutné je vynaložit, nebo tam, kde vznikají? Bezpečnost má totiž výrazné externality.

    To si samozřejmě uvědomuju. Můžu ale odkázat na svůj příměr s pěstováním pšenice a žita v nevhodných oblastech, někdy GMO, jindy ne, někdy s chemií, jindy bez. Když půjdeme v úvahách do extrému, třeba by se ukázalo, že internet v současné podobě není s to přežít, a vzniklo by z přirozené potřeby něco nového. Třeba i lepšího.

    Každopádně považuji za podstatné to, že to řešení vzniká přirozeně na volném trhu.

    To právě nevidím. Ten trh se v posledních letech zdeformoval. Velcí si nekonkurují mezi sebou. Zjistili (patrně konkludentně), že je efektivní přestat si konkurovat navzájem přetahováním zákazníkům, ale spíš bojovat o zákazníky malých konkurentů. Něco podobného je vidět nejen v internetových technologiích, ale i v průmyslu.

    Ten trend není dobrý. V průmyslu už státy pochopily, že musejí stanovovat aspoň hranice. Jsou normy na jakost výrobků, normy se vyvíjejí (dílem zpřísňují, dílem reagují na nové nebezpečné nápady). Ten normotvorný proces jde značně nezávisle na vůli jednotlivých hráčů - ku příkladu normy na jakost potravin, kdy výrobci prostě nemohou využívat nejlevnější postupy bez ohledu na zdraví spotřebitele. U internetových technologií taková protiváha naprosto chybí. Zavádějí se změny často náhle a neexistuje obrana. Neshledávám důvod, proč by se měly změny, které budou mít ekonomický dopad na spoustu subjektů, zavádět rychleji a o moc jinak, než je např. tradiční legislativní proces. I ten slouží k tomu, aby se mohli vyjádřit všichni, aby bylo možné změnu vyhlásit s účinností v budoucnosti apod. Pokud se nějaká norma (zákon) nepovede, můžete se bránit u soudu (docela základní právo) - jak se můžete bránit tomu, když Vaše podnikání naruší internetový gigant? Ten nesoulad mezi hmotným a virtuálním světem je nevysvětlitelný. Možná tradiční postupy jsou příliš pomalé a těžkopádné, nebo naopak hýbání s internetovým světem příliš překotné a dravé.

  • 26. 3. 2021 23:05

    Filip Jirsák

    Ano, i ne. V případě hráčů s podstatnou tržní silou už je potřeba si dávat velký pozor. Oni zůstávají silní i kvůli tomu, že už nedopustí, aby je další dorostl. Google v tomto úsilí považuji za geniální (jakkoliv můj obdiv nesklízí). Dovede trpělivě čekat na správný okamžik a upevňuje si svoji sílu po kolečkách salámu. Na ztrátě diverzity trhu dlouhodobě spotřebitelé nevydělají.
    Nemyslím si, že by zrovna v oblasti prohlížečů dělal Google něco nekalého. Naopak Google výrazně přispěl k přenosu velké části IT na web, čímž velmi podstatně omezil možnost IT firem něco si prosazovat silou.

    Ne, ale je adresné na ty subjekty, kterých se to týká.
    Fakt? A proč tedy to, že vy se chcete připojovat nezabezpečeně na Roota ohrožuje mou komunikaci s bankou?

    Když nad tím budete uvažovat, i chléb se dá péct několika málo efektivními způsoby (řekněme z pohledu energetické účinnosti), mouka se dá také vyrobit efektivně, obilí může růst ve správných oblastech a být správně ošetřeno. I to by bylo pro lidstvo přínosem, aby se neplýtvalo energií (tj. penězi každého) - přesto to nikdo nedopustí. Nechávají se bojovat malí zemědělci, mlýny, pekaři. Malí s velkými. Bochník za 20 Kč i za 120 Kč.
    Úplně stejně to funguje na webu. Vedle Googlu máte třeba Seznam.

    Když půjdeme v úvahách do extrému, třeba by se ukázalo, že internet v současné podobě není s to přežít, a vzniklo by z přirozené potřeby něco nového. Třeba i lepšího.
    Problém je právě v tom „by“. Nelíbí se vám současný stav, který vznikl působením volného trhu. Takže byste zřejmě rád volný trh reguloval. Jak? Co by mělo být předmětem vaší regulace?

    To právě nevidím. Ten trh se v posledních letech zdeformoval. Velcí si nekonkurují mezi sebou. Zjistili (patrně konkludentně), že je efektivní přestat si konkurovat navzájem přetahováním zákazníkům, ale spíš bojovat o zákazníky malých konkurentů. Něco podobného je vidět nejen v internetových technologiích, ale i v průmyslu.
    Máte pro tuhle svou teorii něco, na čem by se to dalo ukázat?

    Ten trend není dobrý. V průmyslu už státy pochopily, že musejí stanovovat aspoň hranice. Jsou normy na jakost výrobků, normy se vyvíjejí (dílem zpřísňují, dílem reagují na nové nebezpečné nápady). Ten normotvorný proces jde značně nezávisle na vůli jednotlivých hráčů - ku příkladu normy na jakost potravin, kdy výrobci prostě nemohou využívat nejlevnější postupy bez ohledu na zdraví spotřebitele. U internetových technologií taková protiváha naprosto chybí. Zavádějí se změny často náhle a neexistuje obrana.
    Vy to nevidíte, jak ohromně si protiřečíte, že? Vychvalujete státní normy, které často vznikají od stolu a uplatňují se skokově – několik let platí jedna norma, pak najednou začne platit norma nová. A kritizujete IT průmysl, kde ty normy vznikají přímo z potřeby subjektů, kterých se týkají, jsou konsenzem řádově většího počtu subjektů, a zavádějí se postupně, není to žádná náhlá změna.

    Neshledávám důvod, proč by se měly změny, které budou mít ekonomický dopad na spoustu subjektů, zavádět rychleji a o moc jinak, než je např. tradiční legislativní proces.
    Mně teda připadá mnohem lepší zavádění HTTPS rozfázované do několika let, kdy se to dělá postupně, po malých částech, testuje se to a upravuje podle reálných zkušeností. Osobně bych byl pro rychlejší postup. Ale fakt bych nechtěl, aby to probíhalo jako náš legislativní proces, kde by se taková změna řešila pár měsíců, několikrát by se to celé překopalo, ke konci legislativního procesu už by bylo jasné, že to je paskvil, který nikdo nechce, ale už by se to muselo dotlačit do konce, a nakonec by to vstoupilo v platnost pár dní před tím, že by se tím všichni měli začít řídit. O zrychlení až na takovouhle úroveň opravdu nestojím, to ať se raději dál jede tím současným pomalým tempem.

    Pokud se nějaká norma (zákon) nepovede, můžete se bránit u soudu (docela základní právo)
    Nemůžete. Legitimace k podání ústavní stížnosti je dost omezená.

    jak se můžete bránit tomu, když Vaše podnikání naruší internetový gigant?
    Byl by nějaký příklad něčeho takového?

    Možná tradiční postupy jsou příliš pomalé a těžkopádné, nebo naopak hýbání s internetovým světem příliš překotné a dravé.
    A nebo jen vidíte věci nějak pokřiveně.

  • 27. 3. 2021 1:03

    Miroslav Šilhavý

    A proč tedy to, že vy se chcete připojovat nezabezpečeně na Roota ohrožuje mou komunikaci s bankou?

    Nic Vám nebrání komunikovat s bankou zcela zabezpečeně. Nemusí to být zrovna prohlížeč, který to zajistí. Jistě, bude to dražší, promítne se to třeba do poplatků za účet - ale to je to, o čem mluvím. Ponese ten náklad ten, kdo to vyžaduje.

    Nelíbí se vám současný stav, který vznikl působením volného trhu. Takže byste zřejmě rád volný trh reguloval. Jak? Co by mělo být předmětem vaší regulace?

    Reguloval bych změny prosazené silou technologických společností s podstatným vlivem. Když už poskytuje online služby a zároveň má nejpoužívanější prohlížeč, nechť si zavede povinné šifrování jen pro své služby. Ostatní by měli fungovat principem opt-in (záměrně nepředjímám technické řešení, kromě HSTS preloading by se našly i jiné možnosti).

    Máte pro tuhle svou teorii něco, na čem by se to dalo ukázat?

    Našlo by se vícero kroků, kdy pod zaklínadlem bezpečnosti byla zvýšena technologická laťka pro všechny. Kupodivu, ti menší nebyli připraveni a museli investovat - byť by třeba byli přesvědčeni, že by bylo potřeba investovat do něčeho jiného, než do dohánění výmyslů Googlu.

    Vy to nevidíte, jak ohromně si protiřečíte, že? Vychvalujete státní normy, které často vznikají od stolu a uplatňují se skokově – několik let platí jedna norma, pak najednou začne platit norma nová. A kritizujete IT průmysl, kde ty normy vznikají přímo z potřeby subjektů, kterých se týkají, jsou konsenzem řádově většího počtu subjektů, a zavádějí se postupně, není to žádná náhlá změna.

    Problém jsem už popsal. Ty subjekty mají pro takové rozhodnutí společný zájem, byť si současně i konkurují.

    Osobně bych byl pro rychlejší postup. Ale fakt bych nechtěl, aby to probíhalo jako náš legislativní proces, kde by se taková změna řešila pár měsíců, několikrát by se to celé překopalo, ke konci legislativního procesu už by bylo jasné, že to je paskvil, který nikdo nechce, ale už by se to muselo dotlačit do konce, a nakonec by to vstoupilo v platnost pár dní před tím, že by se tím všichni měli začít řídit. O zrychlení až na takovouhle úroveň opravdu nestojím, to ať se raději dál jede tím současným pomalým tempem.

    Toto vidím přesně opačně. Ten proces ukazuje, že v některých oblastech není konsensus, jakkoliv si jedna část myslí, že jejich nápad je opravdu přínosný. Většinou se taková změna zastaví - ano, čas od času místo toho, aby se zastavila, vznikne paskvil. Přesto to vidím jako dlouhodobě zdravější proces, než zavádění silou.

    Nemůžete. Legitimace k podání ústavní stížnosti je dost omezená.

    To hovoříte o samotném zákonu a jeho případné změně či zrušení. Většina sporů se řeší na úrovni aplikace existujícího zákona (řekněme, jeho výkladu - ačkoliv to není přesné slovo, protože soud nemá pravomoc vykládat zákon). Tam pak soudy přihlížejí k mravnosti a přiměřenosti, a uplatňují často zákon podle jeho smyslu i za cenu uplatnění proti jeho (striktní) liteře.

    Byl by nějaký příklad něčeho takového?

    Třeba ty Vámi zmíněné zdánlivě nulové náklady na provoz HTTPS i tam, kde není zájem zákazníka, ani návštěvníka webu. Nemusíme si podle mě nalhávat, že zavedení https, správa certifikátů, řešení problémů - byť se nevyskytují často, prostě nějakou kačku stojí. Jen se ty náklady rozlily mezi všechny. Já vím, že to jsou malé položky, jenže náš současný život je drahý a překomplikovaný právě díky tisícům takovýchto zdánlivě nulových položek.

  • 27. 3. 2021 8:45

    Filip Jirsák

    Nic Vám nebrání komunikovat s bankou zcela zabezpečeně. Nemusí to být zrovna prohlížeč, který to zajistí. Jistě, bude to dražší, promítne se to třeba do poplatků za účet - ale to je to, o čem mluvím. Ponese ten náklad ten, kdo to vyžaduje.
    Většina uživatelů nic jiného, než prohlížeč, používat nebude. Nebudou si instalovat speciální bankovní aplikaci. Navíc úplně stejný argument lze použít i na vás. Vy chcete komunikovat nezabezpečeně, tak si na vlastní náklady pořiďte program, který vám to umožní. Normální je komunikovat zabezpečeně, nezabezpečená komunikace je historická anomálie.

    Reguloval bych změny prosazené silou technologických společností s podstatným vlivem. Když už poskytuje online služby a zároveň má nejpoužívanější prohlížeč, nechť si zavede povinné šifrování jen pro své služby. Ostatní by měli fungovat principem opt-in (záměrně nepředjímám technické řešení, kromě HSTS preloading by se našly i jiné možnosti).
    To byste ovšem nejprve musel alespoň naznačit, proč považujete něco za „prosazené silou společností s podstatným vlivem“, když se jedná o změnu, na které panuje široká shoda napříč oborem.

    Našlo by se vícero kroků
    Já jsem se neptal na počet příkladů, ptal jsem se na konkrétní příklady.

    Ty subjekty mají pro takové rozhodnutí společný zájem, byť si současně i konkurují.
    Ano, velká část IT oboru má v tomto společný zájem a podniká kroky k tomu, aby byl realizován. Pořád jste ale nenapsal, proč by měla vzniknut nějaká regulace jdoucí proti vůli drtivé většiny oboru.

    Toto vidím přesně opačně. Ten proces ukazuje, že v některých oblastech není konsensus, jakkoliv si jedna část myslí, že jejich nápad je opravdu přínosný. Většinou se taková změna zastaví - ano, čas od času místo toho, aby se zastavila, vznikne paskvil. Přesto to vidím jako dlouhodobě zdravější proces, než zavádění silou.
    Já jsem popisoval legislativní proces v ČR. Tady se konsenzus hledá málokdy, většinou se změna prosadí klidně v poměru 101:99, klidě se kvůli tomu svážejí poslanci z nemocnice.

    Proč když vám zavádění silou vadí, pořád ho prosazujete? My tady máme skutečně široký konsenzus, žádných 50,5 % ku 49.5 %. A vy byste proti tomuto konsenzu rád silou prosadil názor pár procent.

    To hovoříte o samotném zákonu a jeho případné změně či zrušení. Většina sporů se řeší na úrovni aplikace existujícího zákona (řekněme, jeho výkladu - ačkoliv to není přesné slovo, protože soud nemá pravomoc vykládat zákon). Tam pak soudy přihlížejí k mravnosti a přiměřenosti, a uplatňují často zákon podle jeho smyslu i za cenu uplatnění proti jeho (striktní) liteře.
    Což je ale něco úplně jiného, než jste napsal původně.

    Třeba ty Vámi zmíněné zdánlivě nulové náklady na provoz HTTPS i tam, kde není zájem zákazníka, ani návštěvníka webu.
    Zájem zákazníka a návštěvníka webu je všude.

    Nemusíme si podle mě nalhávat, že zavedení https, správa certifikátů, řešení problémů - byť se nevyskytují často, prostě nějakou kačku stojí.
    Já jsem nainstaloval Caddy, do konfigurace jsem zadal svůj e-mail (e-mail správce se zadává i do konfigurace jiných webových serverů) a od té doby mi HTTPS běží. Náklady jsou čistá nula. Ano, mohou se vyskytnout nějaké problémy, jejich řešení bude mít nenulové náklady – ale mnohem víc problémů způsobí nešifrovaná komunikace.

    Já vím, že to jsou malé položky, jenže náš současný život je drahý a překomplikovaný právě díky tisícům takovýchto zdánlivě nulových položek.
    Hlavně pořád zapomínáte, že to porovnáváte s náklady na nešifrovanou komunikaci, které jsou větší.

  • 27. 3. 2021 9:35

    Miroslav Šilhavý

    @Filip Jirsák

    Podívejte, vy mně tady trochu vnucujete, že jsem proti https. To není v nejmenším pravda, https jsem měl vyřešené taky dřív, než toto šílenství začalo. Náklady nulové však nebyly. Spousta starších webů nebyla připravena na https, na spoustě míst byly odkazy na pevno http. Wordpress (sic!) dodnes není připraven TLS offloading. Vím pozitivně, že nějakou práci to někoho stálo, nikoliv každého. Spotřeba energie taky o něco vzrostla, a jakkoliv mi nikdo nezvýšil platby, tak přinejmenším on to platí zúžením své marže. (Kdyby rozdíl neexistoval, pak by nevznikaly ani kryptoakcelerátory)

    Nečtu rád teze typu "velká část IT oboru má v tomto společný zájem a podniká kroky k tomu, aby byl realizován," protože oborový zájem se nemusí shodovat se zájmem těch, kteří to platí. Abych dal příměr, každý by uvítal párky plné masa, ale když jde o rodinný rozpočet, tak kde kdo upřednostní ty separátové - to i přestože cena za kg kvalitní svaloviny je u laciných výrobků horší. Prostě v danou chvíli neřeší kilojouly a bílkoviny, ale aby po večeři neměla rodina pocit hladu.

    Dál tou tezí přezíráte spousty IT-amatérů, které podle mě do oboru nepočítáte, ale i oni ho tvoří. Ti dodnes TLS nerozumějí, kuchtí to podle internetových kuchařek bezhlavě - a mnohdy i tam, kde to fakt nepotřebují.

    Abych zakončil. Mně nevadí https jako takové. Vadí mi způsob, jakým se změny tohoto typu prosazují a vůbec mi vadí, když je využívána velká síla tam, kde by nemusela. To je potenciálně nebezpečné. Jestli se neshodneme na tom, že i v tomto případě bylo některým malým ublíženo, tak vězte, že v budoucnu může být podobně prosazená ještě méně bohulibější změna. Tleskat tomu nebudu.

  • 27. 3. 2021 10:20

    Filip Jirsák

    Ano, vám prostě vadí, že když 98 % oboru bylo pro zavedení HTTPS a 2 % jsou proti, dělá se to, co chce drtivá většina. Já bych „velkou sílou“ nazýval to, pokud by si naopak ta 2 % prosadila svou. Takhle je to prostě vůle výrazné většiny.

    K tmě nákladům – tu práci to stálo ty, kteří HTTPS chtějí. Když někdo zavádí HTTPS dnes, může to už opravdu udělat bez nákladů. Růst spotřeby energie klidně může být schován za zaokrouhlovací chybou. Nebo mohla celková spotřeba energie klesnout – protože třeba počítače bez vědomí uživatelů netěží kryptoměny, protože se někdo naboural do komunikace a dokázal tak u uživatele tajně spustit těžbu. Spousty IT amatérů nepřezírám – jenom jim nedávám řádově větší váhu, než mají.

  • 28. 3. 2021 15:03

    Miroslav Šilhavý

    Ano, vám prostě vadí, že když 98 % oboru bylo pro zavedení HTTPS a 2 % jsou proti, dělá se to, co chce drtivá většina. Já bych „velkou sílou“ nazýval to, pokud by si naopak ta 2 % prosadila svou. Takhle je to prostě vůle výrazné většiny.

    Znovu: neptáte se na většinu mezi těmi, kteří to platí, ale mezi těmi, kteří na tom vydělávají. Jedna část jsou profesionálové, kterým je každá taková změna příjemná (který profesionál by nechtěl, aby šel vývoj vpřed), druhá část jsou sami ti, kteří se podílejí na prosazení. Nevýhodné to je pro každého provozovatele, který nemůže uplatnit úspory z rozsahu. Nejvýhodnější je to pro toho, kdo takovou změnu sám iniciuje, protože si to načasuje tak, aby to především jemu hrálo do karet. Nemůžete si jistě nepovšimnout, že ti samí velcí blokují jiné smysluplné změny - protože na ně nejsou připraveni a způsobilo by jim to problémy. Jakmile se připraví, se stejnou vehemencí, s jakou odmítají dnes, budou to stejné zítra prosazovat. Znovu v okamžiku, kdy oni budou připravení a malí ne.

    Kdyby se bezpečností zabývali opravdu nezávislí odborníci, patrně by našli daleko lepší řešení, než je látat návrhové slabiny HTTP. Podobně vzniklo IPv6, které bylo ve své době velmi napřed (oproti tomu, co trh snesl). Vím z hovorů, že Vám vadí, že se ujalo tak pozdě a i dnes je jen okrajové proti IPv4. Ale trh si to rozhodl přirozeně. Každý si zhodnotil přínosy proti nákladům a teprve teď přichází doba, kdy se to začíná lámat (přínos je už tak významný, že začíná ospravedlňovat náklady). Opravdu je nebezpečné koketovat s doktrínou "osvíceného autokrata", který změny vynucuje dřív; krátkodobě posune vše vpřed, ale z dlouhodobého pohledu to vždy přinese problémy i s úroky. Historicky jsme v IT technologiích neviděli tak agresivní způsob, jak donutit trh: získáme majoritu prohlížečů, vnutíme to koncovým uživatelům, a ostatní musejí změny přijmout, aby neztratili zákazníky. Jestli toto není zneužívání dominantního postavení, tak už nevím co by do toho mělo spadat.

  • 28. 3. 2021 15:17

    Filip Jirsák

    Znovu: neptáte se na většinu mezi těmi, kteří to platí, ale mezi těmi, kteří na tom vydělávají.
    Ne, píšu o většině v celém oboru. Mimochodem, mezi těmi, co to platí, je podíl těch „pro“ nejspíš větší, než obecně v celém oboru.

    Nevýhodné to je pro každého provozovatele, který nemůže uplatnit úspory z rozsahu.
    Svět se nedělí na ty, kteří mohou a kteří nemohou uplatnit úspory z rozsahu. A pořád stále dokola ignorujete náklady na nepoužívání šifrovaných komunikací.

    Nejvýhodnější je to pro toho, kdo takovou změnu sám iniciuje, protože si to načasuje tak, aby to především jemu hrálo do karet.
    Vy pořád vidíte nějaké tajemné postavy vzadu, které za všechno mohou. A jsou tak tajemné, že je dokonce ani sám nedokážete pojmenovat.

    Nemůžete si jistě nepovšimnout, že ti samí velcí blokují jiné smysluplné změny - protože na ně nejsou připraveni a způsobilo by jim to problémy.
    Například?

    Kdyby se bezpečností zabývali opravdu nezávislí odborníci, patrně by našli daleko lepší řešení, než je látat návrhové slabiny HTTP.
    T o je dobrý vtip :-)

    Ale trh si to rozhodl přirozeně.
    Úplně stejně, jako s HTTPS. Dokonce i lídři zavádění HTTPS a IPv6 jsou titíž.

    Opravdu je nebezpečné koketovat s doktrínou "osvíceného autokrata", který změny vynucuje dřív; krátkodobě posune vše vpřed, ale z dlouhodobého pohledu to vždy přinese problémy i s úroky.
    To ale zase polemizujete s něčím, co jste si vymyslel a zatím jste to nedokázal podložit nějakými argumenty.

    získáme majoritu prohlížečů, vnutíme to koncovým uživatelům, a ostatní musejí změny přijmout, aby neztratili zákazníky
    Jenže takhle to nebylo.

  • 28. 3. 2021 18:01

    Miroslav Šilhavý

    @Filip Jirsák

    Dokola se ptáte na argumenty, a já je dokola dávám a jsou poměrně prosté:

    1. Google a další mají podstatnou tržní sílu v trhu prohlížečů.
    2. Googlu je pohodlnější udělat změnu v prohlížeči a tím vynutit změny na straně provozovatelů, místo toho, aby je přesvědčili o výhodnosti změny.
    3. Ani se nesnaží o to dát to provozovatelům jako možnost: prostě to vynutí. Nepolemizuji o tom, že toto řešení nelze zavést jinak, než ze strany prohlížeče, ale tvrdím, že toto řešení nebylo jediné představitelné.

    Na to, aby to nebylo zneužívání tržní síly (byť možná pro dobrou věc), nesměla by tam být ta oklika přes uživatele. Celé to visí na tom, že jeden se rozhodne o tom, co mají dělat druzí, ale vynutí to přes třetího, na kterého má podstatný vliv.

    Jestli je to globálně pro svět (obyvatele) výhodné, prospěšné, potřebné či nutné, není vůbec podstatné. Jestli o tom výše vedeme polemiku, tak jen na okraj tohoto hlavního tématu.

  • 28. 3. 2021 20:29

    Filip Jirsák

    Google a další mají podstatnou tržní sílu v trhu prohlížečů.
    Kdo jsou to „ti další“? Jak byste si představoval správnou situaci podle vás? Máme mít stovky různých implementací prohlížečů, aby nikdo neměl podstatnou tržní sílu? Kdo by měl do vývoje všech těch prohlížečů investovat?

    Googlu je pohodlnější udělat změnu v prohlížeči a tím vynutit změny na straně provozovatelů, místo toho, aby je přesvědčili o výhodnosti změny.
    Co by tím Google získal? Proč si myslíte, že je to rozhodnutí jenom Google?

    Ani se nesnaží o to dát to provozovatelům jako možnost: prostě to vynutí.
    To už jsem vám mnohokrát vysvětloval. Bezpečnost jako možnost neexistuje. To je jako kdybyste měl v baráku dvoje dveře, jedny byste zamykal a druhé ne, a tvrdil byste, že to přece máte zabezpečené, protože zloděj si může vybrat ty zamčené dveře a přes ně neprojde.

    jeden se rozhodne
    To je ovšem tvrzení, které jste se stále ani nepokusil nějak doložit.

    Jestli je to globálně pro svět (obyvatele) výhodné, prospěšné, potřebné či nutné, není vůbec podstatné.
    Ovšem to, co je podle vás podstatné, je pouze vaše tvrzení, které se na první pohled nezdá být v souladu s realitou – a vy jste neuvedl nic, co by svědčilo ve prospěch toho tvrzení.

  • 29. 3. 2021 21:07

    ebik

    Není náhodou za vhodné konstelace operačního systému, dns resolveru, počasí a čísla bot uzivatele použit SRV záznam?

  • 26. 3. 2021 10:01

    Michal Kubeček

    Doufám, že to udělají rozumněji než Firefox, který zarputile přidává "https:", i když to má v historii s "http:".

  • 26. 3. 2021 10:05

    RDa

    Ja bych se zeptal panu sifrovacu - co pouzivate za rozsireni k tcpdump, at uz na strane klienta nebo serveru (oboji samozrejme pod nasi kontrolou), kdyz chcete videt napr. prenasene hlavicky?