Vlákno názorů k článku
Chrome bude od příštího roku také upozorňovat na přihlašování bez HTTPS
od lojzak - Spíš by bylo lepší podporu HTTP rovnou defaultně...
-
lojzak (neregistrovaný)
@Philip Fry aka 'vain'
I na webech o pěstování bonsají, letecké modelařině (etc), kde se nepracuje s citlivýmy daty, je vhodné HTTPS nasadit minimálně z toho důvodu, abych zaručil, že se ke klientovi dostane obsah přesně v takové podobě, v jaké ho server odeslal.
Kdokoli na cestě mezi klientem a serverem může měnit obsah obsahu přenášeného přes HTTP, může měnit text stránky, přidávat reklamy (což je ještě vcelku neškodné), ale také může načítat různé malicious skripty. Jestli nevíš, jaký bordel se dá nadělat javascriptem, tak se podívej na BeEF Project.
Toto je nejzásadnější argument pro HTTPS, který platí pro všechny typy webů. Ostatní argumenty jako jistota, že komunikuji s tím pravým serverem, soukromí a možnost nasazení HTTP2 jsou už jenom takové bonusy.Nasazení HTTPS na vlastním serveru není žádná věda a i méně zdatným adminům by nemělo trvat více než hodinu a to včetně nastudování potřebných informací a získání certifikátu. Pro někoho, kdo už HTTPS nasazoval a hodlá ho nasadit na další web jde o práci na 5 až 10 minut (pokud nemusí řešit problémy s mixed content).
A pokud jde web na hostingu (alespoň u těch slušných hostingových společností), tam by mělo být nasazení HTTPS ještě jednoduší. Buď se provede automaticky nebo jde udělat na pár kliknutí.HTTPS, jak bylo prokázáno, nemá ve většině případů téměř žádný vliv na zatížení serverů a nebo klientských počítaců.
Ponechání defaultně zapnutého HTTP znamená bezpečnostní riziko (SSL Striping, šmírování pomocí HSTS...).
"A důvod proč nenasadit něco, co není potřeba, opravdu potřebuješ?"
Předpokládám, že v rámci domácí sítě používáš telnet, protože SSH pro tebe není potřeba ;-) -
Ano, to všechno je pravda. Ale pan Vopršálek provozující vesnickou hospodu je rád, že mu loni syn jeho sousedky konečně udělal "ty internetový stránky". O https syn určitě slyšel, ale ani ho nenapadne, že by se tím měl zabývat. A i kdyby, tak "ten certifikát, pane Vopršálku, je děsně drahej a celý je to složitý". Děsně drahej = cokoliv nad 0 Kč. Let's Encrypt, o kterém se syn sousedky ještě hodně dlouho nedozví, protože o tom na místní vesnické vývěsce ještě nepsali, navíc vydává certifikáty jen s krátkou platností. A automatické žádosti - vydávání jsou zcela nad možnosti nepočítačovce.
Za vesnickou hospodu si klidně můžeš dosadit většinu malých firem nebo osobních webů. Občas by nebylo špatný sestoupit z IT piedestalu mezi prostý lid.
-
Ještě dodávám, že jsem u mého předchozího zaměstnavatele prosadil HTTPS téměř na všech webech včetně Ačkového hodnocení na https://www.ssllabs.com/ssltest/ a včetně dostupnosti všech webů přes IPv6. U současného zaměstnavatele mě přesvědčování ještě čeká :)
To abych snad nebyl nařčen ze zpátečnictví :)
-
To není IT piedestal, ale rozdíl mezi pitomým fušerem a člověkem, co alespoň trošičku něco ví.
Pokud drop HTTP pomůže zbavit se milionu děravých WP blogísků, které šíří malware, odstřihne od komunikace čínské IOT granáty a další podobný b*rdel, tak jsem pro, protože to reálně nikomu neuškodí a pročistí to dráty.
Ať si http zůstane na localu, tam smysl má.
-
lojzak (neregistrovaný)
@Borek
To se holt musí pan Vopršálek rozmyslet, jestli chce zfušováné stránky od syna jeho sousedky a nebo něco na úrovni.
Nehledě na to, že syn sousedky asi nebude provozovat vlastní webserver, ale hodí to někam na placený hosting. V momentě, kdy bude HTTP v browserech defaultně vypnuté, začnou všechny hostingy automaticky klientům nastavovat HTTPS. -
S Tvými argumenty rozhodně nebudu bojovat, protože dávají smysl, přesto zrušení http je věc, s kterou ještě dlouho nepochodíš. Nehledě na to, že nehezké množství stránek, i přes to, že má https, servíruje spoustu obsahu přes http, takže jsou to takové pseudozabezpečené stránky, které jsou podle mě ještě nebezpečnější, než "plain-text" http stránky.
A ano, telnet používám velmi rád na kontrolu otevřenosti portů, máš s tím nějaký konkrétní problém? :-D
-
Filip JirsákStříbrný podporovatelTak jaký konkrétní důvod v té spoustě článků byl například pro nějaké dokumentační, staticky generované, stránky?
Důvod je jednoduchý. Spousta dnešních útoků na HTTPS spočívá v tom, že uživatele dostanete na HTTP, aniž by si toho všiml. Jediné řešení tohohle problému spočívá v tom, že prohlížeč HTTP vůbec nebude podporovat, nebo při tom bude řvát tak, že to nepůjde přehlédnout. Takže důvod, proč mít na HTTPS nějaké dokumentační staticky generované stránky je ten, že použití HTTPS je normální a není důvod, proč kvůli nějakým dokumentačním staticky generovaným stránkám udržovat nebezpečnou anomálii. -
Nehledě na to, že některé útoky vyžadují například injektování paketů do běžícího spojení, čemuž se šifrováním efektivně zabrání. Stejně jako dalším desítkám útočných vektorů.
