Hlavní navigace

Názor ke zprávičce Chrome bude od verze 83 blokovat některá stahování po HTTP od J ouda - Nepůjde. Půjde tam nejspíš přes odkaz - https....

  • Aktualita je stará, nové názory již nelze přidávat.
  • 7. 2. 2020 19:33

    J ouda (neregistrovaný) ---.jirkan.cz

    Nepůjde. Půjde tam nejspíš přes odkaz - https. Nebo tam půjde přes HTTP, a dobře motivovaný útočník po cestě mu tam podvrhne cokoli. Protože je to evidentně první přístup, nemá ta stránka evidentně nic povoleného - nic horšího než když se překlepne v hostname a jde to rovnou na falešný web útočníka (který navíc bude mít platný letsencrypt certifikát, takže z deště pod okap).
    Mimochodem tohle je řešitelné triviálně tak, že odkaz bez protokolu se automaticky bez http fallbacku doplní na https. A rozbije to mnohem méně věcí.
    Nebo snad mi (bez platné session cookiny) něco podhodí na ten https web? Tam bych opravdu chtěl vidět praktický útok, pokud ten https web nemá mnohem horší problém.

    Naopak purismus, který tu propagujete vede k průseru mnohem závažnějšímu. Mám appliance, pod supportem, aktualizované, ne úplně zadarmo. Když se něco zblbne, je poslední možností factory reset, což je obnova původní image. Pak se pustí (webovej) first time config wizard, následně se to zaktualizuje a znovu přihodí do clusteru.
    Jenže aby se ten wizard pustil, tak je potřeba mít na admin stanici nainstalovaný několik let starý browser, který si poradí i s RC4 a SSLv3, jen proto že moderní browsery jsou tak puritánské, že už nejdou použít ani s silným hrabáním do configu. Takže místo celkem malého rizika možnosti downgradu na slabou šifru tu máme najednou riziko kriticky zranitelného browseru, navíc s docela zajímavým přístupem do security zón, kam se normální opatchovanej browser nedostane. A kde je bezpečnost teď?