Hlavní navigace

Názor ke zprávičce Chrome bude od verze 83 blokovat některá stahování po HTTP od Filip Jirsák - Ten odkaz na HTTPS se vezme kde? Na...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 7. 2. 2020 20:01

    Filip Jirsák

    Ten odkaz na HTTPS se vezme kde? Na stránce servírované přes HTTP, kterou útočník může změnit? Dostat se pomocí překlepu v doméně na web útočníka je poněkud méně pravděpodobné, než zadání správné adresy, nemyslíte? Netuším, jak to souvisí s cookies. Pokud útočník může ovládnout web, protože může kvůli HTTP manipulovat s obsahem, může třeba získat takovou maličkost, jako přihlašovací údaje uživatele. Pořád je to nezajímavý útok?

    Odkazy bez protokolu se na odkazování na jiné weby prakticky nepoužívají. Navíc máte spoustu odkazů s protokolem HTTP – to ten váš návrh nijak neřeší.

    Příklad s nějakým zařízením, které je dostupné jen přes HTTP, nebo přes nějaké staré HTTPS, se objevuje snad v každé diskusi. A mne už nějak nebaví předstírat, že je to rozumný protiargument. Takže budu upřímný – to, co píšete, je hodně hloupé. Ohrožovat miliardy uživatelů, miliony webových stránek a aplikací, internetová bankovnictví, platební brány, webové e-maily, souborová úložiště a další a další jenom pro to, že by si nějaký administrátor musel pro ovládání nějakého zařízení nainstalovat speciální software – nějakou starou verzi prohlížeče, který by používal jen pro správu toho jednoho zařízení, případně SSL proxy? Opravdu myslíte takovou hloupost vážně? Jaké bude vaše další bezpečnostní opatření? Třeba by banka mohla nechávat otevřený trezor, protože to tam má blízko uklízečka a hodilo by se jí tam nechávat kýbl s hadrem, ne? To je tak na stejné úrovni, jako ten váš argument. Správce by musel pro správu drahého důležitého zařízení minimalizovat prohlížeč, kde čte iDnes, a spustit speciální aplikaci – to po něm přece nemůže nikdo chtít…