Hlavní navigace

Názor ke zprávičce Chrome bude od verze 83 blokovat některá stahování po HTTP od Filip Jirsák - Pokud by tato funkce byla ovládána headerem ze...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 8. 2. 2020 21:37

    Filip Jirsák

    Pokud by tato funkce byla ovládána headerem ze serveru, splnilo by to stejný účel.
    Jasně, prohlížeč by se k tomu zařízení připojil přes TLS 1.3, zařízení by spojení přijalo a odpovědělo by hlavičkou „já jsem si vlastně vzpomnělo, že TLS 1.3 vůbec neumím, vracíme se k SSLv3, OK?“ Pane, vy jste hlava!

    Kritika zaznívá na způsob, jakým je to od Googlu vynucováno, s ohledem na to, že existují i jiné rozumné alternativy.
    Není to vnucováno Googlem. teď nevím, zda rozumnou alternativou myslíte to, že zařízení bude podporovat nejnovější HTTPS, pak si vzpomene, že to vlastně neumí a tím nejnovějším HTTPS pošle hlavičku, že je potřeba udělat downgrade. Nebo zda rozumnou alternativou myslíte spíš to, že se prohlížeč nejprve připojí přes SSLv2, server odpoví hlavičkou „já ale umím i TLS 1.3“, kterou útočník smaže a dál budou vesele komunikovat přes SSLv2 pod dohledem útočníka. Mimochodem, myslel jsem, že přesně tohle (tedy že bezpečnější kanál je jen volitelný a útočník může jeho volbu potlačit) kritizujete na SMTP.

    Rozumná alternativa je, že když máte zařízení, které umí jen nějakou starou verzi SSL/TLS, dáte před něj proxy, která bude do světa komunikovat bezpečným protokolem a s tím zařízením bude komunikovat protokolem, kterému to zařízení rozumí. A zakážete přístup k tomu zařízení z čehokoli jiného, než z toho proxy serveru. Na proxy pak můžete udělat pořádnou autentizaci, audit apod. Tohle je bezpečné řešení, ne to, že povolíte SSLv3 ve všech prohlížečích.

    To pochopitelně vede k úvahám, proč Google zvolil takto drsný způsob.
    Problém není v těch úvahách, problém je v tom, že ty úvahy stavějí na nesmyslech.