Vlákno názorů k článku
Chrome bude od verze 83 blokovat některá stahování po HTTP od TomasX - A půjde to manuálně odblokovat, nebo o zákazu...

Rozhodně může existovat situace, kdy bude nutné v uzavřeném prostředí HTTP použít. Jen ten výše uvedený příklad mi příliš smysl nedává. Zkuste vymyslet konkrétní situaci, kdy jsem nucen po HTTP stahovat z takto omezeného (embedded) zařízení uvedené typy souborů (exe, zip a podobně).

Tak já neměl na mysli zrovna embedded, ale spíš sloní mašiny, HPC a sálovky, kde jsou různé Unixy a SSL je bez podpory, resp. jen na obtíž, a s takovým železem děláte v enterprise SI skoro výlučně. To je jedno. Primárně se mi prostě nelíbí, že by takovou věc měl browser tvrdě blokovat, když varování umožňuje uživateli obě alternativy.
PS: Já bych Chrome nepoužil ani za nic, takže to je snad jedno. Jen aby se toho zas nechytli všichni. :)

7. 2. 2020, 14:09 editováno autorem komentáře

Zkuste vymyslet konkrétní situaci, kdy jsem nucen po HTTP stahovat z takto omezeného (embedded) zařízení

Spousta lokálních aplikací - intranety, malé i větší systémy, kde je HTTPS k ničemu. Zabezpečení reálně nezvyšuje, ale zavést ho všude je složité. Složité to může být ze spousty důvodů - už jen kvůli certificate enrollmentu, nebo chybějící podpoře SSL (nebo ve staré verzi). Přinese to další náklady na zřízení i na maintenance takových prkotin.

Bohužel, nemůžu se ubránit dojmu, že Google dlouhodobě dělá kroky vedoucí k tomu, že malé firmy usoudí, že levnější, než si něco tvořit a spravovat je přejít do čmoudu. Přitom ale ta nákladnost je vytvořena uměle.

Jenže v takovém prostředí není HTTPS ani na těch strankách a žádný problém nevzniká. Tohle není správný argument.

Zkuste vymyslet kombinaci „web sice zobrazujeme po HTTPS, ale soubory vám ke stažení musíme nabídnout jen po HTTP“. Protože tohle je jediná kombinace, které se tahle zprávička týká.

Zkuste vymyslet kombinaci „web sice zobrazujeme po HTTPS, ale soubory vám ke stažení musíme nabídnout jen po HTTP“. Protože tohle je jediná kombinace, které se tahle zprávička týká.

Přechodová doba a cesta mezi HTTP a HTTPS. Nové systémy často už vznikají na HTTPS by design, ale musí zahrnovat podporu i těch starých.

Podívejte, když začaly prohlížeče blokovat vyskakovací okna, nejdřív byl warning, ale dodnes je zobrazena ikona, pomocí které se dá pro daný web funkce zpět zapnout. Myslím, že některým vadí přístup Googlu v tom, že teď nedává žádnou takovou (rozumně ovladatelnou) možnost. I prastarému flashi dal daleko větší přechodovou možnost.

Myslím, že některým vadí přístup Googlu v tom, že teď nedává žádnou takovou (rozumně ovladatelnou) možnost. I prastarému flashi dal daleko větší přechodovou možnost.
Četl jste zprávičku, pod kterou diskutujete? Jak si vykládáte slovo „postupně“ v druhé větě? Jak si vykládáte tabulku na konci zprávičky?

Vyskakovací okna jsou jen komfort, stahování souborů přes HTTP je bezpečnost. Kdo dokáže posoudit, zda pro něj stahování souboru přes HTTP je nebo není bezpečné, umí si to blokování v prohlížeči vypnout. A pokud jde o nějaký podnikový informační systém, tam to může pro ten systém vypnout správce pomocí politiky.

Kdo dokáže posoudit, zda pro něj stahování souboru přes HTTP je nebo není bezpečné, umí si to blokování v prohlížeči vypnout.

Laik (uživatel) to posoudit nemůže.

Má to posoudit provozovatel webu. Jeho obsah, jeho odpovědnost.
Super by bylo toto chování nastavovat hlavičkami na serveru. Kdyby Google vydával aktualizovaný seznam doporučených nastavení zabezpečení, usnadnilo by to správcům a motivovalo by je to zavádět. Ale i dalo možnost usoudit, co je a co není bezpečné.

Prohlížeč nemůže starost o bezpečnost koncové stanice přenechat v rukou provozovatelů webu. Jeho úkolem je naopak chránit uživatele navzdory problémům jednotlivých serverů.

V současné situaci umožní špatné rozhodnutî správce webu vyměnit při přenosu obsah stahovaného souboru a uživatel to nijak nezjistí. Stránka s HTTPS všechen zobrazovaný obsah získává bezpečným kanálem. Proč by to mělo být u stahování jinak?

Prohlížeč nemůže starost o bezpečnost koncové stanice přenechat v rukou provozovatelů webu. Jeho úkolem je naopak chránit uživatele navzdory problémům jednotlivých serverů.

Historicky je mnohokrát ověřeno, že jakákoliv regulace funguje krátkodobě pozitivně a dlouhodobě negativně. Navíc svádí k tomu regulovat víc a víc, až se ztratí pojem o tom, co je rozumná hranice. Níže Filip píše, že HTTP je minoritní - a to je přesně ten příklad posunutí hranic. HTTP nebylo minoritní do doby, než Google začal HTTPS de facto vynucovat. Vynucený stav ale už v očích některých povýšil na standard.

Prosím uvědomme si, že "standard" není zákon. Standard je jen kodifikace stavu, který už existuje. Účelem standardů není hnát vývoj dopředu, ale pouze pomoc udělat pořádek v určité oblasti.

U Googlu je navíc docela podstatné riziko, že to velkou měrou slouží jejich obchodním zájmům. Google dokáže změřit co děláme, na co se chceme koukat a co poslouchat. A že by ten samý Google neuměl své kroky s Chromem spočítat ve svůj prospěch?

Musím ale uznat, že to mají vymyšlené hlavou. Uživatel chce "bezpečí" (ať už se za tím skrývá cokoliv). Technici, geekové mají technologické novinky rádi a pomáhají je prosadit (jsou to pěkné hračky pro velké kluky - myslím vážně). Bohužel, ti, co to platí (miliony malých firem, podnikatelů, jednotlivců) se k tomu nemají jak vyjádřit, protože v technických otázkách nemohou oponovat.

Historicky je mnohokrát ověřeno, že jakákoliv regulace funguje krátkodobě pozitivně a dlouhodobě negativně.
Třeba s tím, že se na silnicích jezdí vpravo, teď máme velké problémy – a bylo by mnohem lepší, kdyby to bylo neregulované a každý by si jezdil, kudy by chtěl.

Bývá vhodné vycházet z faktů a na jejich základě si udělat názor. Pokud máte nejprve názor, o něj opíráte svá tvrzení a je vám úplně jedno, zda ta vaše tvrzení jdou nebo dojdou dohromady s fakty, je to cesta do pekel.

Laik (uživatel) to posoudit nemůže.
Kdo dokáže posoudit, zda pro něj stahování souboru přes HTTP je nebo není bezpečné, umí si to blokování v prohlížeči vypnout.

Ale to už jsem psal, ne?

Má to posoudit provozovatel webu. Jeho obsah, jeho odpovědnost. Super by bylo toto chování nastavovat hlavičkami na serveru.
A k čemu by to celé bylo dobré? Myslíte, že tím, že někomu dáte tisíce nesmyslných možností, zvětšíte jeho svobodu?

Kdyby Google vydával aktualizovaný seznam doporučených nastavení zabezpečení, usnadnilo by to správcům a motivovalo by je to zavádět.
Třeba by o tom mohli psát na blogu, mohli by mít přehled toho, co se chystá do které verze. Aha, ale to Google má. Akorát že vy to nesledujete, dozvídáte se o změnách až ze zpráviček na Rootu, a pak jste rozhořčen, že vás nikdo neinformoval.

Ale i dalo možnost usoudit, co je a co není bezpečné.
Laik (provozovatel webu) to posoudit nemůže.

> Spousta lokálních aplikací - intranety, malé i větší systémy, kde je HTTPS k ničemu.

To může za určitých podmínek platit zhruba do chvíle, kdy všichni používají výhradně ethernet nebo vyjmenované a dobře zabezpečené Wi-Fi. Jakmile se jednou třeba na služební cestě ve vlaku připojíte na Wi-Fi poskytovatele, může se to snadno sesypat. Vizte cache poisoning a Wi-Fi Pineapple.

A taky to předpokládá dobře zabezpečenou samotnou síť. Od fyzické bezpečnosti, přes ochranu proti útokům jako ARP poisoning, až po dobře zabezpečené síťové prvky (s dobrým heslem/klíčem admina a aktualizovaným firmwarem).

Neříkám, že se nikde nemohou potkat různé zmiňované podmínky, aby HTTPS bylo fakt k ničemu. Ale IMHO mnohem častěji půjde o podcenění rizik.

Pokud se na služební cestě připojím na Wi-Fi poskytovatele, tak se samozřejmě do interní firemní sítě nepřipojím, pouze přes VPN.

L.: Nepřipojíte se úspěšně do firemní sítě. Ale jste si jist, že když se vám nepodaří navázat VPN spojení, nebo v průběhu práce vypadne, že nemohou data uniknout mimo VPN?