Vlákno názorů k článku
Chrome opět přitáhne šrouby nezabezpečenému HTTP
od sartori - No tak proste kvuli "vyssi bezpecnosti" proste nebudeme...
-
sartori (neregistrovaný)
No tak proste kvuli "vyssi bezpecnosti" proste nebudeme upgradovat browsery, protoze se z nich stanou naprosto nepouzitelne (ale bezpecne) kousky softu do vitriny.
Uz to tak mam ted... tihle dobroseri proste nejsou ochotni pochopit, ze ve sve privatni siti mam spolehlive krabicky se zmrsenym ssl a ze se na ne proste potrebuju dostat. -
lojzak (neregistrovaný)
@sartori
A proč ty krabičky se zmršeným SSL kupuješ? Už před 10 až 15 lety existovaly šifrovací sady, které dodnes vyhovují bezpečnostním standardům a ještě dlouho budou.
Domněnka o bezpečnosti privátní sítě může být jen iluze.
Ty chceš kvůli svým zmršeným krabičkám, které sis vlastní blbostí koupil, ohrožovat ostatní uživatele browserů. To je trochu sobecké.
Když se ti nelíbí směřování současných browserů, udělej si vlastní. -
muf (neregistrovaný)
On nechce omezovat ničí bezpečnost a zcela jistě https sám používá, tam, kde je to nutné anebo tam, kde prostě nechce poskytovat možnost někomu číst co si zrovna prohlíží.
Úplně by mu stačila možnost stupidní "bezpečné" chování browseru vypnout nebo vyřadit pro vyjmenovanou množinu adres. Komunikace s IP adresou domácího skleníku je pro něj jistě bezpečná a nevidí důvod tam nasazovat Jirsákův vynález v podobě proxy několikrát komplexnější než třeba to Arduino. Nejde ani tak o Arduino. S implementací SSL/TLS budete mít potíže třeba i na slabších 32bitových ARM Cortexech M...Dobroserové prostě potřebují své představy vnutit lidem mnohdy i hrubým nátlakem. Zdaleka to neplatí jen v IT - tam je to vlastně(narozdíl od politiky) docela legrace, jak tak Jirsáka pozoruju :-)
-
lojzak (neregistrovaný)
@muf
Pokud někdo trvá na zachování HTTP v browserech, tak tím ostatní vystavuje rizikům s tím spojeným (SSL Stripping).
HTTPS je nutné vždy, i tehdy, když nepracuji s citlivými údaji. Omezí se tak riziko, že útočník injektuje škodlivý kód.
"Komunikace s IP adresou domácího skleníku je pro něj jistě bezpečná a nevidí důvod tam nasazovat Jirsákův vynález v podobě proxy několikrát komplexnější než třeba to Arduino."
Ano, tam tě to možná netankuje, ale jakmile připustíš, aby HTTP v browserech zůstalo, vystavuješ sebe a ostatní riziku SSL Strippingu."Dobroserové prostě potřebují své představy vnutit lidem mnohdy i hrubým nátlakem."
Dobroser je člověk, co má jiný názor než ty. -
muf (neregistrovaný)
Bože to je nadělení. Na to máte nějaká politická školení? To snad ne...
I když připustím, že bych mohl v browseru defaultně http zakázat, pořád v něm může být povolitelné pro uživatelem definovaný set adres. Mně by stačilo mít tu možnost přes about:config.
Prostě to nechce podléhat davové hysterii a módním vlnám a trochu myslet. -
Lol Phirae (neregistrovaný)
To je dílo, co? Každopádně archivuji průběžně portable verze prohlížečů, je zjevné, že je bude nezbytné distribuovat s hardwarem, protože kvůli podobným dobroserům během roku nezůstane kámen na kameni. Ono i certifikáty, které ve skutečnosti žádný bezpečnostní problém nepředstavují, je nutné znefunkčnit a dobrosersky zahláškovat a znepřístupnit, například takto:
Subject Alternative Name Missing
The certificate for this site does not contain a Subject Alternative Name extension containing a domain name or IP address.
-
lojzak (neregistrovaný)
"co je "správně", už zase za půl roku správně nebude, protože invence dobroserů je nekonečná."
TLS 1.0 definováno v lednu 1999. SHA-2 definováno v roce 2001. AES jako standard prohlášeno v květnu 2002. 2048 bitové RSA klíče se používají už hodně dlouhou dobu.
Přitom taková konfigurace vystačí na spoustu let dopředu (dle různých doporučení).
Laskavě přestaň lhát o tom, že co půlrok se všechno mění.
-
Filip JirsákStříbrný podporovatelTelnet jsme již vyřešili. Nikdo nic nezaříznul, stále lze bez problémů nainstalovat.
Telnet? Během chvíle jej tam mám, pokud jej potřebuji. A o to jde.
Tak co tady řešíte?wgetjde pořád nainstalovat a nikdo vám jej nebere. -
j (neregistrovaný)
2muf: To nejde, v about:config by to to mohlo zmast, a proto je treba tu moznost odstranit ... zlatej palemoon. Protoze tohle obratem (do 2-3 mesicu) okopiruje samosebou i chrofox.
Je to presne totez, jako ze je trebas (samo pro tvoji bezpecnost) zakazat "nebezpecny" sifrovani, protoze je precen lepsi, kdyz s tou krabkou ... nebudes projistotu komunikovat vubec nijak (protoze nasledne ti zakazme i to http).
A uvedom si, ze krabek ktery nebudou podporovat aktualne nejfrikulinstejsi variantu sifrovani, bude jen cim dal vic. I pres vsemozny kurvitka je totiz jejich globalni zivotnost v desitkach let. Vem si, ze http se ve vetsim meritku pouziva rekneme smesnych 15 let ... tzn behem zivotnosti libovolny krabky dojde se 100% jistotou k tomu, ze veskery podporovany algoritmy budou oznaceny za nebezpecny ...
-
sartori (neregistrovaný)
@lojzak: Nevim v jakem prostredi se pohybujes, ale pred 15 lety nebylo ve zvyku sifrovat, byly pevne zadratovany jednoduchy loginy/hesla, pouzival se telnet, snmpv1 a podobne. Ta setrvacnost je obrovska, spousta takovych zarizeni funguje dodnes a nikdo je nebude na svy naklady menit, i kdyz se security kiddies budou stavet treba na hlavu a odstrkovat usima.
Jako ono pri soucasne tendenci cpat do browseru vsechno vcetne seceni travy na zahrade a vareni kafe si o nejake bezpecnosti stejne muzeme nechat jen zdat. Sorry. Jako. -
Petr M (neregistrovaný)
Historie - nechat dožít, dokud to zvládají (nejenom výkonově a spotřebou, ale i bezpečností - kotel, výtah,... je potřeba taky vyměnit nebo opravit, pokud neprojde revizí).
15 let je dost na to, aby se soho krabky vyměnily, v té době byl ještě běžný Ethernet po koaxu a pomalu s šilhalo po ISDN. Takže ze setrvačnosti bych měl mít ještě modem 14,4kbps? A je to, že se to tehdy dělalo jinak, abych měl natvrdo zadrátovaný heslo a http na půl roku staré krabičce s optikou? Asi ne, co...
A na nových věcech není problém to udělat tak, jak se to dělá. Dát do auta motor, ne před auto čtyřnohý zvíře. Sorry jako. A pokud je tendence používat protokol, který je určený na něco jinýho a bez ohybání ho nejde použít, tak podruhý sorry. Na management i na přenos dat jsou určený úplně jiný protokoly, než http/https.
-
sartori (neregistrovaný)
Nebavim se o SOHO krabickach za par korun, tam to skutecne problem neni. Ja se bavim o krabickach v cene desitek tisic dolaru. Ty nikdo vyhazovat nebude. Vhodne prirovnani - mam Mercedes a resim jestli ma byt volant cervenej (https/sslv3) nebo zelenej (tls). Na funkci to nema vliv.
Jo a http neni urceny pro management? Aha? Rekl to nekdo treba takovemu VMware?
A http neni urceny na prenos dat? A rekl to nekdo takove Debian Foundation?
-
lojzak (neregistrovaný)
Před krabici za desítky tisíc dolarů se je možné dát nějaký industrial PC v ceně stovek dolarů jako proxy. V čem je problém?
Nebo ti snad přijde normální provozovat tak drahou krabici na nebezpečném protokolu? A přijde ti normální, že k tak drahé krabici nemáś odpovídající podporu, která by měla být schopná vyměnit děravé SSL za TLS?
-
Filip JirsákStříbrný podporovatel
Když máte krabičky v ceně desítek tisíc dolarů, snad není takový problém dát před ně HTTPS proxy, když je chcete spravovat z webového prohlížeče ve své pracovní stanici, a nebo naopak vyhradit nějaké zařízení s potřebným softwarem pro správu těchhle zařízení.
-
Tak jeden by řekl, že když máte na krabičky za pár tisíc $, tak už vás nějaký support nerozhodí.
Tohle je prostě fascinující. To, že si někdo koupí krabičku za pár korun (doslova), která je zmršená od počátku do konce bych ještě pochopil. Taky jich mám pár doma (na hraní) a ne, rozhodně k vůli tomu nechci měnit prohlížeče, protože vím, že ty krabičky jsou prostě zmršené.
Na produkční "krabičky" si už ale dávám pozor. Takže třeba kupodivu nemám žádný problém s krabičkami, kterým táhne na 11 rok, jsou pro ně stále updaty a nemá to problém ani s aktuálním https. Prostě to někdo udělal dobře a někomu na tom záleželo.
U krabiček za ceny v desítkách tisíc dolarů jaksi předpokládám jistou znalost situace a jistý odborný přístup k věci. Jinými slovy, pokud máte problém s krabičkami za tyto peníze, tak jste někde něco zanedbali.
Nehledě na to, že zrovna za tyhle peníze si klidně můžete najmout proga a nechat si ten http prohlížeč splácat z existujících komponent. To šlo i v Delphi (blahé paměti).
-
Vhodne prirovnani - mam Mercedes a resim jestli ma byt volant cervenej (https/sslv3) nebo zelenej (tls). Na funkci to nema vliv.
Nemá? sslv3 je prolomené, tzn v automobilovém přirovnání je to jako kdyby někdo postavil silnici se zatáčkami, na které ten volat prostě nebude fungovat a ty vždy vyletíš z cesty. Já bych si tedy takový volant nechat opravit.
Jo a http neni urceny pro management? Aha? Rekl to nekdo treba takovemu VMware?
A suprově dobře se to používá. Najít prohlížeč, kde to funguje, je umění samo o sobě. Potom to stejně funguje blbě, protože prohlížeč prostě není nativní aplikace. Nedá se tomu do virtuální konzole poslat ani
ctrl+ca když jsem minule chtěl poslatctrl+w, tak mi to pro jistotu zavřelo celý tab (protože kromě toho, že je to zkratka v shellu, tak je to zkratka i toho prohlížeče). Geniální řešení.Ještě že stále funguje tlustý klient, alespoň pro virtuální konzoli.
