Hlavní navigace

Chrome umožní geolokaci jen při použití HTTPS

Sdílet

Roman Bořánek 27. 1. 2016

Prohlížeč Chrome pokračuje v prosazování HTTPS. Jak odhalil vývojář Joel Weinberger na Twitteru, prohlížeč už nesdělí geolokační údaje stránkám, které komunikují nešifrovaně – tedy obyčejně přes HTTP. Jedná se o jednu z prvních funkcí dostupných výhradně přes HTTPS, ale rozhodně ne poslední. Brzy by měly následovat další.

Webové stránky už geolokační API používají poměrně často, takže je změna může nemile zaskočit. Změna však proběhne až v kulaté padesáté verzi. Ta vyjde cca za tři měsíce, takže nějaký čas na adaptaci tu je. Omezení se logicky bude týkat i prohlížeče Chromium. Zda změnu přijmou i další prohlížeče, které z Chromia vycházejí, zatím není známo.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 27. 1. 2016 14:03

    pistelak (neregistrovaný) ---.ipv6.broadband.iol.cz

    Zalezi na tom o jake certifikaty pujde. Pokud s nizkou validaci nebo snad i self signed tak je to k prdu.

  • 27. 1. 2016 19:36

    mc (neregistrovaný) ---.compute-1.amazonaws.com

    Co webove aplikace, kde serverova cast je na localhost? Taky nepujde http? A jde v tomto pripade vubec realizovat duveryhodne https? Kam jsme se to dostali...

  • 27. 1. 2016 21:28

    Filip Jirsák

    Důvěryhodné HTTPS na localhostu samozřejmě realizovat jde, úplně stejně, jako u kterékoli jiné domény – buď si zařadíte mezi důvěryhodné certifikáty přímo serverová certifikát, a nebo certifikát certifikační autority, která vystavila pro web certifikát (což samozřejmě bude nějaká interní autorita, protože žádná autorita s rozumnou certifikační politikou pro globální použití nemůže vystavit certifikát pro localhost).

  • 28. 1. 2016 11:05

    mc (neregistrovaný) ---.infrared.cz

    Jsem rád, že to Chrome umožňuje - což neznamená, že to bude umožňovat zítra...

    Jistě však uznáte, že provozovat https s localhost je prostě nesmyslné plýtvání výkonem a to hned 2x (serverová i klientská část jsou na jednom stroji). Navíc já uvedené provozuji na Androidu, kde zařízení neplýtvání výkonem potřebuje.

  • 28. 1. 2016 11:30

    Filip Jirsák

    Jsem rád, že to Chrome umožňuje - což neznamená, že to bude umožňovat zítra...
    To naštěstí nikomu nevadí, protože lidé s tímhle postojem ani neopustili jeskyně, natož aby používali počítače a na nich Chrome.

    Navíc já uvedené provozuji na Androidu, kde zařízení neplýtvání výkonem potřebuje
    Pokud vám tak jde o výkon, nepouštějte na tom zařízení zbytečný server…

  • 28. 1. 2016 16:43

    mc (neregistrovaný) ---.infrared.cz

    Tak někomu to vadí - jsem to minimálně já (tedy tvrzení nikomu to nevadí je chybné).

    Povolovat některé věci jen u nějakého protokolu je politikaření. A žel v prohlížečích je toho politikaření již moc a třeba některé takové politikaření v budoucnu bude vadit i Vám. Odhaduji, že tahle politická vymoženost povede spíše k naboptnání kódu...

    Jde mi o výkon a efektivitu. Ten server je důležitý a funguje pod Linuxem, pod Androidem i pod Windows... Může běžet přímo na tom zařízení, kde je i klient a pak je dle mne výhodné http a nebo může běžet jinde než je klient a tam je nutné https.

    Z Vaší reakce odhaduji, že Vám by se líbilo, kdyby i jednotlivé služby systému se bavily šifrovaně. Prostě například localhost je asi pro Vás nesmysl.

  • 29. 1. 2016 17:20

    Filip Jirsák

    Vám možná nevadí sdělovat údaje o své poloze, většině lidí to ale vadí. Proto se prohlížeče před sdělením polohy dotazují uživatele – a je nesmysl ten údaj nejdřív takhle chránit, a pak jej kvůli HTTP vytroubit do světa.

    Narážel jsem na vaše tvrzení, že by se někdy v budoucnosti mohl prohlížeč k localhostu přes HTTPS chovat jinak, než k jiným serverům, a že to je problém dnes. Pokud uvažujete takhle, měl byste být konzistentní, a kritizovat už samotný vznik počítačů – protože to vedlo k tomu, že vznikly webové prohlížeče, HTTPS, geolokace a to vše okolo. Zkrátka ten argument „dnes se to neděje, ale v budoucnosti by mohlo“, je úplně nesmyslný, a můžete jím odsoudit naprosto cokoli.

    Pokud vám jde o výkon, nespouštějte na tom zařízení samostatný webový server. Pokud vám spuštění webového serveru nevadí, nemůže vám z pohledu výkonu vadit ani HTTPS, protože to šifrování sebere zlomek výkonu oproti tomu serveru.

    Zrovna v tom vašem příkladě by bylo rozumné, aby se ty služby v systému bavily šifrovaně. Protože takhle stačí, aby na příslušném portu spustil web server někdo jiný, a vaše aplikace mu s radostí předá geolokační údaje.