Názory k článku
Chrome začne blokovat nahrávání nešifrovaného obsahu na webech načtených po HTTPS

Na odkazovane strance je v chrome 79 "zamecek" v pohode, protoze:

curl -I http://mixed.badssl.com/image.jpg
HTTP/1.1 301 Moved Permanently
Server: nginx/1.10.3 (Ubuntu)
Date: Fri, 04 Oct 2019 06:47:59 GMT
Content-Type: text/html
Content-Length: 194
Connection: keep-alive
Location: https://mixed.badssl.com/image.jpg

4. 10. 2019, 08:52 editováno autorem komentáře

Není tam zámeček, je tam jen „i“ v kroužku. Je jedno, že se ten objekt sám později přesměrovává na HTTPS, důležité je, že ta stránka je ochotna ho načíst po HTTP. Tím pádem je tam prostor pro útok, protože na síti můžu to přesměrování zamlčet a poslat po HTTP jiný obrázek.

https://imgur.com/TtOAzJW

Podle network tabu se chrome http variantu ani nepokusí načíst a jeho první pokus je ihned na https, kde je odpověď 200 a je s tím spokojený.

Což je teda "fajn", když prohlížeč nerespektuje kód webu a dělá vlastní rozhodnutí, co načítat a co ne.

https://chromium.googlesource.com/chromium/src/+/master/docs/security/autoupgrade-mixed.md

4. 10. 2019, 12:28 editováno autorem komentáře

Tohle ale není standardní chování. Chrome i Firefox mi na všech počítačích správně ukáží chybu mixed-content a o žádnou úpravu na vlastní pěst se nepokoušejí.

Na tom odkaze je napsáno „for users who are part of the experiment“. Takže jste součástí nějakého experimentu v Chromiu, který ale rozhodně neodráží všeobecné chování.

U jakého obsahu to ukazuje chybu? Mně v chrome a v chromiu fungují http obrázky bez varování.

HTTP hlavicky umoznuji vynutit HTTPS u HTTP zdroju(pokud je podporovano) i kdyz HTML obsahuje HTTP.
Content-Security-Policy: upgrade-insecure-requests
nebo
Content-Security-Policy: block-all-mixed-content Zablokuje HTTP zdroje

Zdroj: @spazef0rze

Já vám nevím. Mně tyhle opatření připadají jako rafinovaný způsob, jak vyřadit z trhu malé hráče.
Tuto funkcionalitu řeší CSP a mělo by být na poskytovateli obsahu, aby byl odpovědný za správné (ne)nastavení.

Google (nebo jiní) si usmyslí, jak to vyhovuje jemu (a mimochodem, díky tomu je dopředu připraven!), a ostatním to naordinuje. No ifs, no buts. Svoje rozhodnutí pečlivě zabalí do pláštíku bezpečnosti, aby mu lidi ještě zatleskali. Ve skutečnosti se tím zablokuje jakoukoliv možnost rozmanitého vývoje.

Malí vychcípají, protože usledovat a ustíhat tyto "zlepšení", že jich je, není snadné.

Jste trošku mimo:

1) "mělo by být na poskytovateli obsahu, aby byl odpovědný za správné (ne)nastavení" - takže jdete na web se správným HTTPS, ale protože někdo je alternativně inteligentní, tak se vám pěkně do prohlížeče může vloudit podvržený obsah a vy s tím nejnže nemůžete nic dělat, ale ani se to nedozvíte

2) "Google (nebo jiní) si usmyslí,... Ve skutečnosti se tím zablokuje jakoukoliv možnost rozmanitého vývoje." A to jak jako? Copak udělat web na HTTPS je nějaký problém?

3) "Malí vychcípají, protože..." Myslíte malé, jako lidovky.cz? Vy se tváříte, jakoby HTTPS bylo vynalezeno včera a certifikát stál tisíce za měsíc.

4. 10. 2019, 10:46 editováno autorem komentáře

Ty lidovky.cz - tam už je zřejmě ten Google, co si něco usmyslí, donutil. Ještě velmi nedávno to bylo tak, že přes HTTPS jste dostal mixed content (a bylo-li to zakázáno, tak nic) a přes HTTP se i přihlašovací údaje odesílaly takto, tedy v otevřené podobě.

Za mě tedy, ať je Google donutí, protože nikdo jiný to nedokáže.

4. 10. 2019, 10:53 editováno autorem komentáře

takže jdete na web se správným HTTPS, ale protože někdo je alternativně inteligentní, tak se vám pěkně do prohlížeče může vloudit podvržený obsah a vy s tím nejnže nemůžete nic dělat, ale ani se to nedozvíte

Myslím, že tohle je o vztahu dvou subjektů. Uživatele, který si může a musí vybrat důvěryhodné partnery se kterými komunikuje (otevírá web). A o tom partnerovi, aby si zasloužil být důvěryhodný.

Pokud někdo udělá bezpečnostní problém, měli by ho vytrestat uživatelé nepřízní. Ne ale Google a ještě k tomu preventivně.

Vy se tváříte, jakoby HTTPS bylo vynalezeno včera a certifikát stál tisíce za měsíc.

Divil byste se, ale zákazníci jsou překvapení, jak moc rostou náklady na IT, ačkoliv službu odvádí pořád stejnou.

"Myslím, že tohle je o vztahu dvou subjektů. Uživatele, který si může a musí vybrat důvěryhodné partnery se kterými komunikuje (otevírá web). A o tom partnerovi, aby si zasloužil být důvěryhodný."
Vylezte ze své slonovinové věže.
Jak z URL poznáte, že je to důvěryhodný partner?
Nijak.
To budete chodit jen na weby prověřených důvěryhodných partnerů? Kdo je prověří? Kdo je prověří při jednom každém použití (protože co když se to od včerejška změnilo, že)?
Mixed-content je už dost dlouho označován jako nevhodný, tak je načase těm, kteří na nevhodnost kašlou (funguje to? tak to nech) důrazně připomenout, že takto už ne.

"Divil byste se, ale zákazníci jsou překvapení, jak moc rostou náklady na IT, ačkoliv službu odvádí pořád stejnou."
Divil byste se, jak moc rostou náklady na potraviny, ačkoliv jídlo je z nich pořád stejné.

Divil byste se, jak moc rostou náklady na potraviny, ačkoliv jídlo je z nich pořád stejné.

Patrně to bude kvůli tomu, že už ani slepice nesmí vyprdnout nezabezpečené vejce. Nedivil bych se.

nastavení a obnova Let's encrypt je trivialita i pro člověka co to nikdy nedělal.

Vazne? Pro server na verejnem netu s trvalym pripojenim na podporovanem OS jiste.
Jenze pak tu mame servery bez pristupu z verejne site (coz se prakticky resi napriklad na intranetu vlastni CA). Nebo konfiguracni a diagnosticke embedded zarizeni (kde neni typicky ani domena a resi to self-signed certifikatem, na ktery ovsem browser mohutne nadava, protoze vlaste o zadne zabezpeceni nejde).
Prikladu je cela rada, jenze pristup "me to nevadi" povede na zakazani HTTP v defaultni distribuci browseru. Bez ohledu na to, ze se nektere veci pouzivaji jinak, nez bych si predstavoval (protoze to podle te predstavy z nejakeho duvodu nejde)

> Myslím, že tohle je o vztahu dvou subjektů. Uživatele, který si může a musí vybrat důvěryhodné partnery se kterými komunikuje (otevírá web). A o tom partnerovi, aby si zasloužil být důvěryhodný.

Uživatel si taky zvolil nějaký prohlížeč, a to dobrovolně. Ten prohlížeč má nějaké vlastnosti a snaží se uživateli poskytnout nějakou ochranu.

A když si dostatečné množství lidí zvolí nějaký prohlížeč, může to holt donutit autory webů se nějak zachovat.

Můžete namítnout, že uživatelé nejsou dostatečně kvalifikovaní ke správné volbě prohlížeče. Ale jsou dostatečně kvalifikovaní k výběru vhodného serveru?

Souhlasim - posledni dobou mam taky ten dojem, ze velci hraci v IT, jako napriklad Google se snazi prosazovat svoje zajmy pod plastikem bezpecnosti. Vcetne cimdal vetsiho znepristupnovani struktur aplikaci i pred samotnym uzivatelem.

Ono to je dost pomerne efektivni vymluva, kdyz jsou lide vystresovani a paranoidni strasenim ze vsech stran a navic jeste prusery s Meltdown a Spectrou. Je to smutne, ale asi se proti tomu neda moc bojovat... :(

Ale jasně, nechte si pomocí mixed-content injektovat nebo nežádoucí prvky třeba od ISP. A HTTPS taky pokud možno nepoužívejte, je to přece na obyčejném webu zbytečné - ale pak se nedivte:
https://forum.root.cz/index.php?topic=21916.0

Já bych se nedivil. Já bych se proti O2 bránil právně. To je rozhodně správnější cesta než dělat technická opatření. Historie ukazuje, že tím, jak se zvyšují opatření, tak tím roste i intenzita těch protichůdných tlaků.

Ne to jsem nepsal.

Zvlastni, ze zrovna Google se stara o moji bezpecnost. Rekl bych ze se sluzbami Google jsem dost provazany, takze taky vim proc mu neduveruji a vubec se mi nelibi, ze zrovna tenhle moloch se stavi do pozice hlidaciho psa internetu. Google neni zadna matka Tereza. Je to korporat jak krava, a ten zajimaji prtedevsim a v prve rade jeho vlastni zajmy.

Nekteri lide slysi slovo "bezpecnost", ci "riziko" a prestavaji totalne uvazovat. A bohuzel to se tyka nejvice profesionalu, kteri potom (zbytecne?) desi dalsi uzivatele dole.

Takze, dneska Google bude dikovat jake protokoly a jake bezpecnosti prvky se maji pouzivat na webu, zitra bude diktovat, ktere weby muzou vubec existovat. Dost na tom, ze v podstate uz ted dost ovlivnuje web napr pres vyhledavac. Vse samozrejme pro moji bezpecnost - my uzivatele internetu jsme nesvepravni pitomci, kteri potrebuji strycka Googleho, aby nam nadiktoval co je a neni pro nas to spravne :(

Tohle maji delat nezavisle organizace.

A ty nezávislé organizace mají určovat, jaké protokoly má Chrome implementovat nebo jaké weby nemají existovat ;-)

i malý hráč může s nulovými náklady fungovat na https.

S nulovymi naklady v pripade ze je prace zadarmo... coz neni...

Jak jsem psal výše, v mém případě to vždy bylo téměř bezpracné. Možná je to jinde jinak. Pokud nechcete nic nestandardního, není důvod, aby to nešlo automatizovat.

4. 10. 2019, 15:46 editováno autorem komentáře

Jo? Tak povídejte, jak dostat Let's encrypt třeba do management konzolí serverů (iLO a pod.)
Rád se přiučím.

Moderní a dobře udělaná aplikace a webhosting aut-of box.

No, i když ten krok je sám o sobě správný (nechme teď stranou CSP, protože jeho nastavení vyžaduje příčetného správce), trochu se bojím, že se salámově dostaneme k úplnému zákazu HTTP provozu...

nechme teď stranou CSP, protože jeho nastavení vyžaduje příčetného správce

Já bych to nenechával stranou. Kdo si vybere jakého správce a jakou úroveň, je jeho věc. Nutit změny mi přijde, jako kdybychom nutili všechny řidiče vyměnit automobily starší pěti let - protože už nejsou tak bezpečné, jako současné. Mělo by to stejnou logiku - veřejné blaho.

Byla jen otázka času, kdy to zakáží. Firefox už nějaký čas zobrazuje varování.

Jak to bude s URI odkazy, které spouští aplikace pomocí URI handlers? Takový odkaz je dnes na https stránce označen za mixed-content, i když nic dalšího z webu nenačítá...