Hlavní navigace

Názor ke zprávičce Chrome zkrátí životnost cookies doručených po HTTP od Miroslav Šilhavý - Hezké odpoledne všem. Odpovím souhrnně na to, co...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 14. 4. 2018 19:24

    Miroslav Šilhavý

    Hezké odpoledne všem. Odpovím souhrnně na to, co jste všichni psali.

    @Kate: Děkuji za dobré argumenty. Myslím, že bych Vám ale měl vysvětlit, jak jsem své komentáře myslel. Nemyslel jsem je tak, že by někdo měl diktovat Googlu (či komukoliv jinému), co smí, nebo co má dělat. Chtěl jsem jen upozornit na to, že je zde nekriticky aplaudováno, že Google (or whoever) dělá tyto a podobné kroky. Co se na jedné straně zdá pozitivní, nemusí vidět všichni stejně. Tato protiváha mi v populárně-odborných článcích chybí a ty články pak spíš vypadají, jako tlumočení tiskové zprávy, než jako reportáž odborného redaktora.

    @Filip: S Vámi nesouhlasím, že když je něco bezplatné, že je to zadarmo. Není. Zadavatel webu - firma, podnikatel, (...), tuto práci zadávají odborníkům. Odborníkem může být buďto profesionální firma, nebo i "týpek od vedle", který s tím pomůže. Ani jeden to nebude dělat z altruismu, většinou spíš za peníze či protislužbu. Zavádění každé technologie provázejí problémy. Ty problémy opět stojí peníze - např. formou času, který tím stráví, nebo formou přímo plateb odborníkům, kteří se problému věnují. Také existují hostéři, kteří nemají LE implementovaný - takže pro zákazníka to opět znamená problémy, náklady. CPU cyklů je při šifrovaném spojení také víc, než při servírování prostého obsahu. Vím, že si o zasažených zákaznících myslíte, že je to daň za to, že si to zbastlili. Budiž, může to tak být. Ale neumenšuje to problémy v nastalé situaci. Když Vám zdechne auto, také nebude první Vaše reakce, že nadšeně zavoláte do autoservisu s tím, že už se těšíte na to, vynaložit peníze do té Vaší plechovky. Budete spíš naštvaný.

    K článku je tedy můj komentář hlavně o tom, že ne všichni si myslí, že tyto kroky vedou ke světlým zítřkům. Z technického pohledu patrně ano. Ale všichni také musíme jíst, a možná je někomu milejší vynaložit pár stovek do svého života, než do odborníka, který mu opraví web, na kterém prezentuje trepky, které večer při televizi háčkuje.

    V případě Googlu bychom se nad jejich kroky měli zamýšlet dvojnásob. Google není firma s velkou společenskou zodpovědností, je to čistě a nepokrytě komerční subjekt. Jejich kroky jsou už dlouhou dobu salámovou metodou. Po malých kouscích ukrajují od nás a velká část z toho přiteče k nim. Bylo by fajn, kdyby se autoři článků věnovali i tomu.

    S tím vším souvisí snahy o šifrování vždy a všude. Je mnoho nedořešených situací, např. vystavování a správa certifikátů na zařízení ve vnitřních sítích. Některé starší systémy nejsou na přechod na https připravené - ano, jsou to staré systémy, ale mnohdy plně funkční a nepředstavující reálné riziko.

    Mluvil jsem o tom, že tu jsou dva subjekty, na které by se mělo hledět především: poskytovatel obsahu a uživatel. Uživatel se většinou nerozhoduje, spíš nekriticky používá, co je mu předloženo. Je zcela správné, že prohlížeče dávají uživateli čím dál víc možností, jak se může chránit. Otázkou je, jestli mu to má prohlížeč určovat, doporučovat, nebo jen nabízet. Já jsem za velkou umírněnost, doporučovat nebo dokonce určovat by se měly jen opravdu nejzávažnější témata, po kterých je poprávka jak ze strany uživatelů, tak ze strany poskytovatelů obsahu. Daleko zajímavějším subjektem je ale právě poskytovatel obsahu. Ten ví a musí vědět, co poskytuje a jakým způsobem je přiměřené obsah chránit. Poskytovatel obsahu je, nebo by měl být odborník, kterému není potřeba něco "ordinovat". Ku příkladu banky zabezpečily své aplikace už před dávnou dobou - a nemusel je k tomu nikdo nutit. E-shopy taktéž. Ostatní dostali možnost zavést např. LE - ale my najednou z možnosti děláme povinnost. To už dobře není. Google ani nikdo další není a neměl by se stavět za chytřejšího, než jsou tyto dva subjekty.

    Věřím, že na všechno by se daly najít metody pozitivní motivace. Odborné firmy začaly už dříve bezpečnost řešit a bylo by dobré, kdyby měly další nástroje na kontrolu doporučených postupů. Firmy by se pak ještě víc prsily tím, jak kvalitní práci odvádějí. Také by bylo na vztahu zákazník (zadavatel webu) - dodavatel webu, aby se dohodli, do jaké hloubky zabezpečení, ale i nákladlů chtějí jít.

    Toto, co dělá Google, jsem přesvědčený, není motivováno tím, aby učinili svět lepším. Oni pouze stanovují pravidla hry, a čím víc pravidel stanoví, tím víc se bude podle jejich pravidel hrát. Nemusíte se mnou souhlasit, možná považujete šifrování a cookies za vyšší hodnotu než pluralitu názorů či svobodomyslnost. Já jsem rád za to, že to můžu napsat, aniž by mě někdo korigoval, a nemůže se mi stát nic horšího, než pár palců dolů.