Hlavní navigace

Firefox 17 bude na některé weby přistupovat pouze přes HTTPS

Sdílet

Adam Štrauch 8. 11. 2012

Připravovaný Firefox 17, který je aktuálně v beta stádiu vývoje, dostal seznam domén, na které bude vždy přistupovat přes protokol HTTPS. Jedná se o doplnění podpory pro funkci HSTS, která zajišťuje, že i když uživatel přistupuje nešifrované, bude automaticky přesměrován na šifrovaný kanál. Přístup přes nešifrovaný kanál ale může být signál pro útočníka na stejné síti, který uživateli může vnutit vlastní stránku k přesměrování a vylákat z něj tímto způsobem citlivé údaje.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 8. 11. 2012 15:04

    Ondřej Caletka

    Snaha je dobrá, ale bylo by rozhodně lepší vymyslet něco systémového, než distribuovat seznam webů spolu s prohlížečem. Hlavička HSTS taky nepomůže, když je někde Man-in-the-Middle, tak tuhle hlavičku vymaže.

    Cesta by mohla vést přes DNSSEC, tedy v daleké budoucnosti, kdy bude ověřování validity DNS dat prováděno na koncových stanicích. Úplně nejjednodušší (ale taky nejzranitelnější) je poučit lidi, že když lezou do banky, mají si do záložky uložit celou URL i s HTTPS.

  • 8. 11. 2012 17:11

    Ondrej Mikle (neregistrovaný) 2001:1488:ac14:----:----:----:----:----

    HSTS je přístup TOFU (trust on first use), který stejně mnoho lidí používá třeba i u ssh (pokud nemá stroj SSHFP s DNSSEC), protože se ukazuje jako celkem účinný v porovnání s vynaloženou námahou.

    Mimochodem, kdo používá NoScript, má HSTS zapnuto už dávno (NoScript HSTS implementuje).

    HSTS bude pravděpodobně mít i variantu s hashem certifikátu nebo SPKI certifikátu, tj. certificate pinning (v IETF TLS WG proběhl nějaký draft).

    Pak tu máme DANE+TLSA, někdo ještě navrhoval HASTLS (ekvivalent HSTS v DNS říkající "site má TLS na portu X, použij ho", i když samotný TLSA záznam lze tak interpretovat jako local policy). Adam Langley protláčí už dlouho Certificate Transparency, myslím že je už blízko RFC.

    Jsem zvědav, co se nakonec nejvíc ujme (snad to nebudou (nad-)národní DPI filtry blokující SSL/TLS).

  • 8. 11. 2012 16:34

    Stanislav (neregistrovaný) ---.cbcnet.cz

    Nebylo by vhodnější se domluvit na nějakém TXT záznamu v DNS, který by definoval zda vynutit HTTPS a případně i pro jaké subdomény?

  • 8. 11. 2012 17:29

    Sten (neregistrovaný) 2001:67c:2594:----:----:----:----:----

    IMO by pro to byl úplně ideální SRV záznam. Jednotlivé virtuální domény by potom mohly být i rozhozené na víc portech a nebyl by problém ani s certifikáty.