Vlákno názorů k článku
Firefox 17 bude na některé weby přistupovat pouze přes HTTPS
od Ondřej Caletka - Snaha je dobrá, ale bylo by rozhodně lepší...
-
Ondřej CaletkaZlatý podporovatelSnaha je dobrá, ale bylo by rozhodně lepší vymyslet něco systémového, než distribuovat seznam webů spolu s prohlížečem. Hlavička HSTS taky nepomůže, když je někde Man-in-the-Middle, tak tuhle hlavičku vymaže.
Cesta by mohla vést přes DNSSEC, tedy v daleké budoucnosti, kdy bude ověřování validity DNS dat prováděno na koncových stanicích. Úplně nejjednodušší (ale taky nejzranitelnější) je poučit lidi, že když lezou do banky, mají si do záložky uložit celou URL i s HTTPS.
-
Ondrej Mikle (neregistrovaný)
HSTS je přístup TOFU (trust on first use), který stejně mnoho lidí používá třeba i u ssh (pokud nemá stroj SSHFP s DNSSEC), protože se ukazuje jako celkem účinný v porovnání s vynaloženou námahou.
Mimochodem, kdo používá NoScript, má HSTS zapnuto už dávno (NoScript HSTS implementuje).
HSTS bude pravděpodobně mít i variantu s hashem certifikátu nebo SPKI certifikátu, tj. certificate pinning (v IETF TLS WG proběhl nějaký draft).
Pak tu máme DANE+TLSA, někdo ještě navrhoval HASTLS (ekvivalent HSTS v DNS říkající "site má TLS na portu X, použij ho", i když samotný TLSA záznam lze tak interpretovat jako local policy). Adam Langley protláčí už dlouho Certificate Transparency, myslím že je už blízko RFC.
Jsem zvědav, co se nakonec nejvíc ujme (snad to nebudou (nad-)národní DPI filtry blokující SSL/TLS).
