Firefox 23 bude blokovat nezabezpečený obsah na zabezpečených webech

To mohli udelat uz davno, vzdyt si prece protireci bezpecnost zabezpeceneho webu a vlozeny obsah z nezabezpeceneho. Nechapu, ze tak dlouho takova vec mohla fungovat.

+1

BTW: proč Root.cz nemá šifrovanou verzi? Klidně si pořiďte certifikát od CAcertu zadarmo.

Proc sifrovat neco, co kazdy zna? Bojite se, ze vam misto clanku o Firefoxu nekdo po ceste podstrci clanek o IE?

Např. nemá cenu se tu registrovat, když heslo může kdokoli odposlechnout a psát pod mojí "registrovanou" přezdívkou. Stejně tak ISP/stát/crackery nemusí zajímat, jaké články si čtu a čím se zabývám.

V bankovnictví snad takové věci, kritické pro funkci nejsou. A na Faceknihu leze přes https málokdo, takže tam se to projeví zkušenějším jenom tím, že přijdou o reklamu. Takže já osobně bych se toho nebál.

Na facebook sa cez https lezie automaticky :)

Pred nejakym rokem jsem zrovna resil, ucet pro obchodovani s akciema jedne ceske banky mel s timhle problem. Takze zrovna zde bych problemy cekel, obdobne jako KB a java.

Slušný prohlížeč již nyní upozorní, pokud se míchá zabezpečený a obyčejný obsah. Bankovní aplikace nemají důvod mixovat obsah ani jej okořenit cizí reklamou.
Pokud by snad taková banka existovala, je to důvod, proč jít pryč, výběr je velký.

Presto to dela prakticky kazda banka - z bankovnictvi vedou odkazy nebo jsou primo vkladany nezabezpecene prvky.

Odkaz nevadí, ale vkládat obsah z nezabezpečeného serveru je chyba - uživatel nemůže vědět, která část stránky je pravá a která může být podvrh. Takovou stránku je lepší považovat za nezabezpečenou jako celek.

Ja bych rekl, ze to masakr bude, a hodne velkej. Spravce webu bude stat pred volbou, jestli sifrovat vsechno (coz docela dobre vylucuje cache), nebo nesifrovat nic. Treba ja na svych amaterskych webech sifruju jenom formular pro login/password.

Proc bych mel sifrovat vsechno, treba statickej obsah co stejne vidi take anonymni uzivatel? Prvne si to zada nakej ten cpu-cas, a pak take muzu rovnou vyhodit varnish. A vykon klesne z radove deseti tisic requests/sec na par stovek. To radsi vypnu sifrovani komplet...

To máš ten formulář na každé stránce svého webu? Nějak mi to nedochází.

Protoze muze do toho statickyho obsahu utocnik zamontovat falesny formular?

Zjevne si vubec nepochopil, vocogo ... problem budes mit v pripade, ze na strance s loginem mas trebas obrazek pres http - ten se jednoduse nezobrazi.

A kazdej normalni web uz dneska komplet sifruje, vubec nejde o to, ze je to verejne pristupnej obsah, ale co je mymu ISP do toho, na co se zrovna divam.

Zrejme si nepochopil, ze sem presne pochopil wo co tady go! A presne tak to na webu mam: blok s prihlasovanim pres https, vse ostatni na strance http...

Mimochodem, kdyz podle tebe root.cz neni "normalni web", proc sem chodis?

Zcela běžně na interních šifrovaných stránkách vkládám video (přes HTML5 video značku), které se nachází na veřejné nešifrované stránce (kde je třeba zakomponováno nějak jinak a je třeba i na jiném stroji). Nemyslím si, že je nutné zakázat uživateli na šifrované stránce vidět například video z nešifrované. Bezpečnostní problémy? Jaké? Úkolem prohlížeče je zajistit, aby cookie související s šifrovanou částí netekli na nešifrovanou (aby například nemohly být po cestě snifovány). Nebezpečí podvrhu? A co když se míchá obsah z webů, které mohou tvořit jen zodpovědné osoby a účelem míchání je šetřit prostor a nekomplikovat údržbu a tvorbu? Podvrh manInTheMiddle? No zrovna u videa by to nemělo napáchat škody (chápu, že u HTML, CSS, JS už to problém je). To mám video určené pro veřejnost, které je někde nějak zakomponované kopírovat na šifrovaný server, aby se na něj v jiné kompozici mohli mrknout lidé na šifrovaných stránkách? To je hloupost. A vyléčit to tím, že začnu šifrovat i veřejné stránky také nevidím dobře - musel bych si platit certifikáty podepsané nějakou tou "důvěryhodnou" autoritou (které nedůvěřuji).

Prostě to není dobrý nápad! Tedy myslím si, že videa, audia a obrázků by se to týkat nemělo!

Již starodávný IE4 nebo 5 upozorňoval na "nezabezpečené položky na zabezpečené stránce".