Vlákno názorů ke zprávičce Firefox 23 přináší sdílecí tlačítka, monitor sítě a zlepšuje bezpečnost od mc - Naštěstí se nemožnost mixovat https s http netýká...

Naštěstí se nemožnost mixovat https s http netýká například obrázků. To bych si pak dovolil rovnou napsat: Jde o konec webu!

Moc mne tím nepotěšili. Napřed zavedli CORS (a nejen Firefox) a nyní tohle. Důsledkem bohužel je obrovská komplikace při tvorbě webových aplikací čerpajících z mnoha zdrojů. Například základní aplikace (například mapová) je provozována na zabezpečeném spojení a přes toto spojení proudí i soukromá data (například GPS polohy rodinných příslušníků). Aplikace ovšem chce čerpat i data z veřejných zdrojů, které nejsou na zabezpečeném serveru a uvedená data není třeba, aby byla zabezpečena (například obrázky z Panoramio pro danou oblast mapy). Důsledkem nyní je, že se musí aplikace kvůli veřejným datům obracen na mateřský zabezpečený server, který musí sám veřejná data natáhnout a aplikaci poslat (dělá nesmyslnou proxy). Tohle se mi moc nelíbí.

V případě CORS je dokonce znemožněno provozovat javascript aplikaci, která je spuštěna na lokále (ne přes web), ale chce tahat data z webu. Není snad záležitostí aplikace, aby si pohlídala, že z veřejných dat nepřiteče něco co by mohlo mít za následek únik dat z neveřejných dat?

Nelíbí se mi to. Jde vůbec o bezpečnost? Nehraje tohle do karet těm velkým jako je Google a Microsoft, kteří nemají zájem, aby lidé provozovali své malé věci?

To jako, že nový Firefox pro zabezpečený web načte obrázky z nezabezpečeného zdroje (zřejmě i z odlišné domény) a ještě ani neupozorní že načítá nezabezpečený obsah?

Pokud tomu tak je... u mne by letěl.

Nevím jak je to defaultně - kdysi upozorňoval a nepochybně upozorňovat umí.

Mohu znát důvod proč dle Vás nesmí prohlížeč na stránce https načítat obrázky z http či z jiné domény? Opravdu mu nerozumím.

Považuji za základní princip webu, že na stránce mohu mít prvky odjinud!

Třeba proto, abych měl jistotu že ta stránka banky je čistá? Třeba proto abych měl jistotu, že ten podvržený web, který vypadá jako web mojí banky nemůže tahat obrázky přímo z originálního webu mé banky, ale museli si je alespoň "pracně" zkopírovat na vlastní doménu? ;o)

Co na to říci. Já neříkám, že to nemohu vypnout. Ale nevypínám to ani na jiných zabezpečených webech.

My o tom hovoříme takhle sloučeně, ale vzásadě jsou jsou přístup k datům na jiné doméně a míchání zabezpečeného a nezabezpečeného obsahu pro můj browser (IE) dvě odlišné věci. Záleží ale dost na technice použité webem, třeba zda je použito skriptování, nebo i nějaký ActiveX/plug-in prvek, či .NET Framework.

To je nějaké pomatené zdůvodnění ne? Stránka banky je čistá? Čistotu stránky banky zajišťuje banka (není to úkolem prohlížeče). Úkolem prohlížeče je tahat url co na stránce jsou požadovány a u https kontrolovat zda důvěřujete certifikátu.

Klidně Vám někdo může podvrhnout prvky ze stránky banky na jiné stránce, ale k tomu si třeba rád zajistí proxy, takže stejně vše poteče ze stejné domény. Musíte kontrolovat zda jste opravdu na stránce banky a zda je stránka podepsaná autoritou, které důvěřujete... Samotnou čistotu stránky, ovšem zajišťuje jak jsem psal banka samotná.