Vlákno názorů k článku
Firefox bude varovat před nezabezpečenými HTTP weby
od Přezdívka: - Varování je ok. Varovat může, dokud nebude v...
-
Přezdívka: (neregistrovaný)
Varování je ok. Varovat může, dokud nebude v přístupu k HTTP bránit.
Veřejný HTTP web může být riziko i když na něm uživatel nic nezadává a pouze ho čte, protože může být odposloucháván a pozměněn. Potud asi ok. I když jsou tisíce webů, kde ani na tom příliš nezáleží.
Ale vedle toho tu jsou mraky zařízení s HTTP konfiguračním webem, které jsou provozované výhradně v lokální síti (ideálně pouze v jednom segmentu přes jediný switch, router je nikam jinam nepustí, ven už vůbec ne). Taková zařízení musí zůstat přístupná, dokud se budou ve větší míře vyskytovat. Žádná certifikační autorita nikdy nevystaví certifikát mé tiskárně, mému VOIP telefonu, mému domácímu ADSL routeru, IOT hračce ve vedlejší místnosti...
-
j (neregistrovaný)
Jiste, myslsi takovy to "varovani" jako ze se muze posrat z toho ze web ma selfsign cert? Pripadne cert nejaky CA kterou ti nekdo nenatlacil do browseru? Vis co udela 100% useru (vcetne ITku) s libovolnejma opakujicima se hlaskama? Serou na ne a proste klipaj na ano ano ano next next next.
Takova zarizeni se uz z chrofoxe adminovat nedaj ... trebas proto, ze dana krabka sice jeste umi "akceptovany" sifrovani, ale uz neumi klic delsi nez 768bitu a chrofox prece vi, ze ty potrebujes nejmin 1024.
Sem zvedav kdy ti pridou soudruzi z chrozilly vyrazit dvere s tim, ze nejsou dost bezpecny a ze si tudiz bud mas poridit pancerovy vrata nebo budes bez dveri.
-
S nepodporovanou ciphersuite mám také zkušenosti z praxe. Znám firmy, kde smaží staré verze prohlížečů se zakázanou aktualizací, protože jinak se nedostanou tam, kam potřebují. Investovat do povýšení slabých článků nebudou, pro vedení jsou to konkrétně vyhozené peníze proti konkrétně nevypočitatelně nízkému riziku. Administrace kopírky nebo docházkového systému přeci pro ně neznamená ohrožení bezpečnosti!, ale paradoxně tak oslabují bezpečnost i při přístupu ven.
-
Filip JirsákStříbrný podporovatelŽádná certifikační autorita nikdy nevystaví certifikát mé tiskárně, mému VOIP telefonu, mému domácímu ADSL routeru, IOT hračce ve vedlejší místnosti...
Mým zařízením v domácí síti Let's Encrypt certifikáty vystavuje. Používám pro ověření DNS a na veřejný DNS server vystavím příslušný ověřovací záznam. -
Jenda (neregistrovaný)
> Ale vedle toho tu jsou mraky zařízení s HTTP konfiguračním webem, které jsou provozované výhradně v lokální síti
Filozoficky správné řešení by podle mě bylo nepoužívat k tomuto běžný browser, ale mít „jakoby browser“, který bude upravený k této činnosti. Nebo mít v běžném browseru na toto přepínač.
Teď je otázka, jestli je to v praxi proveditelné (například by bylo potřeba, aby takový program byl předinstalovaný ve Windows, protože jinak to znamená spoustu nočních můr s BFU).
ČLÁNKY DO MAILU