Vlákno názorů k článku
Firefox bude varovat před nezabezpečenými HTTP weby od Miroslav Šilhavý - Pane Jirskáku, na Vaše teze opravdu nevím, co...

Pane Jirskáku, na Vaše teze opravdu nevím, co napsat, ale pokusím se.

Takže dodavatel začne ničit obecně používanou technologii, místo toho, aby dal dvěma stranám na výběr, jestli chtějí tímto směrem jít. To je svoboda? Ne, to svoboda není. Pokud tu HTTP je, a někdo Vám ho bere, není možné takový postup považovat za svobodný. Je to diktát skupiny, možná technicky erudované, ale pořád se jedná o diktát. První kroky komunistické strany po Válce byly také obecně přijímány jako pozitivní, přiměřeně radikální svému účelu a době. Ale jaksi se to zvrhlo...

Jestli je HTTPS vhodnější než HTTP? Ano, většinou ano, ale ne vždy. Někde je to zbytečné, složitější, nákladnější.

BFU nedokáže získávat certifikáty na zařízení, která má doma - Vy ostatně víte, kolik lidí je za NATEM, i to, jak schopní jsou koncoví uživatelé. Až budou připraveny technologie, které to umožní, tak pak přijde doba to řešit, a aspoň tuto oblast budeme moci považovat za vyřešenou. BFU rovněž není ochotný měnit všechna svá zařízení ob několik let jen kvůli tomu, že je mu vnucována bezpečnost, kterou možná ani nechce (a umí vyhodnotit rizika).

Přehlcovat uživatele varováními je nebezpečné, přestává je vnímat. V případě HTTP to bude tak častý jev, že jeho pozitivní úloha se vytratí.

Pokud někdo narušuje komunikaci dvou stran, pak je mimo jiné na místě, aby to řešila i ta poškozená strana. Přinejmenším podání podnětu na ÚOOÚ je jednoduché a účinné. Před zloduchy je potřeba se nejenom bránit, ale snažit se je i zastavit.

Za mě je to prostě špatný krok, jakkoliv jsem do teď stimulace k přechodu na HTTPS vítal, tak toto už považuji přes čáru.

Takže dodavatel začne ničit obecně používanou technologii, místo toho, aby dal dvěma stranám na výběr, jestli chtějí tímto směrem jít. To je svoboda? Ne, to svoboda není.
Je to svoboda tak, jak je chápána většinou lidí – někdo vytváří webový prohlížeč, tak on může svobodně rozhodovat o tom, co ten prohlížeč bude umět a co ne. Ostatní mají zase svobodu rozhodnout se, zda ten prohlížeč budou používat nebo ne. Vy si asi pod svobodou představujete něco jiného, chtěl byste rozhodovat o tom, co mají ostatní dělat – to je také určitý druh svobody, je to svoboda diktátora.

Pokud tu HTTP je, a někdo Vám ho bere, není možné takový postup považovat za svobodný.
Jenže on vám HTTP nikdo nebere.

Je to diktát skupiny, možná technicky erudované, ale pořád se jedná o diktát. První kroky komunistické strany po Válce byly také obecně přijímány jako pozitivní, přiměřeně radikální svému účelu a době. Ale jaksi se to zvrhlo...
Vy pořád polemizujete s tím, že je to sice diktát, ale ve jménu dobra. Jenže to tady nikdo netvrdí. Není to žádný diktát – autoři prohlížečů se můžou svobodně rozhodnout, co budou v prohlížeči implementovat, a vy se zase můžete svobodně rozhodnout, zda jejich prohlížeč budete používat. Diktát by byl, kdybyste vy autorům prohlížečů diktoval, jaké jejich prohlížeč má mít funkce.

Jestli je HTTPS vhodnější než HTTP? Ano, většinou ano, ale ne vždy. Někde je to zbytečné, složitější, nákladnější.
Složitější a nákladnější není. Zbytečné je, pokud komunikace jde bezpečným kanálem – jenže to nemá prohlížeč jak zjistit. Zapomínáte také na to, že složitější a nákladnější je podpora dvou protokolů místo jednoho. V případě HTTP/1.x je sice HTTPS jen obalené HTTP, ale u HTTP/2.0 už se šifrovaná a nešifrovaná varianta mírně liší. Naštěstí prohlížeče podporují už jenom tu šifrovanou.

BFU nedokáže získávat certifikáty na zařízení, která má doma
Taky to nemá dělat on, ale zařízení samotné nebo router. IP adresu pro zařízení, které má doma, taky BFU získat neumí – ale přesto to funguje.

Až budou připraveny technologie, které to umožní, tak pak přijde doba to řešit
Ty technologie připravené jsou – např. ACME. Jenže nikdo to neřeší, dokud nemusí.

Přehlcovat uživatele varováními je nebezpečné, přestává je vnímat. V případě HTTP to bude tak častý jev, že jeho pozitivní úloha se vytratí.
Když prohlížeč vůbec nebude podporovat HTTP, nebudou ani žádná varování s HTTP spojená. Píšu vám to celou dobu.

Pokud někdo narušuje komunikaci dvou stran, pak je mimo jiné na místě, aby to řešila i ta poškozená strana. Přinejmenším podání podnětu na ÚOOÚ je jednoduché a účinné. Před zloduchy je potřeba se nejenom bránit, ale snažit se je i zastavit.
To máte pravdu. Nicméně proč se před tím zásahem do komunikace nebo jejím odposlechem nebránit, když je to tak snadné.

Za mě je to prostě špatný krok, jakkoliv jsem do teď stimulace k přechodu na HTTPS vítal, tak toto už považuji přes čáru.
Nešifrovaná komunikace přes internet je jenom dočasná anomálie, pozůstatek z akademického období internetu, kdy se myslelo, že na internetu budou jenom „ti, co se znají“, takže není potřeba nic zabezpečovat. Dnes není žádný reálný důvod nešifrovat, a čím dřív bude všechno šifrované, tím lépe – aspoň přestanou tyhle nesmyslné debaty o tom, že by se z nostalgických důvodů mělo nešifrování zachovat, protože sice nemá žádné výhody, ale přijdeme tím o jednu z možností.

Technologie bude připravená až ve chvíli, kdy si běžný uživatel zřídí přípojku, do ní začne připojovat zařízení, a víceméně bez jakékoliv snahy a zásahu mu vše bude fungovat.

K tomu zatím chybí ta praktická část realizace (ACME v domácích podmínkách, DV když nemáte doménu, případně interní CA a distribuce důvěryhodnosti na zařízení) - nic z toho není hotové, vše je na půli cesty.

Je také zbytečné rozjímat nad tím, jestli byly nešifrované přenosy hříchem minulosti. Myslím, že nebyly, před léty nebyla ani potřeba (jak sám uznáváte), ani technologie to dělat jinak.

Abyste rozuměl, ani mě osobně tento krok nijak nezasáhne. Vám přiznávám to, že Vaše motivace je pozitivní. Jste technicky založený člověk, kterého tyto "starosti" baví, dokonce ho asi i živí. Každý takový není a přesto by měl mít volnost nejen řešit si vše po svém, ale i rozhodnout se, že některá témata řešit vůbec nechce.

SSL to jednoznačně vyhraje, ale nepáchejme zbytečné škody po cestě.

Technologie bude připravená až ve chvíli, kdy si běžný uživatel zřídí přípojku, do ní začne připojovat zařízení, a víceméně bez jakékoliv snahy a zásahu mu vše bude fungovat.
Ano, ale k tomu, aby byl technologie připravená, je potřeba tlak na výrobce těch zařízení. Protože na ně bohužel neplatí nic jiného, než že to uživatelům reálně přestane fungovat. Stačí se podívat, jak to vypadá se zabezpečením těchto zařízení, s podporou IPv6, DNSSEC, s podporou nějakých aktuálních protokolů a šifer, pokud ta zařízení umožňují šifrování. Stačí si vzpomenout, že takhle zařízení se konfigurovala přes ActiveX nebo Flash v době, kdy už ty technologie prakticky nikdo nepoužíval. Ne, na tyhle výrobce bohužel neplatí „je potřeba tohle změnit, začněte to řešit a až budete připravení, tak to změníme“. Oni něco změní až tehdy, když to lidem fakt nefunguje.

ACME v domácích podmínkách
Třeba na Synology NAS to funguje, pokud je dostupný z internetu (což se dostáváme k rozšíření IPv6, kde se postupuje přesně tím stylem „počkáme, až budete všichni připraveni“, takže tu dvacet let řešíme různé rovnáky na vohejbáky s IPv4, místo aby se používalo IPv6).

DV když nemáte doménu
Poskytovatel připojení má nebo může mít doménu vždycky. Před dvaceti lety dávali poskytovatelé připojení ke každé přípojce zdarma e-mailovou schránku, případně prostor na webovém serveru. Ty e-mailové schránky snad někteří drží dodnes. Místo toho mohou začít poskytovat něco užitečného – subdoménu.

SSL to jednoznačně vyhraje, ale nepáchejme zbytečné škody po cestě.
Už jsem zmiňoval IPv6. Už dvacet let se vyhazují peníze za NATy, za software, který NATem umí projít, za neefektivní topologie sítě, za VPN. Přesně z tohohle důvodu – aby se přechod na IPv6 náhodou neuspěchal. Takže já bych to otočil – kompletně na HTTPS nemůžeme přejít hned teď, ale pokusme se zmenšit škody, které to odkládání HTTPS způsobuje.

Jenže Váš "boj za dobro" odnesou jen koncoví uživatelé, kteří to zaplatí časem, penězi a nervy.

Pokud spotřebitel preferuje jednodušší, spolehlivější, levnější přípojku k internetu, i zařízení, i využívat starší harware, který nic z toho neumí, tak má ve Vašem pojetí smůlu. My se proste MUSÍME mít lépe, i kdyby nás to mělo zničit.