Vlákno názorů k článku
Firefox bude výrazně varovat před přihlašováním bez HTTPS
od vlado - Už bolo načase. Dnes, keď nie je problém...
-
jd (neregistrovaný)
Varovani je v pohode. Ale co kdyz prijde den, kdy to rovnou zakazou.
Problemem jsou embedded zarizeni s webovym rozhranim. Do nich nedostanete zadny certifikat, maximalne tak self-signed. Proste z tiho duvodu, ze nemaji predem znamu adresu na kterou certifikat vydat. To se da resit, ale neresitelny problem je certifikat s platnosti 10 a vice let. Proste proto, ze se casto jedna o stroje, ktere tak dliuho nekdo provozuje. Napriklad v prumyslu, nebo takova lokomotiva. Navic takove stroje nebyvaji nikam z bezpecnostnich duvodo pripojeny a pokud ano tan ne to konfiguracni rozhrani. Specielni konfiguracni SW uz se nepouziva, proto tam je to s vyprsenim moznosti jeho pouziti jeste horsi. -
Jan HrachStříbrný podporovatelAsi měl na mysli embedded zařízení, která se konfigurují přes webové rozhraní.
-
Jan HrachStříbrný podporovatel
Přečti si předchozí komentář: „Ale co kdyz prijde den, kdy to rovnou zakazou.“ - stejně, jako je třeba zakázané overridnout HSTS.
A vůbec, proč si myslíš, že mám něco proti celému webu na HTTPS? Já jsem jen vysvětloval, o čem mluvil předřečník, svůj názor jsem neprezentoval.
-
Až ten den přijde, tak si pro to uděláš třeba na apachi proxy, abys na to lezl přes https a apache ti z toho udělá LOKÁLNĚ http. Je to opruz, ale pořád stokrát lepší, než konfigurovat lokomotivu z internetu přes http. Já rozumím tomu, že všechny zařízení se nedají lusknutím prstu vyměnit za jiná, ale to neznamená, že stará zařízení se nemusí, nebo dokonce nesmí zabezpečit. Ba právě naopak.
-
Jan HrachStříbrný podporovatel
Právě že neuděláš. Už teď se musí patchovat aby to fungovalo. Osobně to vidím na nějaké používání stařičké distribuce ve virtuálu. A časem budou potřeba ty virtuály dva, jeden z SSL3 udělá TLS1.2 a druhý z TLS1.2 udělá TLS-co-bude-podporované ;).
-
Self-signed certifikát pro embedded zařízení mi nepřijde až jako takový problém, naše síťové prvky to používají, ale jsou určeny pro ISP. Admin od ISP princip TOFU (trust on first use) pochopí, nevím ale, jak by se to dalo vysvětlit běžným uživatelům, že je to OK pro jejich router na lokální síti, ale ne třeba pro banku.
-
jd (neregistrovaný)
Self-signed certifikat je u konfigurace bezna vec. Jenze:
1) FF jej muze "zitra" kvuli bezpecnosti zakazat.
2) predstavte si, ze zarizeni pouziva nejakou zastaralou a tim padem zakazanou verzi nektere casti protokolu. Zadny problem, aktualizujete FW v zarizeni, ale ouha, aktualizace je pomoci browseru, ktery vas tam nepusti. -
Filip JirsákStříbrný podporovatelFirmware/software těchhle embedded zařízení obvykle nestojí za nic a má spoustu bezpečnostních děr – problémy s certifikáty, šifrováním a HTTPS jsou pouze jedním z projevů tohohle problému. Holt je potřeba výrobce dotlačit k tomu, aby na bezpečnost přestali kašlat, protože do internetové sítě není možné připojovat nezabezpečená zařízení (a nezáleží na tom, zda ta síň je opravdu plně otevřená do internetu, nebo si majitel myslí, že není otevřená, nebo je dokonce opravdu dobře chráněná firewallem nebo dokonce od internetu fyzicky oddělená). A pokud to nějaký výrobce takhle udělat neumí, není žádný důvod, proč ke konfiguraci jeho zařízení používat ten samý program, který používám pro přístup k internetovému bankovnictví, k e-mailům a ke spoustě dalších webů. Dříve k takovým zařízením výrobci dodávali svůj vlastní konfigurační software, ať k tomu znovu začnou dodávat třeba upravený Firefox s vypnutými aktualizacemi a hlavně ať to napíšou do specifikace. Aspoň bude každý předem vědět, co kupuje za … nespolehlivý výrobek.
-
Filip JirsákStříbrný podporovatel
Ne, celé je to o tom, aby software v takovém zařízení byl napsán s ohledem na bezpečnost. Bude bezpečné takové zařízení za 10 let připojit na internet? Pokud ano, nebudete mít žádný problém připojit se k němu aktuálním prohlížečem bez nějakých výjimek.
-
Filip JirsákStříbrný podporovatel
No právě. Takže to zařízení stejně musí být schopné aktualizací – čímž se řeší podpora šifrovacích standardů a algoritmů.
Když mají ta zařízení nějakou formu webové administrace, připojují se k internetu. Nevím o tom, že by nějaký dnešní webový prohlížeč umožňoval zobrazit web jinak než přes IP protokol, tedy přes internet.
-
j (neregistrovaný)
Mam tu krabice za 1/2M kus, a "aktualnim" firefoxem se na ne nepripojim. Protoze prej pouzivaj nebezpecny sifrovani ... takze az mi posles tak 20M, muzu je vymenit za novejsi, ktery budou delat presne totez, vydrzej pulku, a pak si budu moc spokojene rikat, jak je to bombacky, ze muzu pouzivat aktualni browser.
99,9999% tehle zarizeni se nikdy k internetu nepripoji, nechapes, ze internet == verejna adresa a neomezenej pristup do verejne routovany site.
23. 1. 2017 10:05 redakčně upraveno, důvod: Odstraněny zbytečné vulgarity. Prosíme, diskutujte slušně! -
NULL (neregistrovaný)
A nevychází celé ta konstrukce o zařízení za 20Mega na vyhazov z toho, že někomu křišťálová koule ukázala, že jednou browsery pojedou úplně jenom na HTTPS? Vždyť žádání explicitního povolení právě může být ona přijatelná hranice . . . .
Vůbec nechápu proč by to nemohlo být třeba tak, že browser se prostě nikdy peřipojí bez HTTPS, pokud v nastavení, třeba jako about:config nenastaví uživatel (lehce pokročilý a se zájmem o tuto funkci - a o to jde), že může při normálním HTTP jenom varovat . . . problém je vyřešen a pro normální uživatele zůsává jenom HTTPS, pro ty co chtějí tak jenom upozornění - ono je to skutečně k něčemu, protože tuna podvodů se děje MITM kdy donutí prohlížeč poslat nejprve HTTP a pak to až MITM valí s ceritfikáty a to by se někomu, i když má doma potřebu lézt někam bez HTTPS, šeredně nevyplatit . . .
Pak by si i mohl člověk nechat jeden browser na kritické věci (opravdu nutno vždy HTTPS - např. banka, FB (dehonectace, zneužití - taky nic příjemného)) a druhý na brouzdání po domácím železe a ne se tu hádat že to má zakázat vždycky a nebo nikdy . . . -
NULL (neregistrovaný)
@Lol Phirae
Vůbec jsi to nepochopil. Facebook je prostě služba, kde je člověk tak nějak oficiálně, má tam nějaký profil, projený se skutečnými lidmi, přátely, spolužáky, spolusportovce . . . a je absolutně nežádoucí, aby ti třeba někdo ukradl profil a začal tvým jménem tvým skutečným kamarádům něco posílat - to samé je i mail, LinkedIn, Twitter a další a k tomu je dost podstatné přistupovat k takovému webu přes HTTPS
- nehrajme si jako v družině: Júúúúú, on mááá fejsbůk, huú heé ukažme si prstem, my ho nemáme a jsme trďáci prďáci, posledních pár husťáků jako . . .
-
NULL (neregistrovaný)
Ne akorát nemá smysl dělat z Facebooku nějakou UserHydru. Ano pro spoustu lidí, troufnu si říct že pro většinu lidí, je to prostě jenom zábava a taky jakási částečná forma sociální interakce a taky je to pro ně třeba zábava - pro někoho více, pro někoho méně. Extrémem je nějaké nadužívání nebo snad dokonce závislost. To co předvádíš ty je druhý extrém, pritipól tomu prvnímu.
-
Jan HrachStříbrný podporovatel
> A nevychází celé ta konstrukce o zařízení za 20Mega na vyhazov z toho, že někomu křišťálová koule ukázala, že jednou browsery pojedou úplně jenom na HTTPS?
Ne, nevychází. Již dnes prohlížeče nepodporují SSL3 a dokonce ani openssl v distribucích to nemá zapnuté, takže si musíš zkompilovat vlastní openssl, přilinkovat ho k vlastnímu socatu a vrazit to mezi browser a zařízení.
-
NULL (neregistrovaný)
@Jenda
A co telnet? A SSL1? A co za 20 let? Každopádně byla řeč o podpoře HTTP a povolení jenom HTTP. Ne o starých ceritikátech.
Bavil jsem se o tom, že by se mělo najít řešení, jak to pro některé případy povolit, jinak zakázat a ne se handrkovat, jestl to všecho povolit nebo zakázat - to je nonsense a řešení se nikdy nenajde - přidat podporu třeba adonem
-
j (neregistrovaný)
2NULL: Hromada pouzivanyho HW umi https, jenze uz holt neumi ty ubermoderni "bepecne" algoritmy, a umi jen ty, ktery se soudruzi rozhodli vyhodit. A vis co udela ten BFU s tou svou krabkou za 3 kila? Kdyz ho browser nejdriv zacne prudit a pak mu znemozni se pripojit na https? No pripoji se pres http. Protoze tam to neprudi!
At zije bezpecnost ...
A vis co udela presne stejnej BFU kdyz ho zacne browser vopruzovat (a posleze mu znemozni) http? No bude hledat po internetu jak tomu zakazat se aktualizovat aby mu zustala ta verze co funguje a nevotravuje ....
To bude teprve krasa co?
-
Jan HrachStříbrný podporovatel
> Nevím o tom, že by nějaký dnešní webový prohlížeč umožňoval zobrazit web jinak než přes IP protokol, tedy přes internet.
Není podmínkou internetu že těch sítí musí být víc a musí být propojené?
-
Jan HrachStříbrný podporovatel
> Dříve k takovým zařízením výrobci dodávali svůj vlastní konfigurační software
Ano, a to určitě chceme, aby ke každému nesmyslu zase existoval speciální software, pokud možno fungující jenom pod 32bit Windows XP SP2 a ničím jiným. (ať už to bude takto zmršený browser nebo něco skutečně custom)
-
No tak bod 1) je dobrá kravina... A kořenové certifikáty jsou asi co? Ty podepsal bůh? Nebo LO? Nebo jak někoho může vůbec napadnout, že by se daly self-signed zakázat?
K bodu 2 snad jen... je to pronlém, ano, ale je třeba ho řešit LOKÁLNĚ, pokud na to už teda potřebuju přistupovat zvenku, tak to musím stejně zabezpečit. Nebo má snad někdo ještě pocit, že se různým malým krabičkám dá věřit, zcela nezávisle na tom, jestli v konfiguraci mají klikátko http/https? -
Jan HrachStříbrný podporovatel
> Dnes, keď nie je problém nasadiť letsencrypt
Je to problém, třeba pokud se jmenuješ Pepa a nějaká banka v zemi, o které jsi nikdy v životě neslyšel, se jmenuje PEPA.
https://community.letsencrypt.org/t/name-is-blacklisted-on-renew/9012/6
ČLÁNKY DO MAILU