Vlákno názorů k článku
Kanada zavádí pro vládní weby povinné HTTPS a HSTS
od Miroslav Šilhavý - Jsem zvědavý, jakou budou mít zkušenost z podpory...
-
sslman (neregistrovaný)
Suhlas. Bye, bye stare androidy, IE, java, tor opera - uz sa nepripojite do Kanady:
Android 4.2.2 No connection
IE 6 XP No connection
IE 7 Vista No connection
IE 8 Win 7 No connection
IE 8 XP No connection
IE 11 Win 7 No connection
IE 11 Win 8.1 No connection
IE 11 Win Phone 8.1 No connection
Opera 17 Win 7 No connection
Tor 17.0.9 Win 7 No connection
Java 6u45 No connection
Java 7u25 No connection -
Zakladem bezpecnosti je aktualni software. Pokud nekdo pouziva patnact let stary system bez podpory, ma proste smulu. Zajmem zodpovedne vetsiny rozhodne neni, aby je takovi uzivatele ohrozovali.
Zájmem opravdu zodpovědné většiny by mělo být především to, aby se nepletla do vztahu dvou subjektů mezi sebou, nebo opravdu jen velmi okrajově. Je naprosto v pořádku, když se poskytovatel obsahu rozhodne podporovat TLS 1.0 a jeho zákazník používat Windows XP. V tomto vztahu nehraje názor většiny žádnou roli.
Naopak, zodpovědný uživatel už nemá Windows XP a tím sám ovlivní to, že jeho připojení pojede na TLS 1.2.
Rozhodnutí Kanady je zajímavé, na zkušenost jsem fakt zvědavý.
-
Pár exotů bude mít problém. Lidi co mají prehistorický systém
Těch pár exotů jsou někdy senioři, někdy i studenti, někdy prostě lidi, co počítač zapnou 2x týdně, přesto chtějí mít přístup ke službám. TLS 1.0 nepovažují za nebezpečný ani banky, takže nevidím důvod blokovat přístup k běžným informačním webům (nebavíme se o přístupu ke službám, kde existuje reálné nebezpečí škod).
-
KateStříbrný podporovatel
>Naopak, zodpovědný uživatel už nemá Windows XP a tím sám ovlivní to, že jeho připojení pojede na TLS 1.2.
A v případě že server podporuje TLS 1.0 je vystaven nebezpečí downgrade útoku.
-
No však to posoudili a rozhodli že TLS 1.0 ne :)
Však jim to neberu ani je nekritizuju, zajímá mě jejich zkušenost, kterou tím získají.
Reagoval jsem jen na přehnaně úderné komentáře o tom, že by se to mělo dělat razantněji nebo všeobecněji. S tím nesouhlasím.
Osobně mám na některých službách povolené taky jen TLS 1.2, ale u některých zase chci podporovat i starší prohlížeče a vidím k tomu důvody.
-
Typek (neregistrovaný)
Zakladom bezpecnosti je bezpecny software, co sa casto koreluje s aktualnostou. Avsak je to blbost.
Napr.:
ked chrome prehliadace (skoro vsetky) odstranili moznost vypnut javabugskript. - Hlavne ze su aktualne! To ze je to ako auto bez volantu nikoho nezaujima.
ked kazdy patlo-koder pouziva na strankach javabugskript - Cim viac, tym lepsie. Hlavne ze je tam aktualny bug-kod! To ze uz ten jazyk je navrhovo zbugovany (s kazdou verziou viac a viac) nikoho nezaujima.
ked OS (bugdows) s kazdou aktualizaciou obmedzi uzivatela (bezpecnost aj sukromie) nikoho nezaujima, hlavne, ze je to AKTUALNE!
ked OS (Linux, nastastie len niektore distra) s kazdou aktualiczaciou zavedie nejaky bug ako systemd atd.Aktualizacia nema s bezpecnostou az tak vela spolocneho. A nevidim dovod pouzivat nieco "aktualne", co ma ale viac chyb ako to stare funkcne riesenie. Pri sifrovani sa to da ospravedlnit, ale ked to stary soft nepdporuje, pretoze uz sa nevyvija (Opera 12.X, Firefox - Chrofox neratam, posledna funkcna verzia FF bola as 18), treba robit kompromisy.
-
Na nutnost upgrade jsou upozorňováni zatím jen asi 4 roky.
To byste musel vyházet asi polovinu serverů ve všech bankách, možná i víc než polovinu. Není výjimkou, že systémy běhají na ještě větších kusech historie, než je CentOS 5. Narovnává se to pak různými proxy pro požadavky ven, a reverzními proxy dovnitř. Ale to taky nejde nasadit úplně bezbolestně.
-
Co si kdo interně provozuje je zcela v jeho režii. Pokud si myslí, že systém proxy jejich problém nějak vyřeší a dokáží si jej zabezpečit, je to jejich boj. V tom mnou popisovaném případě bylo mnohem jednodušší řešení ten systém udržovat aktuální po celou dobu jeho života (který začal někdy s vydáním centos5) a ne to řešit až po dlouho dopředu známém EOL.
-
Filip JirsákStříbrný podporovatelKomunikační systém pro vývojáře aplikací napojených na datové schránky, provozovaný přímo Ministerstvem vnitra, podporoval ještě asi před rokem jenom tak staré šifrovací algoritmy, že se k tomu Chrome a Firefox odmítaly připojit. Řešilo se to několik let. Takže ono si vnitro konečně zametlo před vlastním prahem, tak teď můžou peskovat ostatní.
