Hlavní navigace

Názor ke zprávičce Konec nebezpečného SHA-1 je tu, Firefox před ním začne varovat od Palo M. - "Takže tvrdíte, že odstraněním zastaralých šifrovacích technik, pro...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 25. 1. 2017 7:22

    Palo M. (neregistrovaný)

    "Takže tvrdíte, že odstraněním zastaralých šifrovacích technik, pro které existují známé exploity, nemůže dojít ke zvýšení bezpečnosti?"
    To netvrdíme. A vy tvrdíte, že tým úplným odstránením na strane browsera nemôže dôjsť k zníženiu bezpečnosti? :-D

    Ale seriózne, k zvýšeniu bezpečnosti dôjsť môže, ale nemusí:

    Keď na užívateľa browser vystrčí prostredník, že cez https teda nie, lebo certifikát má len SHA-1 podpis, tak to naozaj nemusí skončiť len zvýšenou bezpečnosťou, ale aj naopak zníženou:
    - Užívateľ skúsi http. Keď zafunguje, bezpečnosť je evidentne horšia.
    - Užívateľ použije iný browser, kde SHA-1 podpisy stále fungujú. Zastaralý browser, vysoké riziko exploitov naň. Bezpečnosť sa pravdepodobne zhoršila.
    K zvýšeniu bezpečnosti by prišlo v týchto prípadoch:
    - Užívateľ kontaktuje správcu servera, ten zjedná nápravu. Má to isté úskalia: jednak to nebude na počkanie, a okrem toho môže byť pre užívateľa problém zistiť, koho má kontaktovať...
    - Užívateľ sa na to vyserie, pretože sa na stránku nedá dostať. Hm... no áno, bezpečnosť sa mierne zlepšila...
    - Administrátor servera zistí problém sám, ešte predtým ako to začne robiť problém užívateľom. Je to riešiteľné, správca vymení certifikáty a ide sa ďalej. Toto pravdepodobne tvorcovia FF sledujú. Akurát na to netreba úplne vyhodiť podporu SHA-1 z browsera. Stačí, aby to bolo štandardne vypnuté tak, aby sa k zapnutiu BFU nepreklikal - to by bola dostatočná motivácia pre správcu, aby to vyriešil na strane servera. Takže toto je síce príklad evidentného zlepšenia, ale nie argument na úplné odstránenie z browsera!

    Netuším, čo nakoniec v praxi tí užívatelia urobia a čoho bude viac, takže neviem objektívne usúdiť, či to bezpečnosť zvýši, alebo naopak zníži. A ani si nemyslím, že by to tvorcovia FF vedeli...

    To je nakoniec ich vec, že niečo vyhadzujú z kódu, proti tomu nenamietam. Iba mám silné podozrenie, že bezpečnosť je iba taká zástierka a skutočný dôvod je iný. A taký prístup sa mi nepáči...