Názory k článku
Lidé ignorují téměř 90 % bezpečnostních varovaní

Na internetu plném reklamy se jim ani nedivím. Naučili se všechan upozornění ignorovat, protože v 99% případů jsou zbytečná a obtěžující.

Přesně tak. Bfu jde na web. Vyskočí na něj hláška s červeným vykřičníkem: "Pozor! Na výhodné pojištění vaší nemovitosti máte už jen tři dny!"
Za 20 minut hláška, pro změnu červenými písmeny: "Pozor! Nabídka, která se nebude opakovat!"
Za dalších 20 minut, tentokrát varování: "Pozor, naše konkurence jsou amatéři, my víme nejlíp, jak vás oškubat"
Za chvíli notifikace na výhodný úvěr někde v bublině.
Za další chvíli popup "Chcete výhodné povinné ručení? Ano-Ne"
A v zápětí relevantní chybová hláška... Když je úorveň naštvání nějde mazi 100% a nekonečnem.

Naprosto logicky a zcela ocekavatelny ... protoze (nejen) browsery vopruzujou s kazdou picovinou, doslova a dopismene, a uzivatele vazne naprosto nezajima, ze na nejakym webu typu root/fckbook/... (a no, stovnavam to umyslne) je nejakej certifikat, co se browseru zrovna nelibi ... protoze je to naprosto nezajima. Browser by mel hlidat tech 5 webu, kery uzivatele zajimaj (=mozna banky). U vsech ostatnich by mel drzet hubu a nevopruzovat.

Protoze vysledek tohodle pruzeni je, ze useri na to serou i v ty bance.

Je to presne stejny, jako kdyz nejakej kkt nastavi politiku na hesla typu zmena co tyden, aspon 20 znaku, velky/maly/cis­la/... historie navzdy ... a pak se divej, ze si to lepej lidi na klavesnici.

> Zrovna u vadného certifikátu je to dost podstatné.

Ne, pokud současně není ještě mnohem větší varování u HTTP, které je nešifrované úplně.

Na to, že to nezobrazuje varování u prostého HTTP, nebo na to, že HTTP je méně bezpečné než HTTPS s vadným certifikátem?

Ad. 1: Můžeš si vyzkoušet, http://blebleble.hrach.eu/ vs. https://blebleble.hrach.eu/

Ad. 2: Pro napadení HTTPS s vadným certifikátem pořád potřebuješ MITM (aktivní zasahování do komunikace), pro HTTP ti stačí pasivní odposlech.

Je triviálne dokázať, že spojenie cez HTTPS je aspoň tak bezpečné ako cez HTTP.

Ak prvé spojenie dostane varovaciu hlášku a druhé, ktoré nie je aspoň tak bezpečné ako prvé, už nedostane, tak je zjavne niekde vo varovacích hláškach chyba.

Na to prisel tak, ze narozdil od nekoly pouziva mozek ...

Jistě že jsou chyby certifikátu podstatné - ale jen u minima webů. Jestli je chyba certifikátu na Rootu nebo iDnes, tak to je nanejvýš další připomínka, ať jejich informacím slepě nevěřím, ale proč proboha by měl prohlížeč reagovat blokujícím způsobem? Ať třeba vysvítí adresu červeně a dá k ní vykřičník. Ale ne, on stránku nezobrazí a místo toho vyhodí hlášku, že web není důvěryhodný a že pokud si ho chci přesto prohlédnout, tak musím udělat to a to a to; tím ovšem uživatele učí, že kdykoliv a kdekoliv dojde k chybě certifikátu, tak je potřeba udělat to a to a to a "tím problém zmizí". Ve výsledku to bezpečnost na webu snižuje, ne zvyšuje. (A to se ani nebavíme o tom, jak je současné pojetí certifikačních autorit fundamentálně špatné.)

Na druhou stranu chápu vývojáře, že nejsou ochotni vzít to bezpečnostní rozhodnutí na sebe a případně se za to zodpovídat, a také chápu, že není jednoduchá cesta, jak určit, kterých pět webů je těch důležitých, kde to varování fakt má být důrazné. Na tvůrci webu to nechat nemůžeme, jak je vidět na HSTS.

Ono by vůbec bylo fajn, kdyby:
1) Doménový záznam v DNS 1. řádu by byl podepsaný registrátorem na jméno toho, komu doména patří (stejně ho ověřuje, už jenom kvůli platbě za doménu).
2) Doménu nižšího řádu by byl podepsaný vlastníkem domény vyššího řádu.
2) DNS dotaz (šifrovaný) předával veřejný klíč pro https, který vygeneroval provozovatel webu.
3) Veškerá komunikace po https, http se nepoužívalo (pro konfiguraci offline systémů používat jiný protokol, stejně na to http+html není nejvhodnější).
4) Pokud by certifikát jenom expiroval, prohlížeč zobrazí varování, po kliknutí lze pokračovat.
5) Pokud certifikát nesedí, natvrdo error a nenačíst stránku.

Timhle si nadelas vic problemu nez uzitku. Vsechny certifikaty by meli byt na serveru, ktery muze byt 24h online. Tudiz ma pro pripad vypadku a nekolik klonu po republice, svete. Kdyz jsi server s weby uzivatelu a mas jich tam 1000, nemuzes si dovolit, aby kvuli chybe certifikatu nesel uzivatelum web.
A tez by bylo snadne to hacknout, kdyz ti staci jeden server certifikat znat.

Browser ma proste by default drzet hubu, a jak pises, maximalne podbarvit adresu cervene s tim, ze je/muze byt neco spatne. A presne stejne se ma chovat zcela bez ohledu na typ problemu - at uz selfsign, expirace, sifrovani, ...

Pak ma uzivateli UMOZNIT nastavit nejake zcela konkretni weby jako ty, kde ho bezpecnost vazne zajima, a k nim priradit pripadne zcela konkretni certifikaty/au­tority/... a na takovy web by prozmenu browser nemel uzivatele pustit vubec, pokud nesplnuje nastaveny pravidla.

Vyvojari by se meli zodpovidat tak maximalne ze svyho kretenismu, protoze to je stavajici stav. Prave sem konfiguroval diskovy pole a musel sem si kvuli tomu instalovat asi 5 let starej browser, a k tomu 5 let stary javy a flashe ... abych se k tomu vubec dostal.

No to ani moc není, pokud na ten web potřebuju jít, tak mi stejně nezbývá než to ignorovat a přidat vyjímku.

Tak zrovna s certifikaty nebyva tolik problemu, vetsinou to jen znaci to, ze se na pc vyresetovalo datum. Nebo ze je nejaky maly provozovatel napriklad voip zapomnel prodlouzit. Taky s tim casto ma problem statni sprava.
Spis mi prijde, ze dnesni weby jsou agresivni. Treba zobrazi reklamu pres celou obrazovku a vypinaci tlacitko je velmi nevyrazne, obcas uplne chybi. Nebo nektere weby klidne v dnesni dobe zavedou prihlasovani pop-up oknem. Proste si clovek zvykne, ze mu furt neco brani v kyzene cinnosti a musi to furt rusit... tak proste bezpecnostni hlasu prehlidne.
Hesla jsou takovy korporatni alibismus.. dame je co nejslozitejsi a kdyz bude prusvih, tak to mame na koho svest. Ze si kazdy zamestnanec ma udrzovat ruzna hesla do 10 ruznych systemu a neustale je podle ruznych pravidel menit, nikoho nezajima.

Napríklad tie trezory v cloude na heslá a podobné neduhy. Alebo rovnaké heslá všade. Tak sa nečudujme,že useri na vyrovania zvysoka se***. JE TO LENIVOST - SI PRECITAT VYROVANIA A TROCHU GOOGLIT ZE CO TO VAROVANIE ZNAMENA - ZABRALO BY TO PAR MINUT. Ale useri na to kaslu a potom su dni bez PC a este musia platit komplet reinstalaciu systemu alebo plakat nadtym ak im ransomware zablokoval fotky z dovolenky. Ach jaj. Netrpezlivost a lenivost.

Vsechno navic zabere jen par minut... Tamto 3 minuty, tamhleto 10, jeste tamto 5, toto si taky musime precist, jinak se nedostaneme dal, tak dalsich 6. Ano .. jedna vec trva par minut, jenze to neni bohuzel jen jedna samotna vec, ale tech veci je uz tolik, ze clovek aby se dostal k tomu k cemu se dostat chce, 24 minut resi debiloviny, ktere ho nezajimaji. A to prosim jsem clovek ktery se it zivi ale i z pozice BFU tohle naprosto chapu. To je totez (kdyz odbocim) jak systemd v linuxu. Kvuli vecem, ktere drive fungovaly v pohode, ted musis udelat tamto, toto, ono, pak protoze se to nechova dle ocekavani, sahodlouze hledas na googlu a dojde to k tomu, ze se na systemd a jeho udajne vyhody proste vykasles a nainstalujes devuan a jedes v poho jako doposavad a mas nove verze vseho, od jadra, pres drivery pres software kolem toho. Proste mozna napady jednotlive dobre, ale jak se to nakumuluje tak je to na posr*ni. Aneb cesta do pekla je vdy dlazdena dobrymi umysly. Obzvlaste je to videt u tech, kteri nedokazou spravne trefit hranici tech dobrych umyslu.

Svět se mění, z toho není ráda
Má pocit, že ji nikdo nebude krejt záda

Už to není dobré miesto, z tohto sveta musím ísť lebo
Ozaj mám toho dosť