Vlákno názorů k článku
Odteď jsou pro Chrome všechny HTTP stránky ne-bezpečné
od Viktor - Tvůrci informačních systémů úplně zapomínají na MaR. Mohou...
-
Viktor (neregistrovaný)
Tvůrci informačních systémů úplně zapomínají na MaR. Mohou existovat např. embedded zařízení na HVAC LAN. Ne všude je možné dostat HTTPS server a pravidelně generovat nové certifikáty. Nemusí tam být přístup ani na web, neexistuje doménové jméno atd. Ne všechno je na netu. Ale internetový prohlížeč si bude stále stěžovat a časem možná zahodí podporu HTTP úplně.
-
Filip JirsákStříbrný podporovatelNezapomínají. Akorát neexistuje žádný důvod, proč by se o tahle zařízení musel starat zrovna standardní webový prohlížeč.
-
Trident (neregistrovaný)
A proc ne? Vzdyt monitoring delaji hloupi uzivatele(vratnej, bydlenka s detma doma, lojza prazak ze zizkova...). I na spoustu prumyslovych aplikaci to staci jako zalozni pristup vedle tlusteho pro nejakou SCADA centralu. Proc by mel user instalovat nejakyho dementniho tlustyho platformne zavislyho klienta na to aby zjistil ze kotel nema tlak a ktery cislo chyby+konfigurace kotle rict technikovi aby vzal nahradni dil ? Nebo ze prijede o trochu driv a tak poupravi vytapeci schema ci nastaveni mistnosti. Proc resit HTTPS ve sve duveryhodne siti kterou mam plne pod kontrolou nebo kdyz potrebuji diagnostiku? Kdyz tam se mi nekdo napichne tak mam mnohem vetsi pruser.
-
Filip JirsákStříbrný podporovatel
Protože se tím zásadně snižuje bezpečnost celého webu. Pokud to opravdu někdo takhle potřebuje, ať si to zařídí pro svou potřebu, ale nemusí tím obtěžovat celý internet. Aspoň to třeb akonečně povede k tomu, že to samotné zařízení bude komunikovat nějakým jednoduchým protokolem, který ten čip v něm v pohodě zvládne, a vedle toho bude normální web server s pěknou obslužnou webovou stránkou, který bude se zařízením komunikovat tím jednoduchým protokolem.
Ten váš dotaz, proč by měl někdo něco instalovat, je totiž stejný, jako dotaz, proč by měl vrátnej při pravidelných obchůzkách zadávat PIN k trezoru a čekat na časový zámek, když mu můžeme do trezoru udělat boční vchod jenom pro něj normálně na FABku. Ano, udělat to jde, ale pak jaksi celý ten trezor ztrácí smysl. Takže asi bude potřeba to udělat opačně – zachovat funkci trezoru, a vymyslet, co s tím okrajovým případem v podobě vrátného. Jestli třeba na těch obchůzkách opravdu musí do trezoru lézt.
On ten současný stav, kdy do toho kotle nějaký topenář spíchne něco-jako-http-server, kde se spouští nějaké šílené CGI skripty děravé od začátku do konce, které vytvářejí šílené webové rozhraní, které stejně funguje v jediné verzi prohlížeče v jendé lokalizaci, má k ideálu taky hodně daleko. Říká se, že nejnebezpečnější člověk je programátor s pájkou, ono to ale o elektro inženýrech s kompilátorem platí úplně stejně.
Mimochodem, tu bydlenku s dětma doma a Lojzu pražáka ze Žižkova, kteří mají doma důvěryhodnou síť, kterou mají plně pod kontrolou, to jste myslel vážně?
-
A.S. Pergill (neregistrovaný)
Tohle se do jisté míry vztahuje k tomu, co jsem napsal výše: Pokud bude net bydlenek s dětma a Lojzů pražáků ze Žižkova oddělený a bude se všeobecně vědět, že na něm nejsou žádné bankovní a jiné choulostivé weby, tak bude také silně neatraktivní pro kohokoli, kdo by se do něj chtěl vloupat. Hackeři, co se do sítí vloupávali ze sportu, už buď vymřeli nebo zmoudřeli a ti zbývající vám to dělat nebudou, když z toho nebude prakticky žádný zisk.
-
Petr M (neregistrovaný)
Jenomže zlýmu hochovi je jedno, jestli je tam Lojza nebo Pepa. On vidí IP adresu a chce prachy.
- zkusí to zašifrovat a žádat výkupný
- zkusí z toho dostat nějaký zpeněžitelný informace typu login k PayPalu
- zkusí to zasadit do botnetu a prodávat DDoS as a service
- zkusí na tom rozjet těžbu bitcoinůPokud je dnu z těch věcí splní (a minimálně třetí a čtvrtou odrážku splní určitě), tak je zajímavý cíl. A ta čtvrtá věc, ta jde mimochodem udělat i tak, že někde cestou přibalí do nezabezpečené http stránky kousek JavaScriptu... Ani se nemusí lámat do sítě. Blblý, co?
-
Trident (neregistrovaný)
To ze jses paranoidni neznamena za po tobe nejdou. Kazdy se da vydirat... je jen otazka jak obtizne a co s toho ziskam. Statni instituce s tim maji velke zkusenosti.
Ale ne pres kotel nebo ovladani klimatizace... Koneckoncu vzdycky je mozne vytrhnout kabel, dat manual override a dat si par facek za nezabezpecenou sit.
Tohle neni spinani rozvodny pro pul mesta. Tam ty facky fakt boli. A dost lidi...Opet pro natvrdle. Zabezpeceni adekvatni reseni. Pokud vim ze me nekdo realne muze vydirat tak zmenim zabezpeceni na vyssi.
-
Trident (neregistrovaný)
No ITak napichnuty ke statni sprave s ultimativni moznosti skodit to taky koukam nema jednoduchy...
Duveryhodnou sit jsem myslel vazne. Jde o to zda-li je mira zabezpeceni a asociovana udrzba adekvatni aplikaci. Ono jde o tom jak clovek nastavi cely system.
Nikdo nerika ze ten kotel se pripoji primo do internetu idealne s verejnym odkazem na facebooku aby mel shodan mene prace... Samozrejmosti je pripojeni dratem+ pokud chci z venci pristup tak VPN koncentrator+firewall a idealne vyhrazena VLAN. Tj. to co ma kdejaky lepsi domaci routerkrap te bydlenky nebo toho lojzy.A pokud jsem paranoidni tak pouziju stineny kabel,hlidani naruseni/zkratu zil (umi uz dnes kdejaky PHY interface) nebo optiku kde je napichnuti neni nemozne lec slozitejsi.
-
Filip JirsákStříbrný podporovatel
To je hezké, že byste pomalu ke kabelu postavil chlápka se samopalem, ale pak do téhle super-bezpečné sítě pustíte starý webový prohlížeč, který bude přes HTTP něco stahovat z internetu. Víte, největší bezpečnostní riziko není ten kabel mezi počítačem a kotlem. Největší bezpečnostní riziko je ten webový prohlížeč.
-
Trident (neregistrovaný)
Pokud jde o bezpecnostni riziko prohlizece, tak po jeho napadeni uzivateli zadne HTTPS nepomuze uz tuplem. Po jeho napadeni muzes s prohlizecem delat vsechno a analyzovat i rozsifrovanou komunikaci nebo ti muze nekde skodit jinde. A to i pres to ze budes mit HTTPS jen s certifikaty kterym duverujes.
To uz pak muzeme prestat verit operacnimu systemu,vsem dalsim knihovnam atd.A rozejit se muzeme s tim ze kotel by vubec nemel mit zadny pristup a uzivatel-bezny lojza by mel ovladat jen zapnuto/vypnuto protoze ani HTTPS nic neresi. Na vsechno ostatni by mel prijit technik se specialne certifikovanym notebookem ministerstva vnitra a nastavit vse specialne certifikovanym softwarem na upravenych certifikovanych windows. Kotel by se musel zapojit pres specialni trafo aby nemohl treba leakovat udaje pres rozvodnou sit nekam ven a nedej boze abys posilal jeho seriove cislo smskou protoze to by mohlo ohrozit zajmy tohoto statu a narodni bezpecnost... Kotel by musel byt plne odstineny od komunikace s vnejsim prostredim aby nedejboze nemohl nekdo zjistit na kolik topim a jake jsou otacky cerpadla.
-
Trident (neregistrovaný)
Jde. Ale to by nekdo musel umet cist neb to je uvedeno vyse. Nemuzes tahat TCP/IP az nekam ke stykaci nebo k na rameno jerabu presovajiciho palivove tyce.. A porad to jde tezko primo k nejakemu PLC. Ale je jasne ze nad tim udelas nejakou takovou proxy.
Nicmene nezapomen na to ze ti ji porad musi nekdo spravovat, updatovat tls/ssl stack (tim spis pokud je tam u jeje bejby openssl), updatovat certifikaty, menit nastaveni sifrovani...Pokud budes potrebovat neco opravit za tou proxy jak to opravis kdyz te prohlizec posle do kopru? I presto ze mas jistotu ze cesta je bezpecna? Fakt bych chtel vedet jak nekdo vleze do bunkru ministerstva obrany a mezi serverama v racku tam bude poslouchat http komunikaci nebo zacne uvnitr natlakovanyho plynovodu cachrovat s optickym kabelem...
To je fakt problem kterej na te urovni podpory resit nebudes a nechces. Nehlede na to ze nektere podniky / statni instituce typicky duveruji jen svym internim certifikacnim autoritam takze k tomu mas dalsi administrativni opruz.Nerikam ze se to nehodi - sam mam https kde to jde a nema to jine neblahe dusledky, jen, rikam ze direktivni narizeni neceho vsem je spatne.
-
Petr M (neregistrovaný)
Sorry, já nevěděl, že u proxiny musí 24/7 sedět chlápek, co se co 10 minut připojí po SSH, napíše "update" a zmáčkne Enter. A mezi tím bude 3x denně měnit šifrovací protokol a 5x denně klíče.
Klíče od LE se mění samy a neplatiš za ně (zázrak!). Protokol má nějaký životní cyklus a typicky je to třeba 10 let bezpečný, pak se oznámí, že bezpečný není, ale vzhledem k update cyklům SW se to začne řešit za rok a dřív jak za tři roky to nikdo nevyhodí. Bepečnostní update stačí (v případě možnosti lokálního ovládání) 1x týdně a pokud tam je závislost, tak při servisní odstávce.
A pokud je nejhůř a potřebuješ se píchnout kabelem za proxinu, jsi fyzicky na místě toho stroje. Co ti brání dojít k němu a pořešit to lokálně na jeho ovládacím terminálu?
-
Trident (neregistrovaný)
Je takove reseni s minimalni obsluhou na cca 15-30 let? Tj do dalsi rekonstrukce? Nebot takova je zhruba zivotnost TZB kterym se ta proxyna automaticky taky stava.
Udrzba je cca 1x do roka pri navsteve na cisteni/revizi. Casto je bez plneho pripojeni k internetu.
Realne management se na to vykasle 10 let a poveri tondu cistenim. Pak se bude divit proc ma "proxynu" napadenou... Mezitim vyrobek ani firma uz existovat nebudou.A s tim chlapkem 24/7 mas v podstate pravdu.
Musi tam byt aspon dohled(pokud je mozny a neni to uzavrena sit) a zarucena vymena dilu. Protoze to dodavas jako reseni a ne jako "lojza z budky s business planem trhni a zdrhni".LE a navazana reseni nemusi byt z hlediska firmy poskytujici udrzbu duveryhodna takze si to musi oskriptovat sami. Jak vis ze LE bude existovat za 20 let?
Fyzicky uz se nikam nepichnu, protoze v te dobe chromajzl a mozna i dalsi prohlizece nebudou umet HTTP vubec. Takze budu muset drzet nejakou historickou obludu. O tom to je. Takze mi zas zbyde tam pripojit seriovy kabel...
-
Jenda (neregistrovaný)
> Fakt bych chtel vedet jak nekdo vleze do bunkru ministerstva obrany a mezi serverama v racku tam bude poslouchat http komunikaci nebo zacne uvnitr natlakovanyho plynovodu cachrovat s optickym kabelem...
A tohle jsou typické scénáře, ve kterých se hodí používat běžný webový prohlížeč určený pro prohlížení Roota, ebankingu, Alzy a Fejsbůku.
// wtf. Tahle diskuze není o tom, že by ti někdo zakazoval používat HTTP. Prostě stejně jako dneska máš SSH pro správu velkých a bezpečných serverů a telnet pro totéž u věcí co nic jiného neumí, tak budeš mít browser pro web a jiný program pro plynovody.
-
Trident (neregistrovaný)
1. Testovani prohlizecem je uplne bezne. Tim spis pokud potrebuju odladit problem pred SSL/TLS boxem nebo balancerem. Holt aby browser mohl vubec technik pouzivat bude si ho muset v budoucnu predtim poradne ohackovat:(
2. Ta diskuse JE o tom ze by mi v budoucnu nekdo direktivne bez znalosti prostredi zakazoval pouzivat HTTP k cemuz to touto politikou speje. Tez to ze lezu pres HTTP neznamena nutne ze kazde spojeni je ne-zabezpecene. Jen ze je s nejvetsi pravdepodobnosti neni zabezpeceno na spojeni z prohlizece. Kde ale bere prohlizec odvahu hodnotit zabezpeceni meho prostredi?
HTTP uplne zakaze chrome,zakaze firefox,zakaze mrkev a pak uz mi zbyde jen ohackovat si to do doby kdy to pujde. To neni boj za bezpecnost. To je boj proti uzivatelum.
-
Filip JirsákStříbrný podporovatel
Holt když se někdo rozhodl používat hack a k nastavování kotle nebo něčeho takového používat webový prohlížeč, je na něm, aby si ten hack udržoval v chodu, použil jiný hack a nebo použil nastavovátko kotle. Já nechápu, kde vy berete odvahu tvrdit, že autoři webových prohlížečů mají kašlat na to, jak se s nimi prohlíží web, a mají se starat hlavně o to, jak se s nimi nastavuje kotel.
Prohlížeč zabezpečení vašeho prostředí nijak nehodnotí. Prohlížeč poskytují autoři proto, aby lidé měli čím prohlížet web. Pokud vy prohlížeč používáte k něčemu jinému, je to váš problém, ne problém autorů prohlížečů.
Že autoři webových prohlížečů způsobí problémy uživatelům nastavovátek kotlů, to je nemusí moc zajímat, protože pro ně jsou důležití uživatelé webového prohlížeče.
-
Aby ne... Mate tam malo javascriptu, malo gigahertzu/gigabajtu/terabajtu v kazdym ohledu a jeste ke vsemu nechapete, jak to Google se vsema mysli dobre ;)
Neni dostatecne moderni nad vecma premejslet a ptat se, jestli jakykoliv akce zrovna tyhle firmy nahodou nejsou ke skode cely veci, nez ku prospechu.
Juchu, bude se siftovat, parada, mas mit nasazenej Let's Encrypt, taky neni vubec na miste se zamyslet, jestli nahodou neco nesmrdi, kdyz je to v podstate jediny reseni na tyhle Guglovsky vymysly - protoze se nikdo ani nezamyslel a natoz, aby se ozval, ze jiny reseni nezbejva.
Pak tu mame HTTP Public Key Pinning, co je zase navrh z Googlu, aneb pokracujeme na vlne nekritickyho tleskani, juchu. Ze to cely vede do radne smrdici brecky, si tleskaci vsimnou, az bude prilis pozde.
Ale to je v klidu, ve svete, kde je vetsina techhle super vymyslu deployovana one-click ready-made resenima, se neni vubec ceho bat. Hlavne, ze zbejva cas na scrollovani Faceboocku - sviti tam zelenej zamecek, tak pohoda, ne? ;)
-
Filip JirsákStříbrný podporovatel
Že ostatní nad věcma nepřemýšlí, to tak soudíte podle sebe? Protože jste napsal, že je něco ke škodě věci, že jediné řešení je Let's Encrypt, že HPKP vede do řádně smrdící břečky – ale u ničeho jste nenapsal důvod, proč je to špatně. Přemýšlel jste nad tím tedy vůbec? A zvažoval jste variantu, že nad tím lidé na rozdíl od vás přemýšlí, a dospějí k závěru, že je to lepší (třeba používat HTTPS všude), proto to podporují?
-
Filip JirsákStříbrný podporovatel
Napsal jste, že HTTPS všude je spíš ke škodě věci než k užitku. O tom, že to Google tlačí jak to tlačí, jste nic nepsal. A opět, ani tentokrát jste neuvedl nic konkrétního. Že to všechny poslalo do náručí jedné CA jste taky nijak nedoložil, a vzhledem k tomu, že na webu běžně potkávám certifikáty od jiných certifikačních autorit, řekl bych, že to není pravda.
Ale hlavně se vyhýbáte tomu hlavnímu, že ostatní obviňujete z toho, že nepřemýšlí, jenom proto, že mají jiný názor, než vy – a vy sám pak svá tvrzení nedokládáte, prostě napíšete, že je něco špatně, a vůbec neřešíte, proč.
-
Filip JirsákStříbrný podporovatel
Kde přesně se v téhle větě píše o nějakém tlačení?
ptat se, jestli jakykoliv akce zrovna tyhle firmy nahodou nejsou ke skode cely veci, nez ku prospechu.
Když se důsledně vyhýbáte čemukoli konkrétnímu a jen tak mlžíte okolo, nedivte se, že pak ostatní musejí hádat, co jste vlastně myslel. A že se občas stane, že to, co jste myslel, v tom mlžení vůbec není.
-
Petr M (neregistrovaný)
Problém není to, kde se šifruje nebo ne.
Problém je v tom, že:
- Původně se ke konfiguraci používal Telnet.
- Jenomže se rozšiřovat internet a CLI bylo pro lamy složitý, tak se zneužilo HTTP a udělala se klikací web stránka.
- Pak se zjistilo, že Telnet je nezabezpečený a přešlo se 1:1 na SSH, přibylo jenom generování klíče.
- Pak se přišlo na to, že HTTP se taky nezabezpečený a přišlo HTTPS.
- Jenomže na rozdíl od SSH, kde dával přístup do uzavřenýho systému admin a nebyl pro něho všechno nastavit, pomocí HTTPS se musela dostat k datoům veřejnost bez toho, aby správce generoval každýmu klíč, tak se vymyslela hierarchie klíčů a CA.
- A teď se zjistilo, že v neveřejné síti jsou veřejný CA nepoužitelný.Řešení není vynucovat podporu nebezpečnýho protokolu, ani cpát za každou cenu HTTPS do krabiček, ale zapracovat na "secure management protokolu", který vyplní mezeru mezi SSH a HTTPS (= interaktivní nastavování + šifrování + omezení přístupu).
