Vlákno názorů k článku
Odteď jsou pro Chrome všechny HTTP stránky ne-bezpečné
od R223 - Zase další zbytečný problém. Nejvíc mě vadí, že...
-
Přezdívka: * (neregistrovaný)
Nesouhlasim s tim ze je to problem. Problem je naopak HTTP, FTP, STMP, IMAP/POP3, Telnet a dalsi.
Souhlasim ale s tim ze by meli zjednodusit import self-signed certifikatu i vlastni autority treba pro pripady zminene vyse jako jsou interni informacni system nepristupne z vnejsi site. Na to by stacil jednoduchy import self-signed ceritifikatu, vetsi firmy by tam mrskli rovnou autoritu a je vystarano.
-
Ondro (neregistrovaný)
Problem nieje s HTTP, FTP, STMP, IMAP/POP3, Telnet a dalsimi. Problem moze byt max. s ich sposobom pouzivania. Tieto protokoly stale maju svoj vyznam a pouzitie.
Predsa nie vsade a vzdy potrebujem vsetko zabezpecene a skryte pred druhymi.
To je akoby si chcel nutit davat napriklad vsade bezpecnostne dvere. Davat ich na zahradu, kde mas par ovocnych stromov a preskocit plot nieje ziaden extra problem, je nezmysel.
Alebo ako by si chcel zakazat posielat pohladnice, ktore si moze kazdy precitat a aj pozmenit na nich text.
Pohladnice su zastarale ale co je na nich zle, ked jednu poslem z dovolenky alebo ako gratulaciu k vyrociu? -
Petr Neni (neregistrovaný)
Tak jinak. Kdyz prijde sefovi email ze je kkt, muzes skontrolovat odesilatele (ip, pocitac v lokalni siti treba). U spoofnuteho emailu budes minimalne vedet ze pochazi z jineho pocitace (pokud ti ho nehackne kolega). U emailu pres http bude odesilatel sedet, akorat obsah bude jiny.
-
Filip JirsákStříbrný podporovatelPredsa nie vsade a vzdy potrebujem vsetko zabezpecene a skryte pred druhymi.
Akorát zbytečně musíte u každé věci rozhodovat, jetstli má být šifrovaná nebo nemá.A pak je tu ještě jedna důležitější věc – pokud příslušný klient podporuje i nešifrovanou variantu protokolu, je nejjednodušší vektor na ty šifrované protokoly právě downgrade protokolu na nešifrovanou verzi.
To je akoby si chcel nutit davat napriklad vsade bezpecnostne dvere.
To není moc dobrý příklad. Za prvé by ty bezpečnostní dveře musely být jen asi tak o korunu dražší, než papundeklové dveře. A hlavně tam chybí ten aspekt, že vaše použití papundeklových dveří by znamenalo, že jakékoli bezpečnostní dveře by bylo nejsnazší obejít tak, že by útočník místo nich vsadil dveře obyčejné a přesvědčil by příchozí, že ty dveře vedou na t osprávné místo.Pohladnice su zastarale ale co je na nich zle, ked jednu poslem z dovolenky alebo ako gratulaciu k vyrociu?
To, že pošta podporuje pohlednice, nemá za následek, že by bylo možné stopit dopis a poslat místo něj pohlednici. -
Filip JirsákStříbrný podporovatel
Nesmysl. Certifikát si můžete vybrat, jaký chcete. Stejně tak si můžete jako uživatel prohlížeče vybrat, jakým certifikačním autoritám budete důvěřovat. Google ten předvolený seznam naplňuje akorát pro ChromeOS a pro Android. Google Chrome používá systémové úložiště certifikátů, takže na Windows, MacOS nebo na Linuxu o tom Google nerozhoduje vůbec nijak.
-
anon (neregistrovaný)
> Nesmysl. Certifikát si můžete vybrat, jaký chcete. Stejně tak si můžete jako uživatel prohlížeče vybrat, jakým certifikačním autoritám budete důvěřovat
Nesmysl. Jak pises to funguje mozna teoreticky, praxe je sakra jina, protoze tvoje (no tvoje ocividne ne) sluzby pouzivaj i jiny uzivatele nez ty sam.
-
Filip JirsákStříbrný podporovatel
„A klidně z druhé strany“ je jiný způsob, jak říci „poprvé jsem si vymyslel něco, co nebyla pravda, tak teď zkusím něco úplně jiného“?
Svázání jedné domény s konkrétním certifikátem v prohlížeči Chrome neumí a nejspíš nikdy umět nebude. Svět webových prohlížečů se orientuje na důvěryhodné certifikační autority, takže je normální, že pro jeden doménový název prohlížeč během krátké doby potká několik různých certifikátů. Protože certifikáty mohou mít krátkou platnost, protože server nemusí být jeden ale může to být cluster nebo cloud, kde má každé zařízení svůj vlastní certifikát. Důvod, proč se web orientuje na důvěryhodné certifikační autority, je ten, že většina uživatelů certifikátům nerozumí a neví, jak je mají ověřit.
Můžete namítnout, že vy to víte – Chrome je ale prohlížeč pro většinu uživatelů, takže nebude implementovat funkce pro pár uživatelů, které by navíc snižovaly bezpečnost té většiny.
Tolik z pohledu uživatele. Na straně správce webového serveru se naopak předpokládá někdo, kdo problematice rozumí. Tam máte několik možností, jak specifikovat důvěryhodné certifikáty. Můžete použít CAA záznam, kterým určíte, která certifikační autorita může certifikát pro vaší doménu vydat. Dále můžete kontrolovat seznam Certificate Transparency a můžete posílat prohlížeči zprávu, že certifikát má být na seznamu CT.
-
anon (neregistrovaný)
> Svázání jedné domény s konkrétním certifikátem v prohlížeči Chrome neumí a nejspíš nikdy umět nebude. Svět webových prohlížečů se orientuje na důvěryhodné certifikační autority, takže je normální, že pro jeden doménový název prohlížeč během krátké doby potká několik různých certifikátů
goto "
> Akorát zbytečně musíte u každé věci rozhodovat, jetstli má být šifrovaná nebo nemá.Jestli ma byt sifrovana s pouzitim certifikatu, ktery muze vydat POUZE jedna z (ne)duveryhodnych CA (ktere si vybere google).
"Dal nezajem se s tebou bavit. Mimochodem, taky jsem vsude nasadil LE, priradil domeny k IPeckam, ktery ani domenu nepotrebujou apod., takze me by to mohlo byt jednou, ale je dobre pripomenout kdyz se nekdo silou snazi prosadit nesmysly.
Co bude priste? Jen IPv6? :-D
-
Filip JirsákStříbrný podporovatel
Svázání jedné domény s konkrétním certifikátem v prohlížeči se týká koncových uživatelů, HTTP klienta. Rozhodování o tom, zda se HTTPS nasadit má nebo nemá, dělá správce webového serveru. Až si přestanete plést klienta a server, možná leccos pochopíte.
Že je HTTPS nesmysl tvrdíte vy. Já zase tvrdím, že nesmysl je webový prohlížeč s podporou HTTP. Google podle vás má zřejmě takové postavení, že cokoli udělá či neudělá, jde o „prosazování silou“. V jednom prohlížeči podporovat i nepodporovat HTTP nejde. Takže Googlu nezbývá nic jiného, než něco (vašimi slovy) prosazovat silou – a mohou se rozhodnout akorát zda budou prosazovat váš nebo můj nesmysl.
-
A.S. Pergill (neregistrovaný)
Na kampusu máme kvalitní dveře se sofistifikovanými bezpečnostními zámky. Vedle těch dveří je ovšem zeď, složená ze dvou vrstev papundeklu ("ani poctivý sádrokarton to není", komentoval jeden kolega situaci, kdy se mu to podařilo při stěhování nábytku po kanceláři prorazit nohou od židle) a mezi nimi je střídavě pěnový polystyrén a minerální vata. Když se proti takové zdi rozběhnu, tak si se svými 90 kily ani nevšimnu, kdy jsem jí prošel (pokud se náhodou netrefím do trubky nebo drátu).
Pro méně chápavé: "papundeklové" dveře, stojící něco mezi 1/5 a 1/10 těch bezpečnostních, by nijak bezpečnost nezhoršily.
-
j (neregistrovaný)
Jasne soudruhu, az budes konfigurovat swuj swist za 1/2M+, nezapomen si nejdriv (telepaticky) naconfit nejaky ty "duveryhodny" certifikaty, protoze konfigurace po seriaku telnetem neni dost khull.
Stejne tak az budes neco takovyho po ftpku flashovat ...
Ono je totiz dycinky nejlepsejsi udelat ty veci co nejslozitejsi, aby se toho mohlo posrat co nejvic, a v tomhle pripadne s bonusem, ze ti po 1/2 rocne tvuj .... cokoli ... na tvym PC vynada, ze pouzitej algoritmus uz neni podporovanej, a nazdar bazar.
-
Přezdívka: * (neregistrovaný)
Me se libi, jak lide co jsou proti akorat vytrhavaji veci z kontextu a pouzivaji jako argument 1% situace, kdy se absolutne nejsou schopni zamyslet.
Takze aby me ti pomalejsi pochopili. Ty protokoly jsou bez SSL problem, pokud jsou na jakekoliv siti (vnitrni, vnejsi). Je asi jasne ze kdyz se fyzicky pripojuji pres seriak, tak asi sakra nepotrebuje ochranu proti MitM ... jakoze WTF to jste opravdu tak tupej? ... Dale pak kdyz uz jsem v tom zarizeni pres telnet bez SSL pomoci seriaku, tak uz tam kvuli tomu FTP mohu hodit certifikat, jestlize chcete pouzit FTP pres sit, pokud opet jen pres seriak, tak to OPET to neni treba.
Take jsem nerekl ze by ty protokoly meli vymizet. Rekl jsem ze jsou problem. Lidi si za 20 let zvykli absolutne neresit bezpecnost a v dnesni dobe kdy se nas snazi ovlivnovat media jak muzou, je problem i pitomej clanek na blogu Ladi Hrusky bez SSL.
