Vlákno názorů k článku
Platnost HTTPS certifikátů uživatelem přidaných CA je prakticky omezena na 2 roky od Wasper - A pak se člověk diví, že na ILO...

To, že je admin rozhraní dostupné je z admin VLAN neznamená, že nemůže být schované z reverzní proxy. Na tom, že to rozhraní nemá veřejnou doménu, nic samozřejmého není. To, aby ta reverzní proxy běžela jinde, než je zařízení, které přes ni chcete administrovat, se jeví jako dobrý nápad, který snad napadne každého. No a pokud by to nebylo možné, pořád je tu ta možnost v případu nedostupnosti kontaktovat ten server přímo a vyřešit ten nedůvěryhodný certifikát. Akorát tedy není dobrý nápad dávat tomu certifikátu platnost shodnou s odhadovanou životností železa, chce to mnohem delší platnost. Aby vás nezaskočilo, že ten hardware přežije déle.

"Tak zrovna pri ILO"

Kdybys tomu rozumel, pouzivas http ... to je prece mnohem bezpecnejsi a zadnej browser proti tomu neprotestuje.

Vsak uz ted znam osobne 10+bfu, kteri pouzivaji stary browser, jednoduse proto, ze s tim aktualnim se na nejakou z tech domacich krabek nedostanou. A naprosto klidne z nej lezou i na verejny web, protoze oni si to prece nerozbili, rozbil jim to ten ... t, co vyviji browser....

A maji zcela 100% pravdu.

Podotykam, ze set starych verzi ruznych browseru pouziva dnes kazdej admin, protoze se bez toho nedostane ani k administraci firemniho HW. A je to cim dal horsi.

Me teda prijde podstatne bezpecnejsi pouzivat aktualizovany prohlizec a v nem povolit legacy crypto algoritmy. Stejne tak jde nastavi treba i nova Java - to ze neco "nefunguje" je casto jen dusledek vychozich konfiguraci a nikoliv toho, ze by to nutne z kodu fakt zmizelo. Aneb i dnes opravdu neni problem se pripojit novym prohlizecem na vec, co umi jako svuj vrchol kryptograficke "slavy" algoritmy typu DHE-RSA-AES256-SHA nad TLS1.0 (zde se bavime o praktickem prikladu vraku z roku cca 2010). Ale chapu, je to "moc prace" se nad tim trochu vic zamyslet, procist si trosku dokumentaci a prizpusobit nastaveni mistnim podminkam. Ale admin, ktery ale tohle nezvladne by si radsi mel najit jinou praci.

Ty toho nechapes... sifrovaci algoritmy jsou jen nepatrna soucast vsech problemu. A ukaz mi, kde si v chromu/foxu bfu uzivatelsky neco takoveho zapne ... kdyz tam uz ani nejde nikde nastavit, aby se defaultne nenacitalo po spusteni nic a je na to treba instalovat addon ... lol.

A japa si uzivatel nastavi, ze vazne chce ignorovat to, ze ten certifikat je uz 20 let expirovanej. Jo ja vim, ma zahodit tu krabici (treba ovladani kotle) a za 100k si koupit novou. To aby ji za rok moh vymenovat znova.

Rec je ale o adminech, ne o radovych BFU. A admin by nemel mit problem s tim otevrit about:config... a pokud v tom kotli nejde ani vymenit certifikat, tak je tam neco hodne sakra spatne uz v jejim navrhu ;-) Pokud si takovej ausus kupujete, je to vas boj.

Nějaký certifikát je na kotli naprosto nepodstatný detail. Druhá část je samotný výběr neaušusového kotle. Protože poločas rozpadu různých bezpečnostních doporučení bývá občas kratší než záruka. A v porovnáním s morální životností nějakého normálního kotle už to začíná znít spíš jako špatný vtip.

Zrovna v tomto se orientovat clovek muze treba podle toho, jestli vyrobce toho kotle poskytuje nejake aktualizace. Pokud prodava "smart" kotel a pritom nikde ani nejde stahnout zadny update software, tak by to melo byt varovani samo o sobe - tech problemu tam casem muze byt vic nez jen expirovany certifikat. A predstava, ze si BFU bude resit nejakou segmentaci sve domaci site a firewalling mezi segmenty je take tak trochu z kategorie sci-fi, ze? ;-)

"Zrovna v tomto se orientovat clovek muze treba podle toho, jestli vyrobce toho kotle poskytuje nejake aktualizace."

Tys nekdy vzivote provozoval byt jen zarovku? Kazdej totiz sni o tom, ze uprostred zimy se mu opatchuje kotel, a prestane topit. Vsak uzivatele Turise si to mohli vyzkouset hned nekolikrat ze?

Pokud se vubec tyhle veci patchujou, tak vyhradne v situaci, kdy neco vazne nefunguje vubec, nebo opravdu hodne spatne. A typicky si na to musis zavolat servis. Pricemz mas tak 50% ze ti rovnou vymenej celou elektroniku, protoze je to jednodussi nez neco nekde patchovat. Je to mesic, co mi takhle vymenovali kompletne krabku na tankovacce. A bylo to kvuli aktualizaci SW, ktery zapricinoval, ze to ve zhruba 30% pripadu odmitalo tankovat ...

No tak revize a cisteni kotle taky typicky nechcete delat v puli zimy, ze? ;-) Tak proc to nespojit s aktualizaci firmware, ty zarovko. Ze se stalo bezne na to kaslat neznamena, ze to je v poradku.

Protože při revizi nechcete riskovat, že něco rozbijete. Navíc se ta aktualizace taky nemusí projevit hned.
Od STKčka taky nečekáte, že vám aktualizují firmware v autě, že?
Vyvíjet firmware tak, aby byl podobně spolehlivý jako zbytek toho kotle, je šíleně drahé. A rozdíl nejspíš poznáte až dávno po tom, co toho poctivého výrobce převálcuje konkurence.

STK neni servis. A cisteni kotle nemuzete prirovnat k STK, ale prave k navsteve autoservisu. A tam vam ten firmware aktualizuji. A nektera auta uz dnes zvladaji i OTA updaty. Samozrejme se nebavime o vasi ctvrtstoleti stare Felicii :-)

"A tam vam ten firmware aktualizuji."

Ne

V servisu aktualizuji SW auta pouze v pripade, ze to po nich chce vyrobce. Alternativne, pokud si to vyslovne (a na vlastni riziko) vyzada zakaznik.

Na dalku se neakualizuje SW auta, ale tak maximalne SW entertaimentu, ktery kdyz chcipne, tak to auto bude jezdit bez nej. A je tam vzdy s 30 vykricniky napsano, ze se prave to muze stat. Presne stejne jako u vsech ostatnich firmware ze? Biosy a dalsi komponenty kazdeho PC, ze?

Jasne, treba takova Tesla jezdi s tim, s cim vyjela z fabriky. Tak nyni jeste tu pohadku o Karkulce, at to mame komplet... dekuji ;-)

Tesla je známá tím, že spoustu věcí dělá úplně jinak než tradiční automobilky. A taky díky tomu řeší (a majitelé tesel taky) trochu jiné problémy : https://www.reuters.com/legal/tesla-owners-sue-over-impact-software-update-ev-batteries-2023-05-12/

Tak jestli je to z důvodu, že dodatečně zjistili, že může baterie začít hořet, tak ať mi trochu kapacitu sníží. USA vlastníci aut od koncernu VW by mohli vyprávět (taky se jim snížil výkon, aby dodatečně splňovaly limity). Vlastně vlastníci aut koncernu VW by byly rádi, kdyby updaty už konečně fungovaly vzdáleně.

Vlastnikum aut VW v US byla (narozdil od tech v EU) nabidnuta 100% cenova vratka, bez ohledu na stari/najete km. Spousta z nich to samozrejme vyuzila, protoze jen blazen by nevymenil klidne i jen 1/2 roku stare auto za nove.

Kazdy je urcite povine nadsen z toho, ze si koupil kubikovou nadrz, do ktere se po aktualizaci vejde jen 500l ...

Snížení výkonu motoru a zmenšení kapacity baterie bylo daleko k polovině. A ano, jistě, proč nevyužít nabízené možnosti. Tady v EU dýcháme pěkný sračky kvůli VW a pravidlům, které v EU prolobovali. Např. https://twitter.com/diagon_swarm/status/1692614214588731609

Tak se hlásím k bláznům. Aby mě znova brali na hůl na kontrolách. Nehledě na ty další věci, co se u toho mění. Pokud někdo najede za půl roku tolik kilometrů, tak to ještě chápu.
Navíc riskovat, že auto co funguje dobře půl roku nahradí horší kus, no nevím.

A revize taky není servis. Ta je srovnatelná právě s tím STKčkem. Nějaký pravidelný servis kotle po vás nikdo nechce, stejně jako po vás nikdo nechce pravidelný servis auta v autorizovaném servise.

"Rec je ale o adminech,"

Ne , neni

"Vsak uz ted znam osobne 10+bfu"

BFU na nejake iLO nepoleze :-) A ze admin svou praci nedela poradne je jinej pribeh. Aneb mozna byste si mel namisto vykecavani na rootu jit vymenit certifikaty... :P

BFU si chce nastavit ten kotel, chce si otevrit garaz, rozsvitit si ve sklepe, zkontrovat kameru ... a na to vsechno ma doma i desitky vsemoznych krabek, ktere typicky maji nejake http(s) rozhrani, ktere ovsem typicky umi tak maximalne 3des, a vymena certifikatu obtasi obrad krvave magie za uplnku a lidskou obet.

Proc by to mel delat?