Vlákno názorů k článku
Připravovaný Chrome 70 odřízne Symantec a s ním řadu certifikačních autorit
od Petr - Ještě pár let se bude takhle pomalu vařit...
-
Petr (neregistrovaný)
Ještě pár let se bude takhle pomalu vařit žába a přecházet na nucené šifrování a pár "správných" certifikačních autorit a pak google tyhle autority koupí a defacto bude rozhodovat o tom, zda se bude stránka zobrazovat, nebo ne. A kruh bude uzavřen - faktický monopol nad vyhledávání, prohlížeč, certifikát, vše v rukou jednoho subjektu. Což se bude rovnat přetvoření internetu v googlenet.
-
A.S. Pergill (neregistrovaný)
Obávám se, že 90 procent a něco webů, které sedí na https, by šifrovat nemusela.
Tohle by mělo být vyhrazeno jen na IT bankovnictví a pár dalších podobných oblastí. V podstatě ani stahování linuxových programů nemusí být na https, protože balíčky jsou nezávisle autorizované podpisy organizátorů distribuce. -
Ondra Satai NekolaZlatý podporovatelProč lidé opakují tuhle hloupost pořád dokola? Https není jen o utajení, brání nodům na cestě data měnit.
Do stránek nad http ti může provider dávat reklamy (tracking, malware..). Seznam balíčků na http může být změněn a neobsahovat nejnovější verze se security updaty....
-
A.S. Pergill (neregistrovaný)
Jenže opravdu platí to, co jsem uvedl, v naprosté většině případů je taková činnost, jakou popisujete, nesmyslná. Tj. pánové s černými klobouky by si tím nevydělali ani na slanou vodu.
Druhou věcí je to, co už tu napsali jiní:
Nemohu se dostat na web protože obskurní hlášení o systémové chybě = přidám výjimku nebo použiji prohlížeč, který tu bezpečnost tolik neprožívá. Např. populárně vědecký web www.osel.cz je na http, takže mi Mozilla pokaždé, když se přihlašuji do diskuse blekotá cosi o nezabezpečené komunikaci, ale protože to v praxi nic neznamená, tak to ignoruji. A pokud by mi přístup odepřela, sáhnu po jiném prohlížeči. Pro praxi zcela bezcenné šifrování v tomto případě (a mnoha dalších) neřeším. -
null null (neregistrovaný)
@A.S. Pergill
Nejprve bys ale měl stanovit pojmy na kterých stavíš své tvrzení:
"pánové s černými klobouky" - Velmi úzká skupina s velmi malou četnotí kterou vezmu jako průměrný vzorek
"v naprosté většině případů" - osobní zkušenost oproti miliardám uživatelů
"v praxi to nic neznamená" - ještě se mi nic takového nestalo -
Filip JirsákStříbrný podporovatelVycházíte z mylného předpokladu, že HTTPS slouží jen k utajení přenášených dat, jenže ono slouží i pro zachování jejich integrity. Chcete číst články, které publikovali autoři na Osel.cz, a nebo chcete číst něco, co tam podvrhne někdo jiný? Pokud to první, potřebujete HTTPS. Případně vám do těch článků může někdo přidávat reklamu, JavaScriptový kód, který se bude pokoušet útočit na váš domácí router atd.
Nepoužívat HTTPS má v jediném případě – kdy vám je úplně jedno, jaký obsah dostanete. A v takovém případě vůbec nepotřebujete komunikovat se vzdáleným serverem, můžete se začíst do
/dev/random. -
A.S. Pergill (neregistrovaný)
Vycházím z jednoduché úvahy, že totiž na podvržení / změnění článku na osel.cz se nedá trhnout tolik peněz, aby se do toho vyplatilo jít. Reklamu, javascript a podobné věci lze řešit (a také se řeší) jinak, např. nastaveném bezpečnosti prohlížeče a OS.
Druhou věcí je, že to není tak dlouho, co se stal těžký průšvih s bankovním malware, které bylo v oficiálním úložišti balíčků pro Android, pochopitelně patřičně vybavené autentizačními podpisy a šířené přes https. Z čehož plyne, že https (ale i třeba používání autentických balíčků na instalaci a upgrade) je v principu neschopné zajistit bezpečnost, jen ukolébá uživatele jejím předstíráním.
Mimochodem, pokud se s tím Oslem spojím z různých strojů a přes různé připojení, pak by mě mělo varovat i to, že na něm budou zobrazovat různý obsah.
-
Ondra Satai NekolaZlatý podporovatel
Připojovat se z různých strojů... to je fakt systematické řešení. To bys měl publikovat jako RFC.
-
Ondra Satai NekolaZlatý podporovatel
...a kontrolují si, zda přibyly nějaké JavaScripty nebo sledovací pixely...
-
j (neregistrovaný)
Uz se stalo ... nebo ty si zaspal. Guggl si prosadil nesmysl na tema seznam vsech vydanych certifikatu. Jen otazka casu, kdy stranku ktera nebude v seznamu neotevres. A zabije tim hnedle hejno much. Jednak mas pekne pokupe seznam vsech webu (casem i tech verejne nedostupnych), druhak mas pekne na jednom miste informaci o kazdym jednom uzivateli libovolnyho browseru kterej tuhle pitomost implementuje (chrofox zcela jiste). A zatreti, muzes (za prislusnej obulus) pekne prodavat moznost certifikat kdykoli komukoli podvrhnout.
A osladej si to tim, ze budes povine pouzivat kokotinu na tema dns over http. Takze ti s tim certifikatem budou moct naservirovat i prislunny IP subjektu kterej si zaplati.
Proc myslis, ze neimplementujou DANE. Protoze to by slo vse zcela mimo ne... a predevsim by to bylo realne bezpecny.
-
Guest (neregistrovaný)
Pěkné pohádky a katastrofa možná tak jen pro bfu vašeho typu. Kdo bude chtít, dostane se i na "nedostupné" stránky, ono existuje více prohlížečů než firefox, chrome a edge. Takže se jen u https stránek schválí nedůvěryhodný certifikát, a nebo by vznikla nezávislá certifikační autorita.
-
Petr (neregistrovaný)
A kdo ti asi takhle odstřihnutej web bude provozovat? Nad tím si se asi nezamyslel. Já se bavím o tom, že si ještě nedávno někdo mohl založit nějakou stránku třeba o šití ponožek dal jednorázově peníze a jel. Nepotřeboval žádné platformy, periodické platby apod..
Až bude vše zcertifikované, ochromované a nevyhledatelné tj. nebude to splňovat standardy googlu tak ten web bude prostě pro svou cílovku neviditelnej. Ostatně co se týče vyhledávání tak tam už jsme, ale ještě pořád spíš kvůli konkurenci. To co se děje teď je zvětšování technologických bariér.
