Vlákno názorů ke zprávičce Root přešel na HTTPS od muf - Opera Mini má problém s certifikátem serveru. Když už...
-
Ondřej CaletkaZlatý podporovatelCože? Opera Mini ještě existuje?
Cože? Opera Mini začala řešit důvěryhodnost certifikátů?
Cože? Let's Encrypt není obecně akceptovaný certifikát? -
Jouda (neregistrovaný)
Jestli to chápu dobře, tak to není primárně pro Ovčana, aby tajně něco odesílal, ale aby vám nějaký zlořád nemohl podvrhnout například zprávičku o úspěchu Windows 10 z domény root.cz namísto zprávičky o úspěchu systemd. Bohužel za "restriktivně" nastavenými firewally to pak dělá pěknou paseku. Osobně zatím preferuji nešifrovaný přenos s rizikem podvrhnutí, než takovéto harakiri s https.
-
muf (neregistrovaný)
Píšu jasně, že Opera Mini. Na Androidu, ale to je nejspíš jedno, protože šifrované požadavky na root.cz dělá v jejím případě nejspíš až jejich proxy.
Používám ji, protože na mobilu ušetří spoustu přenesených dat. Tady v Čechách docela užitečné...
Pro přístup do banky, k soukromému "cloudu" apod. by OMini byla pochopitelně stupidita, ale na root.cz snad jen magor považuje články, zprávičky nebo plácy v diskusích za citlivá data :-) Šifrování takových webů je podle mě hlavně móda a hloupost. -
muf (neregistrovaný)
1000x a přesto ne přesvědčivě. Je tu E-shop? Ať je šifrovaný. Přihlašují se uživatelé ke svým účtům? Ať mají přístup kompletně šifrovaný.
Proč ale nutit běžné čtenáře k https při běžném čtení? Proč jim mnohdy komplikovat přístup přes proxy? Proč znemožňovat přístup k veřejným textům (třeba RSS) velmi jednoduchým klientům ? Takový klient někdy běží i na mikrokontroléru. -
Lojzak (neregistrovaný)
@muf
Je mi to jasné, ty důvody pro HTTPS na všech webech jsi vůbec nečetl. Jinak bys tu pořád neblábolil o tom, že není potřeba šifrovat stránky s veřejným obsahem.
HTTPS kromě utajení zajišťuje i autentizaci serveru a zaručuje integritu přenášených dat. Takže root.cz na HTTPS ti zaručí, že ti nikdo po cestě nepřidá do stránky reklamu a nebo malware, jak se to někde běžně dělá.To, že používáš proxy je tvůje blbost. A vymlouvat se na RSS čtečky je tak trochu sobecké. Jenom kvůli tomu, aby sis mohl na svém pekáči z roku 123 přečíst roota, tak bys klidně zachováním HTTP ohrozil ostatní čtenáře rizikem SSL stripingu.
Samozřejmě platí, že HTTPS bez HSTS je jen polovičaté řešení.
-
muf (neregistrovaný)
Ale četl. A od začátku považuju možné podvrhnutí části obsahu na těchto běžných informačních webech za tak trochu uměle nafouknutý problém(omlouvám se, že jsem na to v předchozím příspěvku zapomněl). Ale chápu, že pokrok se vykazovat musí.
Jsem ochoten to přijmout, ale nechápu, proč je uživatelům brána možnost nešifrovaného přístupu a něco vnucováno.
Proxy si někdy nevybereš a některé korporátní ti dokonce obsah podvrhnou nebo profízlují úplně v pohodě i když šifruješ - díky vlastnímu "firemnímu" certifikátu. -
Lojzak (neregistrovaný)
@muf
Ty ses asi nikdy nepřipojoval free WiFi hotspot. Nejmíň polovina z nich dělá nějaký prasáry podvrhování přesměrování a nebo přímo injektování reklam do stránky. To je běžná praxe i v ČR.
V Číné a v USA dělají podobné prasárny i kabeloví operátoři. Takže to je fakt nafouknutej virtuální problém. A jo máš pravdu, pokrok se musí vykazovat, bylo by blbý, kdyby ne.
U firem je to v pořádku, ať si na svých počítačích fízlují co chtějí. S tím žádný problém nemám. Ale nějak nechápu, jak tento argument zapadá do svaté války proti HTTPS.
-
Filip JirsákStříbrný podporovatelKdyž umožníte HTTP přístup k „běžným informačním webům“, umožníte ho všude. K výraznému zvýšení bezpečnosti bezpečných webů (které i podle vás vyžadují HTTPS) dojde tehdy, až prohlížeče nebudou HTTP podporovat vůbec a nebo jen se značným odporem. K tomu se dostaneme jedině tak, že se HTTPS bude postupně nasazovat i na weby, kde podle váš HTTPS není nutné.
A jinak když vám je jedno, jaký obsah z toho informačního webu dostanete, není mi moc jasné, proč na ten web vlastně chodíte.
-
muf (neregistrovaný)
Jasně. Existuje - li teoretická možnost, že Jirsákův fanatický výkřik někdo zfalšuje a udělá z něj souhlas, raději bych na root.cz vůbec neměl chodit. Tomu rozumím. Svět je plný hajzlů, toužících po modifikaci Jirsákových výkřiků v mém browseru a nesvéprávných lidí, kteří nedokáží zacházet s tím, že mají možnost vidět část obsahu webu bez https.
A proto to raději zakážeme i v prohlížečích. Ať se muf ani na ten web na mikrokontroléru, který mu doma řídí elektrické vláčky, nepodívá :-) -
Filip JirsákStříbrný podporovatel
Pokud si myslíte, že moje komentáře jsou to nejhodnotnější na tomhle webu… Mně by třeba víc než pozměňování komentář vadilo pozměňování článků. Třeba když si v Softwarové sklizni přečtu o zajímavém softwaru, rád bych u něj měl odkaz na stránku, odkud ho stáhl autor – odkaz na nějaké úložiště softwaru s přibaleným ad-ware (v lepším případě) mne moc nepotěší.
Hlavně jste se ale nějak nevypořádal s tou vážnější námitkou, že podpora HTTP v prohlížečích ohrožuje ty stránky, kam chcete mít bezpečný přístup – třeba elektronické bankovnictví nebo e-mail.
To, že se nepodíváte na web na mikrokontroléru, není žádný argument. Na ten web se nepodíváte ani pomocí automatické pračky nebo s patnáct let starým prohlížečem. Prostě k prohlížení webu, stejně jako k čemukoli jinému, musíte mít odpovídající nástroje. A mikrokontrolér, který nezvládne ani ušifrovat HTTPS, to holt nebude. Úplně stejně byste si mohl stěžovat, že většina dnešních webů vyžaduje hlavičku
Host, která dříve byla nepovinná. A že váš mikrokontrolér nemá dost paměti, aby posílal takové novoty. Smůla, množství webů a nedostatek IPv4 adres znamená, že musíte obětovat klienty, kteří nepodporují hlavičkuHost. Efektivita HTTP komunikace a menší komplexnost implementace v budoucnu budou znamenat odříznutí klientů nepodporujících HTTP/2 a zabezpečení přístupu do elektronického bankovnictví nebo k e-mailu budou v budoucnu znamenat odříznutí klientů nepodporujících HTTPS. Ostatně už dávno jsou odřezáváni klienti, kteří podporují jen slabé šifry nebo certifikáty s krátkými otisky. Holt když si má většina lidí vybrat mez bezpečným přístupem k bance nebo tím, zda se vy dostanete na web z mikrokontroléru, volí tu banku. -
muf (neregistrovaný)
Zřídím - li bezpečný a kritický web, bude přístupný výhradně přes https. Link na něj bude začínat https://., ne jinak. Nevidím důvod, jak by jej mohla ohrožovat existence obyčejných webů na http nebo podpora téhož v prohlížečích.
Budu - li provozovat web, kde mám uživatele s účty, samozřejmě bude možno zřídit účet výhradně přes https, totéž s přihlášením a po přihlášení. Přispívání do diskusí pochopitelně pouze po přihlášení.
Zpřístupním - li část takového webu(rss, "dumpy" článků, diskuse pouze pro čtení) přes obyčejné http, nevidím nikde možnost jak to zneužít - tedy kromě toho, že existuje možnost informace někde na cestě modifikovat. Uživatel má vždy možnost se přihlásit do šifrované verze s ověřeným certifikátem, pokud chce mít nějakou záruku pravosti. Nebudu buzerovat ty, kteří z nějakého důvodu používají jednoduché klienty a možná trochu ulevím serverům.
Že může kdosi celý web podvrhnout? Ano, ale to by měl uživatel poznat a pokud mu na tom záleží, má šifrovanou verzi. Že může být přesměrován na podvrženou stránku, chtěl - li autentickou šifrovanou? Jak, pokud se na šifrovanou neleze nějakým přesměrováním z http ?
V browseru mohu kdykoliv ověřit certifikát i URL a tedy poznat, že to nehraje...
Možná mně něco uniká a proto se - tentokrát bez ironie - ptám, kde je ten nepřekonatelný problém? -
Problém je v tom, že se to tím výrazně komplikuje. Musím hlídat, abych tam neměl mixed content, abych posílal všechno buď šifrovaně nebo nešifrovaně. Zároveň musí uživatel hlídat, jestli při přihlašování není náhodou tlačen do HTTP. Když se to prostě zašifruje celé, je problém definitivně vyřešen. Prostě šifrujeme.
-
Filip JirsákStříbrný podporovatel
Zřídím - li bezpečný a kritický web, bude přístupný výhradně přes https.
Když chcete řešit bezpečnost, nepopisujte, co bude dělat oprávněný provozovatel, ale co bude dělat útočník.to by měl uživatel poznat
A pokud chcete řešit bezpečnost, nepředstavujte si, že máte neomylné uživatele, kteří budou do puntíku plnit cokoli, co jim bezpečák řekne. Ne, pokud chcete něco opravdu bezpečné, nemůžete to stavět na tom, že to uživatel může udělat bezpečné, pokud bude chtít a bude se snažit. Pokud chcete, aby uživatelé nepoužívali krátká hesla, nemůžete prohlásit, že by uživatelé měli používat dlouhá hesla, ale musíte při vytváření hesla délku kontrolovat a krátká hesla odmítnout. A pokud chcete, aby používali šifrovaný přístup k bance, nesmíte jim vůbec umožnit nešifrovaný přístup. -
Filip JirsákStříbrný podporovatel
Já jsem také rád, že se používá evropský (nebo euroamerický přístup) – demokratický, který vyhoví maximálnímu počtu lidí, a zároveň počítá s tím, jak se lidé chovají. Není to jen nějaké byrokratické lejstro, které prohlásí, že od teď se všichni chováme bezpečně, tak to tak papírově bude, ale v praxi by to bylo úplně jinak.
-
muf (neregistrovaný)
Bylo by možné prozradit něco z technického pozadí problému?
Doteď žiju s představou, že veškerá funkcionalita - tedy i ověření cert. autority, je pro Operu Mini poskytována tím jejich serverem....
Ověřuje to snad aplikace samotná tam, kde běží a využívá při tom lokálně uložené certifikáty autorit? Pak by se to dalo vysvětlit tím, že tuto autoritu v Androidu dosud nemam...a ostatní prohlížeče mají uložené někde svoje vlastní. -
Je to skutečně tak, nikdy jsem neviděl, že by Opera Mini řešila certifikáty, ale evidentně to dělá. Ovšem v tomto případě není problém v certifikátu nebo autoritě, prostě Mini odmítá z nějakého důvodu certifikát IdenTrust nebo mezilehlý Let's Encrypt. Nefunguje to nikde, takže přes Mini není bez odsouhlasení hlášky přístupných 10 milionů webů. Není to ale chyba Let's Encrypt ani konfigurace Roota.
-
Navíc je celkem vtipný, jak lidé řeší bezpečnost, chtějí https a pak používají čínskou Operu ;)
https://www.root.cz/zpravicky/opera-se-nakonec-neproda-cela-cinane-koupi-jen-prohlizec/
ČLÁNKY DO MAILU