Vlákno názorů k článku
Správa domény gov.cz byla předána do rukou úřadů od Bartolo - "podle zadání DIA pak bylo upraveno i uživatelské...

A tak rozhodne se to obednuje a zabezpecuje jednoduseji, nez ruzne proprietarni protokoly, kde cela bezpecnost je postavena casto jen na obskurdnosti. A samozrejme se serverova cast v pripade hypotetickeho prolomeni TLS1.3 bude resit na webserveru snaze, nez ty ruzna proprietarni "experty" dodana resenicka, zeano. To se tyka i zmineneho MFA (a na to navazanych resenich se SAML/OIDC), ktere mate v prohlizecich implementovane a pripadnou "diru" tam jiste opravi rychleji, nez v te "proprietarni" appce, ktera to bude mit zbastlene buhvijak.

To, jak to vypada v praxi na serveru si samozrejme muzete zbezne otestovat. Asi neprehlednete, ze TLS<1.1 tam nepouzivaji, ze pouzivaji certifikaty na bazi eliptickych krivek a i pouzite kryptograficke algoritmy jsou vcelku pricetne (diskutabilni je max. drzeni se CBC, ale preferovane to neni). A nepredpokladam, ze by "privatni" cast na tom byla nejak hure.

Díky.
Považoval jsem obskurní systémy za bezpečné.
Ale hezky jste to vysvětlil.
Pro někoho malého jako já se nic nemění.
Obskurní = bezpečné.
Ale pro důležitou a velkou společnost už tam je hodně nevýhod.
Popsal jste je hezky.
Další nevýhoda je lidský faktor.
Stačilo by uplatit jednoho člověka a celé by to bylo v pytli.

Za odkaz děkuji podruhé.

Security through obscurity opravdu neni neco, co by fungovalo. A kdo tvrdi opak bezpecnosti vubec nerozumi :)

Samozrejme z korporatneho uhla pohladu nie.
Ale z pohladu drobneho uzivatela nedokonaleho unikatneho riesenia to riesi problem v uspokojivej miere za uspokojive naklady.

Staci sa pozriet na sucasnu snahu NIS2 brutalne zvysit naklady na IT s prakticky nulovym efektom.

No jak se to vezme.
Na interní záležitost, která není pokud možno vůbec dostupná s internetu, proč ne.
Ale proč ano, když ma to máme TLS a certifikáty (na interní systém můžou být klidně self-signed) a šifrovat tak můžu standardními prostředky, které se budou aktualizovat v případě odahlení nějakých chyb.
Pak vás nezaskočí, že něco lokálního se má třeba stát dostupným přes internet.

11. 12. 2025, 08:20 editováno autorem komentáře

No jen v praxi je to spis o opacnych extremech :-) IT brutalne podfinancovane a bezpecnost prakticky neresena. Bezpecnost se resi jen reaktivne - kdyz se stane prusvih, tak se hasi vznikle skody. Ale, to ze se "spokojene" provozuje leta derava aplikace nikomu zily netrha, dokud se nestane ten prusvih. Nulovym efektem neni to, ze vas neco bude nutit tu bezpecnost resit, kdyz jste na ni doted kaslal.

V tom odkazu se píše:
"If an attacker is able to reverse engineer"

Navíc musí být 'man in the midle' aby měl vůbec co reverzovat.
(Předpokládám že server nekomunikuje, než se záda správné heslo.)

Plat člověka/skupiny která je toho schopna převyšuje obrat mého HomeLabu.

Je jednodušší čekat až se objeví 0-dey slabina v nějakém rozšířeném nástroji a začít ji zkoušet na chudáky jako já, který aktualizují jednou za měsíc.
Zisk se násobí s počtem obětí.

Nechci se hádat.
Děkuji za cenné rady.
Uvítám další podněty.
Třeba jak nastavit push notifikace na CVE.
Protože bez toho je otázka času než dojde k prolomení zabezpečení.