Vyšel Chrome 90 s HTTPS jako výchozím protokolem

Já se nijak nestavím proti té změně, jen mi přijde, že se její význam občas přeceňuje.

Já v tom ještě vidím (v tom celém přechodu na HTTPS) vyřazování dvoustranných vztahů. Zájem na bezpečnosti by měli mít hlavně ti dva, kteří spolu chtějí komunikovat. Přijde mi trochu zhoubné, že si v sobě necháváme pěstovat pocit, že to řeší někdo jiný - tím se ztrácí obezřetnost. Lidé málo rozlišují, jestli vykecávají na sociální síti, nebo se zrovna přihlašují do banky. Absence zákonných rámců umožňuje, že odpovědnost nenese nikdo. Když Vám někdo vybílí účet, nechce se k tomu banka hlásit - přitom je to právě ona, v jejímž zájmu by mělo být nastavit bezpečnost správně. Tyto kroky spíš posouvají vnímání tím směrem, že (ku příkladu) ta banka označí situaci za state-of-art a místo práce na zabezpečení, věnuje se právní ochraně. Typickým příkladem byl odklon od sim-toolkitu k ověřování pomocí SMS - které se dá relativně lehce unést. Nebylo v zájmu banky to vyřešit, volili levnější cestu - a jen díky tomu, že rizika při zneužití mají téměř nulová. Operátor se k odpovědnosti taky nehlásí. Co on může tušit, co kdo posílá přes SMS - a nebylo by asi ani fér, aby za unesenou SMS platil vybílený účet. Odnese to jen spotřebitel.

To už je trochu jiné téma, ale dobře.

Dvoustranné vztahy to nevyřazuje. Uživatel si vybere prohlížeč, uživatel se rozhodne využívat nějakou službu a provozovatel služby se rozhodne více či méně podporovat různé prohlížeče.

Lidé by se teoreticky mohli rozhodovat i o tom, jaké ciphersuites použijí. Drtivá většina to radši svěří někomu jinému, což celkem chápu. Ano, možná ta delegace s některých směrech došla až moc daleko a spousta lidí neřeší věci, které za ně prohlížeč neřeší. Pak ale není moc divu, že se prohlížeče vydaly cestou bonifikace HTTPS a penalizace HTTP.

Stručně k legislativnímu rámci – tímto byste ale už poněkud vyřazoval dvoustranné vztahy… To je principiální vlastnost veškeré legislativy.

15. 4. 2021, 23:37 editováno autorem komentáře

@Vít Šesták

Dvoustranné vztahy to nevyřazuje. Uživatel si vybere prohlížeč, uživatel se rozhodne využívat nějakou službu a provozovatel služby se rozhodne více či méně podporovat různé prohlížeče.

Nemyslím si, že to v praxi funguje, na tomto "trhu" není skutečná soutěž. V praxi to rozhodují dva, tři hráči. Aktuálně mi přijde, že si nekonkurují navzájem, ale naopak spíš společně vyřazují malé hráče.

Lidé by se teoreticky mohli rozhodovat i o tom, jaké ciphersuites použijí. Drtivá většina to radši svěří někomu jinému, což celkem chápu.

Toto může rozhodnout jedna ze stran komunikace. Např. banka ví, jaké ciphersuites považuje za bezpečné pro to, co se přenáší za data. Bulvární deník bude mít jiné či nulové požadavky na šifrování - ale najednou se rozhodnout nemůže, protože je omezený rozhodnutím třetího, který se toho vztahu neúčastní.

Stručně k legislativnímu rámci – tímto byste ale už poněkud vyřazoval dvoustranné vztahy… To je principiální vlastnost veškeré legislativy.

Prvotní otázka je, jestli je vůbec potřeba a dobré tu smluvní volnost omezovat. Jakákoliv povinnost přináší náklady (byť třeba malé). Podle mě se máme snažit o to, aby si pravidla pro komunikaci mohly v co nejvyšší míře určit dvě komunikující strany. V praxi by to nejčastěji byl poskytovatel obsahu, který by stanovil minimum nutného zabezpečení. To by jistě rád a ve vlastním zájmu učinil, pokud by byl odpovědný ze škod vzniklých zanedbáním.

> na tomto "trhu" není skutečná soutěž. V praxi to rozhodují dva, tři hráči. Aktuálně mi přijde, že si nekonkurují navzájem, ale naopak spíš společně vyřazují malé hráče.

To je zajímavé. Kdyby tito hráči šli proti zájmům uživatelů, nic nebrání vzniku třetího hráče. Je tu i určitá zvláštní role opensource – je velmi snadné udělat fork a začít konkurovat velkým hráčům. Na druhou stranu, pokud se neukáže, že trh chce separátní produkty, forky se mohou snadno spojit. Potenciální konkurence (která se objeví, jakmile bude důvod) tu je, jen největší hráči hrají tak, aby pro ni nebylo moc důvodů. Což ve výsledku není špatně.

Ad ciphersuites – ano, může. Přesněji, obě strany mohou podporu nějak zužovat, a musí se objevit něco v průniku. Jenže pokud obě strany budou podporovat i málo bezpečně varianty a staré protokoly (aby byly co nejšířeji kompatibilní), hrozí tu downgrade attack a hrozí tu někdy i nečekané dopady podpory starších protokolů (vizte DROWN a POODLE). Proto dává smysl na obou stranách seznam podporovaných ciphersuites a protokolů omezovat. A uživatelé to obvykle delegují na výrobce prohlížeče.

Bulvární deník mimochodem stále může jen na plain HTTP. Možná dnes není úplně praktické, aby používal třeba RC4 nebo SSL3. Možná by to pro bulvární deník bylo dostačující, problém je ale v prohlížeči komunikovat k uživateli dostatečně dobře rizika spojená s těmito dinosaury a neohrozit komunikaci s bankou.

Ad smluvní volnost – naprostý souhlas.

Význam té změny je především symbolický. Je trochu hloupé, když prohlížeč všude preferuje HTTPS, ale jakmile mu dáte na výběr, zvolí HTTP – a ještě tím penalizuje weby používající HTTPS, protože se musí čekat na redirect. Bezpečnostní význam je malý a má vliv spíš na útoky „omylem“ než na odhodlaného útočníka. Třeba když O₂ v rámci svých marketingových aktivit HTTP přesměrovávalo. Teď se zase o něco zmenší zásah, který tímhle budou mít – přičemž HTTPS komunikaci nijak neblokují, takže té se to nedotkne.