Vlákno názorů ke zprávičce Vyšel Chrome 90 s HTTPS jako výchozím protokolem od Vít Šesták - Nevidím, co je na tom bezpečnější. Ano, znamená...
-
Bezpečnost se zvýší tam, kde je web provozován na http i https současně. Nyní se použije HTTPS verze. Jak prosím u navázaného spojení uděláte downgrate attack. Ano, ten je možné udělat u nového spojení, ale u navázaného už ne. Tedy navýšení bezpečnosti je zde zřejmé.
15. 4. 2021, 10:28 editováno autorem komentáře
-
Pravda pokud se web provozuje HTTP i HTTPS současně (plný web, nikoli redirect HTTP na HTTPS) pak ano, tady to bude mít určitý přínos. Ale zároveň toto mi přijde dost okrajový případ:
a. Někdo zatím nedokončil nasazení HTTPS, a ještě si netroufl udělat redirect. Ano, je trošku otázka, jestli je to moudrá cesta, ale tady to asi nebude žádoucí.
b. Někdo nejspíš moc dobře neví, co dělá. Minimálně s cookies to dělá v principu vícero problémů.
c. Věci, které nejsou primárně určeny pro prohlížeč, třeba Linuxové repozitáře. Tady kombinace HTTP a HTTPS tak nějak smysl dávat může, ale kvůli tomu to asi Google nedělal…
d. Možná nějaké hodně edge cases, kde mají smysl obě verze, je to určeno pro prohlížeč a existuje dobrý důvod pro HTTP vedle HTTPS. -
Je to krok k tomu, aby přišla doba, kdy bude možno vyžadovat jen HTTPS.
Osobně to taky nepovažuji za krok k bezpečnosti, navíc si myslím, že to přináší jiná rizika (z hlediska obchodu, konkurence, ...), ale to už je na jinou diskusi. Google rád využívá zaklínadlo "bezpečnosti" k tomu, aby zároveň prosadil technologie, které mu nahrávají nebo v budoucnu začnou nahrávat. Pro uživatele to možná bude z bláta do louže.
-
J ouda (neregistrovaný)
No ač v obecné rovině si nedovolím nesouhlasit, v tomhle konkrétním případě na velkém a statisticky signifikantním vzorku jeden uživatel (já) mohu zodpovědně konstatovat, že dopisování https:// protože provozovatel vyzapoměl na redirect z 80 je u mě minimálně o řád častější, než na kolik http only stránek lezu, takže subjektivně změna k lepšímu.
-
Já se nijak nestavím proti té změně, jen mi přijde, že se její význam občas přeceňuje. V některých poměrně specifických případech dojde k nějakému zlepšení bezpečnosti. Já vidím spíše zrychlení prvotního načtení webu na HTTPS za cenu obětování rychlosti na HTTPS. Což je fajn jak ze statistického hlediska (většina již je na HTTPS, takže to bude spíše zrychlovat), tak z hlediska motivace pro HTTPS.
-
Já se nijak nestavím proti té změně, jen mi přijde, že se její význam občas přeceňuje.
Já v tom ještě vidím (v tom celém přechodu na HTTPS) vyřazování dvoustranných vztahů. Zájem na bezpečnosti by měli mít hlavně ti dva, kteří spolu chtějí komunikovat. Přijde mi trochu zhoubné, že si v sobě necháváme pěstovat pocit, že to řeší někdo jiný - tím se ztrácí obezřetnost. Lidé málo rozlišují, jestli vykecávají na sociální síti, nebo se zrovna přihlašují do banky. Absence zákonných rámců umožňuje, že odpovědnost nenese nikdo. Když Vám někdo vybílí účet, nechce se k tomu banka hlásit - přitom je to právě ona, v jejímž zájmu by mělo být nastavit bezpečnost správně. Tyto kroky spíš posouvají vnímání tím směrem, že (ku příkladu) ta banka označí situaci za state-of-art a místo práce na zabezpečení, věnuje se právní ochraně. Typickým příkladem byl odklon od sim-toolkitu k ověřování pomocí SMS - které se dá relativně lehce unést. Nebylo v zájmu banky to vyřešit, volili levnější cestu - a jen díky tomu, že rizika při zneužití mají téměř nulová. Operátor se k odpovědnosti taky nehlásí. Co on může tušit, co kdo posílá přes SMS - a nebylo by asi ani fér, aby za unesenou SMS platil vybílený účet. Odnese to jen spotřebitel.
-
To už je trochu jiné téma, ale dobře.
Dvoustranné vztahy to nevyřazuje. Uživatel si vybere prohlížeč, uživatel se rozhodne využívat nějakou službu a provozovatel služby se rozhodne více či méně podporovat různé prohlížeče.
Lidé by se teoreticky mohli rozhodovat i o tom, jaké ciphersuites použijí. Drtivá většina to radši svěří někomu jinému, což celkem chápu. Ano, možná ta delegace s některých směrech došla až moc daleko a spousta lidí neřeší věci, které za ně prohlížeč neřeší. Pak ale není moc divu, že se prohlížeče vydaly cestou bonifikace HTTPS a penalizace HTTP.
Stručně k legislativnímu rámci – tímto byste ale už poněkud vyřazoval dvoustranné vztahy… To je principiální vlastnost veškeré legislativy.
15. 4. 2021, 23:37 editováno autorem komentáře
-
@Vít Šesták
Dvoustranné vztahy to nevyřazuje. Uživatel si vybere prohlížeč, uživatel se rozhodne využívat nějakou službu a provozovatel služby se rozhodne více či méně podporovat různé prohlížeče.
Nemyslím si, že to v praxi funguje, na tomto "trhu" není skutečná soutěž. V praxi to rozhodují dva, tři hráči. Aktuálně mi přijde, že si nekonkurují navzájem, ale naopak spíš společně vyřazují malé hráče.
Lidé by se teoreticky mohli rozhodovat i o tom, jaké ciphersuites použijí. Drtivá většina to radši svěří někomu jinému, což celkem chápu.
Toto může rozhodnout jedna ze stran komunikace. Např. banka ví, jaké ciphersuites považuje za bezpečné pro to, co se přenáší za data. Bulvární deník bude mít jiné či nulové požadavky na šifrování - ale najednou se rozhodnout nemůže, protože je omezený rozhodnutím třetího, který se toho vztahu neúčastní.
Stručně k legislativnímu rámci – tímto byste ale už poněkud vyřazoval dvoustranné vztahy… To je principiální vlastnost veškeré legislativy.
Prvotní otázka je, jestli je vůbec potřeba a dobré tu smluvní volnost omezovat. Jakákoliv povinnost přináší náklady (byť třeba malé). Podle mě se máme snažit o to, aby si pravidla pro komunikaci mohly v co nejvyšší míře určit dvě komunikující strany. V praxi by to nejčastěji byl poskytovatel obsahu, který by stanovil minimum nutného zabezpečení. To by jistě rád a ve vlastním zájmu učinil, pokud by byl odpovědný ze škod vzniklých zanedbáním.
-
> na tomto "trhu" není skutečná soutěž. V praxi to rozhodují dva, tři hráči. Aktuálně mi přijde, že si nekonkurují navzájem, ale naopak spíš společně vyřazují malé hráče.
To je zajímavé. Kdyby tito hráči šli proti zájmům uživatelů, nic nebrání vzniku třetího hráče. Je tu i určitá zvláštní role opensource – je velmi snadné udělat fork a začít konkurovat velkým hráčům. Na druhou stranu, pokud se neukáže, že trh chce separátní produkty, forky se mohou snadno spojit. Potenciální konkurence (která se objeví, jakmile bude důvod) tu je, jen největší hráči hrají tak, aby pro ni nebylo moc důvodů. Což ve výsledku není špatně.
Ad ciphersuites – ano, může. Přesněji, obě strany mohou podporu nějak zužovat, a musí se objevit něco v průniku. Jenže pokud obě strany budou podporovat i málo bezpečně varianty a staré protokoly (aby byly co nejšířeji kompatibilní), hrozí tu downgrade attack a hrozí tu někdy i nečekané dopady podpory starších protokolů (vizte DROWN a POODLE). Proto dává smysl na obou stranách seznam podporovaných ciphersuites a protokolů omezovat. A uživatelé to obvykle delegují na výrobce prohlížeče.
Bulvární deník mimochodem stále může jen na plain HTTP. Možná dnes není úplně praktické, aby používal třeba RC4 nebo SSL3. Možná by to pro bulvární deník bylo dostačující, problém je ale v prohlížeči komunikovat k uživateli dostatečně dobře rizika spojená s těmito dinosaury a neohrozit komunikaci s bankou.
Ad smluvní volnost – naprostý souhlas.
-
Filip JirsákStříbrný podporovatelVýznam té změny je především symbolický. Je trochu hloupé, když prohlížeč všude preferuje HTTPS, ale jakmile mu dáte na výběr, zvolí HTTP – a ještě tím penalizuje weby používající HTTPS, protože se musí čekat na redirect. Bezpečnostní význam je malý a má vliv spíš na útoky „omylem“ než na odhodlaného útočníka. Třeba když O₂ v rámci svých marketingových aktivit HTTP přesměrovávalo. Teď se zase o něco zmenší zásah, který tímhle budou mít – přičemž HTTPS komunikaci nijak neblokují, takže té se to nedotkne.
