Vlákno názorů k článku Let's Encrypt na web hostingu: firmy o něm vědí a připravují se od JD - Me osobne se moc nelibi vyhlidka, ze dojde...
-
JD (neregistrovaný)
Me osobne se moc nelibi vyhlidka, ze dojde k podobne situaci jako nedavno v souvislosti s "longjam" https://weakdh.org/
Proste a jednoduse, ze se Firefox a Chrome rozhodnou zakazat pripojeni bez sifrovani. Protoze bezpecnost.
Ale to ma i druhou stranku veci. Tou jsou embedded zarizeni a specielne IoT. Mnoho techto zarizeni ma konfiguraci pres http a znacna cast bez moznosti konfirurace https. Bezpecnostni problem to neni, proste se uzavrou do samostatne VLAN a pristup z venku neni vubec, nebo je pres gateway (napr. reverzni proxy do https).
Prima implementace https je totiz problem, nekde s vykonem, jinde je "jen" nutnost self-signed certifikatu (protoze normalni certifikat na jmeno nemuzte dat bez znalosti jmena, ktere ale zalezi kam je to zapojen). A self-signed certifikat je vec zrala na zakaz v prohlizeci taky, nejen moznost potvrzeni, ale uplny zakaz.
Ale hlavne to posiluje soucasny tren IoT, kdy zapojite skatulku a ne primo, ale s pomoci cloudu ji ovladate. To resi elegantne problem aktualnosti rozhrani https a certifikatu. Ale prinasi zavislost na cloudu. A cast IoT ma problem s zivotnosti, kdy napriklad u kotle predpokladate zivotnost nejmene 10 let. A pokud pujde ovladat jen pres cloud, je tu nebezpeci nefukcnosti bez internetu, nefukcnosti pri krachu dodavatele, nebo se "jen" rozhodne nekdo cloud vypnout (viz nedavno ZUNE prehravace od MS).
A pak je tu jeste legislativni problem, kdy nektere zeme povazuji za bezva napad zakazat sifrovani a https only web bude pak nepristupny. -
j (neregistrovaný)
On ti nekdo brani pouzivat DOS? Tady mas http://www.freedos.org/ dokonce stale vyvijenej ...
Problem neni v tom, ze se naimplementuje nejaka nova vec, problem je v tom, ze ta stara se proste nasilne zlikviduje, bez moznosti to nastavit. Viz vejs odstaveni sifrovani proto, ze "je nebezpecny" ... proc teda rovnou neodstavili http? To je bezpecnejsi? lol.
-
JD (neregistrovaný)
To neni reseni. Kouzlo nastaveni zarizeni pres http je v tom, ze k tomu "nic" nepotrebujete.
Doby, kdy ke kazdemu zarizeni bylu nutne pouzit nastavovaci SW vyrobce (ktery nechodil ani v dalsi verzi Win, natoz jinde) jsou NASTESTI minulost.
A ted se tam pre IoT zase vracime, zarizeni prestavaji mit vlastni rozhrani, a nastavit to pujde pouze pres povinny cloud. A mame se na co tesit lednicky, pracky, topeni, dvere, auta, motorky. Vsechno se bude za nekolik let pripojovat na net.
U "spotrebni" elektroniky odstaveni podpory a cloudu vadi malo, ale az nebude topit kotel, protoze zustane v nastaneni "leto" a Vy nebudete mit jak to zmenit, to bude psina. -
Petr (neregistrovaný)
Nechápu to strašení se zákazem http. On někdo vydáním SSH zakázal Telnet? Můj klient umí obojí i když jsem telnet už 10 let nepoužil. Maximálně si dovedu představit, že za 5 let začne u http vyskakovat hláška jaká vyskakuje teď u self-signed certifikátů, ale to už budou všechny weby na https a vaší krabičku doma budete mít ve výjimkách.
-
JV (neregistrovaný)
Zrovna pred necelymi dvema tydny jsem to resil. Firefox pri pokusu o pristup na https jednoho proprietarniho zarizeni zacal hlasit "Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat. Kontaktujte prosím vlastníka webového serveru a informujte ho o tomto problému.". Nenasel jsem zpusob jak ho presvedcit ze je mi to jedno a ze na ten web opravdu chci. Problem jsem zacal resit na foru Mozilla.cz a presel jsem na IE. Nakonec to spravila aktualizace na FF 41, co konkretne se tomu nelibilo netusim doted.
-
Filip JirsákStříbrný podporovatelTo nebylo zrušení podpory HTTP, ale zřejmě zrušení podpory děravých šifer pro HTTPS. No a děravé HTTPS moc smysl nedává. Ostatně, buď je ten web důležitý, a pak by měl běžet na aktuálním softwaru a s aktuálním zabezpečením, nebo důležitý není a někdo si na něj vzpomene, až když se na něj nedostane s aktuálním prohlížečem – a pak je asi řešením ten web vypnout. Navíc pokud na tom webu někdo nedokáže zajistit aspoň trochu neděravé SSL, pochybuju o tom, že ten server má bezpečnostní záplaty. Takže ono to postupné zpřísňování HTTPS a v budoucnosti doufejme výraznější odklon od HTTP je takové oddělování zrna od plev – některé weby to možná nepřežijí, ale budou to takové, u kterých to bude spíš ku prospěchu věci.
-
Alespoň pro příště víte, jaké výrobky, nebo rovnou značku, nemáte kupovat.
Tohle je pořád dokola. S nástupem IPv6 se vyrojila spousta výrobků, které snad záměrně ipv6 neumí, s nástupem šifrování (což je trend posledních desetiletí a upřímně, http je snad poslední protokol, který jsem nucen používat nešifrovaný) se posledních několik málo let vyrojila hromada výrobků, která prostě odmítá šifrovat.
Jako chápu revoltu, ale to ty zkriplené výrobky těch neschopných výrobců kupujete schválně?
Dobře, nechcete šifrování, nechcete https. Fajn, máme tu výrobky, které se dají ovládat pomocí RS232 (nebo třeba industriální R485). Klidně můžete použít 30 let staré kabely (hodně stěstí s 30 let starým prohlížečem) a konektory a bude vám to spokojeně fungovat.
-
j (neregistrovaný)
Ipsec byl povinou soucasti IPv6. Vis proc uz neni? Tak si to ZJISTI!
Mam tu trebas nekolik wrt54, fugujou, delaj presne co maj. Takze je mam rozslapnout a jit utratit par desitek tisic za novy krabice, jen proto, ze ty stavajici proste uz nikdy novsi firmware mit nebudou? A to jako proc?
Predpokladam, ze jakmile tvoje auto dosahne 3 let, tak ho jdes dat poctive sesrotovat, zadnej prodej dal, protoze uz je neekologicky a nesplnuje nejnovensi normu. Ze ne? No tak pockej, ja ti to naridim nejakym prepisem ... nebo ti jen poslu domu partu bouchacu.
-
Jsi si jistý, že reaguješ na správný komentář?
O tom, jak ipv6 nejde nasadit se žvaní tak dlouho, že mezitím jsou všechny krabice 1-2x vyměněny. Jestli někdo v průběhu té doby pořídil krabice, které ipv6 neumí, je to jeho problém.
Totéž šifrování. Šifrování se zavádí od té doby, co bylo vymyšleno. Jestli se někdo v roce 2015 probudil, no tak nezbývá než popřát dobré ráno.
Tedy je to přesně naopak, ne, 3 roky staré auto opravdu do šrotu nedávám, nevím kde jsi to vzal v mém komentáři, kde hovořím o desítkách let.
-
carlok (neregistrovaný)
ani heron, ani filipek jirsaku zrejme nezazili situaci kdy musi vyresit konkretni problem, jen to nejde protoze opinionated autor(i) a jeho(jejich) bozsky rozhled byly nad moznost to v (napr.) about:config nastavit, treba selektivne pro adresu(y).
v realnem svete proste vzdy nejake legacy zarizeni/service bude. a take neni moudre chovat se jako kdyby uzivatel musel byt nesvepravny idiot. tim se produkt eliminuje u slusneho procenta lidi.
jednoduche jak je to jen mozne, ale ne vic.
secure by default, configurable as hell. -
Filip JirsákStříbrný podporovatel
Nevím, jak jste přišel na to, že nějaké legacy zařízení musí být konfigurovatelné zrovna přes webový prohlížeč, který uživatel používá jako prohlížeč webu (sic). Já znám třeba zařízení, která se konfigurují z příkazového řádku přes SSH nebo Telnet, a netrvám na tom, že ve webovém prohlížeči musí být implementován SSH klient. A u těch zařízení, která se konfigurují přes Telnet, netrvám ani na tom, že se k nim musím připojovat přes SSH, které vnímám jako náhradu Telnetu. Pro správu takového zařízení si nainstaluju Telnet klienta a používám ho výhradně pro správu toho zařízení. Nemůžete to vy udělat s tím Legacy zařízením stejně? Nainstalovat si nějaký jednoduchý legacy webový prohlížeč, který nebude podporovat pluginy, HTTP/2 a všechny moderní vymoženosti, ale budete ho používat čistě jen pro správu toho legacy zařízení?
Pokud si uživatel neumí vybrat vhodný program pro svou práci, je chovat se k němu jako k nesvéprávnému idiotovi celkem odůvodněný přístup.
-
JV (neregistrovaný)
"Pokud si uživatel neumí vybrat vhodný program pro svou práci, je chovat se k němu jako k nesvéprávnému idiotovi celkem odůvodněný přístup."
Aha... pan je tzv. dobroser. A ja vzdycky povazoval linuxovou komunitu za jakztakz normalni.
Pochopte prosim, ze nikdo nezpochybnuje potrebu prechodu na bezpecnejsi protokoly a vychovu uzivatelu. Problem je jen v tom, jak to chce delat Mozilla a Google. -
Filip JirsákStříbrný podporovatel
A v čem je přesně ten problém? Že si uživatel pro přístup k legacy zařízením nemůže vybrat jiný program, než ten od Mozilly nebo Google? Mám vám tu větu o uživatelích, kteří si neumí vybrat program vhodný pro svou práci, zopakovat?
-
JV (neregistrovaný)
Vy se mi ted snazite tvrdit, ze zminovani vendori sice z veci zvane "web browser" delaji neco jako "https a to jeste jen nekdy browser", ale ze chyba je u mne?
Ze ze sice z relativne univerzalniho a jednoducheho protokolu udelame neco na styl javy a vse bude v poradku? A chudak uzivatel bude muset mit Firefox verze abc aby se dostal na tyhle stranky, chrome verze xy aby mu fungovalo tamhleto a Edge verze z pro ten zbytek. Wow. Repektive jinak, s tim prosim bezte do prdele. -
Filip JirsákStříbrný podporovatel
Já od programu nazývaného „web browser“ nebo „webový prohlížeč“ očekávám, že bude sloužit k prohlížení webu. Současný web je plný webových aplikací, na současném webu jsou elektronická bankovnictví, e-shopy, webmaily, sociální sítě – tedy spousta webů, které nepochybně potřebuje dobré zabezpečení (a tomu zbytku stačí jen zabezpečení). Od webového prohlížeče očekávám, že tohle všechno bude zvládat. Moderní prohlížeče tohle podporují, a nepotřebujete jeden konkrétní prohlížeč.
To je naopak častá vlastnost těch obslužných programů legacy systémů, že jsou napsané na míru nějakému konkrétnímu prohlížeči a v moderním prohlížeči, který se chová podle standardů, fungují špatně nebo vůbec. Tak si holt pro správu toho jednoho systému někde zachováte ten jeden konkrétní prohlížeč. Obávám se, že to, že někdo takhle zprasil nějaký konfigurační nástroj, není vina autorů prohlížečů. Jak byste si to představoval vy? Že všichni autoři prohlížečů do nich budou implementovat podporu pro tyhle legacy konfigurační systémy a každý prohlížeč bude muset rozpoznat, že když komunikuje s webovým rozhraním routeru XY, musí věrně simulovat všechny chyby MSIE 6 nebo FF 1.5? K čemu by to bylo dobré?
-
JV (neregistrovaný)
Neutikejte od tematu. Podpora protokolu (http/https), pripadne sifrovaci mechanismus (SSLv3) nemaji nic spolecneho s renderovanim webu a tedy chovanim, ktere zminujete.
On je totiz drobny rozdil jestli se mi webove rozhrani zobrazi zprasene protoze autor webu je pitomec a nebo jestli se mi nezobrazi vubec protoze autor browseru je dobroser a rozhodl ze pouzity protokol pro moje dobro nepodporuje. -
Filip JirsákStříbrný podporovatel
V tom případě vám doporučuju navštívit sousední diskusi. Někteří se tam ironicky pozastavují nad tím, jak to že webový prohlížeč neobsahuje podporu pro ovládání garážových vrat a ovládání kávovaru. Můžete jim tam vysvětlit, že vy zcela vážně od prohlížeče očekáváte, že bude podporovat protokoly SSH a Telnet, protože se tím přece konfigurují některá zařízení. A pokud si to nemyslíte, měl byste vysvětlit, proč webový prohlížeč nemusí podporovat protokol SSH, který se na webu nepoužívá, ale proč v budoucnosti podle vás má podporovat protokol HTTPS nad SSLv3, který se na webu nebude používat.
-
Filip JirsákStříbrný podporovatel
No jo, když si uživatel neumí pro svou práci vybrat vhodný program… Já od webového prohlížeče očekávám, že s ním půjde prohlížet současný web. Takže v něm opravdu nepotřebuju podporu ani Gopheru, ani HTTP 0.9, ani SSL 2.0.
-
Ale zažil. A náležitě si to pokaždé užívám, protože toho mohu využít pro to, abych opět zopakoval: vidíte, x let vám říkám, že toto chce opravdu vyměnit, nastavit, apod. Za odměnu to vždy dostanu za úkol (asi jako trest nebo co). Což vždy nějak jde udělat, a když to nejde, tak co? Alespoň se třeba dotyční poučí (nebo zkrachují, což už se také nejednou stalo).
Nevím, proč si myslíte, že kdybych to (ne)zažil, tak bych jednal jinak. Jednám tak právě proto, že vidím následky.
Nehledě na to, že konkrétní problém nikdy nemá jen jedno řešení, takže pokud je jedna cesta odstřižena (třeba změnou v aktuální verzi prohlížeče a nějakým kouzlem z celého světa zmizí starší verze ;-) - jako o co jde? Když víte, že máte k síti SSLv3 zařízení, tak si nechte jeden konkrétní prohlížeč, kterým to budete konfigurovat, ne? Stejně se to tak dělá, i včetně provozu celého starého OS.), tak to lze vyřešit jinak.
-
j (neregistrovaný)
Deravy https dava presne STEJNY smysl, jako HTTP. Je to PRESNE totez, co na tom Jirsak nechapes? Kdyby browser pindal, ze pouzity sifrovani neni bezpecny, umoznoval v konfiguraci nastavit "bez kecu" nebo "zakazat" nebo "zakazat pro tenhle web", tak nikdo nebude namitat nic.
Jezne imbecilove v mozille nedokazou pochopite, ze kdyz ma nekdo v LANce krabici, a loguje se k ni na administraci, tak nechce aby mu nekdo trivialne odposlech heslo, ale rozhodne nebude tu krabici menit ani v ni nema jak a co aktualizovat. Protoze se (napriklad) nedaj s timhle uzasnym nastaveni administrvat zadny strarsi krabky z dd/openwrt a ZADNA novejsi verze pro ne NEEXISTUJE.
Takze kvuli KRETENUM v mozille, si vsichni ty administracni konzole prepnou na http, protoze to bude zcela jiste daleko bezpecnejsi ...
-
Filip JirsákStříbrný podporovatel
Pokud prohlížeč podporuje i HTTP, oslabuje se tím bezpečnost HTTPS – protože vždy hrozí, že se útočníkovi podaří přepnout uživatele na protokol HTTP. Ony prohlížeče ještě dost dlouho HTTP podporovat budou, ale dlouhodobě je jediný důvod pro podporu HTTP zpětná kompatibilita a ta se nebude na úkor bezpečnosti udržovat věčně.
-
Starous (neregistrovaný)
no a co treba toto? https://konklone.com/post/were-deprecating-http-and-its-going-to-be-okay
-
"Ako mi https zvysi bezpecnost blogu alebo stranky dobrovolnych poziarnikov z hornej-dolnej, kde nieje co zabezpecovat?"
No třeba tak, že když tam bude pozvánka na soutěž dobrovolných hasičů, tak vám (s dobře udělaným https) nějaký špímař nepřepíše datum a vy o tu akci nepřijdete.
Nechápu tu logiku "vždyť tam není co zabezpečovat". Pokud tam není co zabezpečovat, tak ty stránky ani nemusejí existovat, protože je vám přece jedno, zda tam uvidíte tu původní informaci, nebo nějak pozměněnou. Když jdete na konkrétní stránky, tak je přece chcete vidět v původní podobě, ne?
-
JV (neregistrovaný)
Uvazujete jako sitar. Ja mluvim o krabicce v cene tisicu dolaru, ktera dela jednu vec, dela ji dobre, jen ma bohuzel mizerne napsane webovy management. Tu krabicku si nekupuju kvuli managementu ale kvuli tomu co dela. A uz ji mam nasazenou nekolik let a nekolik dalsich let ji provozovat budu, zadny z tech chytraku co radi upgrade mi totiz penize na novou neda.
Mimochodem tento konkretni problem nebyl kvuli SSLv3, krabicka podporuje i TLSv1. "Kramy" mel Firefox a co mi na tom maximalne vadi je, ze jsem nedostal alternativu tu chybu ignorovat a pokracovat na ten web. -
Taky tohle ted casto resim. Ja to udelal tak, ze jsem si stahnul Firefox portable verzi 30 (jestli se nepletu, 31 uz si prave se zabezpecenim zacala hrat vice). Takze mam na ntb. aktualni firefox a pro spravu starsich krabicek tu portable verzi. Jedina nevyhoda je, ze nejsou spustit obe najednou.
Pokud budete mit aktualni IE, tak uz se taky na spoustu krabicek se slabsimi certifikaty nedostanete. -
Filip JirsákStříbrný podporovatel
Firefox se normálně při spuštění podívá, zda už nějaký neběží, a pokud ano, připojí se k němu. Proto vám „nejde spustit obě verze najednou“. Obejít se to dá použitím parametru
-no-remotena příkazové řádce při spouštění té další instance – Firefox pak nehledá jiný proces a s spustí se vždy jako nový proces. -
j (neregistrovaný)
Nemusis chodit ani tak daleko a hluboko k HW ... https://forums.wildstar-online.com/forums/index.php?/topic/128783-insecure-ssl-encryption-rc4/ ... a ses jako BFU v riti. Najdes tam i dalsi thready na tema, ze se tam lidi nedostanou s hlaskou o nepodporovanym typu sifrovani. A ze jde o bezpecnost? Lol, kdyby to bezelo na http, tak by to fungovalo a NIKOMU by to nevadilo.
ČLÁNKY DO MAILU