Názory k článku Postřehy z bezpečnosti: vždyť tam byla ta zelená ikonka

Otázkou je, zda většina populace má intelektuální kapacitu tohle pochopit. To nemyslím zle, ale jako prostý fakt, ze v dnešní době lidi prostě věcem které používají nijak extra nerozumí. V zásadě je to v pořádku. Na zahradníka prostě nemá cenu tlačit co znamená superheterodyn. A pokud tedy přijmeme objektivní fakt že lidi v současné době na internetu nevědí co dělají a/nebo co riskují když dělají to a to, tak je možná na místě se ptát, jestli by se neměl změnit přístup lidí, co internetové standardy vymýšlejí. Vysavač, co vás zabije, pokud ho zapnete v okamžiku, kdy je na orloji v Praze velká ručička na sudé minutě také nebudete považovat za naprosto funkční.

Většina lidí dostane řidičák, tedy většina lidí si bude umět zapamatovat pár pravidel, třeba jako banka po tobě nikdy nebude chtít heslo do mailu apod. Pokud to po nich vůbec bude někdo chtít. Mš třeba jednou v bance poradili, že když si zruším potvrzovací SMS tak ušetřím, že oni to tak taky mají :-D O čem je pak řeč? :-D

No vidis, me treba v bankach (CSOB, KB, RB ...) pravidelne radej, ze si mam vypnout overovani certifikatu.

Můžeme buď zrušit všechny přechody na světě, protože vás tam může srazit auto a nebo se prostě lidi musí naučit, že i na přechodu se musí rozhlédnout. Taky bychom mohli zrušit písmo, aby lidi nemohli podepsat nějakou nevýhodnou smlouvu. Nebo vymyslet jiné písmo, kterým by nevýhodná smlouva nešla napsat.

Kde jsem napsal, že jsou tupci? Já píšu, že prakticky každá lidská činnost má nějaká rizika a lidi se musí naučit, že i na tom počítači to je stejné, že namalovaný přechod (zelený zámeček) neznamená 100% bezpečí.

Určit jestli můžu na přechod pro chodce je pro většinu lidí bezproblémové. Rozhlídnu se a když vidím auto (nebo něco jiného) co by mě mohlo srazit tak nejdu.

Kdyby se podařilo na webu udělat stejně náročné rozlišení můžu / nemůžu, tak by to bylo super. Jen že tam se šermuje několika různými vzájemně propletenými termíny o kterých běžný člověk obvykle ani neslyšel ... tak jak má poznat že "jede auto" ?

na druhou stranu, ve vetsine pripadu by stacilo naucit "rozhlidnout se" v mailu, ze kde je odkaz na sluzbu co pouzivam, tak na nej NETUKAT, ale napsat ho rucne sam do adresniho radku nebo zvolit vlastni jiz predtim ulozenou v zalozkach...

tim by padlo veskere to mailem sirene smejsdstvo kolem paypal, bank, pojistoven apod, kdy v mailu je vzdy neco jako:

"potrebujeme aby jste zadali vase jmeno a heslo na tomto odkazu: "tvojebanka", ktere ale smeruje na https://tvojebanka.fddfs.gfh.erhd.erher.fswds.info

Jenomže semafor a přechod jsou právě naprosto jednoduché protokoly, které byly odladene tak aby je většina populace zvládla. Není v nich desítky až stovky chyb, nevypadají v každém městě jinak a jejich semantika se s časem (vetsinou) nemění. A btw, když se před několika lety změnila semantika přechodu (přednost chodce), jak se to projevilo na nehodovosti?

Jde o celý proces a ten už tak jednoduchý není. Člověk se musí naučit, že silnice je nebezpečí, že by měl přejít po přechodu, že se má rozhlédnout, že i když nic nejede ale svítí červená tak ne, i na zelenou když něco jede co evidentně nezpomaluje tak taky ne atd.
A pokud se bavíme o webu a zeleném zámečku, uživatel nemusí myslet na stovky chyb, jen že by měl mít tak jako tak správnou adresu, podobně jako když jde po přechodu a měl by se tak jako tak rozhlédnout.

Vetsina lidi tomu nerozumi, a prave proto je naprosto chory co se jim snazej browsery natlacit = tvrdit o necem ze je to bezpecny, kdyz to ani teoreticky bezpecny byt nemuze.

Tak bezpečný to je, ale z hlediska přenosu dat ne obsahu. A to je ten problém, ale ten je tu už dlouho, lidi netuší co jsou to certifikáty, a že teď máme u https zelený zámeček je jen stejná blbost jako když se lidi naučily klikat na pokračovat u self signed certifikátů, defakto se nic nezměnilo, lidé tomu nerozumějí a není se čemu divit, spousta lidí z IT také netuší že certifikátů je více.

A o tom, že některé prohlížeče zvláště na mobilních zařízeních skovávají řádek s url ani nemluvím. Tam šance všimnout si že něco není jak má je prach mizerná.

Jenze ono to bezpecny neni ani zhlediska prenosu tech dat. User vi prd jestli komunikuje s nejakym serverem nebo nejakou proxy v ceste. Kdyz ti poslu cert, kterej vyda nejaka ta CA kterou ti do browseru nebo systemu natlacil nejakej kokot, tak proste budes mit zelenej zamecek. Ale vubec netusis, jestli ti ten cert poslal server o kterym si myslis ze snim komunikujes, nebo tvuj provider.

Sak soudruzi v Mozille taky myseli ... az vymysleli ... takze statusbar prosychr zrusili a na addressbaru usilovne pracujou.

Selfsign cert muze byt o nekolik radu bezpecnejsi, protoze tam bys moh (kdyby tvurci browseru nebyli kreteni) redukovat riziko na prvni navstevu. Jenze nemuzes, protoze kdyz ti root predhodi selfsing, a ty si ho ulozis, a pak ti obratem predhodi cert nejaky CA, tak tvuj browser bude spokojene drzet hubu.

Teorie krasna, ale realita je ta, ze CA tu sou k tomu, aby komukoli kdykoli vydaly jakejkoli cert, proti kterymu nebude tvuj browser protestovat.

Kdyby nekdo stal o bezpeci, implementuje DANE, protoze na to, abys prokazal, ze je domena tvoje jaksi (i tem CA) staci, kdyz muzes nakladat s DNS.

Ta ikona by tam nemela bejt vubec zadna, minimalne ne do okamziku, kdy ty jako uzivatel provedes nejakou akci na tema "tomuhle webu s timhle certifikatem nebo touhla CA verim". Do ty doby by se k tomu browser mel chovat jako k http = bez kecu to zobrazit, ale zaroven nikde netvrdit, ze to je bezpecny, protoze neni a nikdy nebude.

Tuhle osvětu "Sice píšeme secure connection, ale secure to není" musí vést prohlížeče. Případně to na svých stránkách musí psát útočníci (což asi neudělají). Protože na stránkách banky to nikdo číst nebude.

Jenže zrovna prohlížeče jsou ti, kdo tuhle snahu dost sabotují. Banky, PayPal apod. dost brojili proti tomu zelenému zámečku a slovu "secure".

Je blbost aby tohle resila CA, to uz spis by mela byt odpovednost registratora domeny aby takto podobne url nedovolil zaregistrovat. Jediny kdo ma ale realne sanci s tim neco dělat jsou browsery. Me se pristup lets encrypt libi.

Proc by mel probuh registrator resit, co si kdo regne? Navic je to uplne jedno, je to naprosto nezajimavy, kdyz te poslu na https://u.zlodeju.cz ... a zobrazim tam web sporitelny, tak kolik tisicin promile tech kolem si vsimne?

jj naprostej souhlas, ty domeny si mozna vsimne kazdej rekneme patej clovek, protoze v tomhle pripade je to evidentni. Jenze tendence je odstranit URL bar z prohlizecu, uz tedka to zkracuje/nezo­brazuje cely url a obecne se to hrne ciste na "clicklike" cestu. Kdyz se podivame na nejaky smartfouny, tak tam URL bar je neco co se taky casto nezobrazuje, navic po trech redirectech to ten uzivatel fakt asi resit nebude.

Nicmene pristup bankovnich instituci k tomu jak nakladaji s osobnimi udaji a riskuji s nimi je odporny. Kdyz jsem si zablokoval hromadu adlike webu tak mi prestalo chodit internetove bankovnictvi (uz to opravili). A ne jen to, kolik bank pouziva nejake jquery atd. z guglu .... no neni jich urcite malo.

Pak vam reknou, ze pouzivejte jejich aplikaci, no dekuju pekne teda (date mi k tomu i telefon?). Kdyz to pak treba s trochou usili pustite na Blackbarry tak se vam nejednou stane, ze vas to vyhlasi, ze aplikace komunikuje nezabezpecene.

Uprime, nejlepsi je mit na bankovnictvi vyhrazenej jeden virtual a nelozit s nim nikam jinam. Jenze BFU .... to je proste Franta Lopata a Pepa Krumpac .... proto tem lidem vyhovuje "cash". Naucit je neco jako rozeznat pravej web od nepravyho .... nene na to nemaj cas, ani chut, ani je to netrapi. Takze ve finale do toho rizika je defakto neprimo dostava banka a ta si za to ponese nasledky, co uz, zajistovna to zaplati a vsichni jsou spokojeny. Kolikrat taky banky tajej jaky maj ci nemaj problemy s bezpecnosti a nedozvite se nic. Dalsi meziclanek jsou poskytovatele/pro­vozovatele kreditnich/de­betnich karet (Visa, Master ... ).

Jak psal jeste "kolega" vyse, vsechno je apriory unsecure/untrusted dokud me to nepresvedci ze to tak neni. To ze nekdo podepise prazdnou A4 ... to neni uplne muj problem. To ze nekdo kasle na bezpecnost, neni muj problem. To ze to ve finale zaplati nekdo jinej .... mi muze bejt jedno.

Jen at dal poskytujou zeleny certifikaty zadarmo a vsem, hura hura vsem bude lip! Vsechno bude sifrovany! =D

Jestli on není problém s tím, že se míchá šifrování, autentizace a garance obsahu. CA na webu totiž nedávají smysl. Klíče a identifikace vlastníka webu a ochrana před fake serverem by se měla primárně řešit na úrovni DNS.

Obsah nemůže nikdy nikdo garantovat, ale technologicky není problém zajistit, aby
- zařízení nekomunikovalo s falešným serverem
- aby registrátor věděl, kdo je za danou doménu (trestně) zodpovědný a v případě problému se o tuto informaci podělil
- aby DNS při hledání serveru dostalo informaci, že je doména v nepořádku
- aby se TLD, kde registrátor neví, komu prodává domény, nebo nerespektuje pravidla, dostaly na black list a browser preventivně varoval uživatele
- aby registrátor automaticky generoval šifrovací klíče pro každou doménu a připnul je k DNS
- aby skončili příživníci, co jenom vydávají šifrovací klíče a za nic neručí

"aby registrátor automaticky generoval šifrovací klíče pro každou doménu a připnul je k DNS"

Proč by měl něco takového dělat registrátor? To je starost majitele domény.

Něco podobného dělá DANE protokol, ale zde je problém s DNSSEC a tím, kde se validuje.

ehm ....

1) japa zarizeni pozna falesny server?
2) jj, takze zablokujem vsechny TLD ... pripadne si domenu budes chodit kupovat osobne ... a von ti ji vubec nekoupi nejakej bezdomac kterymu koupis pivo.
3) jo, to bude jiste bezpecny, kdyz bude klice generovat nejakej registrator ... lol a to nemluvim o tom, ze jaksi algoritmu mame stovky, a protokolu tisice ...

1) Falešný server nezná soukromý klíč toho pravýho -> komunikace nedává smysl -> spojení nefunguje.
2) U nás když chceš doménu, tak musíš použít MojeID. Když to umí cz.nic, proč to neumí/nedokážou použít ostatní? A proč browser místo CA nemůže mít seznam "anonymních" domén?
3) Generování klíče, to je jeden řádek ve skriptu. Vygenerovat nebo zneplatnit klíč se dá i online na webu registrátora. Proti přihlášení ověřeným ID, samozřejmě. Pak si soukromý klíč schováš, veřejný klíč připneš k DNS a hotovo.

A bylo by zaručeno, že tohle je opravdu server Božky Blažkové, na kterou je registrovaná doména. Když bude dělat lumpárny, dá se Božka dohledat .

@Petr M

1) Nějakým způsobem musíš dát vědět uživateli (resp. jeho browseru), že určitý klíč je pro danou doménu "správny". A to lze udělat třemi způsoby: Pomocí garance CA, pomocí DNS (nepoužívá se, DNSSEC se navaliduje na koncových stanicích) nebo ručně (dokáźeš si představit, že si půjdeš do sídla Google nechat potvrdit správnost jejich veřejného klíče?).

2) Ne nemusíš mít MojeID a i když bys ho musel mít, tak nikde není dáno, že si musíš nechat potvrdit totožnost.
Naproti tomu, když CA vystavuje OV nebo EV certifikát tak musí ověřit tvoji totožnost (bohužel se to tak často neděje).

3) Kdyby to bylo tak jednoduché, jak říkáš, dávno by se to používalo. K tomu, aby to fungovalo, jak píšeš, je potřeba DNSSEC. No a jsme u problému. I kdyby DNSSEC fungovalo u všech ISP perfektně, jako že nefunguje, tak stejně budeš řešit problémy s důvěrou v předanou opověď. DNSSEC je totiž validováno na rekurzivním DNS serveru, který sis nastavil. Potud v pořádku. Jenomže komunikace mezi rekurzivním DNS a tvým počítačem už nijak zabezpečena není, kdokoli na lince může odpovědi podvrhnout.
Možná řešení jsou dvě: Zabezpečit linku mezi rekurzivním DNS a tvým počítačem (IPSec, DNS over TLS) s tím, že danému rekurzivnímu DNS budeš bezmezně důvěřovat a nebo ideálně validovat DNSSEC přímo na tvém počítači.
Víme, jak se to má s IPSec a navíc tam jsou stejně potřeba certifikáty. DNS over TLS snad není nikde implementované a také jsou tam nutné certifikáty.
Validace DNSSEC na lokálním počítači operační systémy neumí, je potřeba extra aplikaci a má to nezanedbatelný dopad na výkon.

Pro lidi kteri technologiim nerozumi, nemaji k nim vztah a presto je pouzivaji, by vetsinou cas a trapeni nutne k pochopeni principu (bez kterych se smysluplne reseni IT bezpecnosti na osobni urovni neobejde) prevysilo mozne ztraty. Proste se jim nevyplati se tim zabyvat.. Banky maji fraud checkery (bratrem nedavno nechtene otestovano u FIO), v mnoha uspesnych pripadech penize vraceji, takze to nejhorsi co Vas muze teoreticky potkat je kradez ci smazani dokumentu z pocitace ci mailu ze serveru hostingu, a to nemusi stat za docasne snizeni kvality zivota ucenim principu bezpecnosti.

"takze to nejhorsi co Vas muze teoreticky potkat je kradez ci smazani dokumentu z pocitace"

Jenomže když ten ukradený soubor je třeba... soukromý klíč k bankovnictví nebo heslo k PayPalu v plain textu,

Nebo ten smazaný mail je ... notifikace z katastru, že někdo vložil návrh na vklad,

tak je ta škoda zcela a úplně zanedbatelná, že...

"Jenomže když ten ukradený soubor je třeba... soukromý klíč k bankovnictví"

To resi banka: Fraudchecker + nucena dvoufaktorova autentizace

"nebo heslo k PayPalu v plain textu"

Heslo bez username je Vam nanic, a paypal je navazany na ucet, takze by mel opet zafungovat fraudchecker banky. Navic u cloveka ktery nema ani zakladni vztah k technologiim nelze pouzivani paypalu vubec predpokladat.

Pokud vím, tak PayPal nebyl svázaný s účtem, ale s kartou (cca 8 let jsem ho nepoužil). A to je sakra rozdíl.

A zjistit, že někdo platí kartou, jde těžko - stačí znalost čísla karty, CVV, datum platnosti a jméno a transkace ja pletná. Pokud někdo do toho souboru dá komplet přihlašovací údaje k PayPalu a někdo je zneužije, v nastavení karet najde všechno potřebný, aby si kartu mohl zaregistrovat a použít kdekoliv...

"Pokud vím, tak PayPal nebyl svázaný s účtem, ale s kartou (cca 8 let jsem ho nepoužil). A to je sakra rozdíl."

A karta je svazana s uctem.....

Bratr platil nedavno paypalem neco z DX par stokorun a v momente kdy to zaplatil si uvedomil ze chtel vzit dva kusy, takze behem asi dvou minut provedl dalsi nakup a dalsi placeni naprosto stejne castky na naprosto stejny ucet. Do 20ti minut mel kontrolni telefonat z banky zda o tech platbach vi.

Jeste jsem zapomel na ten katastr: Clovek ktery nema vztah k technologiim si nejspis nastavi hlidaci SMS a ma dost pravdepodobne i hloupy telefon (coz je vlastnost ktera dost znesnadnuje jeho ovladnuti zvenci).

V mým okolí se patlafouny dávají dost často jako dárek, třeba technicky negramotné tchýni (samozřejmě Srandoid).
A další skupina hrdých vlastníků patlafounu jsou techničtí analfabeti, co se musí blýsknout, protože patlafoun má každý a bez něho by byli out.

A e-maily se běžně používají cca 20 let, takže i běžná kancelářská krysa 10 let v důchodu je bere jako samozřejmost.

Takže na tomhle předpokladu bych bezpečnost raděj moc nestavěl. Zabezpečení musí být buďto dost jednoduchý na to, aby mu i lama rozuměla, nebo navržený tak, aby se všechno dělo tak nějak automaticky a nebyla možná náhodná sabotáž třeba odmítnutím "jakési aktualizace", nebo odklepnutím "jakési bezpečnostní aktualizace".

"V mým okolí se patlafouny dávají dost často jako dárek, třeba technicky negramotné tchýni (samozřejmě Srandoid). A další skupina hrdých vlastníků patlafounu jsou techničtí analfabeti, co se musí blýsknout, protože patlafoun má každý a bez něho by byli out."

OK, pripustme moznost ze ten clovek ma smartphone....
Pravdepodobnost ze Vam hackou telefon a zaroven Vam chteji katastralnim podvodem ukrast dum je mensi nez ze na Vas spadne asteroid. Pominme pro tento ucel bohate lidi s drahymi nemovistostmi na ktere by sel cileny utok, takovy clovek si nejspis v zabezpeceni zaplati nejakou radu/sluzbu.