Názory k článku Zámeček HTTPS zmizí z Chrome, nahradí ho neutrální ikona nastavení

Tomu samozřejmě rozumím. Ale navrhované řešení „pokud se připojuješ po místní síti, ignoruj chyby v zabezpečení“ není šťastné.

Cely zivot je otazkou kompromisu a neni stastny. Denodenne se vyhybame best practices protoze usili v dane situaci na to udelat vec spravne nebo "spravne" je vyssi nez vyhoda ziskana z vyreseni.

Takze prakticky:
Certifikat v routeru ke kteremu diky ISP nemam plna pristupova prava prehodim jak?
U velke firmy kde ruzna zarizeni jako klimatizace,vzducho­technika, zabezpecovacka, rizeni cerpadel srazkove vody atd. to vyresim jak?
Casto tato zarizeni ziji s tou ridici jednotkou 20let i dele. A maji treba zapeceny certifikat(v lepsim pripade) ktery se ani zmenit neda.
Pokud certifikat muzete vymenit, tak tohle bezny BFU servisak nedela. A neexistuje v soucasne dobe jednoducha alternativa.
Neexistuje jednoduchy univerzalni zpusob jak si zarizeni muze samo udelat request pro vystaveni a refresh certifikatu pokud mam treba vlastni CA pro vnitrni sit.

I pokud mam extra vlanu, VPNku nebo nejakou HTTPS proxy tak stejne to ten problem neresi protoze mohu napadnout mezilehlou sit perfektnim mitm. CAA pouzit zrejme nemuzu, mozna tak DANE+DNSSEC a tise budu doufat ze to bude validovat... ve vnitrni siti hmmm...

Ano, ale informace o "nezabezpeceni" furt dava smysl. Je to takovy kompromis, presne takovy jaky je zivot sam.

Dává smysl z technického pohledu jak je definované "zabezpečení", ale křičet na uživatele, že při instalaci nového routeru to je nezabezpečené a že musí explicitně sohlasit? To mi připadá zbytečně zmatečné a pedantské. Nechci dělat vyjímku, ale podivuji se nad tím, že se za ty roky nenašel technický způsob jak tuhle inicializaci řešit. Teda on ten způsob vlastně vzniká, konfigurace přes mobilní aplikaci, přes cloud služby či vzdálené nastavení ISP a změny nastavení z jeho administrace.

Ve firemním prostředí to není problém.

No tyhle exkrementy fakt miluju. Prihlasovat zarizeni do cmoudu nebo mobilni appku jen kvuli nastaveni. Uzasne z mista kde nemate pristup k internetu nebo velmi omezeny.

Jak dlouho bude zit ta appka vzhledem k tomu ze treba androidi api rychle zastarava? Rychle -> jedna verze nevydrzi 10/20 let. Obsoleted by app. Obsoleted by cmoud.

Prez web interface se dosranu i do zarizeni z roku 2007. Nehovoric o CLI. Trhnete si nohou s cmoudy a appkami!

A dela appka skutecne overeni certifikatu?

tyhle mobilní appky běží buď jen na http nebo https a nevalidují ceritifkát, když člověk má štěstí, má každé zařízení unikátní. Začíná být trend používat bluetooth ke konfiguraci, což také není zrovna výhra.

Zařízení, které nemohu konfigurovat sám offline a způsobem, který mi vyhovuje, prostě nekupuji.

Na druhou stranu chápu potřebu být schopný nově koupené zařízení nějak zprovoznit, hromada dnešních uživatelů nemá počítače, jen telefony, ve spoustě případů dané zařízení není ani na stejné síti (např. sekačka s vlastní simkartou nebo zabezpečovačka).

Ve firmně mi to je jedno, mám terminál, programátor, seriový port či jiné low level spojen, zařízení nakonfiguruji a pak používám.

> Neexistuje jednoduchy univerzalni zpusob jak si zarizeni muze samo udelat request pro vystaveni a refresh certifikatu pokud mam treba vlastni CA pro vnitrni sit.

Existuju: SCEP, ACME (voci vlastnemu ACME serveru).

> I pokud mam extra vlanu, VPNku nebo nejakou HTTPS proxy tak stejne to ten problem neresi protoze mohu napadnout mezilehlou sit perfektnim mitm.

Len pokial ma dana HTTPS proxy certifikat vydany takou CA, ktorej obet doveruje a zaroven obet nema druhu stranu v HSTS.

v současné době neexistuje řešení jak provést administraci routeru
Přesnější by bylo, že technické řešení sice existuje, ale autoři routerů na to kašlou. Což je docela pozoruhodné – řeší se bezpečnost teploměru v psí boudě, ale nikdo moc neřeší domácí routery, přes které jde veškerý provoz a které oddělují nebezpečný veřejný internet od domácí sítě, o které si většina lidí myslí, že je bezpečná.

Uživatelé nechtějí zadávat do prohlížeče žádné IP adresy, kterým nerozumí a které jim prohlížeč vyhledá na Googlu. Uživatelé chtějí s routerem komunikovat jako s čímkoli jiným, tj. otevřít v prohlížeči stránku podle názvu, častěji naskenovat QR kód mobilem.

Technicky to řešitelné je – router bude mít na štítku s údaji a heslem do WiFi vytištěno i své jméno a QR kód. DNS bude zaregistrováno u výrobce routeru a router si přes to zajistí získání certifikátu. To je řešitelné už dnes.

Do budoucna by bylo lepší, kdyby router řešil přidělování DNS názvů všem zařízením v domácí síti a zprostředkovával pro ně i vydání certifikátu. A bylo by fajn, kdyby to nebylo závislé na proprietární službě výrobce, ale aby pro to existoval standard – a tu doménu pro domácí síť běžně poskytoval ISP (jako dříve poskytoval e-mailovou schránku).

Ono to ani nemusí být tak složité, pokud se bavíme o prvotním nastavení routeru.
V případě připojení kabelem je to vcelku jednoduché - v rámci DHCP se router nastaví jako DNS a pak může klidně odpovědět na "router". U wi-fi by opravdu stačilo rozumné náhodné (opsatelné) heslo a QR-kód na zadní straně routeru - a zbytek je stejný.
Ale: pro prvotní nastavení není HTTPS potřeba, protože jediné spojení je mezi routerem a tím zařízením, navíc buď zakabelené nebo chráněné prvotním heslem oné wifiny!
Takže pak už jde jen o to, jak dokopat uživatele, aby napoprvé nastavil všechny parametry - a teprve pak je možné připojit další zařízení, internet...

Jen mám obavu, že by to cenu routeru zvedlo nejmíň o dva dolary, což se výrobcům bude zdát neakceptovatelné.

> Jen mám obavu, že by to cenu routeru zvedlo nejmíň o dva dolary, což se výrobcům bude zdát neakceptovatelné.

Já nechápu proč tam výrobci prostě nedávají OpenWRT s LuCI - nemusí nic vyvíjet, má to docela použitelné rozhraní, spousta funkcí, mohou to naprosto legálně používat zadarmo… Místo toho si všichni bastlí FW pochybné kvality, se kterým se pak musí udržovat a řešit problémy. (ne že by teda zrovna HTTPS v defaultu bylo na LuCI nějak dobře vyřešené, ale čekal bych, že jakmile se rozmůže nějaký industry-standard, OpenWRT bude jedno z prvních, kdo ho bude mít implementovaný)

Zakabelené? V dnešní domácnosti už router má max jeden kabel (WAN), jinak tam nenajdete zařízení s RJ-45. Smutné ale pravda.

Ale: pro prvotní nastavení není HTTPS potřeba, protože jediné spojení je mezi routerem a tím zařízením, navíc buď zakabelené nebo chráněné prvotním heslem oné wifiny!
Jenže není možné řešit nějaké výjimky a složitě zkoumat, zda tohle jedno spojení opravdu může být nezabezpečené. Prohlížeč nemá jak to zjistit a uživatel už vůbec ne. Takže zkrátka tohle jedno spojení musí být zabezpečené, i když by možná být nemuselo – kvůli tomu, aby byla chráněna všechna ostatní spojení, která být zabezpečena musí.

Takže pak už jde jen o to, jak dokopat uživatele, aby napoprvé nastavil všechny parametry
Uživatel by pokud možno neměl nastavovat žádné parametry.

Filip Jirsák: Problém vidím v tom, že po prvním zapojení se router (nebo podobná krabička - IP kamera, atd.) možná nedokáže dostat na internet (a tedy získat si certifikát), a proto právě člověk potřebuje vlézt do toho nastavení, aby ho nastavil… (samozřejmě můžete říct, že na tohle máme používat speciální prohlížeč, a neměl by to dělat BFU)

Router se typicky připojuje do sítě ISP nebo kabelem k modemu nebo podobnému zařízení od ISP, takže by se měl na internet dostat. Problém by byl jedině v případě, že se router připojuje přes WiFi. Ostatní zařízení, jako IP kamera (nebo ten router připojený k modemu), by měla mít přidělení DNS názvu a vystavení certifikátu zprostředkovaná právě tím hraničním routerem. Na to dnes obecně používaný postup chybí, i když technické protokoly na to jsou – DHCP, RA, mDNS, Acme. Mělo by to vypadat tak, že když se do sítě připojí zařízení, které bude signalizovat, že má být dostupné pro ostatní zařízení (aby se neregistroval každý mobil), pošle router notifikaci uživateli, že se do sítě snaží připojit nové zařízení. Uživatel uvidí typ zařízení, jeho jednoznačnou identifikaci, kterou bude moci zkontrolovat se štítkem na zařízení, uvidí navržený název, který bude moci změnit, a schválí připojení zařízení do sítě. Router zprostředkuje pro název vystavení certifikátu, a v rozhraní routeru bude rovnou vidět seznam připojených zařízení s klikatelným odkazem.

Speciální prohlížeč se na to používat nemá a BFU má dělat opravdu jen to, že v dashboardu routeru upraví název zařízení a jeho popis a schválí jeho připojení do sítě. Drtivá většina uživatelů nechce řešit nějaké IP adresy tiskárny nebo IP kamery, prostě chtějí jen vlézt přes uložený odkaz na úvodní stránku své chytré domácnosti, kde uvidí seznam zařízení jako „tiskárna Canon Pixma i 7200“ nebo „webkamera na balkoně“ a pod tím budou mít DNS názvy, kdyby si to chtěli náhodou otevřít někde jinde, třeba udělat záložku na mobilu.

Není to nic technicky složitého, v podstatě stačí jenom to, aby zařízení při připojení do nové sítě o sobě poslal o trochu víc informací, než posílá dnes.

Router se typicky připojuje do sítě ISP nebo kabelem k modemu nebo podobnému zařízení od ISP, takže by se měl na internet dostat. Problém by byl jedině v případě, že se router připojuje přes WiFi.

So vsetkou uctou, ale toto je nezmysel, ktory dokaze vyplodit iba clovek od stola s nulovou praxou.

Je uplne bezne, ze sa pripravuje infrastruktura na objektoch, kde *zatial* internet nie je. On tam eventualne bude, ale v case, ked to nastavujete, nie je. (Presne za toto si to zlizli aj v Ubiquiti, ked isty cas bol potrebny pri nastavovani Unifi cloudovy ucet). Ked ISP internet dotiahne, pripoja sa WAN port/y a vsetko uz ma hrat. Vasa predstava o fungovani by s predstavami ostatnych o priebehu prac bola dost v krizku.

ja. Jenže tady se nebavíme o kancelářských nebo průmyslových objektech, bavíme se o SOHO. Pokud někdo připravuje „infrastrukturu pro objekt“, je to snad profesionál, od kterého můžeme chtít víc, než od domácího uživatele.

A ako to chcete riesit pri veciach, ktore musite nakonfigurovat na to aby sa vobec dostali do internetu? Alebo takych co su v offline prostrediach?

Navyse tym sposobom moze hrozit ze zacnete prezradzat informacie o internych sietach.

Takhle jednoduché to samozřejmě není a vaše řešení počítá s jednou podmínkou a to, že je zařízení připojené k internetu. Navíc počítá taky s další podmínkou a to naprostou důvěrou ve výrobce routeru.

Saljack: Jasně, drtivá většina lidí si domácí router pořizuje proto, aby ho neměli připojený k internetu. Důvěra ve výrobce routeru nemusí být naprostá – stačí, když budu důvěřovat tomu, že router správně routuje, filtruje provoz a má bezpečný software. Čemuž musím důvěřovat tak jako tak.

Ono by to bylo moc jednoduché...
Jde mi o první spuštění tedy router v továrním nastavení. Takový může mít zadrátované, že umožní připojit jen jedno zařízení (eth, wi-fi...) a veškerý provoz obslouží interní webserver s klikacím nastavením. A dokud to nenastavíte, k žádnému internetu se to připojovat nebude.
A když to nastavíte, už to může mít zprovozněný DNS, (lokální) CA a čertvícoještě - a konečně začne fungovat jako router.
Klidně to může pro zákazníka nastavovat ISP při zavedení internetu - pokud si s tím BFU nechce hrát... (Jeho chyba.)

Mimochodem: všechny routery, které jsem kdy měl, jsem vždy napoprvé nastavoval off-line - a nebyl s tím nikdy zásadní problém. (Nepočítám-li jeden ADSL router od O2, který trval na tom, že ADSL bude zapojené - ale i ten se spokojil s jen fyzickým připojením k dosud nefunkční lince.)

6. 5. 2023, 21:14 editováno autorem komentáře

RRŠ: Tak samozřejmě to můžete zbytečně komplikovat. Nebo to může fungovat jednoduše – přinesu domů router, podle obrázku zapojím kabel do WAN a napájení, a ono to funguje. Co bych na tom měl nastavovat? A pokud něco nastavit budu chtít, naskenuju QR kód s unikátním DNS názvem routeru, adresu otevřu v běžném webovém prohlížeči a bude to normální zabezpečení HTTPS s důvěryhodným certifikátem.

Přesně to, co popisujete, přijde komplikované mně. ;oD
Předně soudím, že router by se měl vždy před připojením vnitřní/vnější sítě nastavit. Tovární konfiguraci považuji za poněkud nedůvěryhodnou - různá přihlašování admin:admin, SSID myrouter s heslem password a podobné vylomeniny jsem potkal až nepříjemně často.
Takže metodu přinesu domů router, podle obrázku zapojím kabel do WAN a napájení, a ono to funguje bych považoval za obdobně hloupou, jako zvolit si slabé heslo - tady by měl uživatel alespoň výmluvu, že takhle blbě to nenastavil on.
Naopak mi přijde jako vcelku přímočaré, pokud uživatel (podle návodu) připojí napájení a buď přibaleným kabelem připojí nějaký počítač (klidně do - budoucího - WAN...) nebo nascanuje QR kód k wifině či opíše (třebas krátké) heslo, připojí se na IP adresu z návodu nebo (v podstatě libovolné) jméno - a pak si zvolí dostatečně silné administrátorské heslo, nastaví wi-fi s dostatečně silným heslem (a dostane QR - kód k ofocení) a případně i wi-fi pro hosty, potvrdí, že tomu nerozumí, takže ten port bude WAN a wifina půjde dovnitř... Dokud tohle neudělá, zůstane zařízení v továrním nastavení.
A pak to jen připojí a používá. Nastav a zapomeň.

Takže úvodní nastavení chcete jenom proto, aby uživatel nastavil dostatečně silné heslo, přičemž to nedokážete ověřit, zda skutečně nastavil silné heslo. Přitom daleko jednodušší je, aby to silné heslo bylo nastavené už od výrobce routeru. Navíc ten QR kód s heslem pak nemusíte jen někde zobrazovat a uživatel si ho nemusí nějak složitě tisknout, když ho chce mít někde u routeru trvale k dispozici, ale může být rovnou na štítku na routeru nebo u routeru.

Není žádný důvod, proč by uživatel měl na routeru něco nastavovat, pokud nechce nastavovat něco nestandardního.

Výrobce (všechny?) nedonutíte, aby nastavili skutečně bezpečná hesla - ostatně, to ani ty uživatele.
To je totiž marný boj a nám nezbývá, než se s tím smířit.
Zhruba před rokem (léto 2022) jsme na první proscanování ve svém obýváku naladil 26 wifin (nepočítám-li tu vlastní). sedm z nich mělo výchozí SSID/heslo od ISP či výrobce a nebyl problém se na ně připojit; šest bylo nastavených se slabým heslem a nebyl problém se na ně připojit; jedna byla zcela bez hesla - a nešlo o wi-fi pro hosty; jedna patřila nedaleké restauraci a vcelku jednoduché heslo tam mají na jídelním lístku.
Tak - a teď bádejte, zda je horší věřit výrobcům nebo uživatelům!

Když je nedonutíte k nastavení bezpečného hesla, nedonutíte je ani k tomu, aby software udělali tak, že uživatel musí nejprve bezpečné heslo nastavit.

Jinak výrobce k tomu nastavení bezpečného hesla samozřejmě může donutit zákon.

To, že je u veřejné WiFi veřejně dostupné heslo není nic divného. Divné by bylo, kdyby to bylo jinak.

Vaše důvěra v moc zákonů je udivující ;oD

Zákon ukládá výrobcům/dovozcům opatřit ta zařízení českým návodem. Troufnu si tvrdit, že valná část ze zařízení (routerů) zde prodávaných má návody leda tak v angličtině a čínštině. U spousty mám vážné pochybnosti, že všechny jejich certifikace jsou v pořádku.
Jediný způsob, jak je donutit nastavit kvalitní hesla a slušné zabezpečení, je: že sami budou chtít..
A nedocílíme toho tím, že zostříme kontroly, že budeme zabavovat a likvidovat zařízení, která nevyhoví nastaveným pravidlům, že je budeme zabavovat zákazníkům, že je zakážeme používat. (Ano, nic z toho nenavrhujete a nikde v předcházející diskusi to nebylo...!)
Dokud uživatelé sami nebudou trvat na lepším zabezpečení, na důsledném používání (například) HTTPS, na nastavení silných a originálních hesel, dokud sami nebudou mít potřebu se bezpečností sítě zabývat, jde jen o planá restriktivní opatření.
Zcela neproduktivní - ve chvíli, kdy polovině uživatelů stačí, že to funguje.

Nám před několika léty náhle umřel kolega a vedoucí se složitě dostávala do jeho zaheslovaného počítače (byly tam nějaké závěrečné zprávy, kde hořely termíny jejich odevzdání). A tak vydala nařízení, že všichni zaměstnanci budou mít jako heslo k počítači začátek své e-mailové adresy (co je před zavináčem). A šmitec!

A. S. Pergill: A vy v té firmě děláte co? Prosím neříkejte správce IT nebo IT sekuriťáka, protože pak už vás FJ teprve roznese na kopytech...

VŠ učitele.