Chrome bude nejdříve doplňovat před adresu HTTPS

Přesto existují očividně lidé, kteří by byli v některých oblastech liberálnější.

Jasně, ale to co zavádí Chrome řeší jen ten druhý požadavek: prodlevu u serverů s HTTPS. Bezpečný default to není (MitM útočník si může vynutit načtení webu po HTTP, a to i v případě, že web přesměrovává na HTTPS).

Bylo to myšleno tak, že když má na výběr mezi nezabezpečeným HTTP a bezpečným HTTPS, jako první zkusím bezpečné HTTPS.

To, aby default byl bezpečný, tj. nebyl napadnutelný útočníkem, bude teprve tehdy, až prohlížeč úplně přestane podporovat nešifrované HTTP.

Na té otázce nic sugestivního nevidím. A nepsal jsem v ní nic o bezpečnosti.

Změna je to především v rovině symbolické, protože vypadá opravdu zvláštně, když se prohlížeč všelijak snaží přesvědčit uživatele i tvůrce webů, že mají používat HTTPS – ale když je volba přímo na prohlížeči, zvolí HTTP.

Vnímám vztah uživatel-poskytovatel obsahu jakožto exkluzivní, zadělávající na práva a povinnosti právě mezi těmito dvěma stranami.
V tom se ale mýlíte. Jak už bylo mnohokrát řečeno – a vy jste k tomu směřoval v prvním odstavci – skutečná bezpečnost nemůže být založena na tom, že se dvě strany po nezabezpečeném kanálu dohodnou, že chtějí začít používat bezpečný kanál. Do tohohle dohadování totiž může vstoupit útočník a překazit ho. Proto se směřuje k tomu, aby TLS bylo použité všude. Největší bezpečnostní riziko HTTPS je totiž to, že prohlížeč podporuje i HTTP.

Samotné násilí, kterým se pár gigantů rozhodlo udělat změny, mi nesedí. Poškodilo to malé, upevnilo to pozici velkých.
Myslím, že tato vaše tvrzení nemají nic společného s realitou.

Proti tomu, mailová komunikace, ve které ve skutečnosti zasíláme mnohem důvěrnější informace, si dál, prakticky bez povšimnutí sviští nešifrovaně.
Řekl bych, že nemáte moc představu o tom, jak dnes e-mailová komunikace vypadá.

Jak už bylo mnohokrát řečeno – a vy jste k tomu směřoval v prvním odstavci – skutečná bezpečnost nemůže být založena na tom, že se dvě strany po nezabezpečeném kanálu dohodnou, že chtějí začít používat bezpečný kanál. Do tohohle dohadování totiž může vstoupit útočník a překazit ho.

Těžko do toho útočník vstoupí, když poskytovatel obsahu usoudí, že HTTP vypne, a ponechá si jen HTTPS, et vice versa. Bohatě by stačilo stanovit právní rámec, aby za zabezpečení odpovídala strana, poskytující službu (což by byl v 99 % ten, kdo provozuje server). Další možností by bylo přidat bezpečný kanál, kterým by se prohlížeč dozvěděl že druhá strana nešifrovaný přenos vylučuje.

Možností by se našlo určitě víc, které by k bezpečnosti směřovaly dokonce více, a zároveň by zachovaly volnost obou stran.

Víte, já uznávám, že některé změny by bez vnějšího impulsu vůbec nepřišly (typicky ekologie), protože obecný (veřejný) zájem je proti přímému zájmu jednotlivce. U bezpečnosti je zájem jednotlivce vyvážen mezi náklady a přínosy, optimum se tedy nalezne.

Těžko do toho útočník vstoupí, když poskytovatel obsahu usoudí, že HTTP vypne, a ponechá si jen HTTPS, et vice versa.
Jenže to byste si jako klient musel být jistý, že komunikujete s poskytovatelem a ne s útočníkem. A jste zase na začátku.

Možností by se našlo určitě víc, které by k bezpečnosti směřovaly dokonce více, a zároveň by zachovaly volnost obou stran.
Volnost stran je největší bezpečnostní problém.

U bezpečnosti je zájem jednotlivce vyvážen mezi náklady a přínosy, optimum se tedy nalezne.
U bezpečnosti jde hlavně o veřejný zájem. Možná ještě víc, než u ekologie. Navíc náklady na HTTPS se dnes často limitně blíží nule. U moderních serverů už je nákladnější HTTPS nemít, protože to musíte explicitně nakonfigurovat.

Volnost stran je největší bezpečnostní problém.

Jakákoliv svoboda je bezpečnostní problém, když se na to díváte optikou systému. Jde jen o to, kde leží konsensus, kterých svobod se částečně vzdáme a jaký je přínos. To už je asi individuální otázka, ale obvykle se ke změnám sahá až poté, co s nimi souhlasí většina. Zde ovšem nedošlo k žádnému plebiscitu, ani nepřímému. Někdo silný určil, co je pro všechny nejlepší (což by se dalo ještě s přivřením oka přijmout), ale taky určil způsob, jakým se toho dobereme (a zde vidím potíž).

Navíc náklady na HTTPS se dnes často limitně blíží nule. U moderních serverů už je nákladnější HTTPS nemít, protože to musíte explicitně nakonfigurovat.

To je podle mě sebeklam. Ve skutečnosti to způsobilo a způsobuje problémy v místních sítích, všemožně se to obchází - anebo častěji, lidi raději utíkají do cloudu, kde je vše vyřešené (jistě jen shodou okolností se jedná o ty samé firmy, co nám tu medicínu naordinovaly). Dat se přenáší čím dál víc, a vše se musí zašifrovat - což globálně opět stojí nějaké tuny paliva, přeměněné na elektřinu. Legacy systémy potřebují zvláštní péči i tam, kde o bezpečnost nejde.

Nejde o to, že ta částka je neviditelná. Jde o to, že je dost možná vyšší, než kdyby si to trh určil sám, trochu přirozeněji (asi můžeme ale vést i diskusi tom, že Google a další jsou také součást trhu). Možná by, bez zásahu firem s podstatným vlivem, došel k podobnému výsledku o něco pomaleji, ale jsem přesvědčený, že mnohem spravedlivěji. Náklady by nebyly neviditelně rozložené mezi všechny, ale ukázaly by se tam, kde opravdu jsou.

Já chápu, že jste přesvědčený, že šifrovaná komunikace je tak velkým přínosem, že ospravedlňuje i trochu ráznější přístup. Já si dovolím zůstat přesvědčen, že to má i svá a ne nulová negativa.

Zde ovšem nedošlo k žádnému plebiscitu, ani nepřímému. Někdo silný určil, co je pro všechny nejlepší (což by se dalo ještě s přivřením oka přijmout), ale taky určil způsob, jakým se toho dobereme (a zde vidím potíž).
Jenže ti „někdo silní“ se stali silnými proto, že jim zákazníci dávají přednost před konkurencí. Soutěž na volném trhu se považuje za jedno z nejsvobodnějších prostředí.

Ve skutečnosti to způsobilo a způsobuje problémy v místních sítích
Ne, problémy to nezpůsobuje. Odhaluje to problémy, které v té síti byly dávno, jenom byly různě dovedně zamaskované.

což globálně opět stojí nějaké tuny paliva, přeměněné na elektřinu
Řešení problémů způsobených nešifrovanou komunikací je snad zdarma?

Jde o to, že je dost možná vyšší, než kdyby si to trh určil sám, trochu přirozeněji (asi můžeme ale vést i diskusi tom, že Google a další jsou také součást trhu).
A taky můžeme vést diskusi o tom, zda pes je zvíře… Samozřejmě, že Google je součástí trhu, a své velikosti dosáhl tak, že nabídl služby, které uživatelé chtějí. Nevím, jak byste to chtěl udělat lépe, než že to určil trh.

Možná by, bez zásahu firem s podstatným vlivem, došel k podobnému výsledku o něco pomaleji, ale jsem přesvědčený, že mnohem spravedlivěji.
Co vám na volném trhu připadá nespravedlivé?

Náklady by nebyly neviditelně rozložené mezi všechny, ale ukázaly by se tam, kde opravdu jsou.
Myslíte tam, kde je nutné je vynaložit, nebo tam, kde vznikají? Bezpečnost má totiž výrazné externality.

Já chápu, že jste přesvědčený, že šifrovaná komunikace je tak velkým přínosem, že ospravedlňuje i trochu ráznější přístup.
Nemyslím si, že současný přístup k bezpečnosti je rázný. Podle mne je naopak dost konzervativní. Každopádně považuji za podstatné to, že to řešení vzniká přirozeně na volném trhu.

Jenže ti „někdo silní“ se stali silnými proto, že jim zákazníci dávají přednost před konkurencí. Soutěž na volném trhu se považuje za jedno z nejsvobodnějších prostředí.

Ano, i ne. V případě hráčů s podstatnou tržní silou už je potřeba si dávat velký pozor. Oni zůstávají silní i kvůli tomu, že už nedopustí, aby je další dorostl. Google v tomto úsilí považuji za geniální (jakkoliv můj obdiv nesklízí). Dovede trpělivě čekat na správný okamžik a upevňuje si svoji sílu po kolečkách salámu. Na ztrátě diverzity trhu dlouhodobě spotřebitelé nevydělají.

Řešení problémů způsobených nešifrovanou komunikací je snad zdarma?

Ne, ale je adresné na ty subjekty, kterých se to týká. Když nad tím budete uvažovat, i chléb se dá péct několika málo efektivními způsoby (řekněme z pohledu energetické účinnosti), mouka se dá také vyrobit efektivně, obilí může růst ve správných oblastech a být správně ošetřeno. I to by bylo pro lidstvo přínosem, aby se neplýtvalo energií (tj. penězi každého) - přesto to nikdo nedopustí. Nechávají se bojovat malí zemědělci, mlýny, pekaři. Malí s velkými. Bochník za 20 Kč i za 120 Kč.

Myslíte tam, kde je nutné je vynaložit, nebo tam, kde vznikají? Bezpečnost má totiž výrazné externality.

To si samozřejmě uvědomuju. Můžu ale odkázat na svůj příměr s pěstováním pšenice a žita v nevhodných oblastech, někdy GMO, jindy ne, někdy s chemií, jindy bez. Když půjdeme v úvahách do extrému, třeba by se ukázalo, že internet v současné podobě není s to přežít, a vzniklo by z přirozené potřeby něco nového. Třeba i lepšího.

Každopádně považuji za podstatné to, že to řešení vzniká přirozeně na volném trhu.

To právě nevidím. Ten trh se v posledních letech zdeformoval. Velcí si nekonkurují mezi sebou. Zjistili (patrně konkludentně), že je efektivní přestat si konkurovat navzájem přetahováním zákazníkům, ale spíš bojovat o zákazníky malých konkurentů. Něco podobného je vidět nejen v internetových technologiích, ale i v průmyslu.

Ten trend není dobrý. V průmyslu už státy pochopily, že musejí stanovovat aspoň hranice. Jsou normy na jakost výrobků, normy se vyvíjejí (dílem zpřísňují, dílem reagují na nové nebezpečné nápady). Ten normotvorný proces jde značně nezávisle na vůli jednotlivých hráčů - ku příkladu normy na jakost potravin, kdy výrobci prostě nemohou využívat nejlevnější postupy bez ohledu na zdraví spotřebitele. U internetových technologií taková protiváha naprosto chybí. Zavádějí se změny často náhle a neexistuje obrana. Neshledávám důvod, proč by se měly změny, které budou mít ekonomický dopad na spoustu subjektů, zavádět rychleji a o moc jinak, než je např. tradiční legislativní proces. I ten slouží k tomu, aby se mohli vyjádřit všichni, aby bylo možné změnu vyhlásit s účinností v budoucnosti apod. Pokud se nějaká norma (zákon) nepovede, můžete se bránit u soudu (docela základní právo) - jak se můžete bránit tomu, když Vaše podnikání naruší internetový gigant? Ten nesoulad mezi hmotným a virtuálním světem je nevysvětlitelný. Možná tradiční postupy jsou příliš pomalé a těžkopádné, nebo naopak hýbání s internetovým světem příliš překotné a dravé.

Ano, i ne. V případě hráčů s podstatnou tržní silou už je potřeba si dávat velký pozor. Oni zůstávají silní i kvůli tomu, že už nedopustí, aby je další dorostl. Google v tomto úsilí považuji za geniální (jakkoliv můj obdiv nesklízí). Dovede trpělivě čekat na správný okamžik a upevňuje si svoji sílu po kolečkách salámu. Na ztrátě diverzity trhu dlouhodobě spotřebitelé nevydělají.
Nemyslím si, že by zrovna v oblasti prohlížečů dělal Google něco nekalého. Naopak Google výrazně přispěl k přenosu velké části IT na web, čímž velmi podstatně omezil možnost IT firem něco si prosazovat silou.

Ne, ale je adresné na ty subjekty, kterých se to týká.
Fakt? A proč tedy to, že vy se chcete připojovat nezabezpečeně na Roota ohrožuje mou komunikaci s bankou?

Když nad tím budete uvažovat, i chléb se dá péct několika málo efektivními způsoby (řekněme z pohledu energetické účinnosti), mouka se dá také vyrobit efektivně, obilí může růst ve správných oblastech a být správně ošetřeno. I to by bylo pro lidstvo přínosem, aby se neplýtvalo energií (tj. penězi každého) - přesto to nikdo nedopustí. Nechávají se bojovat malí zemědělci, mlýny, pekaři. Malí s velkými. Bochník za 20 Kč i za 120 Kč.
Úplně stejně to funguje na webu. Vedle Googlu máte třeba Seznam.

Když půjdeme v úvahách do extrému, třeba by se ukázalo, že internet v současné podobě není s to přežít, a vzniklo by z přirozené potřeby něco nového. Třeba i lepšího.
Problém je právě v tom „by“. Nelíbí se vám současný stav, který vznikl působením volného trhu. Takže byste zřejmě rád volný trh reguloval. Jak? Co by mělo být předmětem vaší regulace?

To právě nevidím. Ten trh se v posledních letech zdeformoval. Velcí si nekonkurují mezi sebou. Zjistili (patrně konkludentně), že je efektivní přestat si konkurovat navzájem přetahováním zákazníkům, ale spíš bojovat o zákazníky malých konkurentů. Něco podobného je vidět nejen v internetových technologiích, ale i v průmyslu.
Máte pro tuhle svou teorii něco, na čem by se to dalo ukázat?

Ten trend není dobrý. V průmyslu už státy pochopily, že musejí stanovovat aspoň hranice. Jsou normy na jakost výrobků, normy se vyvíjejí (dílem zpřísňují, dílem reagují na nové nebezpečné nápady). Ten normotvorný proces jde značně nezávisle na vůli jednotlivých hráčů - ku příkladu normy na jakost potravin, kdy výrobci prostě nemohou využívat nejlevnější postupy bez ohledu na zdraví spotřebitele. U internetových technologií taková protiváha naprosto chybí. Zavádějí se změny často náhle a neexistuje obrana.
Vy to nevidíte, jak ohromně si protiřečíte, že? Vychvalujete státní normy, které často vznikají od stolu a uplatňují se skokově – několik let platí jedna norma, pak najednou začne platit norma nová. A kritizujete IT průmysl, kde ty normy vznikají přímo z potřeby subjektů, kterých se týkají, jsou konsenzem řádově většího počtu subjektů, a zavádějí se postupně, není to žádná náhlá změna.

Neshledávám důvod, proč by se měly změny, které budou mít ekonomický dopad na spoustu subjektů, zavádět rychleji a o moc jinak, než je např. tradiční legislativní proces.
Mně teda připadá mnohem lepší zavádění HTTPS rozfázované do několika let, kdy se to dělá postupně, po malých částech, testuje se to a upravuje podle reálných zkušeností. Osobně bych byl pro rychlejší postup. Ale fakt bych nechtěl, aby to probíhalo jako náš legislativní proces, kde by se taková změna řešila pár měsíců, několikrát by se to celé překopalo, ke konci legislativního procesu už by bylo jasné, že to je paskvil, který nikdo nechce, ale už by se to muselo dotlačit do konce, a nakonec by to vstoupilo v platnost pár dní před tím, že by se tím všichni měli začít řídit. O zrychlení až na takovouhle úroveň opravdu nestojím, to ať se raději dál jede tím současným pomalým tempem.

Pokud se nějaká norma (zákon) nepovede, můžete se bránit u soudu (docela základní právo)
Nemůžete. Legitimace k podání ústavní stížnosti je dost omezená.

jak se můžete bránit tomu, když Vaše podnikání naruší internetový gigant?
Byl by nějaký příklad něčeho takového?

Možná tradiční postupy jsou příliš pomalé a těžkopádné, nebo naopak hýbání s internetovým světem příliš překotné a dravé.
A nebo jen vidíte věci nějak pokřiveně.

A proč tedy to, že vy se chcete připojovat nezabezpečeně na Roota ohrožuje mou komunikaci s bankou?

Nic Vám nebrání komunikovat s bankou zcela zabezpečeně. Nemusí to být zrovna prohlížeč, který to zajistí. Jistě, bude to dražší, promítne se to třeba do poplatků za účet - ale to je to, o čem mluvím. Ponese ten náklad ten, kdo to vyžaduje.

Nelíbí se vám současný stav, který vznikl působením volného trhu. Takže byste zřejmě rád volný trh reguloval. Jak? Co by mělo být předmětem vaší regulace?

Reguloval bych změny prosazené silou technologických společností s podstatným vlivem. Když už poskytuje online služby a zároveň má nejpoužívanější prohlížeč, nechť si zavede povinné šifrování jen pro své služby. Ostatní by měli fungovat principem opt-in (záměrně nepředjímám technické řešení, kromě HSTS preloading by se našly i jiné možnosti).

Máte pro tuhle svou teorii něco, na čem by se to dalo ukázat?

Našlo by se vícero kroků, kdy pod zaklínadlem bezpečnosti byla zvýšena technologická laťka pro všechny. Kupodivu, ti menší nebyli připraveni a museli investovat - byť by třeba byli přesvědčeni, že by bylo potřeba investovat do něčeho jiného, než do dohánění výmyslů Googlu.

Vy to nevidíte, jak ohromně si protiřečíte, že? Vychvalujete státní normy, které často vznikají od stolu a uplatňují se skokově – několik let platí jedna norma, pak najednou začne platit norma nová. A kritizujete IT průmysl, kde ty normy vznikají přímo z potřeby subjektů, kterých se týkají, jsou konsenzem řádově většího počtu subjektů, a zavádějí se postupně, není to žádná náhlá změna.

Problém jsem už popsal. Ty subjekty mají pro takové rozhodnutí společný zájem, byť si současně i konkurují.

Osobně bych byl pro rychlejší postup. Ale fakt bych nechtěl, aby to probíhalo jako náš legislativní proces, kde by se taková změna řešila pár měsíců, několikrát by se to celé překopalo, ke konci legislativního procesu už by bylo jasné, že to je paskvil, který nikdo nechce, ale už by se to muselo dotlačit do konce, a nakonec by to vstoupilo v platnost pár dní před tím, že by se tím všichni měli začít řídit. O zrychlení až na takovouhle úroveň opravdu nestojím, to ať se raději dál jede tím současným pomalým tempem.

Toto vidím přesně opačně. Ten proces ukazuje, že v některých oblastech není konsensus, jakkoliv si jedna část myslí, že jejich nápad je opravdu přínosný. Většinou se taková změna zastaví - ano, čas od času místo toho, aby se zastavila, vznikne paskvil. Přesto to vidím jako dlouhodobě zdravější proces, než zavádění silou.

Nemůžete. Legitimace k podání ústavní stížnosti je dost omezená.

To hovoříte o samotném zákonu a jeho případné změně či zrušení. Většina sporů se řeší na úrovni aplikace existujícího zákona (řekněme, jeho výkladu - ačkoliv to není přesné slovo, protože soud nemá pravomoc vykládat zákon). Tam pak soudy přihlížejí k mravnosti a přiměřenosti, a uplatňují často zákon podle jeho smyslu i za cenu uplatnění proti jeho (striktní) liteře.

Byl by nějaký příklad něčeho takového?

Třeba ty Vámi zmíněné zdánlivě nulové náklady na provoz HTTPS i tam, kde není zájem zákazníka, ani návštěvníka webu. Nemusíme si podle mě nalhávat, že zavedení https, správa certifikátů, řešení problémů - byť se nevyskytují často, prostě nějakou kačku stojí. Jen se ty náklady rozlily mezi všechny. Já vím, že to jsou malé položky, jenže náš současný život je drahý a překomplikovaný právě díky tisícům takovýchto zdánlivě nulových položek.

Nic Vám nebrání komunikovat s bankou zcela zabezpečeně. Nemusí to být zrovna prohlížeč, který to zajistí. Jistě, bude to dražší, promítne se to třeba do poplatků za účet - ale to je to, o čem mluvím. Ponese ten náklad ten, kdo to vyžaduje.
Většina uživatelů nic jiného, než prohlížeč, používat nebude. Nebudou si instalovat speciální bankovní aplikaci. Navíc úplně stejný argument lze použít i na vás. Vy chcete komunikovat nezabezpečeně, tak si na vlastní náklady pořiďte program, který vám to umožní. Normální je komunikovat zabezpečeně, nezabezpečená komunikace je historická anomálie.

Reguloval bych změny prosazené silou technologických společností s podstatným vlivem. Když už poskytuje online služby a zároveň má nejpoužívanější prohlížeč, nechť si zavede povinné šifrování jen pro své služby. Ostatní by měli fungovat principem opt-in (záměrně nepředjímám technické řešení, kromě HSTS preloading by se našly i jiné možnosti).
To byste ovšem nejprve musel alespoň naznačit, proč považujete něco za „prosazené silou společností s podstatným vlivem“, když se jedná o změnu, na které panuje široká shoda napříč oborem.

Našlo by se vícero kroků
Já jsem se neptal na počet příkladů, ptal jsem se na konkrétní příklady.

Ty subjekty mají pro takové rozhodnutí společný zájem, byť si současně i konkurují.
Ano, velká část IT oboru má v tomto společný zájem a podniká kroky k tomu, aby byl realizován. Pořád jste ale nenapsal, proč by měla vzniknut nějaká regulace jdoucí proti vůli drtivé většiny oboru.

Toto vidím přesně opačně. Ten proces ukazuje, že v některých oblastech není konsensus, jakkoliv si jedna část myslí, že jejich nápad je opravdu přínosný. Většinou se taková změna zastaví - ano, čas od času místo toho, aby se zastavila, vznikne paskvil. Přesto to vidím jako dlouhodobě zdravější proces, než zavádění silou.
Já jsem popisoval legislativní proces v ČR. Tady se konsenzus hledá málokdy, většinou se změna prosadí klidně v poměru 101:99, klidě se kvůli tomu svážejí poslanci z nemocnice.

Proč když vám zavádění silou vadí, pořád ho prosazujete? My tady máme skutečně široký konsenzus, žádných 50,5 % ku 49.5 %. A vy byste proti tomuto konsenzu rád silou prosadil názor pár procent.

To hovoříte o samotném zákonu a jeho případné změně či zrušení. Většina sporů se řeší na úrovni aplikace existujícího zákona (řekněme, jeho výkladu - ačkoliv to není přesné slovo, protože soud nemá pravomoc vykládat zákon). Tam pak soudy přihlížejí k mravnosti a přiměřenosti, a uplatňují často zákon podle jeho smyslu i za cenu uplatnění proti jeho (striktní) liteře.
Což je ale něco úplně jiného, než jste napsal původně.

Třeba ty Vámi zmíněné zdánlivě nulové náklady na provoz HTTPS i tam, kde není zájem zákazníka, ani návštěvníka webu.
Zájem zákazníka a návštěvníka webu je všude.

Nemusíme si podle mě nalhávat, že zavedení https, správa certifikátů, řešení problémů - byť se nevyskytují často, prostě nějakou kačku stojí.
Já jsem nainstaloval Caddy, do konfigurace jsem zadal svůj e-mail (e-mail správce se zadává i do konfigurace jiných webových serverů) a od té doby mi HTTPS běží. Náklady jsou čistá nula. Ano, mohou se vyskytnout nějaké problémy, jejich řešení bude mít nenulové náklady – ale mnohem víc problémů způsobí nešifrovaná komunikace.

Já vím, že to jsou malé položky, jenže náš současný život je drahý a překomplikovaný právě díky tisícům takovýchto zdánlivě nulových položek.
Hlavně pořád zapomínáte, že to porovnáváte s náklady na nešifrovanou komunikaci, které jsou větší.

@Filip Jirsák

Podívejte, vy mně tady trochu vnucujete, že jsem proti https. To není v nejmenším pravda, https jsem měl vyřešené taky dřív, než toto šílenství začalo. Náklady nulové však nebyly. Spousta starších webů nebyla připravena na https, na spoustě míst byly odkazy na pevno http. Wordpress (sic!) dodnes není připraven TLS offloading. Vím pozitivně, že nějakou práci to někoho stálo, nikoliv každého. Spotřeba energie taky o něco vzrostla, a jakkoliv mi nikdo nezvýšil platby, tak přinejmenším on to platí zúžením své marže. (Kdyby rozdíl neexistoval, pak by nevznikaly ani kryptoakcelerátory)

Nečtu rád teze typu "velká část IT oboru má v tomto společný zájem a podniká kroky k tomu, aby byl realizován," protože oborový zájem se nemusí shodovat se zájmem těch, kteří to platí. Abych dal příměr, každý by uvítal párky plné masa, ale když jde o rodinný rozpočet, tak kde kdo upřednostní ty separátové - to i přestože cena za kg kvalitní svaloviny je u laciných výrobků horší. Prostě v danou chvíli neřeší kilojouly a bílkoviny, ale aby po večeři neměla rodina pocit hladu.

Dál tou tezí přezíráte spousty IT-amatérů, které podle mě do oboru nepočítáte, ale i oni ho tvoří. Ti dodnes TLS nerozumějí, kuchtí to podle internetových kuchařek bezhlavě - a mnohdy i tam, kde to fakt nepotřebují.

Abych zakončil. Mně nevadí https jako takové. Vadí mi způsob, jakým se změny tohoto typu prosazují a vůbec mi vadí, když je využívána velká síla tam, kde by nemusela. To je potenciálně nebezpečné. Jestli se neshodneme na tom, že i v tomto případě bylo některým malým ublíženo, tak vězte, že v budoucnu může být podobně prosazená ještě méně bohulibější změna. Tleskat tomu nebudu.

Ano, vám prostě vadí, že když 98 % oboru bylo pro zavedení HTTPS a 2 % jsou proti, dělá se to, co chce drtivá většina. Já bych „velkou sílou“ nazýval to, pokud by si naopak ta 2 % prosadila svou. Takhle je to prostě vůle výrazné většiny.

K tmě nákladům – tu práci to stálo ty, kteří HTTPS chtějí. Když někdo zavádí HTTPS dnes, může to už opravdu udělat bez nákladů. Růst spotřeby energie klidně může být schován za zaokrouhlovací chybou. Nebo mohla celková spotřeba energie klesnout – protože třeba počítače bez vědomí uživatelů netěží kryptoměny, protože se někdo naboural do komunikace a dokázal tak u uživatele tajně spustit těžbu. Spousty IT amatérů nepřezírám – jenom jim nedávám řádově větší váhu, než mají.

Ano, vám prostě vadí, že když 98 % oboru bylo pro zavedení HTTPS a 2 % jsou proti, dělá se to, co chce drtivá většina. Já bych „velkou sílou“ nazýval to, pokud by si naopak ta 2 % prosadila svou. Takhle je to prostě vůle výrazné většiny.

Znovu: neptáte se na většinu mezi těmi, kteří to platí, ale mezi těmi, kteří na tom vydělávají. Jedna část jsou profesionálové, kterým je každá taková změna příjemná (který profesionál by nechtěl, aby šel vývoj vpřed), druhá část jsou sami ti, kteří se podílejí na prosazení. Nevýhodné to je pro každého provozovatele, který nemůže uplatnit úspory z rozsahu. Nejvýhodnější je to pro toho, kdo takovou změnu sám iniciuje, protože si to načasuje tak, aby to především jemu hrálo do karet. Nemůžete si jistě nepovšimnout, že ti samí velcí blokují jiné smysluplné změny - protože na ně nejsou připraveni a způsobilo by jim to problémy. Jakmile se připraví, se stejnou vehemencí, s jakou odmítají dnes, budou to stejné zítra prosazovat. Znovu v okamžiku, kdy oni budou připravení a malí ne.

Kdyby se bezpečností zabývali opravdu nezávislí odborníci, patrně by našli daleko lepší řešení, než je látat návrhové slabiny HTTP. Podobně vzniklo IPv6, které bylo ve své době velmi napřed (oproti tomu, co trh snesl). Vím z hovorů, že Vám vadí, že se ujalo tak pozdě a i dnes je jen okrajové proti IPv4. Ale trh si to rozhodl přirozeně. Každý si zhodnotil přínosy proti nákladům a teprve teď přichází doba, kdy se to začíná lámat (přínos je už tak významný, že začíná ospravedlňovat náklady). Opravdu je nebezpečné koketovat s doktrínou "osvíceného autokrata", který změny vynucuje dřív; krátkodobě posune vše vpřed, ale z dlouhodobého pohledu to vždy přinese problémy i s úroky. Historicky jsme v IT technologiích neviděli tak agresivní způsob, jak donutit trh: získáme majoritu prohlížečů, vnutíme to koncovým uživatelům, a ostatní musejí změny přijmout, aby neztratili zákazníky. Jestli toto není zneužívání dominantního postavení, tak už nevím co by do toho mělo spadat.

Znovu: neptáte se na většinu mezi těmi, kteří to platí, ale mezi těmi, kteří na tom vydělávají.
Ne, píšu o většině v celém oboru. Mimochodem, mezi těmi, co to platí, je podíl těch „pro“ nejspíš větší, než obecně v celém oboru.

Nevýhodné to je pro každého provozovatele, který nemůže uplatnit úspory z rozsahu.
Svět se nedělí na ty, kteří mohou a kteří nemohou uplatnit úspory z rozsahu. A pořád stále dokola ignorujete náklady na nepoužívání šifrovaných komunikací.

Nejvýhodnější je to pro toho, kdo takovou změnu sám iniciuje, protože si to načasuje tak, aby to především jemu hrálo do karet.
Vy pořád vidíte nějaké tajemné postavy vzadu, které za všechno mohou. A jsou tak tajemné, že je dokonce ani sám nedokážete pojmenovat.

Nemůžete si jistě nepovšimnout, že ti samí velcí blokují jiné smysluplné změny - protože na ně nejsou připraveni a způsobilo by jim to problémy.
Například?

Kdyby se bezpečností zabývali opravdu nezávislí odborníci, patrně by našli daleko lepší řešení, než je látat návrhové slabiny HTTP.
T o je dobrý vtip :-)

Ale trh si to rozhodl přirozeně.
Úplně stejně, jako s HTTPS. Dokonce i lídři zavádění HTTPS a IPv6 jsou titíž.

Opravdu je nebezpečné koketovat s doktrínou "osvíceného autokrata", který změny vynucuje dřív; krátkodobě posune vše vpřed, ale z dlouhodobého pohledu to vždy přinese problémy i s úroky.
To ale zase polemizujete s něčím, co jste si vymyslel a zatím jste to nedokázal podložit nějakými argumenty.

získáme majoritu prohlížečů, vnutíme to koncovým uživatelům, a ostatní musejí změny přijmout, aby neztratili zákazníky
Jenže takhle to nebylo.

@Filip Jirsák

Dokola se ptáte na argumenty, a já je dokola dávám a jsou poměrně prosté:

1. Google a další mají podstatnou tržní sílu v trhu prohlížečů.
2. Googlu je pohodlnější udělat změnu v prohlížeči a tím vynutit změny na straně provozovatelů, místo toho, aby je přesvědčili o výhodnosti změny.
3. Ani se nesnaží o to dát to provozovatelům jako možnost: prostě to vynutí. Nepolemizuji o tom, že toto řešení nelze zavést jinak, než ze strany prohlížeče, ale tvrdím, že toto řešení nebylo jediné představitelné.

Na to, aby to nebylo zneužívání tržní síly (byť možná pro dobrou věc), nesměla by tam být ta oklika přes uživatele. Celé to visí na tom, že jeden se rozhodne o tom, co mají dělat druzí, ale vynutí to přes třetího, na kterého má podstatný vliv.

Jestli je to globálně pro svět (obyvatele) výhodné, prospěšné, potřebné či nutné, není vůbec podstatné. Jestli o tom výše vedeme polemiku, tak jen na okraj tohoto hlavního tématu.

Google a další mají podstatnou tržní sílu v trhu prohlížečů.
Kdo jsou to „ti další“? Jak byste si představoval správnou situaci podle vás? Máme mít stovky různých implementací prohlížečů, aby nikdo neměl podstatnou tržní sílu? Kdo by měl do vývoje všech těch prohlížečů investovat?

Googlu je pohodlnější udělat změnu v prohlížeči a tím vynutit změny na straně provozovatelů, místo toho, aby je přesvědčili o výhodnosti změny.
Co by tím Google získal? Proč si myslíte, že je to rozhodnutí jenom Google?

Ani se nesnaží o to dát to provozovatelům jako možnost: prostě to vynutí.
To už jsem vám mnohokrát vysvětloval. Bezpečnost jako možnost neexistuje. To je jako kdybyste měl v baráku dvoje dveře, jedny byste zamykal a druhé ne, a tvrdil byste, že to přece máte zabezpečené, protože zloděj si může vybrat ty zamčené dveře a přes ně neprojde.

jeden se rozhodne
To je ovšem tvrzení, které jste se stále ani nepokusil nějak doložit.

Jestli je to globálně pro svět (obyvatele) výhodné, prospěšné, potřebné či nutné, není vůbec podstatné.
Ovšem to, co je podle vás podstatné, je pouze vaše tvrzení, které se na první pohled nezdá být v souladu s realitou – a vy jste neuvedl nic, co by svědčilo ve prospěch toho tvrzení.