Vlákno názorů ke zprávičce Chrome bude od příštího roku také upozorňovat na přihlašování bez HTTPS od Cenzury se bojíte, diktatury Google naivně ne - Nechtěl by si Google internet a web úplně...
-
Cenzury se bojíte, diktatury Google naivně ne (neregistrovaný)
Nechtěl by si Google internet a web úplně zprivatizovat? Webové stránky smí na internetu zveřejnit jen ten, kd ood Google získá licenci (složí zkoušky způsobilosti + bude platit Google tisíc dolarů ročně jako licenční poplatky). Do zákonů všech zemí se dá trestný čin nepovolené provozování webových stránek bez povolení Google a bude to. Ein Volk, Ein Web, Ein Google.
-
Cenzury se bojíte, diktatury Google naivně ne (neregistrovaný)
Hloupý pokus o manipulaci z vaší strany. Nikomu nezakazuji šifrovat.
Jakmile začnete někomu komunisticky a totalitně přikazovat, že na webu prostě šifrovat musí - něco je špatně. Tažení proti HTTP se mi nelíbí. Nevím, proč je nutné přenášet šifrovaně každou stránku. Každý blogísek puberťačky obsahující tři růžové poníky a nic jiného. Každou blbost.
Přijde mi to stejné, jako nařídit, žekaždý musí nosit burku a roušku přes obličej, protože tak se vyhnete identifikaci neznámými lidmi.
Jednoduše je mnoho a mnoho stránek, kde není třeba šifrovat.
Jinak bych fanatikům za only HTTPS doporučil spíše taktiku, že každý tvůrce webu, který používá HTTP - a nikoli HTTPS by byl předhozem Kimovi v Severní Koreje, aby ho zprovodil ze světa mučivou smrtí. Pokud by Kim nebyl ochotem, mohl by se některý z fanatiků za přikazování HTTPS ujmout toho, že by dané uživatele HTTP třeba uvařil pomalu v rozpáleném oleje, či zaživa stáhl z kůže nebo tak nějak. Když už fanatismus za HTTPS, tak netroškařte.
-
Filip JirsákStříbrný podporovatelŠifrování nikdo nenařizuje. Nic vám nebrání používat HTTP, Gopher, Veronicu nebo jiný pokrokový protokol.
Proč má být přenášen šifrovaně i blogísek puberťačky už bylo napsáno mnohokrát, dokonce i v této diskusi. Je zvláštní, že chcete diskutovat o něčem, o čem toho moc nevíte.
Manipulaci tady předvádíte akorát vy. Nikdo nikomu nepřikazuje, že musí šifrovat, ani že musí nosit roušku nebo burku, ani tu není žádný HTTPS only fanatik.
-
Cenzury se bojíte, diktatury Google naivně ne (neregistrovaný)
Aha, takže tu není žádný HTTPS fanatik, pouze by tu rádi vymýtili HTTP - na základě svého fanatismu.
To, že bylo někde něco napsáno ještě neznamená, že je to desatero a slovo boží, ani že je to pravda. Papír snese všechno, stejně jako internetový text. Ani to, že by se všechno mělo řešit fanaticky stylem EU - tu zákazem žárovek, tu zákazem křivých banánů, tu tvrdou represí proti HTTP.
Manipulaci tady předvádí ten člověk, na kterého jsem reagoval - který mě obvinil z toho, že jsem jakkoli napsal, že šifrování je špatné. Proč pravdivě rovnou nenapsat, že ten člověk zkouší manipulační úskok, neb mi vkládá něco, co jsem nenapsal a nikde netvrdil. Zkuste si příště přečíst vlákno, na které reagujete - než začnete reagovat vy, já chápu vaše nedostatky s chápáním psaného textu a kontextu, ale to je váš problém, ne můj.
-
lojzak (neregistrovaný)
@Cenzury se bojíte, diktatury Google naivně ne
"To, že bylo někde něco napsáno ještě neznamená, že je to desatero a slovo boží, ani že je to pravda."
Takže chceš rozporovat tvrzení, že HTTP protokol je bezpečnostní riziko, jelikož do něj může útočník cokoli přidat, třeba i nějaký zákeřný skript. Nebo jak to mám chápat?
Mozilla i Google jsou vývojáři a tudíž mohou svobodně rozhodovat, jaké protokoly budou podporovat. Pokud se ti to nelíbí, najdi si browser podle vlastního gusta a nebo si nějaký naprogramuj. Nikdo tě nenutí Chrome nebo Firefox používat. Jediný, kdo se chová totalitně jsi ty, jelikož bys chtěl něco přikazovat vývojářům.
Pamatuju, že když začal z distribucí mizet telnet server, protože ho nahrazovalo SSH, tak někteří zpátečníci taky prskali... Že prý nepotřebují šifrovat, když se připujují na stroj na lokální síti... Dnes už ale každému přijde normální, že se na stroje, byť ve stejném subnetu připojují přes SSH a ne telnetem.
-
Cenzury se bojíte, diktatury Google naivně ne (neregistrovaný)
Chci napsat, že HTTP i HTTPS může existovat vedle sebe. Není třeba hned vyvolávat svaté války za zrušení HTTP. Šifrování každého růzového poníka při cestě internet opravdu nezajistí světový mír, pečené holuby každémnu do úst na požádání.
Google jsou vývojáři, ale zároveň je to velká korporace. Stejně jako se Google blbě povedlo zaplavelit internet vzkazy "Tento web používá cookies, bez kliknutí vám budeme zobrazovat tento otravný nápis.", podaří se mu téměř jakákoli další blbost.
Rád bych znal váš názor, zda byste mluvil stejně, až by se Google rozhodl podpořit třeba cenzuru internetu podle Evropských hodnot a Jakuba Jandy. Proč by svobodně nemohl? Proč upírat svobodu vývojářům? Proč vůbec na rootu někdo brojí proti internetové cenzuře či síťové neutralitě - nechápete že tím upíráte řadě subjektů jejich svobodu udělat si to po svém? A pokud významný poskytovatel - firma s velkým vlivem, téměř klíčovým jako je Google we www - se rozhodne pro cenzuru, budete to také obhajovat svobodou té firmy?
Telnet/ssh je zcela jiný spor. Telnet existuje, ssh existuje - ale běžný uživatel je mimo tuto oblast. Tady se bavíme o základní obálce komunikace mezi serverem a klientem pro webové stránky.
-
Filip JirsákStříbrný podporovatel
Chci napsat, že HTTP i HTTPS může existovat vedle sebe. Není třeba hned vyvolávat svaté války za zrušení HTTP. Šifrování každého růzového poníka při cestě internet opravdu nezajistí světový mír, pečené holuby každémnu do úst na požádání.
Znovu opakovat něco, co již bylo vyvráceno, to je ohromně nápadité. To se pak čtenář nemůže rozhodnout, zda jste tak nevzdělaný nebo tak zabedněný. -
lojzak (neregistrovaný)
@Cenzury se bojíte, diktatury Google naivně ne
Pokud budou HTTP a HTTPS koexistovat, budou hrozit útoky jako SSL Striping a budou problémy ohledně anonymity (kvůli HSTS).
Otravné bannery ohledně cookies nevznikly kvůli Googlu, ale kvůli EU. Pláčeš na špatném hrobě.
Pokud by se Google rozhodl zavést cenzuru (technicky vzato to už dělá), tak by to sice bylo nemorální, ale jelikož jde o soukromou firmy, tak by s tím nikdo nemohl nic dělat. Stejně tak někteří naši největší ISP, ti také cenzurují. Je to sice nemorální, ale právně v pořádku (snad jen s tím rozdílem, źe taková služba by se neměla jmenovat připojení k internetu).
Cenzura vs podporované a nepodporované protokoly, to je ale docela nefér srovnání. Oproti tomu SSH a Telnet přesně vystihuje situaci HTTPS a HTTP. Ano, Telnet sice existuje, ale telnet server není ve většině distribucí standardně nainstalován. Stejně tak bude HTTP bude i nadále existovat, jenom už nebude standardně podporované v browserech (ve skutečnosti tam musí být implementováno kvůli stahování CRL a OCSP dotazům, ale nebude ho moci používat přímo uživatel).
-
Cenzury se bojíte, diktatury Google naivně ne (neregistrovaný)
Nevím jak vy, ale HTTP(S) vám nic takového nepřikazuje. Můžete si klidně stvořit web, který bude posílat třeba pouze PDF dokumenty - a nemusíte o HTML ani zavadit, a bude to perfektně fungovat. Stejně tak můžete vymyslet řadu dalších formátů.
Použít vlastní značkovací jazyk, třeba XML, nadefinovat značkám vlastní význam a vzhled - lze také.
-
lojzak (neregistrovaný)
@Cenzury se bojíte, diktatury Google naivně ne
Sice si tam můžeš posílat textově co chceš, ale jaksi nedosáhneš toho, aby tagy <odstavec></odstavec> byly interpretovány jako z HTML. A můžeš se vztekat, že to je komunizmus a totalita, že Chrome podporuje HTML a ne tvůj jazyk. A stejně tak se můžeš rozčilovat, že Chrome nepodporuje třeba zmiňovaný Gopher a místo toho akceptuje jen HTTP, HTTPS, atd. -
Cenzury se bojíte, diktatury Google naivně ne (neregistrovaný)
Problém je opačně. HTML je ten, kdo měl být zničen, a celý web měl být opanován pomocí XHTML. I tento spor existoval, a jako nyní je fanatismus "HTTP musí být zničeno a zakopáno sto sáhů pod zem", tak tehdy byl fanatismus "HTML musí být zlikvidováno".
Problém je, že fanatismus není dobrý rádce - ani v případě prosazování HTTPS.
Možná by bylo dobré, kdybyste se vrátil do tématu - a ne do vašich vlhkých fantazií. Já se nevztekám, že chci, aby Chrome podporovalo můj jazyk, stejně jako nikdo další. Např. v PDF si udělám odstavce zcela podle mé potřeby - jakékoli.
Znovu, přestaňte fantazírovat, téma je HTTP/HTTPS, a ne vaše ptákoviny s HTML. Přestaňte s tím off topic.
-
lojzak (neregistrovaný)
@Cenzury se bojíte, diktatury Google naivně ne
O jakém fanatismu to pořád mluvíš? Jde jen o to, aby se přestal používat nebezpečný protokol, který nijak nechrání integritu přenašené zprávy a nepodporuje autentizaci.
Btw, ještě jsi neodpověděl, jestli považuješ za totalitu to, že Chrome podporuje HTTP a ne Gopher.
-
Tak to byl spis vtip. Nicmene kdyz jste se rozhodl to brat vazne, tak utocnik, ktery dokaze traumatizovat ctenarky blogisku pomoci zelenych poniku a slimaku muze samozrejme delat jakekoliv jine akce, ktere lze delat zmenou/pridanim kodu stranky a nevim, proc by obrazek nahrazoval skriptem, kdyz ho muze zcela nenapadne nekam pridat. To ale muze delat i pres https. Necekal bych, ze zrovna ctenari a ctenarky blogisku patri do skupiny lidi, kteri si vsimnou, ze se jim zmenil certifikat a jsou tim padem asi pod MITM utokem. Misto blogisku na https dokonce muze podstrcit blogisek na http a nikdo si toho take nevsimne a pokud ano, nebude o tom premyslet.
Nicmene si vsimnete, ze zpravicka je o tom, ze Chromy bude upozornovat na prihlasovani a odesilani cisel kreditek bez sifrovani. Ne o tom, ze bude upozornovat na nesifrovane spojeni obecne. Zrovna u blogisku, pokud se prihlasim sifrovane, bude nasledujici komunikace bez sifrovani mit za nasledek asi leda tak to, ze se NSA nedozvi, ze se koukam na ruzove poniky. A utocnik by treba mohl snaze modifikovat me komentare o krase poniku, ale jak jsem napsal vyse, pokud si nehlidam certifikaty, muze totez delat i pres https.
Takze jediny rozdil mezi http a https je v tom, ze NSA se hure smiruje, co kdo cte. Predpokladam, ze zajem NSA v ruzovych ponicich je dosti omezeny.
Rekl bych, ze to, ze se nekde jeste pouziva http, je mnohem mensi problem, nez to, ze tam kde se pouziva https, se zaroven casto pouziva zastarale SSL/stare verze TLS nebo se pouziva i nove TLS, ale umoznuje se Poodle Attack. Take si nejsem jisty tim, v jakem stavu jsou defaultni nastaveni sifer pro TLS. I u TLS 1.2 by nektere sifry nemely byt pouzivany. Jsou vyrazeny ve vsech aktualnich browserech? A kolik lidi pouziva neupdatovany browser, zejmena IE, ktery treba na XP uz updatovat nemuzou? Idealne by byly takove sifry byly vybourany na strane webovych serveru, ale nejsou, protoze pri tom, jaky panuje bordel, by to spouste lidi rozbilo web a jsou i borci, kteri se nenamahaji do takove miry, ze nove TLS na serveru nepouzivaji, protoze jim stare SSL/TLS prece funguje a kdo by se s tim updatoval. Takze za soucasne situace moc nezalezi na tom, jestli se nekde pouzije http nebo https. Pro vas to znamena rozdil leda tak v tom, ze na wifi v internetove kavarne si soused nezjisti, ze se divate na ruzove poniky a neodposlechne si vas mail. Pokud ten mail neni kriticky tajny, tak je to od nej sice vlezlost, ale nepolozi vas to. Pokud kriticky tajny je, nemate ho co posilat bez sifrovani.
-
Filip JirsákStříbrný podporovatel
Certifikáty si nemá hlídat uživatel, má je hlídat prohlížeč. A všechny rozšířené prohlížeče to také dělají.
-
Filip JirsákStříbrný podporovatel
Ne. Pokud nesouhlasí jméno serveru se jménem na certifikátu, místo stránky zobrazí informaci o chybě a pokud se chce uživatel dostat na cílová web, musí se k němu proklikat. Změna certifikátu je nezajímavá, protože nevypovídá vůbec o ničem. Web klidně může používat víc certifikátů a je to v pořádku.
-
Aha, tohle. Tak na takove proklikavani jsou lidi celkem zvykli - spousta webu ma v certifikatech pekny hokej a bez proklikavani se tam clovek nedostane. Nejsem si jisty, jestli BFU umi posoudit, kdy je to dulezite a kdy ne.
To by browsery musely natvrdo zakazat pristup na weby s rozbitymi certifikaty. To by ale bylo problemu, ze si to nikdo nedovoli.
ČLÁNKY DO MAILU