Názory k článku
Firefox ve čtvrtek načetl většinu stránek přes HTTPS

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 10. 2016 10:41

    MichalekII (neregistrovaný)

    To jen ukazuje jak lidé rádi podléhají falešným slibům o bezpečí a soukromí ...

  • 16. 10. 2016 12:28

    pepik (neregistrovaný)

    I když zámek se dá relativně jednoduše překonat, vždycky je lepší si byt/dům zamknout. :-)

  • 17. 10. 2016 14:23

    MichalekII (neregistrovaný)

    To ale hloupoučké přirovnání ...

    Ale když jinak nedáte ...

    To je jako vzít si reklamní letáky z krámu a domů a při jejich čtení zatáhnout rolety aby ti co vám je dali a ti co vás cestou potkali nevěděli, že si je i čtete, muhehe ...

  • 17. 10. 2016 15:18

    NULL (neregistrovaný)

    Pepik má pravdu, nebo si dům nezamykáš, když je to jak s těmi letáky?

    Tvůj příklad řekl bych pokulhává v tom, že leták je úplně veřejný - tva 'session' na webu, co nakupuješ, kolikrát a proč už není veřejná jako leták. Navíc leták i když ho čteš není souborem informací o tvých zvycích. Leták v obchodě je jako reklama na webu. Vidíš ale klidně přehlédneš.

    Přiléhavější by mi připadl příměr: jako kdyby u každé pokladny, židle, baru . . . stál někdo a nechal by tě to (info o činosti, datum .... utmka ) napsat osobně na tvůj papírek a pak by ti to schoval do kapsy a kopii do své ( ekvivalent užití tvého výkonu - např. js v browseru, cookie, evercookie . . . ale i přenosů telemetrií a kdoví čeho ) a pak by ti při každé návštěvě třeba baru nebo práce hned takový člověk nabízel ledničku, oral porno, konvici, zájezd . . . . To mi k soukromí na netu připadá přiléhavější . . .

  • 17. 10. 2016 15:44

    Lojzak (neregistrovaný)

    @MichalekII

    Ses do toho svýho přirovnání jak zpletl.

    HTTP znamená, že ty letáky nesu domů jen tak volně v ruce. Každý si je může prohlédnout.
    HTTPS znamená, že letáky nesu domů schované v kapse.

    Bohužel, tvoje přirovnání je tak debilní, že nepředstavuje problematiku komunikace na internetu.

    Třeba tady na Rootu není prioritou utajit přenášený obsah. Daleko důležitéjší přínost HTTPS je autentizace serveru a integrita přenášených dat.

    To, že web funguje na HTTPS nemá pro jeho návštěvníka žádné reálné nevýhody. Kdežto web přístupný jen přes HTTP představuje bezpečnostní riziko. A riziko pro bezpečnost (a anonymitu) představuje už jen fakt, že HTTP je v prohlížečích stále podporováno a dokonce je to výchozí protokol.
    Já jsem klidně pro, aby se podpora HTTP v browserech zařízla.

  • 15. 10. 2016 18:49

    Filip Jirsák
    Stříbrný podporovatel

    Začínám věřit tomu, že NSA dokáže sledovat komunikaci významné části lidí. Ovšem ne proto, že by měli napíchnuté všechny možné kabely a provozovatele a dokázali dešifrovat neprolomené šifry. Využili sociální inženýrství a to, že jsou lidé blbí. NSA úplně stačilo vytvořit konspirační teorii, že NSA umí sledovat a dešifrovat veškerou komunikaci. A konspirátoři už se toho ochotně ujali, šíří to dál, komunikaci nešifrují, jako hesla si dávají „aaaaa“ a lepí si je na monitor, a ještě se tím chlubí a „odůvodňují“ to tím, že když NSA prý dokáže dešifrovat cokoli, nemá smysl vůbec šifrovat. Že je takové tvrzení nelogické, protože NSA není zdaleka jediná, koho by obsah té komunikace mohl zajímat, to už konspirátorům nedojde. Odhadla to NSA dobře, já bych si myslel, že až tak blbí lidé nejsou.

  • 16. 10. 2016 0:24

    NULL (neregistrovaný)

    Celou tvou úvahu jsi postavil na tom, že

    " komunikaci nešifrují, jako hesla si dávají „aaaaa“ a lepí si je na monitor, a ještě se tím chlubí a „odůvodňují“ to tím, že když NSA prý dokáže dešifrovat cokoli"

    jenže to tak není. Nejen konspirátoři, ale i obyčejní uživatelé jsou tlačeni např. minimálními požadavky na délku a rozmanitost znaků v heslech provozovateli, ale také se stále více a více zabezpečuje komunikace. Má na tom konspirátor nebo BFU zásluhu? Z 99% ne, ale výsledek je takový, že se tvoří alespoň průměrná hesla a zabezpečuje se komunikace. Takže založit úvahu na tom, že nikdo nešifruje a dává si slabé hesla je špatně a tím to celé padá. Mimochodem jsem za život viděl jednoho jediného člověka, který měl heslo na monitoru. Každopádně z pohledu NSA je to stejně irelevantní dokud k němu nedojede domů. To má význam jenom v kanceláři, ale i tak by NSA musela přes někoho to heslo fyzicky sehnat a i heslo na monitoru se může změnit.

  • 16. 10. 2016 9:29

    Filip Jirsák
    Stříbrný podporovatel

    Nic nejde zabezpečit bez spoluúčasti uživatele. Uživatel může být donucen zvolit si bezpečné heslo, ale používá všude stejné. Uživatel může být donucen připojit se přes HTTPS, ale odsouhlasí jakýkoli certifikát.

    Pointa mého komentáře byla v tom, že i když někdo věří, že NSA je všemocná a zlá, pořád ještě tu je obrovská spousta útočníků menšího kalibru, proti který se má smysl bránit. Ransomware, routery a web kamery s bezpečnostními chybami, viry, úniky hesel – to vše je realita, a v drtivé většině případů se jedná o známé banální příčiny, proti kterým se lze bránit a se kterými NSA evidentně nemá nic společného.

    Heslo napsané na lístečku na monitoru je symbol pro neopatrné zacházení s heslem, něco jako ikona s disketou označující akci uložení. Jistě že třeba u domácích uživatelů je heslo napsané na papíře jedním z nejbezpečnějších způsobů jeho uložení, protože drtivá většina útoků na ně je vedena vzdáleně.

  • 16. 10. 2016 12:03

    NULL (neregistrovaný)

    1. Ale ani to, že používá všude stejné heslo neznamená, že musí jít lehce rozlousknout - ale ano, stejné heslo všude je minimálně na obtíž už při výměně . . . . Ani to že odsouhlasí jakýkoliv certifikát úplně nevyřeší problém, protože víme že se dají certy vystavit i nepovolaným a víme ( třeba útok na bankovnictví Č. Spoř.) že může být implantovaný podvodný cert už do PC a odsouhlasení není ani potřeba . . .

    2. "Pointa mého komentáře byla v tom, že i když někdo věří, že NSA je všemocná a zlá, pořád ještě tu je obrovská spousta útočníků menšího kalibru"

    To určitě souhlasím, ale nějak to z původního komentáře nevyplývá. Nevylučuji ale, že jsi na to při psaní komentu myslel, jen jaksi to z něj úplně zřejmé není. Nebo alespoň mě ne.

    "...to vše je realita, a v drtivé většině případů se jedná o známé banální příčiny, proti kterým se lze bránit a se kterými NSA evidentně nemá nic společného"

    Ano, společného asi ne, ale to nebrání tomu, aby tento jev nevyužívala. Na jednu stranu si stát hlídá aby jsi neřekl někde slovo třeba "buzík" na druhou stranu profituje z toho že jsou uživatelé bezpečnostně negramotní a nijak se nepřetrhne to měnit - ale to je spíš jen pocit . . .

    Každopádně má námitka zůstává: Založil jsi teorii na několika nešvarech, které jsou v rozmanitosti možných vektrů útoků něco jako kapka vody v moři ( ano. možností útoků a kombinací je moře . . . ) a taky ještě úplně samy o sobě nemusí znamenat kompromitaci, spíš k tomu přispějí - např. odsouhlasení jakéhokoliv certifikátu - ano, ale nejprve musí útočník zmanipulovat provoz, cílový web atd. + Za BFU se o to ještě i stará nastavení služeb, které je nenechá páchat různé hovadiny - třeba 2 faktorová autorizace . . . Nehledě na to, že kdyby to bylo jako píšeš, tak má identitu, přístupy či služby ukradenou většina světa pořád - tak to ale přece není . . . .

  • 16. 10. 2016 12:39

    Filip Jirsák
    Stříbrný podporovatel

    Ad 1 – Když uživatel používá všude stejné heslo, není potřeba ho louskat – stačí ho získat z kteréhokoli místa, kdo uživatel to heslo používá.

    [stát] profituje z toho že jsou uživatelé bezpečnostně negramotní a nijak se nepřetrhne to měnit
    Který stát z toho profituje a jak? Že tajné služby při odhalování zločinů využívají toho, že zločinci nemají dokonalé zabezpečení? To je přece normální a dělá to tak každý. Policie při odhalování zloděje, násilníka nebo vraha také využívá toho, že po sobě dotyčný nedokáže dokonale zamést stopy. Firma se také snaží využít nedokonalostí výrobků nebo služeb konkurence a přijít s vlastním lepším řešením. A pokud nějaká tajná služba (nebo policie nebo firma) dělá něco nezákonného, je problém v té nezákonnosti, v ničem jiném.

    Založil jsi teorii na několika nešvarech, které jsou v rozmanitosti možných vektrů útoků něco jako kapka vody v moři
    Rozmanitost je nepodstatná, důležitá je jen pravděpodobnost útoku násobená způsobenou škodou. Zabezpečení vždy znamená nějaké náklady, takže se vždy udělá nějaká hranice. Vždy je tedy potřeba začít od těch nejlevnějších opatření proti nejpravděpodob­nějším útokům s největšími následky. U domácího uživatele je největší nebezpečí a zároveň nejpravděpodobnější útok to, že někdo získá přístup k jeho údajům (např. dokumentům) nebo že někdo jeho údaje a dokumenty zničí. Proti tomu se musí uživatel bránit, a ne proti nějakých chimérám NSA.

    Nehledě na to, že kdyby to bylo jako píšeš, tak má identitu, přístupy či služby ukradenou většina světa pořád - tak to ale přece není . . .
    Případů úniků hesel, souborů zašifrovaných ransomware, hacknutých domácích routerů nebo různých wordpressů je dost a dost. Na rozdíl od případů, kdy by bezpečnost domácího uživatele ohrozila NSA. Takže pokud někdo opravdu chce řešit bezpečnost domácích uživatelů, ať zapomene na NSA a řeší to používání stejných hesel, viry a hacknutá zařízení.

  • 16. 10. 2016 13:15

    NULL (neregistrovaný)

    (1) " Když uživatel používá všude stejné heslo, není potřeba ho louskat – stačí ho získat z kteréhokoli místa, kdo uživatel to heslo používá."

    A jak ho asi získáš? Každý nemá na rozdíl od tebe Siderické iniformační kyvadlo . . .

    (2) "Který stát z toho profituje a jak? Že tajné služby při odhalování zločinů využívají toho, že zločinci nemají dokonalé zabezpečení? To je přece normální a dělá to tak každý."

    Nejen číst, ale i chápat text Samozřejmě že je to normální - jenom to ale potvrzuje co jsem napsal . . .

    (3) "Rozmanitost je nepodstatná, důležitá je jen pravděpodobnost útoku násobená způsobenou škodou. Zabezpečení vždy znamená nějaké náklady, takže se vždy udělá nějaká hranice. Vždy je tedy potřeba začít od těch nejlevnějších opatření proti nejpravděpodob­nějším . . ."

    Jenže z rozmanitosti pramení pravděpodobnost útoku. Nevěříš? Pokud budou možné útoky 2 a budou oba opraveny, nezahýbe ti to tou tvou pravděpodobností? Spíš bych řekl že jsi měl na mysli tzv. cena/výkon, tedy ne pravděpodobnost, ale jestli stojí za to na cíl útočit, resp. kolik to stojí prostředků. To pak záleží na motivu a i těch je spousta - ale nakonec končí u "výdělku". Samozřejmě zločinec vydělává jinak a vládní NSA vydělává jinak. Když to vezmeš do důsledku, tak třeba NSA, tím že nějakému podnikateli u Nás vybere PC, může dostat informace, které zneužije pro zájmovou americkou firmu (té NSA prodá na černém trhu iniformace ) a ta pak třeba vyšachuje českého podnikatele a ten bude třeba propouštět a zde už je přímý neblahý důsledek. Než se začneš smát - když může CIA participovat na obchodu s kokainem - prokázené - pro své boční fondy, proč ny NSA nemohla dělat tohle - a je přece známé, že Amíci šmírují kde koho a pak toho využívají pro lobby za zakázky jejich firmám . . . .
    Nehledě na to, přečti si, jak obama využil poznatky z big data k oslovení posledních nerozhodnutých voličů - takže v podstatě jakékoliv data mohou mít vůznam už jenom na profilování - to kolik má kdo doma porna nebo jak pojmenuje složku s pornem - jestli se stydí, skrývá, nebo naopak - to pak bude volit Trumpa - to s Trumpem je vtip . . . :-D

    (4) "Případů úniků hesel, souborů zašifrovaných ransomware, hacknutých domácích routerů nebo různých wordpressů je dost a dost."

    Je, ale nejsou to všichni kdo mají slabé heslo nebo odklikvají jen tak ceritifkáty . . . a na tom to právě padá . . .

    "Na rozdíl od případů, kdy by bezpečnost domácího uživatele ohrozila NSA"

    Ale jak jsem psal výše, cíle NSA jsou jiné, proto sběr jiných dat ale díry využívají stjné a nebo podobné. Můj osobní názor je, že takové ty o kterých tu píšeš, třeba s těmi routery, prostě občas využijí/objednají (nemusí se představovat ani jedna strana) a použijí je, tím pádem začnou tyto 2 množiny jaksi splývat.

    "Takže pokud někdo opravdu chce řešit bezpečnost domácích uživatelů, ať zapomene na NSA a řeší to používání stejných hesel, viry a hacknutá zařízení."

    To samozřejmě! Ono jde totiž, až na specializované konkrétní a cílené útoky, ale zase klidně z obou táborů ( NSA vs. criminals ), o stejnou záležitost, stejný router, stejné nebo podobné techniky - s vyjímkou privátní zero-days know how - ale to se zase týká obou táborů - v podstatě je jedno proti komu, hlavně to mít zabezpečené co nejvíce, aby si na tom aspoň většina vylámala zuby - 100% je v tomto prípadě buď iluze, nebo naivita . . .

    Každopádně v tvém příspěvku, ktrý předchází tomuto mému, už jsou jiná tvrzení a zatahlá jiná témata než v původním, ve kterém jsem označil vstupní tvrzení za chybná, resp. nepřesná . . .

  • 16. 10. 2016 14:49

    Filip Jirsák
    Stříbrný podporovatel

    (1) Třeba se podívám do databáze mé služby, jaké heslo má ten uživatel u mne?

    (2) A co jste tím, co jste napsal, tedy chtěl říci? Že by policie měla jednat „fér“ a když přijde na nějakou chybu, kterou udělal pachatel, mlčky to přejít a tvářit se, že nic nenašli, a na konci uzavřít vyšetřování s tím, že šlo a další dokonalý zločin a pachatele nelze vystopovat? Že by firmy měly jednat „fér“ a když zjistí nedostatek u konkurence, měly by je na něj nenápadně upozornit a počkat, až si to konkurence opraví?

    (3) Nikdy nejsou možné jenom dva útoky. Běžně se dělají plošné útoky, útočník neví, jak cenný bude jaký konkrétní cíl. Existuje nenulová pravděpodobnost, že útočník začne zkoušet nejprve dvaceti znaková hesla a začne zrovna tím, které mám nastavené. A počty znaků bude v případě neúspěchu postupně snižovat. Dobrou obranou před takovým útokem by bylo nastavit si heslo „a“. Akorát že tím zase usnadním útok, kdy bude útočník postupně zkoušet všechna možná hesla od jednoznakových. Rozdíl je ale v pravděpodobnosti takových útoků – a proto má smysl se bránit proti tomu druhému útoku a ne proti prvnímu.

    když může CIA participovat na obchodu s kokainem - prokázené - pro své boční fondy, proč ny NSA nemohla dělat tohle - a je přece známé, že Amíci šmírují kde koho a pak toho využívají pro lobby za zakázky jejich firmám
    O tom jsem právě psal první komentář – že je potřeba se bránit skutečným hrozbám, ne nějakým sedmkrát převařeným povídačkám.

    Je, ale nejsou to všichni kdo mají slabé heslo nebo odklikvají jen tak ceritifkáty . . . a na tom to právě padá . . .
    Proč by to na tom padalo? Pokud máte slabé heslo, neovlivníte, zda se do vás útočník zrovna trefí nebo ne. Pokud máte heslo silné, můžete si být jist, že útočník útočící na slabá hesla u vás neuspěje. No a pokud někdo řeší hlavně to, jak se bránit pohádkové NSA, jaká je správná tloušťka alobalové čepičky a kašle na sílu hesel (protože to je přece pro NSA triviálnost), existuje nezanedbatelná pravděpodobnost, že útočník útočící na slabá hesla napadne i jej. Což by se nestalo, kdyby dokázal racionálně posoudit rizika, vykašlal se na konspirace s NSA a nastavil si silnější heslo.

    jak jsem psal výše, cíle NSA jsou jiné
    To by mne zajímalo, co vy víte o cílech NSA. Myslím, že cíle NSA jsou dané americkými zákony, a pokud NSA ty cíle neplní, je chyba v tom porušování zákonů, v ničem jiném.

    Můj osobní názor je, že takové ty o kterých tu píšeš, třeba s těmi routery, prostě občas využijí/objednají (nemusí se představovat ani jedna strana) a použijí je, tím pádem začnou tyto 2 množiny jaksi splývat.
    Pak ale jediná rozumná obrana je mít ten router zabezpečený, ne prohlásit „NSA překoná všechno“ a nechat to být.

  • 16. 10. 2016 15:21

    NULL (neregistrovaný)

    "Třeba se podívám do databáze mé služby, jaké heslo má ten uživatel u mne?"

    Ty máš v databázi hesla v plaintextu nebo v md5? Tak o čem se tu chceš bavit?

    "(2) A co jste tím, co jste napsal, tedy chtěl říci? Že by policie měla jednat „fér“ a když přijde na nějakou chybu, kterou udělal pachatel, mlčky to přejít a tvářit se, že nic nenašli"

    Nezapomneul jsi si vzít prášky? Zopakuju ti to: Ano, děje se to a nehodnotím to. Ale děje se to a to jsem ti i napsal. To ty to tu pořád zatahuješ s tím, jestli se mi to líbí nebo ne a jeké že to je. Důvod byl ten, že jsi to do své "úvahy" a následného výlevu nezahrnul a i proto se ti to tak nepovedlo.

    "(3) Nikdy nejsou možné jenom dva útoky. Běžně se dělají plošné útoky, útočník neví, jak cenný bude jaký konkrétní cíl. Existuje nenulová pravděpodobnost, že útočník zač"

    Ano, ale nebavili jsme se o tom, kolik existuje útoků, ale že pravděpodobnost útoku je ustřelený pojem a stejně to záleží na počtu možností - když už vytáhneš jenom 2 (hesla a certifikáty)

    "když může CIA participovat na obchodu s kokainem - prokázené - pro své boční fondy, proč ny NSA nemohla dělat tohle - a je přece známé, že Amíci šmírují kde koho a pak toho využívají pro lobby za zakázky jejich firmám
    O tom jsem právě psal první komentář – že je potřeba se bránit skutečným hrozbám, ne nějakým sedmkrát převařeným povídačkám."

    Ano, ta převažená povídařka se dokonce vyšetřila a byla z toho velká kauza.

    "Proč by to na tom padalo? Pokud máte slabé heslo, neovlivníte, zda se do vás útočník zrovna trefí nebo ne. Pokud máte heslo silné, můžete si být jist, že útočník útočící na slabá hesla u vás neuspěj"

    Ach jo. Silné heslo není samospása, jenom obrana před lamama. Padá to proto, protože jsi označil 2 nešvary za veškeré problémy, ale těch je víc a spoustu ani uživatel neovlivní. Tím padá celý výplod, že všechno je kvůli tomu, že se dávají slabé hesla a odklikávají certifikáty uživatelem. To je celé.

    "To by mne zajímalo, co vy víte o cílech NSA."

    Tak se zamyslíme: Copak asi bude dělat zpravodajská agentura? Že by sbírala různé informace a združovala kontakty na různé zajímavé lidi a skupiny a že by občas někdo uvnitř si i hrabal na svém písečku? Ne, proč? Radši budu ťápat něco o zákonu o tajných službách kde ani nevím co je . . .

    "Pak ale jediná rozumná obrana je mít ten router zabezpečený, ne prohlásit „NSA překoná všechno“ a nechat to být."

    No, možná ani tobě, těžko říct, neuniklo, že NSA a podobné vlivné skupiny jaksi disponují nadstandartními nástroji a možnostmi, takže se jen tak asi jako jednotlivec nebo nízkorozpočtář neuchráníš. Každopádně jsme zase u toho. Kolik uživatelů si zabezpečí router? Ne, udělá to za ně výrobce nebo servisák případně - a zase jsme mimo odpovědnost uživatelů jako jsi to nabulíkoval hned v první přospěvku v té "úvaze".

  • 16. 10. 2016 16:30

    Filip Jirsák
    Stříbrný podporovatel

    Ty máš v databázi hesla v plaintextu nebo v md5? Tak o čem se tu chceš bavit?
    O tom, že je pro mne snadné je získat? O čem jiném bychom se tu měli bavit?

    Ano, děje se to a nehodnotím to.
    Pak nechápu, proč o tom vůbec píšete.

    Důvod byl ten, že jsi to do své "úvahy" a následného výlevu nezahrnul
    Proč bych to měl zahrnovat? Vždyť je to nezajímavé, jak sám píšete.

    pravděpodobnost útoku je ustřelený pojem a stejně to záleží na počtu možností
    Mohl byste to vysvětlit na tom příkladu s útokem na jedno konkrétní dvacetiznakové heslo a s útokem na slabá hesla? Jak jinak než pravděpodobností útoku byste odlišil to, že proti prvnímu útoku se nemá smysl bránit a proti druhému ano?

    Ano, ta převažená povídařka se dokonce vyšetřila a byla z toho velká kauza.
    Mohl byste na tu vyšetřenou kazu, kdy NSA prodávala na černém trhu americkým firmám informace získané špionáží v počítačích firem z jiných států? Nebo to žádná vyšetřená kauza není a je to ta převařená povídačka?

    Silné heslo není samospása, jenom obrana před lamama.
    Což ovšem pořád neznamená, že máte používat slabá hesla, zejména když heslo je to jediné, co na obranu máte.

    Padá to proto, protože jsi označil 2 nešvary za veškeré problémy, ale těch je víc a spoustu ani uživatel neovlivní.
    Nikoli, dva nešvary jsem napsal jako reakci na váš komentář, že provozovatelé zlepšují zabezpečení – jako protiargument jsem logicky musel jmenovat takové nešvary, které uživatelé ovlivní. A o uživatelích se tu bavíme celou dobu, protože v úplně prvním komentáři jde o uživatele Firefoxu.

    Tím padá celý výplod, že všechno je kvůli tomu, že se dávají slabé hesla a odklikávají certifikáty uživatelem. To je celé.
    Nic takového jsem nenapsal. Napsal jsem, že konspirátoři jsou tak zblblí NSA, že rezignují i na používání silných hesel, protože je přece NSA dokáže prolomit – a vůbec jim nedochází, že se musí bránit především proti internetovým „pouličním zlodějíčkům“, a co NSA umí či neumí je vlastně vůbec nemusí zajímat, protože je mimo jejich technické možnosti se tomu bránit.

    Copak asi bude dělat zpravodajská agentura?
    Měla by v mezích zákona chránit zájmy státu.

    Radši budu ťápat něco o zákonu o tajných službách kde ani nevím co je . . .
    Ale to je právě chyba. Protože pokud máte jako občan pocit, že nějaká bezpečnostní služba jedná proti vašim oprávněným zájmům, je zákon vaše jediná možnost. Technickými prostředky ji neporazíte, pokud se bude pohybovat mimo zákon, také ji neporazíte. Jediná vaše šance je donutit ji, aby se chovala podle zákona a aby zákon vaše oprávněné zájmy chránil – protože v tom vás podpoří i ostatní a teprve pak máte šanci s bezpečnostní službou něco udělat.

    zase jsme mimo odpovědnost uživatelů
    Heslo routeru si volí uživatel, o aktualizace se obvykle musí starat uživatel, typ routeru také volí uživatel. Já jsem reagoval na příspěvek, který psal o užívání Firefoxu a zapnuté telemetrii, to všechno jsou volby uživatele.

  • 16. 10. 2016 17:28

    NULL (neregistrovaný)

    "Ty máš v databázi hesla v plaintextu nebo v md5? Tak o čem se tu chceš bavit?
    O tom, že je pro mne snadné je získat? O čem jiném bychom se tu měli bavit?"

    Napsal jsi že si hesla přešteš v databázi, to znamená že je špatně ukládáš. Nevykrucuj se.

    "Ano, děje se to a nehodnotím to.
    Pak nechápu, proč o tom vůbec píšete."

    Napsal jsem ti to, protože to stát dělá a hodí se mu to a tak mlčí. Já s tím problém nemám a počítám s tím. Ty z toho děláš vědu už asi po 3x

    "pravděpodobnost útoku je ustřelený pojem a stejně to záleží na počtu možností
    Mohl byste to vysvětlit na tom příkladu s útokem na jedno konkrétní dvacetiznakové heslo a s útokem na slabá hesla?"

    To máš z toho, že si vysekáváš z textu jenom to, co se ti hodí. V tom odstavci jsem psal o tom, kolik je celkově všech útoků (od keyloggera až po CSRF ) a kolik je jich možno použít a ne jenom ty 2 (síla hesla a změna certifikátu), které jsi plácl ty - celé to tu máš ve vlákně, tak si to laskavě přečti tzn. pochopit (klidně pak nesouhlasit ) a ne jenom opakovat písmenka

    "Mohl byste na tu vyšetřenou kazu, kdy NSA prodávala na černém trhu americkým firmám informace získané špionáží v počítačích firem z jiných států?"

    Asi jsem to špatně napsal, myslel jsem, že když se o takových věcech hodláš přít, tak že máš základní znalosti. Ta "Mohl byste na tu vyšetřenou kazu," je ta kauza kdy CIA participovala na prodeji drog.

    "Silné heslo není samospása, jenom obrana před lamama.
    Což ovšem pořád neznamená, že máte používat slabá hesla, zejména když heslo je to jediné, co na obranu máte."

    Samozřejmě.

    Tím bych skončil, nebaví mě ti vyvracet všechny hňupiny které jsi zase připlácal aby jsi mohl nakonec tvrdit že jsi to tvrdil. Celé to začalo tím že jsi tvrdil že

    "A konspirátoři už se toho ochotně ujali, šíří to dál, komunikaci nešifrují, jako hesla si dávají „aaaaa“ a lepí si je na monitor, a ještě se tím chlubí a „odůvodňují“ to tím, že když NSA prý dokáže dešifrovat cokoli, nemá smysl vůbec šifrovat."

    a opět ti píšu že je to hloupost a nemám k tomu říct nic jiného než to co jsem původně napsal. Uživatelé jsou tlačeni na silné hesla provozovateli, doma na papírku heslo nevadí a existuje tolik jiných druhů útoků, že tohle to moc zas tolik neovlivní - třeba kealogger je daleko nebezpečnější. Proč třeba bruteforce louskat heslo každého uživatele, když stačí nabourat server, kde Jirsák má hesla uložené v plaintextu - zatím jsi to ani nepopřel . . . . takže asi fakt máš. To pak ale chápu, jak můžeš označit za blbce lidi, kteří mají jheslo akorát slabé . . .

  • 16. 10. 2016 17:48

    Filip Jirsák
    Stříbrný podporovatel

    Napsal jsi že si hesla přešteš v databázi, to znamená že je špatně ukládáš. Nevykrucuj se.
    Jaké vykrucování? Neukládám je špatně, když si je chci přečíst, je jejich uložení jako otevřený text nejlepší volba. To že mi to heslo posíláte je vaše chyba, ne moje. A pokud předpokládáte, že všichni, kterým hesla posíláte, je budou opatrovat jako oko v hlavě, mají všechno perfektně zabezpečené, nikoho z provozovatelů ani jejich zaměstnanců ani nenapadne hesla zneužít – o čem se tu pak bavíme?

    Napsal jsem ti to, protože to stát dělá a hodí se mu to a tak mlčí.
    Na to jste přišel jak?

    V tom odstavci jsem psal o tom, kolik je celkově všech útoků
    To je přesně ten nesmysl, který jsem vytýkal MMN. To, že existuje nějaký méně pravděpodobný útok, přece neznamená, že se nebudu bránit tomu pravděpodobnějšímu. To, že někdo dokáže překonat bezpečnostní zámek, přece neznamená, že si na dveře nedám vůbec žádný zámek. Takže i pokud by NSA dokázala dešifrovat HTTPS komunikaci, neznamená to, že nemám HTTPS používat.

    Asi jsem to špatně napsal, myslel jsem, že když se o takových věcech hodláš přít, tak že máš základní znalosti. Ta "Mohl byste na tu vyšetřenou kazu," je ta kauza kdy CIA participovala na prodeji drog.
    Já jsem se neptal na tu kauzu CIA a prodej drog, ptal jsem se na vámi uváděnou kauzu NSA a prodávání výsledků průmyslové špionáže na černém trhu. To je to, o čem jste tvrdil, že to není převařené. Ona totiž ve skutečnosti žádná taková kauza NSA neexistuje, a vy jste jenom vzal existující kauzu CIA, možná trochu poupravil, a pak jste si s odkazem na ni vymyslel svou vlastní kauza NSA, která by se mohla stát – že? Tedy jste tu kauzu CIA několikrát převařil a ten vývar teď podáváte jako hotovou věc. Nebo se pletu?

    opět ti píšu že je to hloupost
    Klíčové ovšem není to, že to provozovatelé webů konspirátorům komplikují, klíčové v tom sdělení bylo to, že svou vlastní bezpečnost oslabují v největší míře sami konspirátoři, protože se honí za chimérami a na skutečnou bezpečnost pak kašlou. A když na bezpečnost programově kašle uživatel, provozovatel to nezachrání.

  • 16. 10. 2016 22:01

    NULL (neregistrovaný)

    Tak to zkrátíme a někam se posuneme:

    "opět ti píšu že je to hloupost
    Klíčové ovšem není to, že to provozovatelé webů konspirátorům komplikují, klíčové v tom sdělení bylo to, že svou vlastní bezpečnost oslabují v největší míře sami konspirátoři, protože se honí za chimérami a na skutečnou bezpečnost pak kašlou. A když na bezpečnost programově kašle uživatel, provozovatel to nezachrání."

    (1) Můžeš mi vysvětlit, jaký je rozdíl v zabezpečování mezi tím, jestli ti trojana to PC nasadí nějaká "zločinná" skupina a nebo NSA?

    (2) Můžeš mi vysvětlit, co jako uživatel, ať už na to kašleš nebo ne, uděláš s tím, že je chyba třeba v implementaci SSL, která je tam 20 let a nikdo neví, kolikrát či jestli vůbec byla využita, i když máš super silné heslo?

    (3) Můžeš mi vysvětlit, jaký máš ty jako uživatel vliv třeba na autentizační a autorizační proces třeba na Facebooku, ať už máš heslo 8 nebo 15 znaků?
    ( Vybral jsem Fb, má ho kde kdo a kompromitace může způsobit problémy jak finanční ( tzv. hackeři vs. třeba naposledy lákání peněz z tvých známých ), tak třeba diskreditaci ( NSA např. ) )

    Děkuji

  • 17. 10. 2016 6:55

    Filip Jirsák
    Stříbrný podporovatel

    Ad 1 – Rozdíl je v tom, že já se proti zločinné skupině snažím chránit – nepracuji běžně pod administrátorským účtem, nespouštím každý kus kódu, který najdu na internetu, nemám spuštěné zbytečné služby, používám bezpečné heslo. Konspirátor prohlásí, že NSA se stejně dostane všude a tudíž nemá smysl se bránit a na výše uvedená opatření kašle. Mně by se tedy do počítače dostala NSA a dobrá zločinná skupina, konspirátorovi se tam dostane kde kdo.

    Ad 2 a 3 – bavíme se o tom, na co uživatel má vliv, takže tyto body jsou v této diskusi bezpředmětné.

  • 17. 10. 2016 9:51

    NULL (neregistrovaný)

    Ad - 1 - Já se ale neptal na to, co hlásá tady ten konspirátor, ani na to proti čemu se ty chráníš. Já se tě ptal na to, jaký je rozdíl mezi ochranou PC proti NSA-like a proti criminals . . . . Evidentně nejsi schopný odpovědět na jednoduhou otázku: Takže ještě jednou:
    Ptám se, jaký je rozdíl mezi zabezpečením proti napadení NSA-like a proti criminals?
    Jako jestli je potřeba si třeba hlídat SSL a certifikáty proti NSA a pak nějak jinak proti criminals? Já ti tvrdím, že v obou případech (NSA, criminals) je zabezpečování stejné. Pořád mi tvrdíš že ne, tak bych rád znal rozdíl . . . . Samozřejmě se nebavíme o 10$ script kiddies . . .

    Ad -2 a 3 - Nebavíme se o tom na co má uživatel vliv, ale jestli jsou vůbec v té široké škále tolik podstatné těch několik věcí na které má vliv a které ty tu prosazuješ, jako že slabé heslo a odklikávání certifikátů je největší zlo, když vetšinu věcí za něho zabezpečují ostatní - provideři, poskytovatelé obsahu, vydavatelé OS a uživatel o nich ani neví.
    Jako příklad jsem ti dával útok na bankovnictví České Spořitelny, kdy přes chybu v OS podstrčili cert a fak to vypadalo normálně a reálně - takže uživatel se přihlásil jako vždy a tak by mě zajímalo, jak mu pomohlo silné heslo a to, že neodklikává jen tak certifikáty . . . .

    Díky a doufám že tentokrát dostanu 2 odpovědi ( na 1. a (2 a 3). ) a ne zase prohlášení na nové téma . . .

  • 17. 10. 2016 10:59

    Filip Jirsák
    Stříbrný podporovatel

    Ad 1 – zabezpečení proti běžným kriminálníkům je relativně jednoduché, stačí používat běžné doporučené postupy. Zabezpečení proti NSA by bylo hodně drahé, zabezpečení proti hypotetické všemocné NSA by bylo nemožné.

    Ad 2 a 3 – bavíme se o tom, na co má uživatel vliv. Děravý OS může záplatovat (běžně používaných 0-day zranitelností zase není tolik), banku, která ověřuje příkazy k úhradě nezávislým kanálem (alespoň nešifrovanou SMS), si také může vybrat. Navíc NSA-konspirátoři se asi nebudou vyskytovat jenom mezi uživateli, ale také mezi provozovateli webů nebo autory software – tam jejich přístup „NSA dokáže prolomit vše, takže nemá smysl zabezpečení vůbec řešit“ nepáchá škod ještě víc.

    Možná zkuste naopak vy vysvětlit, co je pro vás přínosného na tvrzení: „Lidi používají HTTPS a pak stejně vše pošlou NSA pomocí ‚telemetriky‘.“ A jak spolu vůbec HTTPS, NSA a „telemetrika“ souvisí.

  • 17. 10. 2016 11:45

    NULL (neregistrovaný)

    Ad 1 - Ale zabezpečují se stejné věci - provoz, OS, browser a stejným způsobem - různé MITMy, floody, highjackiny - jak už jsem psal nahoře, rozdíl s NSA ale i jinými vysoce specializovanými skupinami je, že to nejspíš i tak dokáží překonat díky náskoku - ale tam ti ani řádné heslo ani to že neodklikneš jen tak certifikát moc nepomůže. A to je to, proč jsem ti to psal.

    Ad 2 a 3 - Super, shodli jsme se - bavíme se o tom, na co má uživatel vliv. Z toho co jsi vyjmenoval - aktualizace, 2 faktorová autorizace . . . je v podstatě všechno v rukou maintainerů a poskytovatelů. Uživatel to musí "jenom" použít, ale při tom stejně platí také to, co jsem psal dříve viz např. Ad 1 A to silné/silnější heslo je tak 0.1% ze základů bezpečností problematiky v IT (obecně). Proto to píšu.

    "Možná zkuste naopak vy vysvětlit, co je pro vás přínosného na tvrzení: „Lidi používají . . . "

    Ad 3 - Přínosného na tom není nic a čím více zabezpečení, tím lépe. Pokud to tedy dotyčného vůbec nějak zajímá. Nikdy jsem ale netvrdil, že na tom přínosného něco je. Já zpochybnil tvou tezi, že si za všechno/většinu problémů mohou uživatelé blbci tím, že mají slabé heslo nebo odkliknou každý certifikát - důvody už jsem napsal 10x.

    "A jak spolu vůbec HTTPS, NSA a „telemetrika“ souvisí."

    Ad 4 - Tak minimálně je to ze stejného odvětví, minimálně HTTPS a NSA může souviset s obtížností sledování komunikace zájmových subjektů, ale i plošně, a s telemetrikou taky -> statistika nuda je, má však cené údaje - co víc k tomu napsat. No, možná ještě jedno pravidlo, které asi neznáš, on je to jiný obor, ale uritě může popsat vztah mezi vládou, NSA a telemetrikou: "Kdo neměří, neřídí" - to je axiom a já k tomu dodávám: "Může řídit, ale po slepu . . ."

    ! Ale měj na paměti. že ten "výrok" „Lidi používají HTTPS a pak stejně vše pošlou NSA pomocí ‚telemetriky‘.“ , resp. celý ten koment jsem nepsal já ani se k němu nevyjdřuji. Vyjadřuji se k tomu, co jsi napsal o odpovědnosti uživatelů a jejich možnostech

  • 17. 10. 2016 12:16

    Filip Jirsák
    Stříbrný podporovatel

    Já jsem nepsal, že si za většinu/všechno mohou uživatelé sami, protože mají slabé heslo nebo odkliknou certifikát. Psal jsem, že se chovají hloupě, pokud rezignují na bezpečnost toho, co ovlivnit můžou, s poukazem na údajnou všemocnost NSA.

  • 17. 10. 2016 15:29

    NULL (neregistrovaný)

    "Uživatel může být donucen zvolit si bezpečné heslo, ale používá všude stejné. Uživatel může být donucen připojit se přes HTTPS, ale odsouhlasí jakýkoli certifikát."

    To co jsi psal mi připadlo v kontextu debaty trošku jinak, nicméně s tím co o problematice říkáš v posledním příspěvku plně souhlasím, ale pořád si myslím, že třeba silné heslo (nebo to aspoň nebudou mít tak jednoduché (cena/výkon) ) má smysl v obraně jak proti criminals, tak úplně stejně proti NSA atd. takže je jedno proti komu se zabezpečuješ, ideálně zálepit díry všechny, protože ani u NSA ani u criminals nevíš dopředu, čeho využijí/zneužijí, takže dělit to na to proti čemu to má smysl a proti čemu nemá, je blbost. Jediné co má cenu je zabezpečit se co nejlíp vůči všem možným vektorům . . .

  • 17. 10. 2016 16:43

    Filip Jirsák
    Stříbrný podporovatel

    třeba silné heslo má smysl v obraně jak proti criminals, tak úplně stejně proti NSA atd. takže je jedno proti komu se zabezpečuješ
    To já si myslím také. Ale MMN si to evidentně nemyslí, když předpokládá NSA, která má prsty všude, takže se dostane k těm údajům z telemetrie a jsou pro ni zajímavé. To, že vychází z takovýchhle předpokladů, bych ještě bral – nesouhlasím s nimi, ale třeba k tomu má nějaký důvod. Problém je, že jeho závěry jsou nelogické i ve světě, kde platí ty předpoklady. Proto jsou použil označení „konspirátoři“.

  • 16. 10. 2016 10:22

    MMN (neregistrovaný)

    „A konspirátoři [who?] už se toho ochotně ujali, šíří to dál, komunikaci nešifrují, jako hesla si dávají „aaaaa“ a lepí si je na monitor, a ještě se tím chlubí a „odůvodňují“ to tím, že když NSA prý dokáže dešifrovat cokoli, nemá smysl vůbec šifrovat.“

  • 16. 10. 2016 12:10

    Filip Jirsák
    Stříbrný podporovatel

    Kdo? No třeba ti, kteří ke zprávičce, která s NSA nijak nesouvisí, musí přidat komentář naznačující, že NSA má stejně přístup k veškeré komunikaci (tedy s výjimkou uživatelů, kteří telemetrii zakážou – v NSA jsou evidentně gentlemani, AES tam sice louskají už děti ve školce, ale jakmile si uživatel v prohlížeči zvolí, že nechce odesílat telemetrii, je to pro NSA stopka a nikdy by přes to nešli).

  • 16. 10. 2016 9:31

    Starous (neregistrovaný)

    začínám věřit tomu, že silné heslo na papíře je nejbezpečnější password management

  • 16. 10. 2016 19:29

    uncle Screwdriver (neregistrovaný)

    Tohle nesmyslné nasazování https na veřejně dostupných webech (jako třeba zde na rootu, že...) hraničí s obsedantně kompulzivní poruchou...

  • 16. 10. 2016 19:43

    Lojzak (neregistrovaný)

    @uncle Screwdriver
    Zato trollování u článku o HTTPS vůbec s obsedantně kompulzivní poruchou nehraničí.

  • 17. 10. 2016 14:43

    MichalekII (neregistrovaný)

    No neblázni, co kdyby se někdo domákl obsahu těch článků co vydávají ...
    Kam by to asi tak vedlo kdyby ti ty články neposílali šifrovaně, a každý by si je mohl jen tak z bůhdarma číst ...

  • 17. 10. 2016 14:44

    Ondra Satai Nekola
    Zlatý podporovatel

    To je porad dokola - i kdyby nevadilo, ze treti strana muze cist, co ctete (ve skutecnosti vadi), tak urcite vadi, ze muze menit obsah. Od vkladani reklam po vkladani malware.

  • 17. 10. 2016 14:58

    Petr Krčmář

    Ruské úřady třeba chtěly blokovat některé články na Wikipedii, ale nešlo to kvůli HTTPS. Tak na pár dní zablokovaly celou Wikipedii, což bylo neudržitelné. Tak pohrozily správcům a chtěly pro Rusko HTTPS vypnout, ale ti to nemůžou udělat kvůli HSTS. Takže jasná výhra šifrování. Ale podle názorů výše je šifrování zbytečné, protože to je přece jen Wikipedie, kde jsou veřejně dostupné články a není tam nic tajného.

    Vůbec nerozumím tomu, proč by mělo uživateli nějaké šifrování vadit. Nijak to nezhoršuje přístup k obsahu (naopak HTTP/2 může rychlost výrazně zlepšit) a dá se brát jenom jako příjemný bonus.

  • 18. 10. 2016 5:59

    MichalekII (neregistrovaný)

    Je jasné, že v této komunitě nepřiměju nikoho aby se na věc podíval i kriticky. Ale srovnávat šifrované doručování dat například se zamykáním domu je, s pro minutím, pitomost.

    Vzpomeňme aféru s vydáváním certifikátu na cokoli v podstatě komukoliv. Podvrhování certifikátu antivirovými programy atd.

    Jediné co co je přínosem, je skutečně to ověření integrity doručovaných dat. S anonymitou a soukromím čtenáře to nemá nic společného.

    Ten kdo data poskytuje ví, komu a co poskytuje, každý aktivní síťový prvek ví s kým komunikujete, prohlížeč má kompletní přehled, systém vlastně také ....

    Šifrováni jako takové není nic proti ničemu, ale prezentovat to jako výhodu pro soukromí a bezpečnost uživatele je lživé a zavádějící.

  • 18. 10. 2016 7:01

    Filip Jirsák
    Stříbrný podporovatel

    Vydávání certifikátu komukoli je jako špatně udělané bezpečnostní dveře. Opravdu nebudete dům zamykat jenom proto, že možná firma, která vám dveře montovala, udělala něco špatně a bezpečnost dveří je tedy snížená na úroveň obyčejných dveří? Proč jste napsal, že prohlížeč a systém, má kompletní přehled, ale u síťových prvků jste tohle téma vynechal? Lživá a zavádějící jsou tu zatím jenom vaše tvrzení.

  • 17. 10. 2016 15:32

    NULL (neregistrovaný)

    @ Ondra Satai Nekola

    Tak tak . . .

    Beru to tak, že @uncle Screwdriver o tom ví ... a s těmi reakcemi se něco aspoň dozví, když už pindá na něco, čemu evidentně nerozumí . . . .