Vlákno názorů k článku
Pomocí HTTPS je načteno přes 80 % webových stránek od Miroslav Šilhavý - Uměl by to někdo přepočítat na watthodiny energie,...

To je dost smutné, když někdo zaplatí miliony za kus a výrobce neposkytuje ani tu nejzákladnější podporu ;-(

…a přitom jde o data, na která se vztahuje lékařské tajemství.

@Vít

Kdyby jenom to. Therac-25...

Jo, to mě napadlo po odeslání. Jen „vhodně“ zkalibrovat přístroj…

Ne nutne. Dokonce ani nutne nemusi byt mozne pres to neco konfigurovat.
Uz jsem i videl, ze to byla jen read-only stranka, kde jsou provozni informace jako motohodiny, log poruch, posledni zaznam o servisu atd. For je v tom, ze servisak, ktery dela podporu ma ty spravne nastreje. Ale zakaznik nepotrebuje zadny specialni nastroj na kontrolu v jakem je to stavu.

@Jiri Dobry

Porad vidim problem na strane dodavatele. Prohlizece za jejich neschopnost nemohou. (A pokud dodavatel neresi, tak tu workaroundy padly take.)

Porad vidim problem na strane dodavatele. Prohlizece za jejich neschopnost nemohou.

Podle mě jde o peníze. Pokud máte nějaké průmyslové zařízení, jsou odečty hodnot naprosto neškodné informace. Dodavatel tedy s extrémně nízkými náklady napíše HTTP server, kde provozní hodnoty zobrazí. Nemusí řešit TLS, nemusí řešit ani žádné aspekty bezpečnosti - běží to ve vnitřní síti a informace jsou neškodné. Takové řešení může dodat prakticky bez změny ceny svého výrobku.

Pokud ale začnete vyžadovat TLS, musí dodavatel zapracovat do svého řešení spoustu nových mechanismů. Jako minimum je nahrání certifikátů. Dnes by ale bylo spíš potřeba mít implementovaný mechanismus pro automatickou obnovu. Z jednoduchého webserveru který umí akorát GET / vytvoříte moloch. A to už se do ceny výrobku i správy odrazí.

Ne každý je na toto zvědavý. Proto považuji úvahy o nutnosti / vhodnosti tlačit HTTPS na sílu jak naprosto legitimní.

"běží to ve vnitřní síti"

Tak tohle byl argument naposledy den před tím, než se objevila zkratka APT.

A ano, jde o peníze. Někdo chce lacině vyrábět a tím poškozovat ekosystém všem (kteří na to naštěstí nepřistoupili a proto "na sílu")

Miroslav Šilhavý: Jenže iluze je, že tím, že je to ve „vnitřní síti“, je to nějak zabezpečené.

Navíc řeč je o webu, kde pro HTTP žádný důvod neexistuje. Pokud má někdo zařízení, které komunikuje pomocí telnetu, děrných štítků nebo HTTP, není žádný důvod, proč by ty děrné štítky, telnet a HTTP měly podporovat webové prohlížeče. Stejně, jako si kdokoli může nainstalovat telnet klienta, pokud ho potřebuje, ať si nainstaluje HTTP klienta, který klidně může být založený na nějakém starém webovém prohlížeči. Pokud ho potřebuje. Ale nikdo soudný, kdo potřebuje telnet pro ovládání nějakého zařízení, nepoužívá telnet pro přístup k serverům a nenutí ho ostatním. Stejné by to mělo být s HTTP – ať si to někdo klidně používá pro nějaký svůj speciální účel, ale ať to nenutí ostatním do webového prohlížeče.

Je nesmysl radikálně oslabit bezpečnost celého webu kvůli konfiguraci nějakých zařízení. Přece nemusí mít celá firma prohlížeče s podporou HTTP jenom proto, aby se jeden správce dostal jednou za půl roku do administrace nějakého zařízení. Ten správce na to může mít jiný program (třeba starý prohlížeč), nebo na to může být nějaký proxy server, který zajistí autentizaci uživatele a komunikaci s prohlížečem přes HTTPS, a to zařízení pak bude komunikovat přes HTTP jenom s tím proxy serverem a s ničím jiným.

Starý prohlížeč není až tak dobrý nápad, dříve nebo později bude mít známé zranitelnosti. Reverzní proxy je lepší varianta (menší zlo).

Vždyť tam chtějí mít HTTP, jestli tam bude ještě nějaká další zranitelnost je trochu jedno… Ten starý prohlížeč by měl být chápán jako speciální ovládací aplikace pro to konkrétní legacy zařízení. Ono je totiž možné, že by ten ovládací web ani s moderním prohlížečem nefungoval – může to být něco „optimalizováno pro MSIE 9“, co bude používat nějaké ActiveX, Flash nebo Java Applety. Takže to možná bude muset být samostatný virtuál, který bude mít přístup jen k tomu zařízení. A bude úspěch, když to bude moci být alespoň v tom virtuálu.

Reverzní proxy je menší zlo, ale ten špatný nápad je hlavně zařízení za několik milionů, které je kvůli konfiguraci nebo dokonce ovládání zamrzlé na nějaké prehistorické technologii.

Jedno to úplně není. HTTP umožní odposlechnout nebo modifikovat komunikaci, případně za určitých podmínek otrávit cache nebo podstrčit cookies. Starý prohlížeč umožní za určitých podmínek ovládnout počítač správce. To může ohrozit mnohem více než jen jeden přístroj.

Když už tam bude taková legacy chuťovka vyžadující starý prohlížeč, tak nejlépe v nějakém virtuálu, který se bude po každém použití zahazovat – ála disposable VMs v Qubes OS.

HTTPS přináší jen málo bezpečnosti navíc.

1) Díky DV certifikátům si ho získá kdokoliv, kdo má přístup do DNS. Díky oportunistickému šifrování SMTP se dá odchytit reset hesla do DNS správy. => neřeší to MITM útoky
2) Díky kompatibilitě jsou uživatelé zvyklí ignorovat hlášky o nezabezpečeném připojení - ve vnitřních sítích, v managementu zařízení běžná věc. Neexistuje řešení, jak mít doma zařízení a jednoduše na něm mít spuštěné HTTPS.

Vaše teze by byly platné snad v případě, kdyby nebyly nejslabšími články DNS a DV certifikáty.

1) Takovy utok je radove tezsi nez na http a je detekovany prostrednictvim transparency.
2) To je jako rict, ze doktori si proste ty ruce nebudou myt, protoze jsou tak zvykli...

To je jako rict, ze doktori si proste ty ruce nebudou myt, protoze jsou tak zvykli...

Svým způsobem máte pravdu. Když si můj dědeček píchal inzulín, vyvářel jehly a stříkačku, inzulín měl v ledničce. Před natažením z ampule ji otřel lihobenzinem a natahoval jinou jehlou, než vpichoval do těla. Kůži taky dezinfikoval.

Dnes má diabetik inzulínové pero, dezinfekce se neřeší, jehla se používá vícenásobně.

Proč? Myslíte, že dnes je to bezpečnější než před 30 lety? Není. Jen medicína došla k tomu, že lpět na absolutní sterilitě nemá takový přínos a že přínosem pro pacienta je i pohodlí a kvalita života obecně.

3. 10. 2019, 10:11 editováno autorem komentáře

Jenomže my jsme ve fázi, kdy to je "ruce od krve" a jdeme k umytým rukám. Až se objeví pohodlnějši pera, tak sem s nimi.

Jenomže my jsme ve fázi, kdy to je "ruce od krve" a jdeme k umytým rukám. Až se objeví pohodlnějši pera, tak sem s nimi.

Nejsem si vůbec jistý, že pro takto radikální "mytí rukou" existuje společenská poptávka.
Zodpovědní poskytovatelé obsahu mohli HTTPS zavést zcela dobrovolně.
Někteří nezaváděli záměrně (ať jsou důvody jakékoliv).

Teď ale násilně řešíme něco, co mohlo zůstat čistě dobrovolné. To mi přijde špatně z principu.
Trval bych na odpovědnosti poskytovatelů obsahu, zavedl bych objektivní odpovědnost, trestal bych šlendrián. Výhradně konrétně, případ od případu. Poškozený => odpovědnost => náhrada.

'Nejsem si vůbec jistý, že pro takto radikální "mytí rukou" existuje společenská poptávka.'

A? Byla snad společenská poptávka po doktorech, co si myjí ruce?

A? Byla snad společenská poptávka po doktorech, co si myjí ruce?

Byla. Na zdraví lidé a společnost hleděla a hledí.
Na to, jestli mi někdo po cestě nezmění kydy na zpravodajském serveru, na to lidi nehledí. (A pokud poskytovateli obsahu vadí, že mu někdo po cestě může změnit obsah - pak mohl HTTPS zavést dobrovolně).

Teď ale násilně řešíme něco, co mohlo zůstat čistě dobrovolné.
Nemohlo. Prohlížeč buď vůbec nepodporuje HTTP, nebo jsou všechny HTTPS weby zranitelné tím nejjednodušším útokem na HTTPS – downgrade na HTTP. Nemyslím si, že byste o tomto argumentu nevěděl.

Prohlížeč buď vůbec nepodporuje HTTP, nebo jsou všechny HTTPS weby zranitelné tím nejjednodušším útokem na HTTPS – downgrade na HTTP. Nemyslím si, že byste o tomto argumentu nevěděl.

Od toho máme HSTS. To šlo bez pochyb rozšířit i dál, např. signalizovat to i pomocí TXT v DNS apod.

HSTS je rovnák na ohejbák, neřeší například první přístup daného prohlížeče na web. Signalizace pomocí DNS je další zbytečný prvek navíc, který může selhat. Proč pořád řešit, jak na webu zachovat protokol HTTP, když není k ničemu potřeba?

Pořád tu nevidím odpověď na základní otázku toho komentáře. Kiksne mě router koupím nový připojím a prohlížeč řekne http nee. Jak si stáhnu to MSIE 6, nebo vygeneruju funkční certifikát pro proxy který budu si programovat bez přístupu k netu.
Jasně na internetové bankovnictví, eshop a blog o koťátkách https patří ale je potřeba počítat s tím 1% kde je potřeba http.

Murděj Ukrutný: Uděláte to zhruba stejně, jako si do toho nového routeru stahujete firmware – nijak. Udělá to za vás výrobce routeru a router vám dodá již hotový a připravený k použití.

Že by výrobce věděl jakou mám wan ip, masku, gw? Když budu připojený přez wifi, že by věděl kterou na wifi se připojit, s jakým heslem, jakou mac adresu nastavit...

Murděj Ukrutrný: Pro vystavení certifikátu nepotřebujete znát ani WAN IP, ani masku, ani bránu, ani MAC adresu, ani heslo do WiFi.

Představte si, že si koupíte WiFi router, a místo současného „zadejte do prohlížeče http://192.168.0.1, jméno admin, heslo admin“, budete mít na krabici štítek s adresou a QR kódem https://e96b-f0b8-f8c9-904a.example.com (kde místo example.com bude doména výrobce). To je vše, nic dalšího nepotřebujete.