Názor ke zprávičce Root přešel na HTTPS od Filip Jirsák - To bych povolil webu výjimku, a ten by...
-
Filip JirsákStříbrný podporovatelTo bych povolil webu výjimku, a ten by následně zakázal jakékoli výjimky.
Nerozumím, co tímhle myslíte.Schválit výjimku je trochu speciální případ
Což je trochu problém, protože já tu výjimku můžu zrovna tak „schválit“ tak, že vezmu certifikát serveru a nahraju ho mezi důvěryhodné certifikáty. Nebo vezmu certifikát autority, ověřím, že je důvěryhodná, a nainstaluju certifikát autority. Ale beru, že v některých případech prostě prohlížeče HSTS ignorují – s certifikáty pracují divně, tak proč nepřidat další divnost.Intranet: Ještě jste nevysvětlil, co je na něm tolik speciálního, že je u něm situace okolo HSTS jiná.
Třeba captive portál pro přístup na wifi. Všichni přijdou třeba do práce, do školy nebo do kavárny, při prvním použití HTTP jsou přesměrováni (únosem spojení) na captive portál na intranetu, kde se přihlásí na wifi. Během dne administrátor zapne pro intranet HTTPS s HSTS, každému z připojených, který se na intranet podívá, se povinnost HTTPS zaznamená. A když přijdou druhý den, nikdo z nich už se k wifi nepřipojí, protože při přesměrování na captive portál je prohlížeč z HTTP automaticky přehodí na HTTPS, které je ale bez přihlášení nedostupné.Opera Mini: A kde je problém?
Problém je, že jste si rozdělil uživatele na ty, kteří musí mít HTTPS, a na ty, kteří ho mít nesmí. Jakékoli takovéhle pravidlo se velmi těžko dodržuje, vždycky někde proklouzne nějaká chybička a na stránku pro HTTP se dostane něco s HTTPS nebo opačně.
