Ale proc, todle je opradu nebezpecne.
Navíc když vše pujde jak má tak na přelomu roku už budou mit všichni k dispozici tls cerfikaty zadara takze neni duvod prasit.
Co me se osobne neliby ze clovek musi sifrovat vsechno, proste nechapu proc nemuzu posilat obrazky pres http, vim ze je muze po ceste osklyvi routr zmenit, ale to se asi moc nedeje.
Jedine k cemu to vse povede je to, ze nam prestanou stacit linky.
No v CZ prostredi, kde seznam.cz je jednim z dominantnich vyhledavacu a za migraci webu na https Vas odmeni viditelne nizsi navstevnosti, bych to tak jednoznacne nevidel.
To ze jsou certifikaty zdarma neznamena, ze je to zadarmo cele. Ten certifikat musi na taky nekdo na server nasadit, previdelne rotovat, .... Ano, lze to automatizovat, ale i tu automatizaci musi nekdo napsat a implementovat.
Na tom aute to neuvidi zvenku. Museli by zkouset kliky aut... to by byla dost velka nahoda. No a dostat se do auta je IMHO radove jednodusi nez ho nastartovat a ridit bez klicku. Nejsem sice odbornik na auto-moto, ale mam takove tuseni ze to nefunguje tak jako ve filmech kdy staci spojit dva dratky :-) Uz jen kvuli "zamcenemu" volantu.
Zamceny volant se resi tak, ze se s nim prudce silou otoci a kdyz to prejede pres zamek, tak ho to urve. Aby tohle nemohli udelat, musel bys volant natocit vzdy do zamcene polohy. Urvat to bez rozjezdu je pak mnohem tezsi. Otazka je, jestli je to nemozne. Mozna, ze treba dva silni borci by to urvali i tak.
Heh? A to je čo zas za hlúposť? Veď to, že stránka stiahnutá cez http:// keď obsahuje type=password, ešte vôbec nič nehovorí o tom ako či sa vôbec heslo prenesie nešifrovanie alebo nie.
A taktiež to nič nehovorí o tom či stránka dostupná cez https:// obsahujúca type=password náhodou nepošle ten formulár cez http://
I kdyby autor stránky chtěl, aby se ten formulář odeslal přes HTTPS, může to útočník změnit, pokud je formulář nahraný přes HTTP. Proto je to problém.
V případě webu vždy důvěřujete provozovateli toho webu. Pokud by chtěl vaše heslo poslat někam jinam, může si ho klidně nechat poslat přes HTTPS na svůj server a teprve z něj poslat někam dál. Navíc prohlížeče dnes myslím varují v případě, kdy je formulář načten přes HTTPS ale data by odesílal přes HTTP.
Takže jestliže na stránce http://supersajta.xyz je formulář s odesláním na https://supersajta.xyz, je tam riziko, že si to dotyčný chce poslat někam úplně jinam?
To mi moc nepomáhá. Když jsem na určité sajtě a odesílám si dobrovolně formulář s přihlašovacími údaji na tu samou sajtu (v HTTPS verzi), přece počítám s tím, že provozovatel té sajty ty údaje dostane a nepotřebuje na to ani JavaScript, může si to klidně i vytisknout a pak poslat faxem nebo poštovním holubem kam chce a kolikrát chce. Pokud se na jeho stránce objeví nebezpečný JavaScript třetí strany, tak to má ten provozovatel dost těžký problém a jeho uživatelé taky.
Řekl bych, že jste v diskusních vláknech poněkud vykolejil. Pokud jste na HTTPS stránce, předáváte zadané heslo provozovateli daného webu a musíte mu důvěřovat, že s ním nebude nakládat špatně. Pokud jste na HTTP stránce, předáváte to heslo potenciálně komukoli, kdo tu stránku dokázal během přenosu modifikovat. Proto je to druhé problém a proto bude v takovém případě Firefox uživatele varovat.
Je to paranoidní asi stejně jako odmítání certifikátů podepsaných neznámou autoritou. Pokud na to člověk rezignuje, pak je zneužití asi stejně náročné. (Tzn. relativně jednoduchého, jakmile má útočník přístup k síti.)
Mimochodem, nepovažoval bych za důvěryhodnou ani domácí síť, protože:
* děravé routery
* automatické připojení ke známým Wi-Fi (vizte např. Pineapple)
* ostatní zařízení v síti se mohou stát útočníky (stačí malware)
* případné slabé heslo k WPA2 lze louskat offline (Podmínkou je odposlechnutí iniciálního handshake, což jde jednoduchým trikem vynutit i u připojeného zařízení.)
Kvůli paranoidním scénářům se HTTPS používá… Určitě jste zaznamenal, jak velké množství je různých děravých domácích routerů. Takový děravý router má minimálně dvě možnosti, jak takový scénář realizovat – buď může přímo měnit procházející HTTP komunikaci, nebo jednoduše změní DNS odpovědi a přesměruje uživatele rovnou na útočníkův server.
Je šance, že prohlížeče v dohledné začnou uznávat (=nezobrazí varování) TLSA/DANE certifikáty? Je zádrhel jen v tom, že to prohlížeče ještě neimplementovaly nebo někde jinde?
Irituje mě, že si DV certifikát on Let's encrypt bude v pořádku, ale TLSA certifikát, který se mi zdá ekvivalentní (prokazuje držení domény, nic víc, nic míň). Pokud mě prohlížeče "nutí" do HTTPS, radši bych si hrál na vlastním písečku než používal třetí stranu.
Vzhledem k tomu, že asi 10 let v kuse tvrdili, že to nemůžou zapnout, protože to hrozně zpomaluje a je to rozbité, tak do každé nové verze opravdu nečumím... Ostatně, trosky skupiny uživatelů, co ještě FF používají, přešly dávno na LTS verze, protože na věci permanentně rozbíjející experimenty vyšinutých jedinců v Mozille, jejichž cílem je zjevně už pouze naklonovat Chrome a vytřískat nějaké peníze, než lidi definitivně zdrhnou, jaksi už neměli náladu.
A jinak ano - v podstatě to nic nedělá. Viz about:config - security.ocsp.require - false (default)
Neco jako ze jeden DNS dotaz zpomali celej web .... a resi se to uz 16 let https://bugzilla.mozilla.org/show_bug.cgi?id=14328
Nedalo mi to a hledal jsem, podle https://www.imperialviolet.org/ (chrome) je problém v RSA 1024 a Certificate transparency (Jan 2015). U mozilly jsem nějaké vyjádření nenašel, leží to tam ladem https://bugzilla.mozilla.org/show_bug.cgi?id=672239.
[quote]
Indeed, Chrome even supported something very like DANE for a while. In that case the DNSSEC records were contained in the certificate to avoid the latency and complexity of looking them up in the client. (DNSSEC records contains signatures so need not be transported over the DNS protocol.)
But support for that was removed because it was a bunch of parsing code outside of the sandbox, wasn't really being used and it conflicted with two long-term plans for the health of the HTTPS ecosystem: eliminating 1024-bit RSA and Certificate Transparency. The conflicts are probably the most important reasons for not wanting to renew the experiment.
[/quote]
To je docela kontroverzní. Jsem pro rozšiřování HTTPS. Toto IMHO přinese dva dopady, jeden pozitivní a jeden negativní:
Pozitivní: Provozovatelé stránek budou více tlačeni používat HTTPS a snad se HTTPS díky tomu více rozšíří.
Negativní: Je to nekonzistentní, a tedy potenciálně matoucí. Když uživatel bude mít přeškrtnutý zámek na některých stránkách, které nechrání zadávaná hesla, mohou očekávat, že se toto bude objevovat na všech takto problematických stránkách. Což ale není pravda, <input type="password"> se dá nasimulovat pomocí JS nebo snad i pomocí čistého CSS s webfontem. Předpokládejme, že autoři stránek se k tomu uchylovat nebudou. Ale co útočníci? Jako aktivní útočník bych právě vhodně modifikoval stránky, abych se vyhnul tomuto varování, zkombinoval to třeba s sslstrip a uživatelé by měli falešný pocit bezpečí.
Tedy doufám, že je to jen dočasné opatření. Dát přeškrtnutý zámek na HTTP úplně všude* by bylo aspoň konzistentní řešení, byť možná dnes trošku uspěchané. (Pokud se to bude ukazovat na polovině webu, kdo se tím bude zabývat?)
*) Dá se ještě uvažovat o výjimkách jako localhost, ale nesmí se to přehnat… Nedám z fleku řešení, se kterým bych si byl 100% jist.
Cim dal vic webu pouziva js login. Naprosto nesmyslne ale je to tak. A jesli budu provozovatel webu na kterej chodi mega+ useru, a i jen 20% z nich si zacne stezovat, ze jim browser nadava, ze je neco spatne, tak pro me naprosto nejjednodussi reseni je prave to co sem zminil v prvnim postu - zmenit password na text, a dat tomu maximale stylopis zobrazovanych hvezdicek.
Spokojenost bude vsestranna - useri budou spokojeni, ze je ve OK, a idioti v Mozille prozmenu, ze sou vsechny ovecky v bezpeci ... ne?
Jo, a pak se pár oveček připojí někde z kavárny nebo nádraží přes první nalezenou "free WiFi", jejich jménem majitel toho notebooku se zapnutým sdílením sítě objedná zboží na jejich účet / napíše komentáře v rozporu s trestním zákoníkem / cokoliv jinýho. Čtenáři to rozmáznou v médiích... A ty jako provozovatel webu si chrochtáš blahem mezi výslechama a telefonátama novinářů...
A teď tu o Karkulce...
Nota bene pokud je to CZ web a má několik M návštěvníků, tak je asi hodně známý a i kdyby se dočasně posunul na čokllistu o tři příčky dolů, tak tě to určitě nezabije.
Na ty uz se stejne neprihlasis, protoze pokud sis naivne zapnul https, tak ti v 90% bude browser nadavat, ze pouzivas zastarele a dale nepodporovane sifrovani. => naprosto logicky dojdes k tomu, ze http je jedina moznost. A az ti to bude nadavat i na nem, tak dojdes k jeste logictejsimu zaveru, totiz zakazat aktualizace browseru, ktery jen vsechno neustale rozbiji.
Ve finale budeme tudiz vsichni v teple a bezpeci - useri budou spokojeni pouzivat neaktualizovane browsery, ktere je nevopruzuji imbecilnima hlaskama, provozovatele webu budou spokojene provozovat http, a idioti v Mozille a jinde si budou pro sebe a svych 5 uctivacu vymejslet dalsi a dalsi hovadiny.
To bude trosku komplikovanejsi vyladit:
* Intranet: Jsem pro pouzivani HTTPS, aspon v pripade pouzivani prenosnych zarizeni. Jinak uzivateli pujde po pripojeni do neduveryhodne site vykrast ulozena hesla, cookies apod. Navic v nekterych pripadech uzivatel ani nemusi vedet, ze se pripojil do jine nez domaci site (vizte Pineapple…). Je mozne udelat vlastni CA a tu nainstalovat vsem uzivatelum, ale mozna s Let's encrypt se od vlastni CA prakticky upusti.
* TLD .onion: IMHO nechat na Tor Browseru, at si s tim vyvojari poradi. To Firefox sam vyresit nemuze. Maximalne muze vyvojarum TBB nejak vyjit vstric.
* Domaci routery: To je, bohuzel, punk. Co si budeme povidat, HTTP zde opravdu neni optimalni reseni, kdokoli s heslem k AP (ktere muze ziskat treba i nekdy pozdeji!) muze odposlechnout administratorske heslo apod. U prenosnych zarizeni tu zustava problem s pripojenim do jine site, kdy je mozne cist ulozena hesla, cookies apod. Bohuzel me ale nenapada lepsi reseni pouzitelne pro BFU.