abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:22 | Zajímavý projekt

Na Humble Bundle lze v rámci akce Humble Book Bundle: Linux Geek by No Starch Press zakoupit elektronické knihy věnované operačnímu systému Linux a open source softwaru od nakladatelství No Starch Press a navíc podpořit charitu. Za 1 dolar a více lze zakoupit 6 elektronických knih, za 8 dolarů a více dalších 6 elektronických knih, za 15 dolarů a více dalších 5 elektronických knih a za 30 dolarů a více další elektronickou knihu navíc.

Ladislav Hagara | Komentářů: 0
dnes 01:33 | Komunita

Patrick Volkerding oznámil před pětadvaceti lety vydání Slackware Linuxu 1.00. Slackware Linux byl tenkrát k dispozici na 3,5 palcových disketách. Základní systém byl na 13 disketách. Kdo chtěl grafiku, potřeboval dalších 11 disket. Slackware Linux 1.00 byl postaven na Linuxu .99pl11 Alpha, libc 4.4.1, g++ 2.4.5 a XFree86 1.3.

Ladislav Hagara | Komentářů: 13
včera 17:33 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na jednodeskový počítač Renegade Elite. Měl by být 4x výkonnější než Raspberry Pi 3 Model B+. Vlastnit jej lze již v září. Aktuální cena je 99 dolarů.

Ladislav Hagara | Komentářů: 13
včera 12:44 | Komunita

Od 7. do 10. června proběhla v Berlíně Linux Audio Conference 2018. Na programu byla řada zajímavých přednášek, seminářů a vystoupení. Videozáznamy lze zhlédnout na media.ccc.de.

Ladislav Hagara | Komentářů: 0
včera 09:44 | Pozvánky

Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.

xkucf03 | Komentářů: 0
14.7. 22:44 | Nová verze

Bylo oznámeno vydání KDE Frameworks 5.48.0, tj. nové verze aktuálně 72 knihoven rozšířujících multiplatformní framework Qt. Řešena je mimo jiné bezpečnostní chyba CVE-2018-10361 v KTextEditoru zneužitelná k lokální eskalaci práv. Knihovny KDE Frameworks jsou dnes využívány nejenom KDE Plasmou a KDE Aplikacemi.

Ladislav Hagara | Komentářů: 6
14.7. 20:11 | Nová verze

Byl vydán Debian 9.5, tj. pátá opravná verze Debianu 9 s kódovým názvem Stretch. Řešeny jsou především bezpečnostní problémy, ale také několik vážných chyb. Předchozí instalační média Debianu 9 Stretch lze samozřejmě nadále k instalaci používat. Po instalaci stačí systém aktualizovat.

Ladislav Hagara | Komentářů: 15
13.7. 23:55 | Komunita

V Národní technické knihovně (NTK) je 150 nových počítačů s operačním systémem Linux, konkrétně s linuxovou distribucí Fedora. Do konce prázdnin si na nich lze zahrát počítačovou hru Factorio (Wikipedie). V pondělí 23. 7. proběhne LAN party s vývojáři této hry.

Ladislav Hagara | Komentářů: 0
13.7. 17:33 | Zajímavý software

Fanatical (Wikipedie) má ve slevě řadu počítačových her běžících také na Linuxu. Balíček her Fanatical Strategy Bundle lze koupit za 1,99 eur.

Ladislav Hagara | Komentářů: 1
13.7. 11:44 | Zajímavý software

Byla vydána počítačová hra Warhammer 40,000: Gladius - Relics of War běžící také na Linuxu. Koupit ji lze na GOG, Humble Store i na Steamu. Videoukázka na YouTube.

Ladislav Hagara | Komentářů: 0
Jak čtete delší texty z webových stránek?
 (78%)
 (20%)
 (4%)
 (7%)
 (2%)
 (10%)
Celkem 357 hlasů
 Komentářů: 40, poslední 29.6. 10:21
    Rozcestník

    Nešifrované HTTP

    by mělo zmizet
    4% (260)
    je postačující, dokud nejsou přenášena důvěrná data
    96% (6819)

    Celkem 7079 hlasů
    Vytvořeno: 23.4.2015 11:44

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Luboš Doležel (Doli) avatar 23.4.2015 11:45 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Reakce na postoj Mozilly.
    Petr Tomášek avatar 23.4.2015 23:39 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Propána, co je to zas za sračku? Ať si každý (webmaster) rozhodne sám, jestli chce HTTP nebo HTTPS. Navíc by mě zajímalo, jak chce někdo dostat HTTPS na jednočipy a tak podobně.
    24.4.2015 12:13 R
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Zaujimalo by ma, co za tym je - ci dostavaju peniaze od certifikacnych autorit alebo to robia len z cistej blbosti.

    Problem nie je iba s jednocipmi, ale s kazdym zariadenim, co ma webove rozhranie na konfiguraciu.
    vlk avatar 7.5.2015 07:27 vlk | skóre: 22 | blog: u_vlka
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    jednocipy niesu taky problem, ARMy s linuxom uz vobec a ked pouzivas nieco ako ESP8266, tak si ho preproxujes a zasifrujes cez domaci router, aj tak vacsinou nema to male zariadenie ani verejnu IP...

    You don't exist, Go away !
    7.5.2015 16:30 R
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Nie su problem? Na ake CN (FQDN) bude certifikat? Kto ho zaplati? Co sa stane, ked skonci jeho platnost?
    9.5.2015 01:24 vlk
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    samozrejme ze potrebujes kupit certifikat, ved aj domenu si musis kupit a platit.. pre sukromne veci ti postaci aj selfsigned
    25.6.2015 15:38 Sten
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Pro to slouží DANE
    Petr Tomášek avatar 9.5.2015 19:47 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Chci vidět, jak na ATmega32 implementuješ HTTPS... (Normální HTTP úplně v pohodě...)
    vlk avatar 29.6.2015 08:40 vlk | skóre: 22 | blog: u_vlka
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    naco https na 8bitak? umiestnis ho za reverzne proxy ktore to zasifruje

    You don't exist, Go away !
    25.6.2015 15:35 Sten
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Je za tím snaha o zvýšení soukromí. V současnosti totiž lze snadno identifikovat důvěryhodné zprávy podle toho, že jsou šifrované. Pokud bude šifrované vše, nebude možné poznat, co je důvěryhodná zpráva a co trollování.
    svido avatar 24.4.2015 13:15 svido | skóre: 28
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    kdyby se raději starali o jejich sračku jménem Firefox... :-(
    24.4.2015 16:19 R
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Oni sa staraju. Uz to ma takmer 100 mega a da sa z toho telefonovat...
    27.4.2015 09:03 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    A tos vynechal takové superklíčové věci jako podpora Oculus Rift :-D
    27.4.2015 15:45 koudy
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    No tak určitě, to je přece požadovaná funkcionalita každého prohlížeče. :)

    Doteď jsem netušil, že by někdo mohl potřebovat prohlížet web ve virtuální helmě (ani mě nenapadá jak to může fungovat/vypadat) :D
    22.6.2015 14:41 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    to souvisi s WebAssembly, ale chce to jeste cas a jak se rika "Stesti preje pripravenym."
    Jendа avatar 6.5.2015 20:38 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Takže se bude šmírovat dál, ale zašifrovaně, aby mohla šmírovat jenom Mozilla.
    Procesor je napájený přímo ze sítě a používá i její takt.
    Luk avatar 7.5.2015 23:04 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Koupil jsem si telefon s Firefox OS. Po zapnutí to napsalo něco ve stylu "lokalizační údaje se odesílají do Mozilly, protože..." ;-)
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    Marián Kyral avatar 23.4.2015 13:29 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Ha. Anketa ožila. Zázrak :-D
    23.4.2015 14:29 Jirka | skóre: 24
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    O tom si povíme v době tak okolo vánoc. :-D
    Dokud to funguje, nešťourej se v tom!... Jak opravit vadnou SD kartu
    the.max avatar 25.4.2015 00:06 the.max | skóre: 46 | blog: Smetiště
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    +1 :-D

    ...jen nevím, ze kterého roku ty vánoce byly zamýšleny.
    KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
    Marián Kyral avatar 8.9.2015 09:34 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Tak prázdniny úspěšně za námi, pomalu vyhlížím vánoce :-D
    8.9.2015 13:14 JZD | skóre: 10 | blog: Na_dvorku
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Něco mi uniklo? To už se v obchodech pomalu objevují čokoládový Mikulášové a sněhová výzdoba??? :-)
    Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
    9.9.2015 11:46 Jirka | skóre: 24
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Jo, v kauflandu už mikuláše maj. :-D
    Dokud to funguje, nešťourej se v tom!... Jak opravit vadnou SD kartu
    23.4.2015 19:39 random
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Chtělo by to checkboxy. :-)

    Zmizení nešifrovaného HTTP by bylo pěkné, ale zatím to není proveditelné, zejména z toho důvodu, že HTTPS není o moc bezpečnější. Problém je v tom, jakým certifikátem je možné komunikaci zabezpečit – v prohlížečích jsou i podivné CA a každá autorita může podepsat cokoliv.

    Navíc většina browserů křičí při self-signed certifikátu a u některých (zrovna u Mozilly) není úplně jednoduché povolit spojení se serverem, kterému certifikát např. vypršel. Takže majitel webu musí solit a starat se.

    1.5.2015 22:34 daemon
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Mám dojem, že v Mozille je to už někdy od loňského podzimu rozbité a na servery se self-signed certifikátem se prostě připojit nelze.
    Jendа avatar 6.5.2015 20:32 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Mně to na 31.6 i 38beta9 funguje. (zkoušeno https://jenda.hrach.eu/)
    Procesor je napájený přímo ze sítě a používá i její takt.
    Luk avatar 7.5.2015 23:10 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Takže majitel webu musí solit a starat se.
    Majitelé webů, a to i těch hodně navštěvovaných, se často nestarají ;-)
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    24.4.2015 10:58 JZD | skóre: 10 | blog: Na_dvorku
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Jsem rád že je tu nová anketa. Akorát by mě zajímalo, zda za ní může můj dotaz v poradně nebo hnutí mysli z některých adminů.
    Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
    xkucf03 avatar 25.4.2015 16:20 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Zmizet úplně nemusí, ale je třeba si uvědomit, že spousta informací, které samy o sobě důvěrné nejsou, v agregované podobě už nebezpečí představují – proto má smysl chránit i zdánlivé banality jako, o čem si člověk čte, co hledá na mapě, jaké si hledá spojení v jízdním řádu atd.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Luk avatar 1.5.2015 01:18 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Hodně informací se dá ale zjistit už z DNS dotazů. U těch se sice ohledně bezpečnosti řeší podepisování (DNSSEC), ale zatím bohužel ne šifrování. Pokusy byly, ale žádný nebyl dostatečně kvalitní, aby se z něj mohl udělat standard. Čili zatím může každý, kdo "přiloží ucho na trasu", zjišťovat, na které weby - byť zabezpečené pomocí HTTPS - člověk chodí (částečně to lze sice zjišťovat i z IP adres, ale pokud běží na jedné adrese větší počet webů, už to tak jednoduché není).
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    xkucf03 avatar 1.5.2015 11:37 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    To je pravda. V případě třeba nejaky-protistatni-blog.wordpress.com to hraje celkem velkou roli. Ale v případě Wikipedie, zpravodajských serverů nebo portálů se širším zaměřením se šmírák nic podstatného nedozví. Zatímco v případě nešifrovaného HTTP vidí, které konkrétní články si čteš a co zadáváš do vyhledávače.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    5.5.2015 13:58 Andrew
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Tady ale vůbec nejde pouze o šmíráky. Hackerovi je celkem úplně fuk, jestli si na stránkách Blesku čtete o Karlu Gottovi. Rád vám ale do takové nezabezpečené stránky přihodí škodlivý kód. Je tedy úplně jedno zda si čtete blog svého kamaráda z hospody nebo prohlížíte výpis z účtu. Pokud to nejde přes HTTPS, tak netušíte, odkud vámi prohlížený obsah pochází. Je samozřejmě dozajista zábavné sedět v kavárně a sledovat, co lítá vzduchem. Většinou ale zachytíte tuny zobrazení Facebooku a jen málo přihlašovacích údajů. Mnohem jednodušší je přibalit ke každé stránce nějaký škodlivý kód (a můžete si pod tím představit cokoliv od reklamy a podvodných odkazů až po vykradače hesel).
    Luk avatar 7.5.2015 23:11 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Někdy je podstatnou informací už jen to, že někdo chodí na protistátní web :-D
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    16.5.2015 11:22 Jerzy
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Má smysl chránit i ten samotný obsah, tedy že ten jízdní řád opravdu pochází od jisté nejmenované firmy, co má u nás na jízdní řády monopol, že to, co čtu, opravdu vyšlo na idnes.cz a že mi to někdo nezměnil po cestě atd.

    Taky je potřeba chránit si svoje reklamy před zásahy všetečných mobilních operátorů, http://arstechnica.com/business/2015/05/eu-carriers-plan-to-block-ads-demand-money-from-google/ ;)
    Luk avatar 16.5.2015 22:33 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Ono nejde jen o ochranu reklam, ale obecně všeho. Operátoři mohou mít nutkání (a EuroTel to kdysi dělal) do obsahu zasahovat, ať už z jakýchkoli důvodů.
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    1.5.2015 16:41 radix
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Mne spis prijde, ze je potreba zmenit mentalitu.

    Aktualne je default http s tim, ze pokud identifikujes neco potencialne citliveho, da se to na https.

    Misto toho by mel byt default https s tim, ze pokud je neco fakt verejneho a zaroven je to vykonove kriticke nebo jinak obtizne, je mozne pouzit http.

    Ta mentalita se ale tezko zmeni dokud je https (nebo obecne sifrovana komunikace) slozitejsi a nakladnejsi nez http ...

    Prijde mne, ze zakaz http je vlastne jen zoufaly pokus zmenit tu mentalitu nasilim.
    xkucf03 avatar 1.5.2015 19:49 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane1, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí2 a uživatel má pocit, že je všechno v pohodě – i když je to ve skutečnosti horší než to samopodepsané HTTPS, které odstaví alespoň pasivní3 odposlouchávače (třeba na WiFi nebo když si nějaký síťař pustí tcpdump, nachytaná data uloží a pak se povalují různě na discích nebo dále šíří),

    [1] v horším případě si vytvoří návyk, že je potřeba kliknout tady a potom támhle, a bude to dělat kdykoli na něj ta hláška vyskočí – i třeba při přístupu do banky nebo k e-mailu
    [2] kdysi se možná zobrazovalo varování při prvním odeslání formuláře přes HTTP, že data můžou být odposlechnuta
    [3] nezasahují do komunikace a nedělají MITM

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    2.5.2015 00:36 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí
    Ses posral, ne? To by pak Mozilla nemohla inkasovat úplatky od důvěryhodných čínských soudruhů. :-D
    Václav 3.5.2015 10:06 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Alespoň u odesílání formuláře s heslem přes http by ty prohlížeče varování zobrazit mohly… Třeba něco ve smyslu "Pozor, stránky posílají heslo nešifrovaně. Doporučujeme nepoužívat stejné heslo jako k citlivým webům (e-banking, e-mail)"
    Cross my heart and hope to fly, stick a cupcake in my eye!
    4.5.2015 10:53 oryctolagus | skóre: 29 | blog: Untitled
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    +1, tohle nepochopim, proč v browserech ještě není...
    ⧠ A = 0 avatar 4.5.2015 17:22 ⧠ A = 0 | skóre: 8 | blog: Technokratovo_zrcadlo | Helsinki
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V některých to samozřejmě je.
    Nevolte zmrdy.
    Hans1024 avatar 6.5.2015 15:02 Hans1024 | skóre: 5 | blog: hansovo
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Myslim, ze problem je s mentalitou lidi, kteri na toto zareaguji "S cim me to zase otravuje?!?" a vsechno odkliknou a kdyz tam nebude zaskrtavatko "uz se me na to nikdy neptej", tak kvuli tomu mozna i zmeni prohlizec.
    Veni, vidi, copi
    Jendа avatar 6.5.2015 20:35 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Začal bych tím, že se nebude odesílat formulář s heslem.
    Procesor je napájený přímo ze sítě a používá i její takt.
    xkucf03 avatar 6.5.2015 21:24 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Přijatelná alternativa k heslům moc neexistuje.

    Takže bych začal tím, že aplikace1, do které uživatel zadává heslo2, se k němu nebude distribuovat nezabezpečenou cestou3.

    [1] u webů typicky JavaScript
    [2] které se klidně na klientovi může zahashovat a server se ho za normálních okolností – pokud aplikaci cestou nikdo nepozmění – nedozví
    [3] nešifrované/nedůvěryhodné HTTP

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Jendа avatar 6.5.2015 21:32 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Přijatelná alternativa k heslům moc neexistuje.
    Challenge-response auth. Asymetrická kryptografie.
    Procesor je napájený přímo ze sítě a používá i její takt.
    xkucf03 avatar 6.5.2015 22:00 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    • asymetrická kryptografie vyžaduje, aby si s sebou uživatelé něco nosili, což pro řadu z nich není přijatelné (nebo můžou mít zase heslo, ze kterého se odvodí klíč)
    • pointa je v tom, že ať už se přihlašuješ jakkoli, potřebuješ mít důvěryhodný software1 a to jak pro to přihlášení, tak pro vlastní používání (čtení e-mailů, zadávání platebních příkazů, čtení novin atd. – jinak se stane, že e-mail a peníze pošleš jinam, než jsi chtěl, zobrazí se ti e-maily a platby, které ti ve skutečnosti nepřišly, a v novinách si přečteš nesmysly (což asi není takový rozdíl oproti realitě – Infobaden rulez :-)).

    [1] když už tu důvěryhodnost nedokáže posoudit uživatel, tak aspoň důvěryhodný z pohledu provozovatele služby/aplikace – který má přístup k datům uživatelů, a ti mu tudíž musí věřit tak jako tak

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Jendа avatar 6.5.2015 22:17 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    nebo můžou mít zase heslo, ze kterého se odvodí klíč
    Přesně tak. Rozdíl je v tom, že se to heslo neposílá na server - takže není možné aby nastal ten populární případ údivu „jé, já jsem serveru poslal své heslo a on ho teď zná, to je ale zlý server!“
    Procesor je napájený přímo ze sítě a používá i její takt.
    xkucf03 avatar 6.5.2015 22:34 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Jak víš, že se to heslo neposílá na server nebo někam jinam, když ti ten JavaScript přišel po HTTP a kdykoli se ti mohla nainstalovat nová verze (takže i když jsi tu starou četl, je ti to celkem na nic)?

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Jendа avatar 6.5.2015 22:36 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Samozřejmě není možné toto řešit nějakým javascriptem, heslo se musí zadávat přímo do prohlížeče, který ho ven nepustí.
    Procesor je napájený přímo ze sítě a používá i její takt.
    7.5.2015 11:25 MarSik
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V čem je rozdíl jestli pošlu seed nebo hash? Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.

    Jediný asi opravdu spolehlivý způsob je veřejný/privátní klíč a na ten uživatelé nikdy nepřistoupí (protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama).

    Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
    Jendа avatar 7.5.2015 16:14 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V čem je rozdíl jestli pošlu seed nebo hash?
    Záleží na tom jak ten seed/hash počítáš…
    Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.
    No vždyť o to mi jde.
    protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama
    I RSA/ECDSA odvozené z hesla je mnohem lepší než současný způsob.
    Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
    SCRAM, ale ten mi přijde překomplikovaný. Jsou jednodušší cesty.
    Procesor je napájený přímo ze sítě a používá i její takt.
    Petr Tomášek avatar 9.5.2015 20:07 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.

    Ono by úplně stačilo upravil HTML standard tak, aby se přidal nový typ formulářového pole který by heslo hashoval v prohlížeči, který by případně dostal za parametr "sůl" a na server by to posílalo jen čistý hash. Něco ve stylu:

     <form>
       <input type="hashed-password" hash-method="sha512" hash-encoding="base64" salt="GxzoEm+ce3s8z2VLpQzz4CSh5awdC0xc07fJ0o/r">
       <input type="submit">
     </form>
    
    Jendа avatar 9.5.2015 21:25 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

    A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.
    Procesor je napájený přímo ze sítě a používá i její takt.
    xkucf03 avatar 9.5.2015 21:40 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    To je pravda – součástí soli by měla být i doména serveru a jméno uživatele případně i název služby (na doméně jich může být víc).

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Petr Tomášek avatar 10.5.2015 14:39 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

    V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...

    A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.

    Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.

    Jendа avatar 10.5.2015 15:05 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...
    Jak to pomůže?
    1. Jdu na abclinuxu.cz/prihlaseni, vygeneruje mi to sůl 1234
    2. Na svém webu kam se přihlašuješ nastavím sůl 1234
    3. Ty se přihlásíš, já získaný hash(tvoje_heslo+1234) pošlu AbcLinuxu, to mě přihlásí
    Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.
    A jak pak budeš na serveru porovnávat jestli je to heslo správné? Při registraci dostaneš hash(mojeheslo+666), při dalším přihlášení hash(mojeheslo+999), úplně jiné hodnoty, neporovnatelné.
    Procesor je napájený přímo ze sítě a používá i její takt.
    22.5.2015 16:58 Honza
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Jsou to: Digest-MD5, Digest-SHA1, Digest-*, CRAM-*, SCRAM-*, viz RFC.

    Všechny fungují tak že server pošle náhodný řetězec, klient připojí svůj náhodný řetězec a samotný hash hesla uživatele (jak je uložený v databázi). To celé zahashuje a spolu s náhodnými řetězci pošle serveru, který ověří že hash sedí.

    Ten hash v té databázi je navíc ve tvaru "login:realm:heslo", takže server sice zná hash který by mohl zneužít k přihlášení jménem uživatele na jiný server, ale jen pokud ten server bude mít totožný realm.

    Nejlepší na tom je, že webové prohlížeče i webové servery Digest podporují - stačí použít ne-basic .htpasswd autentizaci Apache - AuthType Digest.

    viz podrobný (praktický) popis
    pavlix avatar 25.8.2015 12:28 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    O CRAM-* bych to tak úplně netvrdil, ale jinak jsem na SCRAM udělal myslím docela hezké diagramy, které ukazují jak to funguje.
    Já už tu vlastně ani nejsem. Abclinuxu umřelo.
    15.6. 10:24 zivl
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Souhlas!
    4.5.2015 00:38 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Tak ono je to celkem jedno, pokud je na druhé straně nějaký NSA leník :-D.
    4.5.2015 20:20 mikezt
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Výborne, najprv spravili z myšlienky pospájaných textových dokumentov (HTML) audio-vizuálny des a teraz to ešte celé zašifrujú. O dôvod viac začať používať Gopher.
    5.5.2015 18:45 luky
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Vyborne si to vymysleli. Nejdriv v prohlizeci zkurvi dotaz na akceptovani klice a pak donuti vsechny weby, aby pouzivaly https. Jim do vedeni prisel _byvaly zamestnanec_ nejake certifikacni autority, ne? Nechapu, proc dotaz na akceptovani klice neni jeden dialog, kde je napsany otisk klice a moznosti prijmout, prijmout trvale, odmitnout.
    7.5.2015 11:35 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Celé to souvisí pracemi na http protokolu 2.0 (http/2), který bude binární a původně vůbec neměl mít nešifrovanou komunikaci. viz 1 a 2 Pravděpodobně se do něj i nešifrovaná komunikace protlačí, ale jako spíše minoritní prvek. Mozilla jako jeden z důležitých přispivatelů k tomuto designu do toho se rozhodla šťourat i pro http 1.1
    28.5.2015 12:23 ycuzo | skóre: 3
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    neznasam https doslovne ma obtazuje...
    23.6.2015 18:29 xcvbvcx
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V ankete chybi moznost hlasovat proti.
    17.7.2015 15:43 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Nešifrované HTTP by bylo svým způsobem OK, kdyby bylo aspoň kryptograficky podepisované, aby koncový uživatel mohl ověřit, že skutečně čte původní informace zveřejněné na nějakém webu. Dnešní nešifrované HTTP bohužel znamená, že se s informacemi může stát cestou cokoliv a koncový uživatel nemá možnost na to přijít.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Luk avatar 17.7.2015 21:48 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    A ono se taky bohužel občas stává.
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    28.8.2015 16:35 Jerzy
    Rozbalit Rozbalit vše Apple a nešifrované HTTP v iOS appkách
    Tohle se týká i mobilních aplikací, viz App Transport Security Technote, featura v iOS9, která defaultně blokuje všechnu HTTP komunikaci.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.