abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

16.11. 23:44 | IT novinky

Společnosti Dell a Canonical společně představily 5 nových počítačů Dell Precision s předinstalovaným Ubuntu. Jedná se o 4 notebooky a 1 all-in-one počítač. Cena počítačů s Ubuntu je o 100 dolarů nižší než jejich cena s Windows 10.

Ladislav Hagara | Komentářů: 10
16.11. 22:55 | Nová verze

Po pěti měsících vývoje od vydání verze 4.8 byla vydána nová verze 4.9 svobodného open source redakčního systému WordPress. Kódové označením Tipton bylo vybráno na počest amerického jazzového muzikanta a kapelníka Billyho Tiptona.

Ladislav Hagara | Komentářů: 0
16.11. 22:11 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 146. brněnský sraz, který proběhne v pátek 17. listopadu od 18:00 hodin v restauraci Bogota na Nových Sadech.

Ladislav Hagara | Komentářů: 0
16.11. 21:55 | Nová verze

Dle plánu byla vydána nová verze 9.2.1 živé linuxové distribuce Slax. Novinkou je především přechod ze Slackware na Debian a z KDE na Fluxbox.

Ladislav Hagara | Komentářů: 3
15.11. 22:44 | Zajímavý projekt

Vítězným projektem letošního ročníku soutěže určené vývojářům open source hardwaru Hackaday Prize se stal podvodní kluzák (YouTube, Onshape). Cenu za nejlepší produkt získala braillská klávesnice pro chytré telefony Tipo (YouTube).

Ladislav Hagara | Komentářů: 0
15.11. 06:33 | Nová verze

Byla vydána verze 3.3 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Řešena je také řada bezpečnostních problémů.

Ladislav Hagara | Komentářů: 3
15.11. 00:11 | Nová verze

Byla vydána beta verze Linux Mintu 18.3 s kódovým jménem Sylvia. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.3 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
14.11. 21:44 | Nová verze

Byla vydána verze 5.2.0 svobodného integrovaného vývojového prostředí KDevelop. Přímo z menu KDevelopu lze nově analyzovat aplikace napsané v C/C++ pomocí nástroje Heaptrack. Vylepšena byla podpora programovacích jazyků C++, PHP a Python. Ke stažení a k vyzkoušení je binární balíček s KDevelopem 5.2.0 ve formátu AppImage.

Ladislav Hagara | Komentářů: 8
14.11. 17:33 | Nová verze

MojeFedora.cz informuje, že bylo oficiálně oznámeno vydání Fedory 27. Ve finální verzi vycházejí dvě edice: Workstation pro desktopové a Atomic pro cloudové nasazení. Fedora Server vzhledem k náročnosti přechodu na modularitu vychází pouze v betaverzi a finální verze je naplánována na leden. Vedle nich jsou k dispozici také alternativní desktopy v podobě KDE Plasma, Xfce a další a k tomu laby – upravené vydání Fedory například pro designery, robotiku, vědecké použití atd. Stahovat lze z Get Fedora.

Ladislav Hagara | Komentářů: 21
14.11. 17:22 | Pozvánky

Máš rád svobodný software a hardware nebo se o nich chceš něco dozvědět? Zajímá tě DIY, CNC, SDR nebo morseovka? Přijď na sraz spolku OpenAlt – tradičně první čtvrtek před třetím pátkem v měsíci: 16. listopadu od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).

xkucf03 | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (9%)
 (1%)
 (1%)
 (1%)
 (74%)
 (14%)
Celkem 685 hlasů
 Komentářů: 36, poslední včera 18:43
    Rozcestník

    Nešifrované HTTP

    by mělo zmizet
    4% (260)
    je postačující, dokud nejsou přenášena důvěrná data
    96% (6819)

    Celkem 7079 hlasů
    Vytvořeno: 23.4.2015 11:44

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Luboš Doležel (Doli) avatar 23.4.2015 11:45 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Reakce na postoj Mozilly.
    Petr Tomášek avatar 23.4.2015 23:39 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Propána, co je to zas za sračku? Ať si každý (webmaster) rozhodne sám, jestli chce HTTP nebo HTTPS. Navíc by mě zajímalo, jak chce někdo dostat HTTPS na jednočipy a tak podobně.
    24.4.2015 12:13 R
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Zaujimalo by ma, co za tym je - ci dostavaju peniaze od certifikacnych autorit alebo to robia len z cistej blbosti.

    Problem nie je iba s jednocipmi, ale s kazdym zariadenim, co ma webove rozhranie na konfiguraciu.
    vlk avatar 7.5.2015 07:27 vlk | skóre: 22 | blog: u_vlka
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    jednocipy niesu taky problem, ARMy s linuxom uz vobec a ked pouzivas nieco ako ESP8266, tak si ho preproxujes a zasifrujes cez domaci router, aj tak vacsinou nema to male zariadenie ani verejnu IP...

    You don't exist, Go away !
    7.5.2015 16:30 R
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Nie su problem? Na ake CN (FQDN) bude certifikat? Kto ho zaplati? Co sa stane, ked skonci jeho platnost?
    9.5.2015 01:24 vlk
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    samozrejme ze potrebujes kupit certifikat, ved aj domenu si musis kupit a platit.. pre sukromne veci ti postaci aj selfsigned
    25.6.2015 15:38 Sten
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Pro to slouží DANE
    Petr Tomášek avatar 9.5.2015 19:47 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Chci vidět, jak na ATmega32 implementuješ HTTPS... (Normální HTTP úplně v pohodě...)
    vlk avatar 29.6.2015 08:40 vlk | skóre: 22 | blog: u_vlka
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    naco https na 8bitak? umiestnis ho za reverzne proxy ktore to zasifruje

    You don't exist, Go away !
    25.6.2015 15:35 Sten
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Je za tím snaha o zvýšení soukromí. V současnosti totiž lze snadno identifikovat důvěryhodné zprávy podle toho, že jsou šifrované. Pokud bude šifrované vše, nebude možné poznat, co je důvěryhodná zpráva a co trollování.
    svido avatar 24.4.2015 13:15 svido | skóre: 28
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    kdyby se raději starali o jejich sračku jménem Firefox... :-(
    24.4.2015 16:19 R
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Oni sa staraju. Uz to ma takmer 100 mega a da sa z toho telefonovat...
    27.4.2015 09:03 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    A tos vynechal takové superklíčové věci jako podpora Oculus Rift :-D
    27.4.2015 15:45 koudy
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    No tak určitě, to je přece požadovaná funkcionalita každého prohlížeče. :)

    Doteď jsem netušil, že by někdo mohl potřebovat prohlížet web ve virtuální helmě (ani mě nenapadá jak to může fungovat/vypadat) :D
    22.6.2015 14:41 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    to souvisi s WebAssembly, ale chce to jeste cas a jak se rika "Stesti preje pripravenym."
    Jendа avatar 6.5.2015 20:38 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Takže se bude šmírovat dál, ale zašifrovaně, aby mohla šmírovat jenom Mozilla.
    Why did the multithreaded chicken cross the road? to To other side. get the
    Luk avatar 7.5.2015 23:04 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Koupil jsem si telefon s Firefox OS. Po zapnutí to napsalo něco ve stylu "lokalizační údaje se odesílají do Mozilly, protože..." ;-)
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    Marián Kyral avatar 23.4.2015 13:29 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Ha. Anketa ožila. Zázrak :-D
    23.4.2015 14:29 Jirka | skóre: 23
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    O tom si povíme v době tak okolo vánoc. :-D
    Dokud to funguje, nešťourej se v tom!... Jak opravit vadnou SD kartu
    the.max avatar 25.4.2015 00:06 the.max | skóre: 46 | blog: Davidovo smetiště | Bílina
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    +1 :-D

    ...jen nevím, ze kterého roku ty vánoce byly zamýšleny.
    KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
    Marián Kyral avatar 8.9.2015 09:34 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Tak prázdniny úspěšně za námi, pomalu vyhlížím vánoce :-D
    8.9.2015 13:14 JZD | skóre: 9 | blog: Na_dvorku
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Něco mi uniklo? To už se v obchodech pomalu objevují čokoládový Mikulášové a sněhová výzdoba??? :-)
    Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
    9.9.2015 11:46 Jirka | skóre: 23
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Jo, v kauflandu už mikuláše maj. :-D
    Dokud to funguje, nešťourej se v tom!... Jak opravit vadnou SD kartu
    23.4.2015 19:39 random
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Chtělo by to checkboxy. :-)

    Zmizení nešifrovaného HTTP by bylo pěkné, ale zatím to není proveditelné, zejména z toho důvodu, že HTTPS není o moc bezpečnější. Problém je v tom, jakým certifikátem je možné komunikaci zabezpečit – v prohlížečích jsou i podivné CA a každá autorita může podepsat cokoliv.

    Navíc většina browserů křičí při self-signed certifikátu a u některých (zrovna u Mozilly) není úplně jednoduché povolit spojení se serverem, kterému certifikát např. vypršel. Takže majitel webu musí solit a starat se.

    1.5.2015 22:34 daemon
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Mám dojem, že v Mozille je to už někdy od loňského podzimu rozbité a na servery se self-signed certifikátem se prostě připojit nelze.
    Jendа avatar 6.5.2015 20:32 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Mně to na 31.6 i 38beta9 funguje. (zkoušeno https://jenda.hrach.eu/)
    Why did the multithreaded chicken cross the road? to To other side. get the
    Luk avatar 7.5.2015 23:10 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Takže majitel webu musí solit a starat se.
    Majitelé webů, a to i těch hodně navštěvovaných, se často nestarají ;-)
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    24.4.2015 10:58 JZD | skóre: 9 | blog: Na_dvorku
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Jsem rád že je tu nová anketa. Akorát by mě zajímalo, zda za ní může můj dotaz v poradně nebo hnutí mysli z některých adminů.
    Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
    xkucf03 avatar 25.4.2015 16:20 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Zmizet úplně nemusí, ale je třeba si uvědomit, že spousta informací, které samy o sobě důvěrné nejsou, v agregované podobě už nebezpečí představují – proto má smysl chránit i zdánlivé banality jako, o čem si člověk čte, co hledá na mapě, jaké si hledá spojení v jízdním řádu atd.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Luk avatar 1.5.2015 01:18 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Hodně informací se dá ale zjistit už z DNS dotazů. U těch se sice ohledně bezpečnosti řeší podepisování (DNSSEC), ale zatím bohužel ne šifrování. Pokusy byly, ale žádný nebyl dostatečně kvalitní, aby se z něj mohl udělat standard. Čili zatím může každý, kdo "přiloží ucho na trasu", zjišťovat, na které weby - byť zabezpečené pomocí HTTPS - člověk chodí (částečně to lze sice zjišťovat i z IP adres, ale pokud běží na jedné adrese větší počet webů, už to tak jednoduché není).
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    xkucf03 avatar 1.5.2015 11:37 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    To je pravda. V případě třeba nejaky-protistatni-blog.wordpress.com to hraje celkem velkou roli. Ale v případě Wikipedie, zpravodajských serverů nebo portálů se širším zaměřením se šmírák nic podstatného nedozví. Zatímco v případě nešifrovaného HTTP vidí, které konkrétní články si čteš a co zadáváš do vyhledávače.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    5.5.2015 13:58 Andrew
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Tady ale vůbec nejde pouze o šmíráky. Hackerovi je celkem úplně fuk, jestli si na stránkách Blesku čtete o Karlu Gottovi. Rád vám ale do takové nezabezpečené stránky přihodí škodlivý kód. Je tedy úplně jedno zda si čtete blog svého kamaráda z hospody nebo prohlížíte výpis z účtu. Pokud to nejde přes HTTPS, tak netušíte, odkud vámi prohlížený obsah pochází. Je samozřejmě dozajista zábavné sedět v kavárně a sledovat, co lítá vzduchem. Většinou ale zachytíte tuny zobrazení Facebooku a jen málo přihlašovacích údajů. Mnohem jednodušší je přibalit ke každé stránce nějaký škodlivý kód (a můžete si pod tím představit cokoliv od reklamy a podvodných odkazů až po vykradače hesel).
    Luk avatar 7.5.2015 23:11 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Někdy je podstatnou informací už jen to, že někdo chodí na protistátní web :-D
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    16.5.2015 11:22 Jerzy
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Má smysl chránit i ten samotný obsah, tedy že ten jízdní řád opravdu pochází od jisté nejmenované firmy, co má u nás na jízdní řády monopol, že to, co čtu, opravdu vyšlo na idnes.cz a že mi to někdo nezměnil po cestě atd.

    Taky je potřeba chránit si svoje reklamy před zásahy všetečných mobilních operátorů, http://arstechnica.com/business/2015/05/eu-carriers-plan-to-block-ads-demand-money-from-google/ ;)
    Luk avatar 16.5.2015 22:33 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Ono nejde jen o ochranu reklam, ale obecně všeho. Operátoři mohou mít nutkání (a EuroTel to kdysi dělal) do obsahu zasahovat, ať už z jakýchkoli důvodů.
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    1.5.2015 16:41 radix
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Mne spis prijde, ze je potreba zmenit mentalitu.

    Aktualne je default http s tim, ze pokud identifikujes neco potencialne citliveho, da se to na https.

    Misto toho by mel byt default https s tim, ze pokud je neco fakt verejneho a zaroven je to vykonove kriticke nebo jinak obtizne, je mozne pouzit http.

    Ta mentalita se ale tezko zmeni dokud je https (nebo obecne sifrovana komunikace) slozitejsi a nakladnejsi nez http ...

    Prijde mne, ze zakaz http je vlastne jen zoufaly pokus zmenit tu mentalitu nasilim.
    xkucf03 avatar 1.5.2015 19:49 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane1, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí2 a uživatel má pocit, že je všechno v pohodě – i když je to ve skutečnosti horší než to samopodepsané HTTPS, které odstaví alespoň pasivní3 odposlouchávače (třeba na WiFi nebo když si nějaký síťař pustí tcpdump, nachytaná data uloží a pak se povalují různě na discích nebo dále šíří),

    [1] v horším případě si vytvoří návyk, že je potřeba kliknout tady a potom támhle, a bude to dělat kdykoli na něj ta hláška vyskočí – i třeba při přístupu do banky nebo k e-mailu
    [2] kdysi se možná zobrazovalo varování při prvním odeslání formuláře přes HTTP, že data můžou být odposlechnuta
    [3] nezasahují do komunikace a nedělají MITM

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    2.5.2015 00:36 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí
    Ses posral, ne? To by pak Mozilla nemohla inkasovat úplatky od důvěryhodných čínských soudruhů. :-D
    Václav 3.5.2015 10:06 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Alespoň u odesílání formuláře s heslem přes http by ty prohlížeče varování zobrazit mohly… Třeba něco ve smyslu "Pozor, stránky posílají heslo nešifrovaně. Doporučujeme nepoužívat stejné heslo jako k citlivým webům (e-banking, e-mail)"
    Cross my heart and hope to fly, stick a cupcake in my eye!
    oryctolagus avatar 4.5.2015 10:53 oryctolagus | skóre: 29 | blog: Untitled
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    +1, tohle nepochopim, proč v browserech ještě není...
    Existuje 10 druhů lidí: Ti, co nerozumí binární soustavě, ti, co ano, a ti, kteří znají i balancovanou ternární.
    ⧠ A = 0 avatar 4.5.2015 17:22 ⧠ A = 0 | skóre: 8 | blog: Technokratovo_zrcadlo | Helsinki
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V některých to samozřejmě je.
    Nevolte zmrdy.
    Hans1024 avatar 6.5.2015 15:02 Hans1024 | skóre: 5 | blog: hansovo
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Myslim, ze problem je s mentalitou lidi, kteri na toto zareaguji "S cim me to zase otravuje?!?" a vsechno odkliknou a kdyz tam nebude zaskrtavatko "uz se me na to nikdy neptej", tak kvuli tomu mozna i zmeni prohlizec.
    Veni, vidi, copi
    Jendа avatar 6.5.2015 20:35 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Začal bych tím, že se nebude odesílat formulář s heslem.
    Why did the multithreaded chicken cross the road? to To other side. get the
    xkucf03 avatar 6.5.2015 21:24 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Přijatelná alternativa k heslům moc neexistuje.

    Takže bych začal tím, že aplikace1, do které uživatel zadává heslo2, se k němu nebude distribuovat nezabezpečenou cestou3.

    [1] u webů typicky JavaScript
    [2] které se klidně na klientovi může zahashovat a server se ho za normálních okolností – pokud aplikaci cestou nikdo nepozmění – nedozví
    [3] nešifrované/nedůvěryhodné HTTP

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Jendа avatar 6.5.2015 21:32 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Přijatelná alternativa k heslům moc neexistuje.
    Challenge-response auth. Asymetrická kryptografie.
    Why did the multithreaded chicken cross the road? to To other side. get the
    xkucf03 avatar 6.5.2015 22:00 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    • asymetrická kryptografie vyžaduje, aby si s sebou uživatelé něco nosili, což pro řadu z nich není přijatelné (nebo můžou mít zase heslo, ze kterého se odvodí klíč)
    • pointa je v tom, že ať už se přihlašuješ jakkoli, potřebuješ mít důvěryhodný software1 a to jak pro to přihlášení, tak pro vlastní používání (čtení e-mailů, zadávání platebních příkazů, čtení novin atd. – jinak se stane, že e-mail a peníze pošleš jinam, než jsi chtěl, zobrazí se ti e-maily a platby, které ti ve skutečnosti nepřišly, a v novinách si přečteš nesmysly (což asi není takový rozdíl oproti realitě – Infobaden rulez :-)).

    [1] když už tu důvěryhodnost nedokáže posoudit uživatel, tak aspoň důvěryhodný z pohledu provozovatele služby/aplikace – který má přístup k datům uživatelů, a ti mu tudíž musí věřit tak jako tak

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Jendа avatar 6.5.2015 22:17 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    nebo můžou mít zase heslo, ze kterého se odvodí klíč
    Přesně tak. Rozdíl je v tom, že se to heslo neposílá na server - takže není možné aby nastal ten populární případ údivu „jé, já jsem serveru poslal své heslo a on ho teď zná, to je ale zlý server!“
    Why did the multithreaded chicken cross the road? to To other side. get the
    xkucf03 avatar 6.5.2015 22:34 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Jak víš, že se to heslo neposílá na server nebo někam jinam, když ti ten JavaScript přišel po HTTP a kdykoli se ti mohla nainstalovat nová verze (takže i když jsi tu starou četl, je ti to celkem na nic)?

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Jendа avatar 6.5.2015 22:36 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Samozřejmě není možné toto řešit nějakým javascriptem, heslo se musí zadávat přímo do prohlížeče, který ho ven nepustí.
    Why did the multithreaded chicken cross the road? to To other side. get the
    7.5.2015 11:25 MarSik
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V čem je rozdíl jestli pošlu seed nebo hash? Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.

    Jediný asi opravdu spolehlivý způsob je veřejný/privátní klíč a na ten uživatelé nikdy nepřistoupí (protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama).

    Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
    Jendа avatar 7.5.2015 16:14 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V čem je rozdíl jestli pošlu seed nebo hash?
    Záleží na tom jak ten seed/hash počítáš…
    Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.
    No vždyť o to mi jde.
    protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama
    I RSA/ECDSA odvozené z hesla je mnohem lepší než současný způsob.
    Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
    SCRAM, ale ten mi přijde překomplikovaný. Jsou jednodušší cesty.
    Why did the multithreaded chicken cross the road? to To other side. get the
    Petr Tomášek avatar 9.5.2015 20:07 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.

    Ono by úplně stačilo upravil HTML standard tak, aby se přidal nový typ formulářového pole který by heslo hashoval v prohlížeči, který by případně dostal za parametr "sůl" a na server by to posílalo jen čistý hash. Něco ve stylu:

     <form>
       <input type="hashed-password" hash-method="sha512" hash-encoding="base64" salt="GxzoEm+ce3s8z2VLpQzz4CSh5awdC0xc07fJ0o/r">
       <input type="submit">
     </form>
    
    Jendа avatar 9.5.2015 21:25 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

    A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.
    Why did the multithreaded chicken cross the road? to To other side. get the
    xkucf03 avatar 9.5.2015 21:40 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    To je pravda – součástí soli by měla být i doména serveru a jméno uživatele případně i název služby (na doméně jich může být víc).

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Petr Tomášek avatar 10.5.2015 14:39 Petr Tomášek | skóre: 37 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

    V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...

    A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.

    Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.

    Jendа avatar 10.5.2015 15:05 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...
    Jak to pomůže?
    1. Jdu na abclinuxu.cz/prihlaseni, vygeneruje mi to sůl 1234
    2. Na svém webu kam se přihlašuješ nastavím sůl 1234
    3. Ty se přihlásíš, já získaný hash(tvoje_heslo+1234) pošlu AbcLinuxu, to mě přihlásí
    Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.
    A jak pak budeš na serveru porovnávat jestli je to heslo správné? Při registraci dostaneš hash(mojeheslo+666), při dalším přihlášení hash(mojeheslo+999), úplně jiné hodnoty, neporovnatelné.
    Why did the multithreaded chicken cross the road? to To other side. get the
    22.5.2015 16:58 Honza
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Jsou to: Digest-MD5, Digest-SHA1, Digest-*, CRAM-*, SCRAM-*, viz RFC.

    Všechny fungují tak že server pošle náhodný řetězec, klient připojí svůj náhodný řetězec a samotný hash hesla uživatele (jak je uložený v databázi). To celé zahashuje a spolu s náhodnými řetězci pošle serveru, který ověří že hash sedí.

    Ten hash v té databázi je navíc ve tvaru "login:realm:heslo", takže server sice zná hash který by mohl zneužít k přihlášení jménem uživatele na jiný server, ale jen pokud ten server bude mít totožný realm.

    Nejlepší na tom je, že webové prohlížeče i webové servery Digest podporují - stačí použít ne-basic .htpasswd autentizaci Apache - AuthType Digest.

    viz podrobný (praktický) popis
    pavlix avatar 25.8.2015 12:28 pavlix | skóre: 54 | blog: pavlix
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    O CRAM-* bych to tak úplně netvrdil, ale jinak jsem na SCRAM udělal myslím docela hezké diagramy, které ukazují jak to funguje.
    4.5.2015 00:38 pc2005 | skóre: 34 | blog: GardenOfEdenConfiguration | liberec
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Tak ono je to celkem jedno, pokud je na druhé straně nějaký NSA leník :-D.
    Chuck Norris řekl babičce, že si dá jen 3 knedlíky. A dostal 3 knedlíky. | 帮帮我,我被锁在中国房
    4.5.2015 20:20 mikezt
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Výborne, najprv spravili z myšlienky pospájaných textových dokumentov (HTML) audio-vizuálny des a teraz to ešte celé zašifrujú. O dôvod viac začať používať Gopher.
    5.5.2015 18:45 luky
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Vyborne si to vymysleli. Nejdriv v prohlizeci zkurvi dotaz na akceptovani klice a pak donuti vsechny weby, aby pouzivaly https. Jim do vedeni prisel _byvaly zamestnanec_ nejake certifikacni autority, ne? Nechapu, proc dotaz na akceptovani klice neni jeden dialog, kde je napsany otisk klice a moznosti prijmout, prijmout trvale, odmitnout.
    7.5.2015 11:35 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    Celé to souvisí pracemi na http protokolu 2.0 (http/2), který bude binární a původně vůbec neměl mít nešifrovanou komunikaci. viz 1 a 2 Pravděpodobně se do něj i nešifrovaná komunikace protlačí, ale jako spíše minoritní prvek. Mozilla jako jeden z důležitých přispivatelů k tomuto designu do toho se rozhodla šťourat i pro http 1.1
    28.5.2015 12:23 ycuzo | skóre: 3
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    neznasam https doslovne ma obtazuje...
    23.6.2015 18:29 xcvbvcx
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    V ankete chybi moznost hlasovat proti.
    17.7.2015 15:43 Andrej | skóre: 44 | blog: Republic of Mordor | Zürich
    Rozbalit Rozbalit vše Re: Nešifrované HTTP

    Nešifrované HTTP by bylo svým způsobem OK, kdyby bylo aspoň kryptograficky podepisované, aby koncový uživatel mohl ověřit, že skutečně čte původní informace zveřejněné na nějakém webu. Dnešní nešifrované HTTP bohužel znamená, že se s informacemi může stát cestou cokoliv a koncový uživatel nemá možnost na to přijít.

    ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
    Luk avatar 17.7.2015 21:48 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Nešifrované HTTP
    A ono se taky bohužel občas stává.
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    28.8.2015 16:35 Jerzy
    Rozbalit Rozbalit vše Apple a nešifrované HTTP v iOS appkách
    Tohle se týká i mobilních aplikací, viz App Transport Security Technote, featura v iOS9, která defaultně blokuje všechnu HTTP komunikaci.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.