abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 22:22 | Nová verze

Tým vyvíjející hru SuperTuxKart vydal před týdnem novou alfa verzi přinášející víceuživatelský mód umožňující hrát hru po síti. Zatím jsou k dispozici pouze zdrojové kódy. Binární balíček by mohl vyjít během týdne.

Indiánský lotr | Komentářů: 0
včera 22:11 | Zajímavý článek

V Edici CZ.NIC vyšla kniha On-line ZOO seznamující děti předškolního a mladšího školního věku s nejčastějšími riziky spojenými s používáním Internetu. Kniha je určena především pedagogům, ale nejen jim. Knihu v elektronické verzi lze zdarma stáhnout ve formátu PDF (15,6MB).

Ladislav Hagara | Komentářů: 0
včera 21:33 | Zajímavý článek

Daniel Robbins informuje komunitu kolem linuxové distribuce Funtoo, že ve výchozím nastavení bude Funtoo používat LTS (Long-Term Stable) jádro 4.9 z Debianu. Klady vidí ve stabilitě pro serverové použití, ale také v méně problémech s ovladači třetích stran, například s ovladači od společnosti Nvidia.

D81 | Komentářů: 2
včera 20:44 | Pozvánky

Fedora 29 Release Party, oslava nedávného vydání Fedory 29 a 15 let Fedory, se uskuteční v pondělí 26. listopadu v Brně a v úterý 4. prosince a v Praze.

Ladislav Hagara | Komentářů: 0
včera 20:11 | IT novinky

Hodnota Bitcoinu, decentralizované kryptoměny, klesla pod 5 000 dolarů. Před 11 měsíci byla hodnota Bitcoinu téměř 20 000 dolarů.

Ladislav Hagara | Komentářů: 3
16.11. 17:00 | Nová verze

Simon Long představil na blogu Raspberry Pi novou verzi 2018-11-13 linuxové distribuce Raspbian určené především pro jednodeskové miniaturní počítače Raspberry Pi. Přehled novinek v poznámkách k vydání. Společně s Raspbianem byl aktualizován také instalační nástroj NOOBS (New Out Of the Box Software). Simon Long z novinek zdůrazňuje multimediální přehrávač VLC s hardwarovou akcelerací nebo vývojové prostředí pro Python Thonny ve verzi 3. Ke stažení jsou nově také lite a full obrazy Raspbianu. Raspbian Full opět obsahuje software Mathematica.

Ladislav Hagara | Komentářů: 0
16.11. 02:00 | Nová verze

Krátce po vydání Debianu 9.6 oznámil Tomáš Matějíček vydání verze 9.6 dnes již na Debianu založené živé linuxové distribuce Slax. Vedle vylepšení z Debianu je opraveno několik malých chyb. Opraveno bylo bootování pomocí PXE. Novinkou je skript s názvem pxe pro spuštění vlastního PXE serveru.

Ladislav Hagara | Komentářů: 0
16.11. 01:00 | Nová verze

Byla vydána beta verze Red Hat Enterprise Linuxu 8. Přehled novinek v příspěvku na blogu a v poznámkách k vydání.

Ladislav Hagara | Komentářů: 3
15.11. 13:44 | IT novinky

Nadace Raspberry Pi na svém blogu představila (YouTube) jednodeskový počítač Raspberry Pi 3 Model A+. Toto menší Raspberry Pi 3 lze koupit za 25 dolarů.

Ladislav Hagara | Komentářů: 0
15.11. 06:00 | Pozvánky

Dnes a zítra probíhá v Praze konference Internet a Technologie 18 pořádaná sdružením CZ.NIC. Sledovat ji lze online.

Ladislav Hagara | Komentářů: 0
Jak nejčastěji otevíráte dokumenty na počítači?
 (92%)
 (3%)
 (5%)
Celkem 131 hlasů
 Komentářů: 10, poslední včera 00:13
Rozcestník

Nešifrované HTTP

by mělo zmizet
4% (260)
je postačující, dokud nejsou přenášena důvěrná data
96% (6819)

Celkem 7079 hlasů
Vytvořeno: 23.4.2015 11:44

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Luboš Doležel (Doli) avatar 23.4.2015 11:45 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Reakce na postoj Mozilly.
Petr Tomášek avatar 23.4.2015 23:39 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Propána, co je to zas za sračku? Ať si každý (webmaster) rozhodne sám, jestli chce HTTP nebo HTTPS. Navíc by mě zajímalo, jak chce někdo dostat HTTPS na jednočipy a tak podobně.
multicult.fm | monokultura je zlo | welcome refugees!
24.4.2015 12:13 R
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Zaujimalo by ma, co za tym je - ci dostavaju peniaze od certifikacnych autorit alebo to robia len z cistej blbosti.

Problem nie je iba s jednocipmi, ale s kazdym zariadenim, co ma webove rozhranie na konfiguraciu.
vlk avatar 7.5.2015 07:27 vlk | skóre: 23 | blog: u_vlka
Rozbalit Rozbalit vše Re: Nešifrované HTTP

jednocipy niesu taky problem, ARMy s linuxom uz vobec a ked pouzivas nieco ako ESP8266, tak si ho preproxujes a zasifrujes cez domaci router, aj tak vacsinou nema to male zariadenie ani verejnu IP...

You don't exist, Go away !
7.5.2015 16:30 R
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Nie su problem? Na ake CN (FQDN) bude certifikat? Kto ho zaplati? Co sa stane, ked skonci jeho platnost?
9.5.2015 01:24 vlk
Rozbalit Rozbalit vše Re: Nešifrované HTTP
samozrejme ze potrebujes kupit certifikat, ved aj domenu si musis kupit a platit.. pre sukromne veci ti postaci aj selfsigned
25.6.2015 15:38 Sten
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Pro to slouží DANE
Petr Tomášek avatar 9.5.2015 19:47 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Chci vidět, jak na ATmega32 implementuješ HTTPS... (Normální HTTP úplně v pohodě...)
multicult.fm | monokultura je zlo | welcome refugees!
vlk avatar 29.6.2015 08:40 vlk | skóre: 23 | blog: u_vlka
Rozbalit Rozbalit vše Re: Nešifrované HTTP

naco https na 8bitak? umiestnis ho za reverzne proxy ktore to zasifruje

You don't exist, Go away !
25.6.2015 15:35 Sten
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Je za tím snaha o zvýšení soukromí. V současnosti totiž lze snadno identifikovat důvěryhodné zprávy podle toho, že jsou šifrované. Pokud bude šifrované vše, nebude možné poznat, co je důvěryhodná zpráva a co trollování.
svido avatar 24.4.2015 13:15 svido | skóre: 28
Rozbalit Rozbalit vše Re: Nešifrované HTTP
kdyby se raději starali o jejich sračku jménem Firefox... :-(
24.4.2015 16:19 R
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Oni sa staraju. Uz to ma takmer 100 mega a da sa z toho telefonovat...
27.4.2015 09:03 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Nešifrované HTTP
A tos vynechal takové superklíčové věci jako podpora Oculus Rift :-D
27.4.2015 15:45 koudy
Rozbalit Rozbalit vše Re: Nešifrované HTTP
No tak určitě, to je přece požadovaná funkcionalita každého prohlížeče. :)

Doteď jsem netušil, že by někdo mohl potřebovat prohlížet web ve virtuální helmě (ani mě nenapadá jak to může fungovat/vypadat) :D
22.6.2015 14:41 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
Rozbalit Rozbalit vše Re: Nešifrované HTTP
to souvisi s WebAssembly, ale chce to jeste cas a jak se rika "Stesti preje pripravenym."
Jendа avatar 6.5.2015 20:38 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Takže se bude šmírovat dál, ale zašifrovaně, aby mohla šmírovat jenom Mozilla.
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
Luk avatar 7.5.2015 23:04 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Koupil jsem si telefon s Firefox OS. Po zapnutí to napsalo něco ve stylu "lokalizační údaje se odesílají do Mozilly, protože..." ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Marián Kyral avatar 23.4.2015 13:29 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Ha. Anketa ožila. Zázrak :-D
23.4.2015 14:29 Jirka | skóre: 24
Rozbalit Rozbalit vše Re: Nešifrované HTTP
O tom si povíme v době tak okolo vánoc. :-D
Dokud to funguje, nešťourej se v tom!... Jak opravit vadnou SD kartu
the.max avatar 25.4.2015 00:06 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: Nešifrované HTTP
+1 :-D

...jen nevím, ze kterého roku ty vánoce byly zamýšleny.
KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
Marián Kyral avatar 8.9.2015 09:34 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Tak prázdniny úspěšně za námi, pomalu vyhlížím vánoce :-D
8.9.2015 13:14 JZD | skóre: 10 | blog: Na_dvorku
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Něco mi uniklo? To už se v obchodech pomalu objevují čokoládový Mikulášové a sněhová výzdoba??? :-)
Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
9.9.2015 11:46 Jirka | skóre: 24
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Jo, v kauflandu už mikuláše maj. :-D
Dokud to funguje, nešťourej se v tom!... Jak opravit vadnou SD kartu
23.4.2015 19:39 random
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Chtělo by to checkboxy. :-)

Zmizení nešifrovaného HTTP by bylo pěkné, ale zatím to není proveditelné, zejména z toho důvodu, že HTTPS není o moc bezpečnější. Problém je v tom, jakým certifikátem je možné komunikaci zabezpečit – v prohlížečích jsou i podivné CA a každá autorita může podepsat cokoliv.

Navíc většina browserů křičí při self-signed certifikátu a u některých (zrovna u Mozilly) není úplně jednoduché povolit spojení se serverem, kterému certifikát např. vypršel. Takže majitel webu musí solit a starat se.

1.5.2015 22:34 daemon
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Mám dojem, že v Mozille je to už někdy od loňského podzimu rozbité a na servery se self-signed certifikátem se prostě připojit nelze.
Jendа avatar 6.5.2015 20:32 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Mně to na 31.6 i 38beta9 funguje. (zkoušeno https://jenda.hrach.eu/)
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
Luk avatar 7.5.2015 23:10 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Takže majitel webu musí solit a starat se.
Majitelé webů, a to i těch hodně navštěvovaných, se často nestarají ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
24.4.2015 10:58 JZD | skóre: 10 | blog: Na_dvorku
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Jsem rád že je tu nová anketa. Akorát by mě zajímalo, zda za ní může můj dotaz v poradně nebo hnutí mysli z některých adminů.
Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
xkucf03 avatar 25.4.2015 16:20 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Zmizet úplně nemusí, ale je třeba si uvědomit, že spousta informací, které samy o sobě důvěrné nejsou, v agregované podobě už nebezpečí představují – proto má smysl chránit i zdánlivé banality jako, o čem si člověk čte, co hledá na mapě, jaké si hledá spojení v jízdním řádu atd.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Luk avatar 1.5.2015 01:18 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Hodně informací se dá ale zjistit už z DNS dotazů. U těch se sice ohledně bezpečnosti řeší podepisování (DNSSEC), ale zatím bohužel ne šifrování. Pokusy byly, ale žádný nebyl dostatečně kvalitní, aby se z něj mohl udělat standard. Čili zatím může každý, kdo "přiloží ucho na trasu", zjišťovat, na které weby - byť zabezpečené pomocí HTTPS - člověk chodí (částečně to lze sice zjišťovat i z IP adres, ale pokud běží na jedné adrese větší počet webů, už to tak jednoduché není).
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
xkucf03 avatar 1.5.2015 11:37 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

To je pravda. V případě třeba nejaky-protistatni-blog.wordpress.com to hraje celkem velkou roli. Ale v případě Wikipedie, zpravodajských serverů nebo portálů se širším zaměřením se šmírák nic podstatného nedozví. Zatímco v případě nešifrovaného HTTP vidí, které konkrétní články si čteš a co zadáváš do vyhledávače.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
5.5.2015 13:58 Andrew
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Tady ale vůbec nejde pouze o šmíráky. Hackerovi je celkem úplně fuk, jestli si na stránkách Blesku čtete o Karlu Gottovi. Rád vám ale do takové nezabezpečené stránky přihodí škodlivý kód. Je tedy úplně jedno zda si čtete blog svého kamaráda z hospody nebo prohlížíte výpis z účtu. Pokud to nejde přes HTTPS, tak netušíte, odkud vámi prohlížený obsah pochází. Je samozřejmě dozajista zábavné sedět v kavárně a sledovat, co lítá vzduchem. Většinou ale zachytíte tuny zobrazení Facebooku a jen málo přihlašovacích údajů. Mnohem jednodušší je přibalit ke každé stránce nějaký škodlivý kód (a můžete si pod tím představit cokoliv od reklamy a podvodných odkazů až po vykradače hesel).
Luk avatar 7.5.2015 23:11 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Někdy je podstatnou informací už jen to, že někdo chodí na protistátní web :-D
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
16.5.2015 11:22 Jerzy
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Má smysl chránit i ten samotný obsah, tedy že ten jízdní řád opravdu pochází od jisté nejmenované firmy, co má u nás na jízdní řády monopol, že to, co čtu, opravdu vyšlo na idnes.cz a že mi to někdo nezměnil po cestě atd.

Taky je potřeba chránit si svoje reklamy před zásahy všetečných mobilních operátorů, http://arstechnica.com/business/2015/05/eu-carriers-plan-to-block-ads-demand-money-from-google/ ;)
Luk avatar 16.5.2015 22:33 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Ono nejde jen o ochranu reklam, ale obecně všeho. Operátoři mohou mít nutkání (a EuroTel to kdysi dělal) do obsahu zasahovat, ať už z jakýchkoli důvodů.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
1.5.2015 16:41 radix
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Mne spis prijde, ze je potreba zmenit mentalitu.

Aktualne je default http s tim, ze pokud identifikujes neco potencialne citliveho, da se to na https.

Misto toho by mel byt default https s tim, ze pokud je neco fakt verejneho a zaroven je to vykonove kriticke nebo jinak obtizne, je mozne pouzit http.

Ta mentalita se ale tezko zmeni dokud je https (nebo obecne sifrovana komunikace) slozitejsi a nakladnejsi nez http ...

Prijde mne, ze zakaz http je vlastne jen zoufaly pokus zmenit tu mentalitu nasilim.
xkucf03 avatar 1.5.2015 19:49 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane1, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí2 a uživatel má pocit, že je všechno v pohodě – i když je to ve skutečnosti horší než to samopodepsané HTTPS, které odstaví alespoň pasivní3 odposlouchávače (třeba na WiFi nebo když si nějaký síťař pustí tcpdump, nachytaná data uloží a pak se povalují různě na discích nebo dále šíří),

[1] v horším případě si vytvoří návyk, že je potřeba kliknout tady a potom támhle, a bude to dělat kdykoli na něj ta hláška vyskočí – i třeba při přístupu do banky nebo k e-mailu
[2] kdysi se možná zobrazovalo varování při prvním odeslání formuláře přes HTTP, že data můžou být odposlechnuta
[3] nezasahují do komunikace a nedělají MITM

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
2.5.2015 00:36 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí
Ses posral, ne? To by pak Mozilla nemohla inkasovat úplatky od důvěryhodných čínských soudruhů. :-D
Václav 3.5.2015 10:06 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Alespoň u odesílání formuláře s heslem přes http by ty prohlížeče varování zobrazit mohly… Třeba něco ve smyslu "Pozor, stránky posílají heslo nešifrovaně. Doporučujeme nepoužívat stejné heslo jako k citlivým webům (e-banking, e-mail)"
Cross my heart and hope to fly, stick a cupcake in my eye!
4.5.2015 10:53 oryctolagus | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Nešifrované HTTP
+1, tohle nepochopim, proč v browserech ještě není...
⧠ A = 0 avatar 4.5.2015 17:22 ⧠ A = 0 | skóre: 8 | blog: Technokratovo_zrcadlo | Helsinki
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V některých to samozřejmě je.
Nevolte zmrdy.
Hans1024 avatar 6.5.2015 15:02 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Myslim, ze problem je s mentalitou lidi, kteri na toto zareaguji "S cim me to zase otravuje?!?" a vsechno odkliknou a kdyz tam nebude zaskrtavatko "uz se me na to nikdy neptej", tak kvuli tomu mozna i zmeni prohlizec.
Veni, vidi, copi
Jendа avatar 6.5.2015 20:35 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Začal bych tím, že se nebude odesílat formulář s heslem.
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
xkucf03 avatar 6.5.2015 21:24 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Přijatelná alternativa k heslům moc neexistuje.

Takže bych začal tím, že aplikace1, do které uživatel zadává heslo2, se k němu nebude distribuovat nezabezpečenou cestou3.

[1] u webů typicky JavaScript
[2] které se klidně na klientovi může zahashovat a server se ho za normálních okolností – pokud aplikaci cestou nikdo nepozmění – nedozví
[3] nešifrované/nedůvěryhodné HTTP

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Jendа avatar 6.5.2015 21:32 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Přijatelná alternativa k heslům moc neexistuje.
Challenge-response auth. Asymetrická kryptografie.
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
xkucf03 avatar 6.5.2015 22:00 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP
  • asymetrická kryptografie vyžaduje, aby si s sebou uživatelé něco nosili, což pro řadu z nich není přijatelné (nebo můžou mít zase heslo, ze kterého se odvodí klíč)
  • pointa je v tom, že ať už se přihlašuješ jakkoli, potřebuješ mít důvěryhodný software1 a to jak pro to přihlášení, tak pro vlastní používání (čtení e-mailů, zadávání platebních příkazů, čtení novin atd. – jinak se stane, že e-mail a peníze pošleš jinam, než jsi chtěl, zobrazí se ti e-maily a platby, které ti ve skutečnosti nepřišly, a v novinách si přečteš nesmysly (což asi není takový rozdíl oproti realitě – Infobaden rulez :-)).

[1] když už tu důvěryhodnost nedokáže posoudit uživatel, tak aspoň důvěryhodný z pohledu provozovatele služby/aplikace – který má přístup k datům uživatelů, a ti mu tudíž musí věřit tak jako tak

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Jendа avatar 6.5.2015 22:17 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
nebo můžou mít zase heslo, ze kterého se odvodí klíč
Přesně tak. Rozdíl je v tom, že se to heslo neposílá na server - takže není možné aby nastal ten populární případ údivu „jé, já jsem serveru poslal své heslo a on ho teď zná, to je ale zlý server!“
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
xkucf03 avatar 6.5.2015 22:34 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Jak víš, že se to heslo neposílá na server nebo někam jinam, když ti ten JavaScript přišel po HTTP a kdykoli se ti mohla nainstalovat nová verze (takže i když jsi tu starou četl, je ti to celkem na nic)?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Jendа avatar 6.5.2015 22:36 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Samozřejmě není možné toto řešit nějakým javascriptem, heslo se musí zadávat přímo do prohlížeče, který ho ven nepustí.
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
7.5.2015 11:25 MarSik
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V čem je rozdíl jestli pošlu seed nebo hash? Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.

Jediný asi opravdu spolehlivý způsob je veřejný/privátní klíč a na ten uživatelé nikdy nepřistoupí (protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama).

Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
Jendа avatar 7.5.2015 16:14 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V čem je rozdíl jestli pošlu seed nebo hash?
Záleží na tom jak ten seed/hash počítáš…
Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.
No vždyť o to mi jde.
protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama
I RSA/ECDSA odvozené z hesla je mnohem lepší než současný způsob.
Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
SCRAM, ale ten mi přijde překomplikovaný. Jsou jednodušší cesty.
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
Petr Tomášek avatar 9.5.2015 20:07 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.

Ono by úplně stačilo upravil HTML standard tak, aby se přidal nový typ formulářového pole který by heslo hashoval v prohlížeči, který by případně dostal za parametr "sůl" a na server by to posílalo jen čistý hash. Něco ve stylu:

 <form>
   <input type="hashed-password" hash-method="sha512" hash-encoding="base64" salt="GxzoEm+ce3s8z2VLpQzz4CSh5awdC0xc07fJ0o/r">
   <input type="submit">
 </form>
multicult.fm | monokultura je zlo | welcome refugees!
Jendа avatar 9.5.2015 21:25 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
xkucf03 avatar 9.5.2015 21:40 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

To je pravda – součástí soli by měla být i doména serveru a jméno uživatele případně i název služby (na doméně jich může být víc).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Petr Tomášek avatar 10.5.2015 14:39 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...

A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.

Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.

multicult.fm | monokultura je zlo | welcome refugees!
Jendа avatar 10.5.2015 15:05 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...
Jak to pomůže?
  1. Jdu na abclinuxu.cz/prihlaseni, vygeneruje mi to sůl 1234
  2. Na svém webu kam se přihlašuješ nastavím sůl 1234
  3. Ty se přihlásíš, já získaný hash(tvoje_heslo+1234) pošlu AbcLinuxu, to mě přihlásí
Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.
A jak pak budeš na serveru porovnávat jestli je to heslo správné? Při registraci dostaneš hash(mojeheslo+666), při dalším přihlášení hash(mojeheslo+999), úplně jiné hodnoty, neporovnatelné.
Bojíte se, že když umřete, nebudete nikomu chybět? Pište kód bez komentářů a dělejte nedokumentované změny!
22.5.2015 16:58 Honza
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Jsou to: Digest-MD5, Digest-SHA1, Digest-*, CRAM-*, SCRAM-*, viz RFC.

Všechny fungují tak že server pošle náhodný řetězec, klient připojí svůj náhodný řetězec a samotný hash hesla uživatele (jak je uložený v databázi). To celé zahashuje a spolu s náhodnými řetězci pošle serveru, který ověří že hash sedí.

Ten hash v té databázi je navíc ve tvaru "login:realm:heslo", takže server sice zná hash který by mohl zneužít k přihlášení jménem uživatele na jiný server, ale jen pokud ten server bude mít totožný realm.

Nejlepší na tom je, že webové prohlížeče i webové servery Digest podporují - stačí použít ne-basic .htpasswd autentizaci Apache - AuthType Digest.

viz podrobný (praktický) popis
pavlix avatar 25.8.2015 12:28 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nešifrované HTTP
O CRAM-* bych to tak úplně netvrdil, ale jinak jsem na SCRAM udělal myslím docela hezké diagramy, které ukazují jak to funguje.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
15.6. 10:24 zivl
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Souhlas!
4.5.2015 00:38 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Tak ono je to celkem jedno, pokud je na druhé straně nějaký NSA leník :-D.
4.5.2015 20:20 mikezt
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Výborne, najprv spravili z myšlienky pospájaných textových dokumentov (HTML) audio-vizuálny des a teraz to ešte celé zašifrujú. O dôvod viac začať používať Gopher.
5.5.2015 18:45 luky
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Vyborne si to vymysleli. Nejdriv v prohlizeci zkurvi dotaz na akceptovani klice a pak donuti vsechny weby, aby pouzivaly https. Jim do vedeni prisel _byvaly zamestnanec_ nejake certifikacni autority, ne? Nechapu, proc dotaz na akceptovani klice neni jeden dialog, kde je napsany otisk klice a moznosti prijmout, prijmout trvale, odmitnout.
7.5.2015 11:35 lertimir | skóre: 62 | blog: Par_slov
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Celé to souvisí pracemi na http protokolu 2.0 (http/2), který bude binární a původně vůbec neměl mít nešifrovanou komunikaci. viz 1 a 2 Pravděpodobně se do něj i nešifrovaná komunikace protlačí, ale jako spíše minoritní prvek. Mozilla jako jeden z důležitých přispivatelů k tomuto designu do toho se rozhodla šťourat i pro http 1.1
28.5.2015 12:23 ycuzo | skóre: 3
Rozbalit Rozbalit vše Re: Nešifrované HTTP
neznasam https doslovne ma obtazuje...
23.6.2015 18:29 xcvbvcx
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V ankete chybi moznost hlasovat proti.
17.7.2015 15:43 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Nešifrované HTTP by bylo svým způsobem OK, kdyby bylo aspoň kryptograficky podepisované, aby koncový uživatel mohl ověřit, že skutečně čte původní informace zveřejněné na nějakém webu. Dnešní nešifrované HTTP bohužel znamená, že se s informacemi může stát cestou cokoliv a koncový uživatel nemá možnost na to přijít.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
Luk avatar 17.7.2015 21:48 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
A ono se taky bohužel občas stává.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
28.8.2015 16:35 Jerzy
Rozbalit Rozbalit vše Apple a nešifrované HTTP v iOS appkách
Tohle se týká i mobilních aplikací, viz App Transport Security Technote, featura v iOS9, která defaultně blokuje všechnu HTTP komunikaci.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.