abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 19:22 | Nová verze

Byla vydána verze 11.3 open source alternativy GitHubu, tj. softwarového nástroje s webovým rozhraním umožňujícího spolupráci na zdrojových kódech, GitLab (Wikipedie). Představení nových vlastností i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
22.9. 13:00 | Komunita

Do 30. října se lze přihlásit do dalšího kola programu Outreachy (Wikipedie), jehož cílem je přitáhnout do světa svobodného a otevřeného softwaru lidi ze skupin, jež jsou ve světě svobodného a otevřeného softwaru málo zastoupeny. Za 3 měsíce práce, od 4. prosince 2018 do 4. března 2019, v participujících organizacích lze vydělat 5 500 USD.

Ladislav Hagara | Komentářů: 84
21.9. 22:22 | Komunita

Společnost Purism představila kryptografický token Librem Key. Koupit jej lze za 59 dolarů. Token byl vyvinut ve spolupráci se společností Nitrokey a poskytuje jak OpenPGP čipovou kartu, tak zabezpečení bootování notebooků Librem a také dalších notebooků s open source firmwarem Heads.

Ladislav Hagara | Komentářů: 8
21.9. 20:33 | Nová verze

Společnost NVIDIA oficiálně vydala verzi 10.0 toolkitu CUDA (Wikipedie) umožňujícího vývoj aplikací běžících na jejich grafických kartách. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
21.9. 20:00 | Upozornění

Příspěvek Jak přežít plánovanou údržbu DNS na blogu zaměstnanců CZ.NIC upozorňuje na historicky poprvé podepsání DNS root zóny novým klíčem dne 11. října 2018 v 18:00. Software, který nebude po tomto okamžiku obsahovat nový DNSSEC root klíč, nebude schopen resolvovat žádná data. Druhým důležitým datem je 1. února 2019, kdy významní výrobci DNS softwaru, také historicky poprvé, přestanou podporovat servery, které porušují DNS standard

… více »
Ladislav Hagara | Komentářů: 11
21.9. 15:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 156. brněnský sraz, který proběhne v pátek 21. září od 18:00 v restauraci Na Purkyňce na adrese Purkyňova 80.

Ladislav Hagara | Komentářů: 0
21.9. 13:22 | Nová verze

Alan Griffiths z Canonicalu oznámil vydání verze 1.0.0 display serveru Mir (GitHub, Wikipedie). Mir byl představen v březnu 2013 jako náhrada X serveru a alternativa k Waylandu. Dnes Mir běží nad Waylandem a cílen je na internet věcí (IoT).

Ladislav Hagara | Komentářů: 0
20.9. 22:00 | Nasazení Linuxu
Stabilní aktualizace Chrome OS 69 (resp. Chromium OS), konkrétně 69.0.3497.95, přináší mj. podporu linuxových aplikací. Implementována je pomocí virtualizace, a proto je tato funkce také omezena na zařízení s dostatkem paměti a podporou hardwarové akcelerace, tudíž nejsou podporovány chromebooky s 32bitovými architekturami ARM, či Intel Bay Trail (tzn. bez Intel VT-x).
Fluttershy, yay! | Komentářů: 5
20.9. 21:32 | Zajímavý projekt

Došlo k uvolnění linuxové distribuce CLIP OS, vyvíjené francouzským úřadem pro kybernetickou bezpečnost ANSSI, jako open source. Vznikla za účelem nasazení v úřadech, kde je potřeba omezit přístup k důvěrným datům. Je založená na Gentoo.

Fluttershy, yay! | Komentářů: 1
20.9. 16:00 | Komerce

Zjistěte více o bezpečné a flexibilní architektuře v cloudu! IBM Cloud poskytuje bezpečné úložiště pro Vaše obchodní data s možností škálovatelnosti a flexibilitou ukládání dat. Zároveň nabízí prostředky pro jejich analýzu, vizualizaci, reporting a podporu rozhodování.

… více »
Fluttershy, yay! | Komentářů: 12
Na optické médium (CD, DVD, BD aj.) jsem naposledy vypaloval(a) data před méně než
 (13%)
 (15%)
 (21%)
 (23%)
 (25%)
 (4%)
 (1%)
Celkem 398 hlasů
 Komentářů: 33, poslední 16.9. 11:55
Rozcestník

Nešifrované HTTP

by mělo zmizet
4% (260)
je postačující, dokud nejsou přenášena důvěrná data
96% (6819)

Celkem 7079 hlasů
Vytvořeno: 23.4.2015 11:44

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Luboš Doležel (Doli) avatar 23.4.2015 11:45 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Reakce na postoj Mozilly.
Petr Tomášek avatar 23.4.2015 23:39 Petr Tomášek | skóre: 37 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Propána, co je to zas za sračku? Ať si každý (webmaster) rozhodne sám, jestli chce HTTP nebo HTTPS. Navíc by mě zajímalo, jak chce někdo dostat HTTPS na jednočipy a tak podobně.
multicult.fm | monokultura je zlo | welcome refugees!
24.4.2015 12:13 R
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Zaujimalo by ma, co za tym je - ci dostavaju peniaze od certifikacnych autorit alebo to robia len z cistej blbosti.

Problem nie je iba s jednocipmi, ale s kazdym zariadenim, co ma webove rozhranie na konfiguraciu.
vlk avatar 7.5.2015 07:27 vlk | skóre: 23 | blog: u_vlka
Rozbalit Rozbalit vše Re: Nešifrované HTTP

jednocipy niesu taky problem, ARMy s linuxom uz vobec a ked pouzivas nieco ako ESP8266, tak si ho preproxujes a zasifrujes cez domaci router, aj tak vacsinou nema to male zariadenie ani verejnu IP...

You don't exist, Go away !
7.5.2015 16:30 R
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Nie su problem? Na ake CN (FQDN) bude certifikat? Kto ho zaplati? Co sa stane, ked skonci jeho platnost?
9.5.2015 01:24 vlk
Rozbalit Rozbalit vše Re: Nešifrované HTTP
samozrejme ze potrebujes kupit certifikat, ved aj domenu si musis kupit a platit.. pre sukromne veci ti postaci aj selfsigned
25.6.2015 15:38 Sten
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Pro to slouží DANE
Petr Tomášek avatar 9.5.2015 19:47 Petr Tomášek | skóre: 37 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Chci vidět, jak na ATmega32 implementuješ HTTPS... (Normální HTTP úplně v pohodě...)
multicult.fm | monokultura je zlo | welcome refugees!
vlk avatar 29.6.2015 08:40 vlk | skóre: 23 | blog: u_vlka
Rozbalit Rozbalit vše Re: Nešifrované HTTP

naco https na 8bitak? umiestnis ho za reverzne proxy ktore to zasifruje

You don't exist, Go away !
25.6.2015 15:35 Sten
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Je za tím snaha o zvýšení soukromí. V současnosti totiž lze snadno identifikovat důvěryhodné zprávy podle toho, že jsou šifrované. Pokud bude šifrované vše, nebude možné poznat, co je důvěryhodná zpráva a co trollování.
svido avatar 24.4.2015 13:15 svido | skóre: 28
Rozbalit Rozbalit vše Re: Nešifrované HTTP
kdyby se raději starali o jejich sračku jménem Firefox... :-(
24.4.2015 16:19 R
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Oni sa staraju. Uz to ma takmer 100 mega a da sa z toho telefonovat...
27.4.2015 09:03 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Nešifrované HTTP
A tos vynechal takové superklíčové věci jako podpora Oculus Rift :-D
27.4.2015 15:45 koudy
Rozbalit Rozbalit vše Re: Nešifrované HTTP
No tak určitě, to je přece požadovaná funkcionalita každého prohlížeče. :)

Doteď jsem netušil, že by někdo mohl potřebovat prohlížet web ve virtuální helmě (ani mě nenapadá jak to může fungovat/vypadat) :D
22.6.2015 14:41 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
Rozbalit Rozbalit vše Re: Nešifrované HTTP
to souvisi s WebAssembly, ale chce to jeste cas a jak se rika "Stesti preje pripravenym."
Jendа avatar 6.5.2015 20:38 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Takže se bude šmírovat dál, ale zašifrovaně, aby mohla šmírovat jenom Mozilla.
Luk avatar 7.5.2015 23:04 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Koupil jsem si telefon s Firefox OS. Po zapnutí to napsalo něco ve stylu "lokalizační údaje se odesílají do Mozilly, protože..." ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Marián Kyral avatar 23.4.2015 13:29 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Ha. Anketa ožila. Zázrak :-D
23.4.2015 14:29 Jirka | skóre: 24
Rozbalit Rozbalit vše Re: Nešifrované HTTP
O tom si povíme v době tak okolo vánoc. :-D
Dokud to funguje, nešťourej se v tom!... Jak opravit vadnou SD kartu
the.max avatar 25.4.2015 00:06 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: Nešifrované HTTP
+1 :-D

...jen nevím, ze kterého roku ty vánoce byly zamýšleny.
KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
Marián Kyral avatar 8.9.2015 09:34 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Tak prázdniny úspěšně za námi, pomalu vyhlížím vánoce :-D
8.9.2015 13:14 JZD | skóre: 10 | blog: Na_dvorku
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Něco mi uniklo? To už se v obchodech pomalu objevují čokoládový Mikulášové a sněhová výzdoba??? :-)
Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
9.9.2015 11:46 Jirka | skóre: 24
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Jo, v kauflandu už mikuláše maj. :-D
Dokud to funguje, nešťourej se v tom!... Jak opravit vadnou SD kartu
23.4.2015 19:39 random
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Chtělo by to checkboxy. :-)

Zmizení nešifrovaného HTTP by bylo pěkné, ale zatím to není proveditelné, zejména z toho důvodu, že HTTPS není o moc bezpečnější. Problém je v tom, jakým certifikátem je možné komunikaci zabezpečit – v prohlížečích jsou i podivné CA a každá autorita může podepsat cokoliv.

Navíc většina browserů křičí při self-signed certifikátu a u některých (zrovna u Mozilly) není úplně jednoduché povolit spojení se serverem, kterému certifikát např. vypršel. Takže majitel webu musí solit a starat se.

1.5.2015 22:34 daemon
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Mám dojem, že v Mozille je to už někdy od loňského podzimu rozbité a na servery se self-signed certifikátem se prostě připojit nelze.
Jendа avatar 6.5.2015 20:32 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Mně to na 31.6 i 38beta9 funguje. (zkoušeno https://jenda.hrach.eu/)
Luk avatar 7.5.2015 23:10 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Takže majitel webu musí solit a starat se.
Majitelé webů, a to i těch hodně navštěvovaných, se často nestarají ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
24.4.2015 10:58 JZD | skóre: 10 | blog: Na_dvorku
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Jsem rád že je tu nová anketa. Akorát by mě zajímalo, zda za ní může můj dotaz v poradně nebo hnutí mysli z některých adminů.
Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
xkucf03 avatar 25.4.2015 16:20 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Zmizet úplně nemusí, ale je třeba si uvědomit, že spousta informací, které samy o sobě důvěrné nejsou, v agregované podobě už nebezpečí představují – proto má smysl chránit i zdánlivé banality jako, o čem si člověk čte, co hledá na mapě, jaké si hledá spojení v jízdním řádu atd.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Luk avatar 1.5.2015 01:18 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Hodně informací se dá ale zjistit už z DNS dotazů. U těch se sice ohledně bezpečnosti řeší podepisování (DNSSEC), ale zatím bohužel ne šifrování. Pokusy byly, ale žádný nebyl dostatečně kvalitní, aby se z něj mohl udělat standard. Čili zatím může každý, kdo "přiloží ucho na trasu", zjišťovat, na které weby - byť zabezpečené pomocí HTTPS - člověk chodí (částečně to lze sice zjišťovat i z IP adres, ale pokud běží na jedné adrese větší počet webů, už to tak jednoduché není).
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
xkucf03 avatar 1.5.2015 11:37 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

To je pravda. V případě třeba nejaky-protistatni-blog.wordpress.com to hraje celkem velkou roli. Ale v případě Wikipedie, zpravodajských serverů nebo portálů se širším zaměřením se šmírák nic podstatného nedozví. Zatímco v případě nešifrovaného HTTP vidí, které konkrétní články si čteš a co zadáváš do vyhledávače.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
5.5.2015 13:58 Andrew
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Tady ale vůbec nejde pouze o šmíráky. Hackerovi je celkem úplně fuk, jestli si na stránkách Blesku čtete o Karlu Gottovi. Rád vám ale do takové nezabezpečené stránky přihodí škodlivý kód. Je tedy úplně jedno zda si čtete blog svého kamaráda z hospody nebo prohlížíte výpis z účtu. Pokud to nejde přes HTTPS, tak netušíte, odkud vámi prohlížený obsah pochází. Je samozřejmě dozajista zábavné sedět v kavárně a sledovat, co lítá vzduchem. Většinou ale zachytíte tuny zobrazení Facebooku a jen málo přihlašovacích údajů. Mnohem jednodušší je přibalit ke každé stránce nějaký škodlivý kód (a můžete si pod tím představit cokoliv od reklamy a podvodných odkazů až po vykradače hesel).
Luk avatar 7.5.2015 23:11 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Někdy je podstatnou informací už jen to, že někdo chodí na protistátní web :-D
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
16.5.2015 11:22 Jerzy
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Má smysl chránit i ten samotný obsah, tedy že ten jízdní řád opravdu pochází od jisté nejmenované firmy, co má u nás na jízdní řády monopol, že to, co čtu, opravdu vyšlo na idnes.cz a že mi to někdo nezměnil po cestě atd.

Taky je potřeba chránit si svoje reklamy před zásahy všetečných mobilních operátorů, http://arstechnica.com/business/2015/05/eu-carriers-plan-to-block-ads-demand-money-from-google/ ;)
Luk avatar 16.5.2015 22:33 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Ono nejde jen o ochranu reklam, ale obecně všeho. Operátoři mohou mít nutkání (a EuroTel to kdysi dělal) do obsahu zasahovat, ať už z jakýchkoli důvodů.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
1.5.2015 16:41 radix
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Mne spis prijde, ze je potreba zmenit mentalitu.

Aktualne je default http s tim, ze pokud identifikujes neco potencialne citliveho, da se to na https.

Misto toho by mel byt default https s tim, ze pokud je neco fakt verejneho a zaroven je to vykonove kriticke nebo jinak obtizne, je mozne pouzit http.

Ta mentalita se ale tezko zmeni dokud je https (nebo obecne sifrovana komunikace) slozitejsi a nakladnejsi nez http ...

Prijde mne, ze zakaz http je vlastne jen zoufaly pokus zmenit tu mentalitu nasilim.
xkucf03 avatar 1.5.2015 19:49 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane1, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí2 a uživatel má pocit, že je všechno v pohodě – i když je to ve skutečnosti horší než to samopodepsané HTTPS, které odstaví alespoň pasivní3 odposlouchávače (třeba na WiFi nebo když si nějaký síťař pustí tcpdump, nachytaná data uloží a pak se povalují různě na discích nebo dále šíří),

[1] v horším případě si vytvoří návyk, že je potřeba kliknout tady a potom támhle, a bude to dělat kdykoli na něj ta hláška vyskočí – i třeba při přístupu do banky nebo k e-mailu
[2] kdysi se možná zobrazovalo varování při prvním odeslání formuláře přes HTTP, že data můžou být odposlechnuta
[3] nezasahují do komunikace a nedělají MITM

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
2.5.2015 00:36 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí
Ses posral, ne? To by pak Mozilla nemohla inkasovat úplatky od důvěryhodných čínských soudruhů. :-D
Václav 3.5.2015 10:06 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Alespoň u odesílání formuláře s heslem přes http by ty prohlížeče varování zobrazit mohly… Třeba něco ve smyslu "Pozor, stránky posílají heslo nešifrovaně. Doporučujeme nepoužívat stejné heslo jako k citlivým webům (e-banking, e-mail)"
Cross my heart and hope to fly, stick a cupcake in my eye!
4.5.2015 10:53 oryctolagus | skóre: 29 | blog: Untitled
Rozbalit Rozbalit vše Re: Nešifrované HTTP
+1, tohle nepochopim, proč v browserech ještě není...
⧠ A = 0 avatar 4.5.2015 17:22 ⧠ A = 0 | skóre: 8 | blog: Technokratovo_zrcadlo | Helsinki
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V některých to samozřejmě je.
Nevolte zmrdy.
Hans1024 avatar 6.5.2015 15:02 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Myslim, ze problem je s mentalitou lidi, kteri na toto zareaguji "S cim me to zase otravuje?!?" a vsechno odkliknou a kdyz tam nebude zaskrtavatko "uz se me na to nikdy neptej", tak kvuli tomu mozna i zmeni prohlizec.
Veni, vidi, copi
Jendа avatar 6.5.2015 20:35 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Začal bych tím, že se nebude odesílat formulář s heslem.
xkucf03 avatar 6.5.2015 21:24 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Přijatelná alternativa k heslům moc neexistuje.

Takže bych začal tím, že aplikace1, do které uživatel zadává heslo2, se k němu nebude distribuovat nezabezpečenou cestou3.

[1] u webů typicky JavaScript
[2] které se klidně na klientovi může zahashovat a server se ho za normálních okolností – pokud aplikaci cestou nikdo nepozmění – nedozví
[3] nešifrované/nedůvěryhodné HTTP

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Jendа avatar 6.5.2015 21:32 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Přijatelná alternativa k heslům moc neexistuje.
Challenge-response auth. Asymetrická kryptografie.
xkucf03 avatar 6.5.2015 22:00 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP
  • asymetrická kryptografie vyžaduje, aby si s sebou uživatelé něco nosili, což pro řadu z nich není přijatelné (nebo můžou mít zase heslo, ze kterého se odvodí klíč)
  • pointa je v tom, že ať už se přihlašuješ jakkoli, potřebuješ mít důvěryhodný software1 a to jak pro to přihlášení, tak pro vlastní používání (čtení e-mailů, zadávání platebních příkazů, čtení novin atd. – jinak se stane, že e-mail a peníze pošleš jinam, než jsi chtěl, zobrazí se ti e-maily a platby, které ti ve skutečnosti nepřišly, a v novinách si přečteš nesmysly (což asi není takový rozdíl oproti realitě – Infobaden rulez :-)).

[1] když už tu důvěryhodnost nedokáže posoudit uživatel, tak aspoň důvěryhodný z pohledu provozovatele služby/aplikace – který má přístup k datům uživatelů, a ti mu tudíž musí věřit tak jako tak

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Jendа avatar 6.5.2015 22:17 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
nebo můžou mít zase heslo, ze kterého se odvodí klíč
Přesně tak. Rozdíl je v tom, že se to heslo neposílá na server - takže není možné aby nastal ten populární případ údivu „jé, já jsem serveru poslal své heslo a on ho teď zná, to je ale zlý server!“
xkucf03 avatar 6.5.2015 22:34 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Jak víš, že se to heslo neposílá na server nebo někam jinam, když ti ten JavaScript přišel po HTTP a kdykoli se ti mohla nainstalovat nová verze (takže i když jsi tu starou četl, je ti to celkem na nic)?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Jendа avatar 6.5.2015 22:36 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Samozřejmě není možné toto řešit nějakým javascriptem, heslo se musí zadávat přímo do prohlížeče, který ho ven nepustí.
7.5.2015 11:25 MarSik
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V čem je rozdíl jestli pošlu seed nebo hash? Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.

Jediný asi opravdu spolehlivý způsob je veřejný/privátní klíč a na ten uživatelé nikdy nepřistoupí (protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama).

Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
Jendа avatar 7.5.2015 16:14 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V čem je rozdíl jestli pošlu seed nebo hash?
Záleží na tom jak ten seed/hash počítáš…
Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.
No vždyť o to mi jde.
protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama
I RSA/ECDSA odvozené z hesla je mnohem lepší než současný způsob.
Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
SCRAM, ale ten mi přijde překomplikovaný. Jsou jednodušší cesty.
Petr Tomášek avatar 9.5.2015 20:07 Petr Tomášek | skóre: 37 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.

Ono by úplně stačilo upravil HTML standard tak, aby se přidal nový typ formulářového pole který by heslo hashoval v prohlížeči, který by případně dostal za parametr "sůl" a na server by to posílalo jen čistý hash. Něco ve stylu:

 <form>
   <input type="hashed-password" hash-method="sha512" hash-encoding="base64" salt="GxzoEm+ce3s8z2VLpQzz4CSh5awdC0xc07fJ0o/r">
   <input type="submit">
 </form>
multicult.fm | monokultura je zlo | welcome refugees!
Jendа avatar 9.5.2015 21:25 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.
xkucf03 avatar 9.5.2015 21:40 xkucf03 | skóre: 46 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

To je pravda – součástí soli by měla být i doména serveru a jméno uživatele případně i název služby (na doméně jich může být víc).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
Petr Tomášek avatar 10.5.2015 14:39 Petr Tomášek | skóre: 37 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...

A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.

Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.

multicult.fm | monokultura je zlo | welcome refugees!
Jendа avatar 10.5.2015 15:05 Jendа | skóre: 75 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...
Jak to pomůže?
  1. Jdu na abclinuxu.cz/prihlaseni, vygeneruje mi to sůl 1234
  2. Na svém webu kam se přihlašuješ nastavím sůl 1234
  3. Ty se přihlásíš, já získaný hash(tvoje_heslo+1234) pošlu AbcLinuxu, to mě přihlásí
Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.
A jak pak budeš na serveru porovnávat jestli je to heslo správné? Při registraci dostaneš hash(mojeheslo+666), při dalším přihlášení hash(mojeheslo+999), úplně jiné hodnoty, neporovnatelné.
22.5.2015 16:58 Honza
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Jsou to: Digest-MD5, Digest-SHA1, Digest-*, CRAM-*, SCRAM-*, viz RFC.

Všechny fungují tak že server pošle náhodný řetězec, klient připojí svůj náhodný řetězec a samotný hash hesla uživatele (jak je uložený v databázi). To celé zahashuje a spolu s náhodnými řetězci pošle serveru, který ověří že hash sedí.

Ten hash v té databázi je navíc ve tvaru "login:realm:heslo", takže server sice zná hash který by mohl zneužít k přihlášení jménem uživatele na jiný server, ale jen pokud ten server bude mít totožný realm.

Nejlepší na tom je, že webové prohlížeče i webové servery Digest podporují - stačí použít ne-basic .htpasswd autentizaci Apache - AuthType Digest.

viz podrobný (praktický) popis
pavlix avatar 25.8.2015 12:28 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nešifrované HTTP
O CRAM-* bych to tak úplně netvrdil, ale jinak jsem na SCRAM udělal myslím docela hezké diagramy, které ukazují jak to funguje.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
15.6. 10:24 zivl
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Souhlas!
4.5.2015 00:38 pc2005 | skóre: 36 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Tak ono je to celkem jedno, pokud je na druhé straně nějaký NSA leník :-D.
4.5.2015 20:20 mikezt
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Výborne, najprv spravili z myšlienky pospájaných textových dokumentov (HTML) audio-vizuálny des a teraz to ešte celé zašifrujú. O dôvod viac začať používať Gopher.
5.5.2015 18:45 luky
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Vyborne si to vymysleli. Nejdriv v prohlizeci zkurvi dotaz na akceptovani klice a pak donuti vsechny weby, aby pouzivaly https. Jim do vedeni prisel _byvaly zamestnanec_ nejake certifikacni autority, ne? Nechapu, proc dotaz na akceptovani klice neni jeden dialog, kde je napsany otisk klice a moznosti prijmout, prijmout trvale, odmitnout.
7.5.2015 11:35 lertimir | skóre: 61 | blog: Par_slov
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Celé to souvisí pracemi na http protokolu 2.0 (http/2), který bude binární a původně vůbec neměl mít nešifrovanou komunikaci. viz 1 a 2 Pravděpodobně se do něj i nešifrovaná komunikace protlačí, ale jako spíše minoritní prvek. Mozilla jako jeden z důležitých přispivatelů k tomuto designu do toho se rozhodla šťourat i pro http 1.1
28.5.2015 12:23 ycuzo | skóre: 3
Rozbalit Rozbalit vše Re: Nešifrované HTTP
neznasam https doslovne ma obtazuje...
23.6.2015 18:29 xcvbvcx
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V ankete chybi moznost hlasovat proti.
17.7.2015 15:43 Andrej | skóre: 45 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Nešifrované HTTP by bylo svým způsobem OK, kdyby bylo aspoň kryptograficky podepisované, aby koncový uživatel mohl ověřit, že skutečně čte původní informace zveřejněné na nějakém webu. Dnešní nešifrované HTTP bohužel znamená, že se s informacemi může stát cestou cokoliv a koncový uživatel nemá možnost na to přijít.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
Luk avatar 17.7.2015 21:48 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
A ono se taky bohužel občas stává.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
28.8.2015 16:35 Jerzy
Rozbalit Rozbalit vše Apple a nešifrované HTTP v iOS appkách
Tohle se týká i mobilních aplikací, viz App Transport Security Technote, featura v iOS9, která defaultně blokuje všechnu HTTP komunikaci.

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.