Portál AbcLinuxu, 23. dubna 2024 21:45

Tak možná že to https vlastně není třeba?

1.2.2019 23:58 | Z mého života | poslední úprava: 3.2.2019 10:56

...

       

Hodnocení: 7 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

Bystroushaak avatar 2.2.2019 17:03 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Odpovědět | Sbalit | Link | Blokovat | Admin
Dnes mě překvapilo že i poměrně znamé servery se rozhodly ignorovat bezpečnost. Aspoň v době psaní tohoto článku se to týká například serveru impulz.cz. https://twitter.com/kozzi11/status/1091104899058806784
Tohle je fakt kvalitní příspěvek, ani posrané odkazy jsi nevložil a to co jsi napsal je oboje blbě:
Pale Moon can't find the server at impulz.cz.
a u twitteru:
https://twitter.com/kozzi11/status/1091104899058806784

Sorry, that page doesn’t exist!

You can search Twitter using the search box below or return to the homepage.
K tomu si přidám že HTTPS rozhodně neznamená automatickou bezpečnost, je to jen krytá trubka k serveru a k čemu ti to je u radia impuls, kde se stejně nedá nikam zalogovat, co tak koukám, to vážně nechápu. Sečteno a podtrženo, zatím vedeš v ceně shitpost měsíce.
blog.rfox.eu
2.2.2019 17:52 _
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Nechovej se jako kokot bystrousko.
Bystroushaak avatar 2.2.2019 18:17 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Tak určitě. Autor napíše blog o dvou větách a dvou odkazech, které jsou všechny blbě a já jsem kokot, když na to upozorním a snažím se s ním vyvolat diskuzi, abych alespoň zjistil, o co že mu to vlastně šlo, protože z těla blogu to vůbec není jasné.
blog.rfox.eu
2.2.2019 17:59 Vantomas | skóre: 32 | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
K tomu si přidám že HTTPS rozhodně neznamená automatickou bezpečnost, je to jen krytá trubka k serveru a k čemu ti to je u radia impuls, kde se stejně nedá nikam zalogovat, co tak koukám, to vážně nechápu. Sečteno a podtrženo, zatím vedeš v ceně shitpost měsíce.
Protože když ta trubka mezi klientem a serverem není šifrovaná, tak tam útočník po cestě může přidat JS na počítání bitcoinů. Jasně, v ČR už jsme trochu dál a tak se to nestane na cestě u providera, ale když přijde na nějakou wifi do hospody, tak bych se tomu nedivil...
Bystroushaak avatar 2.2.2019 18:16 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Protože když ta trubka mezi klientem a serverem není šifrovaná, tak tam útočník po cestě může přidat JS na počítání bitcoinů. Jasně, v ČR už jsme trochu dál a tak se to nestane na cestě u providera, ale když přijde na nějakou wifi do hospody, tak bych se tomu nedivil...
Nevím, asi by mi bylo líto toho útočníka a poslal bych mu na tu těžící adresu třeba stovku (v korunách), protože javascriptovým těžením bitcoinů by jí vydělal nejdřív asi tak v roce 2600.
blog.rfox.eu
2.2.2019 18:21 .
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
:D lol, zasmál sem se.

Když už, tak monero. Bitcoin opravdu ne.

Ale buďme upřímní, spectre jde exploitovat i pomocí JS, takže bezpečnosti není nikdy dost.
2.2.2019 18:17 .
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Tak napiš vlastní blogpost lišáku. Už dlouho čekám na něco z tvé dílny, vlastně je to jediný důvod proč furt chodím na abclinuxu. Tvoje blogy. Pokud se ti nelíbí podobný výkřiky jako je ten co si právě zhejtoval, jediný co můžeš udělat je přebít je vlastní tvorbou. Uroveň blogů na abc je ubohá protože nikdo nenastavuje laťku. Na rootu blogy ani už nejsou.
Bystroushaak avatar 2.2.2019 18:20 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Beru tě za slovo. Mám přichystaných několik seriálů, konkrétně jeden o programování vlastního programovacího jazyka, kde jsem ale chtěl počkat než dopíšu ten druhý, který je o tom programovacím jazyku samotném. Ale jak mi tvůj příspěvek připomněl, lepší je jít vlastním příkladem, takže do dnešní půlnoci sem nahodím první části obojího, s tím že na sebe teda upletu bič a tlak abych to oboje dopsal a nezůstalo to nedokončené, což jsem původně nechtěl (chtěl jsem to prvně dokončit).
blog.rfox.eu
2.2.2019 18:24 .
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Super a dík. Kvalitní tvorby není nikdy dost. Respektive je jí čím dál tím míň.
Bystroushaak avatar 2.2.2019 22:35 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Tady máš první část první série: Prostředí a programovací jazyk Selfu (díl první; prostředí)
blog.rfox.eu
Bystroushaak avatar 2.2.2019 23:00 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
A tady je první část druhé série: Jak se píše programovací jazyk 1: Motivace. U tohohle už mám hotovo přes sedm dílů, tak to tu příští týdny budu vydávat.
blog.rfox.eu
2.2.2019 20:41 dedflow
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
a k čemu ti to je u radia impuls, kde se stejně nedá nikam zalogovat
Tohle je taky dobrej blábol. To že se nedá zalogovat ještě neznamená, že by jeden nemohl to nezašifrované HTML podvrhnout bez správně nastaveného HTTPS nemáš šanci se to dozvědět, HTTPS neslouží jen k tomu, aby se někdo nedozvěděl tvoje heslo. Můžu ti doporučit nějakou literaturu pro začátečníky na tohle téma, jestli chceš.
2.2.2019 21:00 Bherzet | skóre: 19 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Pokud ti někdo podvrhne obrazy instalačních médií a jejich checksumů, je to problém. Jaký je worst-case scénář u Radia Impuls? Nic vážnějšího než šíření dezinformací mě nenapadá. I to může být problém a Bystroushaak se vyjádřil nepřesně, ale zase bych to nehrotil.
3.2.2019 19:10 pirated_byte
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Worst-case je samozrejme root na tvem kompu.
3.2.2019 19:37 Bherzet | skóre: 19 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Protože mi tam po cestě někdo injektuje malware, na který bych mohl narazit na kterémkoliv jiném (HTTPS) webu ať už kvůli úmyslu provozovatele, nebo zneužití jedné z mnoha stále hojně rozšířených bezpečnostních chyb? Pokud prohlížeč obsahuje exploitovatelnou chybu, používání HTTPS eliminuje jeden ze způsobu šíření škodlivého kódu; pokud takových způsobů ale existuje víc, HTTPS je (vůči tomu) jen security-by-obscurity.
3.2.2019 23:21 pirated_byte
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Eliminace znacne casti utocnych vektoru neni "security-by-obscurity". Zadny bezpecnostni prvek neresi vsechny problemy. Vzdy jde o zvysovani ceny a snizovani pravdepodobnosti utoku. Obvykle je taky dulezita kombinace s ostatnimi prvky.
4.2.2019 01:57 Bherzet | skóre: 19 | blog: Bherzetův blog
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
To je jako jako zakázat dítěti přecházet nefrekventovanou silnici před domem, ale klidně mu dovolit jezdit se tříkolkou po dálnici. Pravděpodobnost nehody to sice sníží, ale za cenu značných praktických omezení. Ta nejpodstatnější rizika přitom zůstanou.

Ale ať se nedohadujeme zbytečně o hloupostech, podívej: Dlouhodobě používám HTTPS Everywhere nastavený tak, aby mě vždy přesměroval na HTTPS, pokud je dostupné. Výkonostně to nepocítím a jako uživatel z toho pouze profituji. Stěží bych ovšem mohl Radiu Impuls (nebo komukoliv jinému) vyčítat, že mi při komunikování s jejich webem někdo po cestě nainjektoval škodlivý kód.

Účinnou ochrannou před škodlivým kódem je používání aktualizovaného prohlížeče, blokování JavaScriptu, spouštění prohlížeče ze sandboxu, nepoužívání prohlížeče nebo nepoužívání počítače, v tomto pořadí dle účinnosti.

Tvému pohledu rozumím, ale neshodneme se v tom, jaký význam této konkrétní výhodě HTTPS přikládat. Osobně s tím, že i dnes někdo spustí HTTP-only web nemám z tohoto hlediska problém. Samozřejmě to (nějak) beru v potaz jako zákazník a podobně, ale jsem dalek toho považovat návštěvu takového webu samu o sobě za bezpečnostní hrozbu.
Bystroushaak avatar 2.2.2019 22:35 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Tohle je taky dobrej blábol. To že se nedá zalogovat ještě neznamená, že by jeden nemohl to nezašifrované HTML podvrhnout bez správně nastaveného HTTPS nemáš šanci se to dozvědět, HTTPS neslouží jen k tomu, aby se někdo nedozvěděl tvoje heslo. Můžu ti doporučit nějakou literaturu pro začátečníky na tohle téma, jestli chceš.
Líbí se mi, jak to prohlásíš blábolem a pak nejsi schopný říct jediný argument proč by to měl být blábol. Podle mě je tahle snaha zavést HTTPS úplně všude projevem idiocie fanboyů, kteří se snaží najít příslovečnou stříbrnou kulku zajišťující "bezpečnost" a úplně ignorují, že si tím kupují jen pocit bezpečí a nic jiného. Třeba tady abclinuxu je krásně HTTPS "zabezpečené". Cítíš se kvůli tomu bezpečněji? Vždyť sem pořád může kdokoliv vložit kusy kódu, které se vykonají.

Většina SSL knihoven se ukázala být děravá jak prdel a dokonce se dá polemizovat, že bezpečnost aktivně snižují. A snaha zavést to na každém webu, včetně těch kde se ani nikam nepřihlašuješ a v podstatě je to jen jednoduchá informační prezentace, je doslova nesmyslná. Má to nižší bezpečnost, než kdyby se využíval třeba podpis konkrétní prezentované informace.
blog.rfox.eu
3.2.2019 18:59 pirated_byte
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
V porovnani s TLS stackem je attack surface weboveho prohlizece monstrozni.
7.2.2019 15:21 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Já bych to teda v rámci nějaký netikety apod. neoznačil hned za blábol, ale souhlasit s tím taky úplně nemůžu. HTTPS IMHO má smysl i u rádia impulz apod., protože:
  1. Bez tý roury kde kdo po cestě ví, co si čteš na Impulzu a jestli seš těhotnej
  2. Podstrčení malware.exe místo balik_smajliku.exe není jediný způsob, jak dosáhnout RCE. HTML je co do RCE historicky vzato skoro stejně špatné jako JS.
Jasný, je to trochu paranoia, ale to neznamená, že po mě nejdou...
What Big Oil knew about climate change
Bystroushaak avatar 7.2.2019 17:00 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Jasný, je to trochu paranoia, ale to neznamená, že po mě nejdou...
Jasně, já paranoiu respektuju. Jenže nevím, proč by měla být paranoia přehozena na poskytovatele (což je celý dementní, když poskytovatel stejně vidí logy a doslova definuje na co koukáš). Pokud chceš být paranoik, tak použij proxy, VPN, nebo TOR.
Podstrčení malware.exe místo balik_smajliku.exe není jediný způsob, jak dosáhnout RCE. HTML je co do RCE historicky vzato skoro stejně špatné jako JS.
A v tom ti HTTPS pomůže jak? Zaručí ti to třeba, že ti nikdo neunese to konkrétní HTTPS spojení, unese ti jen třeba linkované zdroje, které po HTTPS nejedou. Ale když někdo bude mít exploit na HTML, tak ti prostě pošle email a nenaděláš nic.
blog.rfox.eu
Gilhad avatar 9.2.2019 17:18 Gilhad | skóre: 20 | blog: gilhadoviny
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Ještě bych dodal, že beru jako rozumné požívat šifrování i tam, kde o nic nejde, z jednoduchého důvodu - pokud bude veškerý provoz šifrovaný, tak to ničemu nevadí, pokud budou šifrované jen a pouze věci, které nesou soukromou informaci, tak už samotný fakt šifrování bude určitým ukazatelem a zároveň budou mít různé nekalé živly jednodušší práci s tím, že nebudou muset dešifrovat celý provoz jen aby zjistitli, že v něm vážně není nic soukromého.

A to i za předpokladu, že budeme https šifrování by-default považovat za automaticky prolomitelné - což zase není tak zcela nesmyslný předpoklad - tak to alespoň trochu zvedne laťku.

A samozřejmě, že citlivé soukromé věci by neměly spoléhat pouze na https, nebo na dobrou víru webových služeb, které se mohou k https-nešifrovanému obsahu dostat - každou chvíli se dočteme o napadení nějakého cloudového úložiště (a to se určitě nedočteme o všech), nemluvě o tom, že se mnohé firmy ani netají tím, že tu komunikaci sledují a případně používají pro vlastní účely, případně předávají dál a dokonce to mají i v podmínkách použití ...
Bystroushaak avatar 9.2.2019 18:02 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
pokud bude veškerý provoz šifrovaný, tak to ničemu nevadí
Vede to na mnohem složitější implementace jak na straně klientů, tak na straně serverů. Za život jsem několikrát napsal HTTP klienta pro programovací jazyky, které žádného použitelného neměly a všechno to fungovalo. Implementovat nejpodstatnější část RFC je na víkend. Implementovat k tomu bezpečně SSL je na rok bádání na poli kryptografie (bavíme se tu o jazycích, které SSL knihovnu nemají).

Další problém, který v tom vidím je monopolizace implementací. Kolik existuje dobře použitelných SSL knihoven? Pět? To znamená, že většina netu jede na pěti knihovnách. Pokud tě tohle neděsí, tak imho nechápeš všechny implikace.

Tím nechci působit, že jsem proti šifrování jako takovému, sám šifruji kompletně celý disk, všechny zálohy a na nezašifrovaný web bych se nepřihlašoval, pokud by to bylo k něčemu podstatnému, ale šifrovat všechno (ještě k tomu nejlíp povinně) se mi zdá nejenom zbytečné, ale rovnou kontraproduktivní.
blog.rfox.eu
Gilhad avatar 9.2.2019 19:54 Gilhad | skóre: 20 | blog: gilhadoviny
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Nikde jsem nepsal povinně, to všechno bylo na úrovni "dobrý zvyk" - když mám na výběr, zda poskytnout jen jedno, nebo jen druhé, tak poskytnout obě varianty. Když mém na výběr, zda se připojit k jednomu či druhému, dávat přednost https ('není-li důvod proti). Než tohle pronikne do obecného povědomí, tak uteče ještě fůra času. I dotáhnout to k reálnému poměru 50:50 bude IMHO ještě dlouho trvat. Ale to není důvod proč se aspoň trochu nesnažit tam, kde to jde ...

Prolomit ten postoj: Nikdo to nechce tak proc to nabizet / nikde to neni, tak proc to vyzadovat : na postoj každou z variant chce spousta lidí, dáme tedy obě / Proč si nevybrat, když je na výběr ...

Viz též IPV4/6, widows/linux ... už začíná být "normální" požadovat i tu druhou možnost a nabídka pomalu a zdráhavě reaguje. Monokultura té druhé části zatím nehrozí ...

Jinak k těm pěti knihovnám - řekl bych, že zvýšení https provozu minimálně přispěje/přispělo k jejich odladění a že větší podíl https může přinést další implementace ... nebo aspoň bugreporty, když i odvrácená strana bude donucena se tím zabývat a provozovat penetrační testy ... ostatně nemálo příkladů ukázalo, že https a zelená ikonka není všespásné a že je tu pořád ještě dost co zlepšovat - kdyby to používalo jen pár technonadšenců na místech vyloženě nezbytných, tak spousta z těch afér nepropukla a mýtus totálního zabezpečení by trval.
Bystroushaak avatar 9.2.2019 20:58 Bystroushaak | skóre: 36 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Nikde jsem nepsal povinně, to všechno bylo na úrovni "dobrý zvyk" - když mám na výběr, zda poskytnout jen jedno, nebo jen druhé, tak poskytnout obě varianty. Když mém na výběr, zda se připojit k jednomu či druhému, dávat přednost https ('není-li důvod proti). Než tohle pronikne do obecného povědomí, tak uteče ještě fůra času. I dotáhnout to k reálnému poměru 50:50 bude IMHO ještě dlouho trvat. Ale to není důvod proč se aspoň trochu nesnažit tam, kde to jde ...
Ok, s tím souhlasím.
Jinak k těm pěti knihovnám - řekl bych, že zvýšení https provozu minimálně přispěje/přispělo k jejich odladění a že větší podíl https může přinést další implementace ... nebo aspoň bugreporty, když i odvrácená strana bude donucena se tím zabývat a provozovat penetrační testy ... ostatně nemálo příkladů ukázalo, že https a zelená ikonka není všespásné a že je tu pořád ještě dost co zlepšovat - kdyby to používalo jen pár technonadšenců na místech vyloženě nezbytných, tak spousta z těch afér nepropukla a mýtus totálního zabezpečení by trval.
Jo jo, tak nějak.
blog.rfox.eu
Bedňa avatar 3.2.2019 23:36 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Tak možná že to https vlastně není třeba?
Odpovědět | Sbalit | Link | Blokovat | Admin
Čau kámo, tak som sa po čase potešil, že ťa vidím a zmažeš to. Ako sa majú ženské, to dúfam nemažeš :-)
KERNEL ULTRAS video channel >>>

Založit nové vláknoNahoru

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.