Administrace komentářů

Uz sem mockrat psal ....

1) uzivatele bezpecnost nezajima 2) uzivatel desitky let pouziva http a nikomu to nevadi 3) browser ma i u https drzet hubu a web zobrazit 4) teprve kdyz uzivatel chce bezpecnost resit, mel by mu browser poskytnout nastroje (ty aktualne neexistuji zadne) 5) teprve potom by mel browser upozornovat (na nesrovnalosti) pripadne blokovat (pri naruseni te vyzadane bezpecnosti)

Mimochodem, mam slusnych par let zkusenosti s bezpecnosti ve firemnim sektoru. Zcela bez vyjimek plati, ze cim vic se bezpecnost vymaha po uzivatelich, tim horsi ve skutecnosti je. Konkretne, banka, povinost menit heslo co tyden, pamet 2 roky zpet ... 12+ znaku, kontroly na lepiky pod klavesnici atd atd ... vysledek? Jeden vymyslel a vsichni pouzivali ... jedno heslo, ktere splnovalo pozadavky, a kteremu zmenili co tyden prave cislo tydne v roce (a pripadne ten rok). Tzn stacilo okoukat heslo 1x a bylo mozne jej urcit na libovolny termin dopredu i dozadu. Ale bylo, dle korporatnich pravidel, naprosto bezpecne.

Tohle je exaktne totez. Uzivatel chce aby mu to fungovalo, chce ten web videt. Nezajima ho co si o tom mysli nejakej vul nekde v kotehulkach.

Navic treba varovani kolem selfsign je totalni kravina ze vsech existujicich uhlu pohledu. Selfsign cert je exatkne stejne naprd jako libovolnej cert vydanej libovolnou CA. Naopak, je o rad bezpecnejsi (minimalne) protoze (kdyby to browser umel, jako ze neumi) je mozny ho svazat s danym webem, a priste pripadne resit, jestli se zmenil.

Jeste vetsi sranda je pak to, ze tam kde bezpecnost alespon nejaka* je (DANE a spol) se tomu browsery vyhejbaj jak cert krizi ... procpak asi.

*Porad tu existuje problem, ze se zmeni DNS a roli CA prebira provozovalel DNS, ale kdyz nic jinyho, tak se provozovatel webu o ty zmene dozvi (nebo muze dozvedet), coz v pripade vydani certifikatu nejakou CA nema sanci. Navic DNS stejne uzivatel verit musi, protoze jinak se nikam nepripoji.