abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 10:00 | Zajímavý projekt

Justine Haupt aktualizovala svůj open source mobilní telefon s rotační číselnicí a zveřejnila kompletní dokumentaci, vlastní kód, schémata i STL soubory pro 3D tisk. Desku plošných spojů případně i vytištěný obal lze koupit v jejím obchodu.

Ladislav Hagara | Komentářů: 4
dnes 06:00 | IT novinky

Otevřená certifikační autorita Let's Encrypt v příspěvku na svém blogu informuje, že žádosti o vystavení certifikátů nově validuje z několika míst současně (Multi-Perspective Validation). Další informace v diskusním fóru.

Ladislav Hagara | Komentářů: 5
včera 13:55 | Nová verze

Byla vydána verze 15.0 na Debianu založené linuxové distribuce Untangle NG Firewall. Přehled novinek v poznámkách k vydání a ve videu na YouTube. Vyzkoušet lze (zatím neaktualizované) demo webového rozhraní.

Ladislav Hagara | Komentářů: 0
včera 12:11 | Pozvánky

Letošní ročník konference LinuxDays se uskuteční o víkendu 3. a 4. října, opět se potkáme v pražských Dejvicích na FIT ČVUT. Také během devátého ročníku nás budou čekat desítky přednášek, workshopy, stánky a spousta doprovodného programu. Aktuální dění můžete sledovat na Twitteru nebo Facebooku, přidat se můžete také do telegramové diskusní skupiny.

Petr Krčmář | Komentářů: 1
včera 10:22 | Zajímavý článek

Alexander Popov se v příspěvku na svém blogu podrobně věnuje možnostem zneužití bezpečnostní chyby CVE-2019-18683 v linuxovém podsystému V4L2. Videoukázka eskalace práv na YouTube. Chyba byla v upstreamu opravena v listopadu loňského roku. Alexander Popov se chybě věnoval ve své přednášce (pdf) na konferenci OffensiveCon 2020.

Ladislav Hagara | Komentářů: 0
včera 06:00 | Nová verze

Byla vydána nová verze 20.02.17 svobodného multiplatformního video editoru Shotcut (Wikipedie). Přehled novinek v oznámení o vydání. Využíván je MLT Multimedia Framework 6.20.0 a WebVfx 1.2.0. Nejnovější Shotcut je k dispozici také ve formátech AppImage, Flatpak i Snap.

Ladislav Hagara | Komentářů: 2
18.2. 16:22 | IT novinky

Spolkový úřad pro informační bezpečnost (Bundesamt für Sicherheit in der Informationstechnik) schválil používání softwarů Gpg4win a Gpg4KDE, tj. nadstaveb nad GnuPG, pro šifrování a přenos utajovaných informací stupně utajení Vyhrazené (VS-NUR FÜR DEN DIENSTGEBRAUCH (VS-NfD)), EU RESTRICTED a NATO RESTRICTED [reddit].

Ladislav Hagara | Komentářů: 0
18.2. 12:44 | Humor

Viceprezident společnosti Oracle Matthew O'Keefe napsal na Twitteru: "Kdyby databáze Oracle neexistovala, světová ekonomika by se zastavila. Kdyby většina open source distribuovaných databází neexistovala, byl by svět pro data mnohem bezpečnějším místem". Příspěvek rozpoutal diskusi nejenom na redditu a následně byl z Twitteru smazán (Wayback Machine).

Ladislav Hagara | Komentářů: 17
18.2. 09:33 | Nová verze

Byla vydána nová verze 1.38 správce síťových připojení ConnMan (Wikipedie). Z novinek lze zdůraznit podporu WireGuardu.

Ladislav Hagara | Komentářů: 0
18.2. 06:00 | Zajímavý projekt

Byl spuštěn Humble Book Bundle: Cybersecurity 2020 by Wiley. Za 1 euro a více lze koupit 7 elektronických knih, za 7,50 eur a více lze koupit 13 elektronických knih a za 13,50 eur a více lze koupit 20 elektronických knih věnovaných kybernetické bezpečnosti od nakladatelství Wiley. Peníze lze libovolně rozdělit mezi nakladatelství Wiley, Humble Bundle, Electronic Frontier Foundation a Let's Encrypt.

Ladislav Hagara | Komentářů: 0
Vydržela vám novoroční předsevzetí?
 (9%)
 (6%)
 (3%)
 (82%)
Celkem 162 hlasů
 Komentářů: 0
Rozcestník

Nešifrované HTTP

by mělo zmizet
4% (260)
je postačující, dokud nejsou přenášena důvěrná data
96% (6819)

Celkem 7079 hlasů
Vytvořeno: 23.4.2015 11:44

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Luboš Doležel (Doli) avatar 23.4.2015 11:45 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Reakce na postoj Mozilly.
Petr Tomášek avatar 23.4.2015 23:39 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Propána, co je to zas za sračku? Ať si každý (webmaster) rozhodne sám, jestli chce HTTP nebo HTTPS. Navíc by mě zajímalo, jak chce někdo dostat HTTPS na jednočipy a tak podobně.
multicult.fm | monokultura je zlo | welcome refugees!
24.4.2015 12:13 R
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Zaujimalo by ma, co za tym je - ci dostavaju peniaze od certifikacnych autorit alebo to robia len z cistej blbosti.

Problem nie je iba s jednocipmi, ale s kazdym zariadenim, co ma webove rozhranie na konfiguraciu.
vlk avatar 7.5.2015 07:27 vlk | skóre: 23 | blog: u_vlka
Rozbalit Rozbalit vše Re: Nešifrované HTTP

jednocipy niesu taky problem, ARMy s linuxom uz vobec a ked pouzivas nieco ako ESP8266, tak si ho preproxujes a zasifrujes cez domaci router, aj tak vacsinou nema to male zariadenie ani verejnu IP...

You don't exist, Go away !
7.5.2015 16:30 R
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Nie su problem? Na ake CN (FQDN) bude certifikat? Kto ho zaplati? Co sa stane, ked skonci jeho platnost?
9.5.2015 01:24 vlk
Rozbalit Rozbalit vše Re: Nešifrované HTTP
samozrejme ze potrebujes kupit certifikat, ved aj domenu si musis kupit a platit.. pre sukromne veci ti postaci aj selfsigned
25.6.2015 15:38 Sten
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Pro to slouží DANE
Petr Tomášek avatar 9.5.2015 19:47 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Chci vidět, jak na ATmega32 implementuješ HTTPS... (Normální HTTP úplně v pohodě...)
multicult.fm | monokultura je zlo | welcome refugees!
vlk avatar 29.6.2015 08:40 vlk | skóre: 23 | blog: u_vlka
Rozbalit Rozbalit vše Re: Nešifrované HTTP

naco https na 8bitak? umiestnis ho za reverzne proxy ktore to zasifruje

You don't exist, Go away !
25.6.2015 15:35 Sten
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Je za tím snaha o zvýšení soukromí. V současnosti totiž lze snadno identifikovat důvěryhodné zprávy podle toho, že jsou šifrované. Pokud bude šifrované vše, nebude možné poznat, co je důvěryhodná zpráva a co trollování.
svido avatar 24.4.2015 13:15 svido | skóre: 28
Rozbalit Rozbalit vše Re: Nešifrované HTTP
kdyby se raději starali o jejich sračku jménem Firefox... :-(
24.4.2015 16:19 R
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Oni sa staraju. Uz to ma takmer 100 mega a da sa z toho telefonovat...
27.4.2015 09:03 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Nešifrované HTTP
A tos vynechal takové superklíčové věci jako podpora Oculus Rift :-D
27.4.2015 15:45 koudy
Rozbalit Rozbalit vše Re: Nešifrované HTTP
No tak určitě, to je přece požadovaná funkcionalita každého prohlížeče. :)

Doteď jsem netušil, že by někdo mohl potřebovat prohlížet web ve virtuální helmě (ani mě nenapadá jak to může fungovat/vypadat) :D
22.6.2015 14:41 2X4B-523P | skóre: 38 | blog: Zelezo_vs_Debian
Rozbalit Rozbalit vše Re: Nešifrované HTTP
to souvisi s WebAssembly, ale chce to jeste cas a jak se rika "Stesti preje pripravenym."
Jendа avatar 6.5.2015 20:38 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Takže se bude šmírovat dál, ale zašifrovaně, aby mohla šmírovat jenom Mozilla.
Luk avatar 7.5.2015 23:04 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Koupil jsem si telefon s Firefox OS. Po zapnutí to napsalo něco ve stylu "lokalizační údaje se odesílají do Mozilly, protože..." ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
Marián Kyral avatar 23.4.2015 13:29 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Ha. Anketa ožila. Zázrak :-D
23.4.2015 14:29 Jirka | skóre: 24
Rozbalit Rozbalit vše Re: Nešifrované HTTP
O tom si povíme v době tak okolo vánoc. :-D
Dokud to funguje, nešťourej se v tom!...
the.max avatar 25.4.2015 00:06 the.max | skóre: 46 | blog: Smetiště
Rozbalit Rozbalit vše Re: Nešifrované HTTP
+1 :-D

...jen nevím, ze kterého roku ty vánoce byly zamýšleny.
KERNEL ULTRAS Fan Team || Sabaton - nejlepší učitel dějepisu || Gentoo - dokud nás systemd nerozdělí.
Marián Kyral avatar 8.9.2015 09:34 Marián Kyral | skóre: 29 | blog: Sem_Tam | Frýdek-Místek
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Tak prázdniny úspěšně za námi, pomalu vyhlížím vánoce :-D
8.9.2015 13:14 JZD | skóre: 10 | blog: Na_dvorku
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Něco mi uniklo? To už se v obchodech pomalu objevují čokoládový Mikulášové a sněhová výzdoba??? :-)
Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
9.9.2015 11:46 Jirka | skóre: 24
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Jo, v kauflandu už mikuláše maj. :-D
Dokud to funguje, nešťourej se v tom!...
23.4.2015 19:39 random
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Chtělo by to checkboxy. :-)

Zmizení nešifrovaného HTTP by bylo pěkné, ale zatím to není proveditelné, zejména z toho důvodu, že HTTPS není o moc bezpečnější. Problém je v tom, jakým certifikátem je možné komunikaci zabezpečit – v prohlížečích jsou i podivné CA a každá autorita může podepsat cokoliv.

Navíc většina browserů křičí při self-signed certifikátu a u některých (zrovna u Mozilly) není úplně jednoduché povolit spojení se serverem, kterému certifikát např. vypršel. Takže majitel webu musí solit a starat se.

1.5.2015 22:34 daemon
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Mám dojem, že v Mozille je to už někdy od loňského podzimu rozbité a na servery se self-signed certifikátem se prostě připojit nelze.
Luk avatar 7.5.2015 23:10 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Takže majitel webu musí solit a starat se.
Majitelé webů, a to i těch hodně navštěvovaných, se často nestarají ;-)
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
24.4.2015 10:58 JZD | skóre: 10 | blog: Na_dvorku
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Jsem rád že je tu nová anketa. Akorát by mě zajímalo, zda za ní může můj dotaz v poradně nebo hnutí mysli z některých adminů.
Víra znamená vyznávat to, o čem člověk dobře ví, že to není pravda. Mlčeti platina, mluviti v gajzu, býti v hajzlu.
xkucf03 avatar 25.4.2015 16:20 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Zmizet úplně nemusí, ale je třeba si uvědomit, že spousta informací, které samy o sobě důvěrné nejsou, v agregované podobě už nebezpečí představují – proto má smysl chránit i zdánlivé banality jako, o čem si člověk čte, co hledá na mapě, jaké si hledá spojení v jízdním řádu atd.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Luk avatar 1.5.2015 01:18 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Hodně informací se dá ale zjistit už z DNS dotazů. U těch se sice ohledně bezpečnosti řeší podepisování (DNSSEC), ale zatím bohužel ne šifrování. Pokusy byly, ale žádný nebyl dostatečně kvalitní, aby se z něj mohl udělat standard. Čili zatím může každý, kdo "přiloží ucho na trasu", zjišťovat, na které weby - byť zabezpečené pomocí HTTPS - člověk chodí (částečně to lze sice zjišťovat i z IP adres, ale pokud běží na jedné adrese větší počet webů, už to tak jednoduché není).
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
xkucf03 avatar 1.5.2015 11:37 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

To je pravda. V případě třeba nejaky-protistatni-blog.wordpress.com to hraje celkem velkou roli. Ale v případě Wikipedie, zpravodajských serverů nebo portálů se širším zaměřením se šmírák nic podstatného nedozví. Zatímco v případě nešifrovaného HTTP vidí, které konkrétní články si čteš a co zadáváš do vyhledávače.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
5.5.2015 13:58 Andrew
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Tady ale vůbec nejde pouze o šmíráky. Hackerovi je celkem úplně fuk, jestli si na stránkách Blesku čtete o Karlu Gottovi. Rád vám ale do takové nezabezpečené stránky přihodí škodlivý kód. Je tedy úplně jedno zda si čtete blog svého kamaráda z hospody nebo prohlížíte výpis z účtu. Pokud to nejde přes HTTPS, tak netušíte, odkud vámi prohlížený obsah pochází. Je samozřejmě dozajista zábavné sedět v kavárně a sledovat, co lítá vzduchem. Většinou ale zachytíte tuny zobrazení Facebooku a jen málo přihlašovacích údajů. Mnohem jednodušší je přibalit ke každé stránce nějaký škodlivý kód (a můžete si pod tím představit cokoliv od reklamy a podvodných odkazů až po vykradače hesel).
Luk avatar 7.5.2015 23:11 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Někdy je podstatnou informací už jen to, že někdo chodí na protistátní web :-D
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
16.5.2015 11:22 Jerzy
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Má smysl chránit i ten samotný obsah, tedy že ten jízdní řád opravdu pochází od jisté nejmenované firmy, co má u nás na jízdní řády monopol, že to, co čtu, opravdu vyšlo na idnes.cz a že mi to někdo nezměnil po cestě atd.

Taky je potřeba chránit si svoje reklamy před zásahy všetečných mobilních operátorů, http://arstechnica.com/business/2015/05/eu-carriers-plan-to-block-ads-demand-money-from-google/ ;)
Luk avatar 16.5.2015 22:33 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Ono nejde jen o ochranu reklam, ale obecně všeho. Operátoři mohou mít nutkání (a EuroTel to kdysi dělal) do obsahu zasahovat, ať už z jakýchkoli důvodů.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
1.5.2015 16:41 radix
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Mne spis prijde, ze je potreba zmenit mentalitu.

Aktualne je default http s tim, ze pokud identifikujes neco potencialne citliveho, da se to na https.

Misto toho by mel byt default https s tim, ze pokud je neco fakt verejneho a zaroven je to vykonove kriticke nebo jinak obtizne, je mozne pouzit http.

Ta mentalita se ale tezko zmeni dokud je https (nebo obecne sifrovana komunikace) slozitejsi a nakladnejsi nez http ...

Prijde mne, ze zakaz http je vlastne jen zoufaly pokus zmenit tu mentalitu nasilim.
xkucf03 avatar 1.5.2015 19:49 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane1, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí2 a uživatel má pocit, že je všechno v pohodě – i když je to ve skutečnosti horší než to samopodepsané HTTPS, které odstaví alespoň pasivní3 odposlouchávače (třeba na WiFi nebo když si nějaký síťař pustí tcpdump, nachytaná data uloží a pak se povalují různě na discích nebo dále šíří),

[1] v horším případě si vytvoří návyk, že je potřeba kliknout tady a potom támhle, a bude to dělat kdykoli na něj ta hláška vyskočí – i třeba při přístupu do banky nebo k e-mailu
[2] kdysi se možná zobrazovalo varování při prvním odeslání formuláře přes HTTP, že data můžou být odposlechnuta
[3] nezasahují do komunikace a nedělají MITM

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
2.5.2015 00:36 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Hlavně by to chtělo změnit chování prohlížečů – zatímco samopodepsané HTTPS vypadá strašidelně a běžný uživatel se k takovému obsahu jen tak nedostane, zatímco u nešifrovaného HTTP prohlížeč žádné varování nezobrazí
Ses posral, ne? To by pak Mozilla nemohla inkasovat úplatky od důvěryhodných čínských soudruhů. :-D
Václav 3.5.2015 10:06 Václav "Darm" Novák | skóre: 26 | blog: Darmovy_kecy | Bechyně / Praha
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Alespoň u odesílání formuláře s heslem přes http by ty prohlížeče varování zobrazit mohly… Třeba něco ve smyslu "Pozor, stránky posílají heslo nešifrovaně. Doporučujeme nepoužívat stejné heslo jako k citlivým webům (e-banking, e-mail)"
Cross my heart and hope to fly, stick a cupcake in my eye!
4.5.2015 10:53 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Nešifrované HTTP
+1, tohle nepochopim, proč v browserech ještě není...
Přidej se k odporu proti eko-fanatismu! Konzumuj prémiové informace plné zdravého rozumu a vyhýbej se těm nevhodným!
⧠ A = 0 avatar 4.5.2015 17:22 ⧠ A = 0 | skóre: 10 | blog: Technokratovo_zrcadlo | Helsinki
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V některých to samozřejmě je.
Nevolte zmrdy.
Hans1024 avatar 6.5.2015 15:02 Hans1024 | skóre: 5 | blog: hansovo
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Myslim, ze problem je s mentalitou lidi, kteri na toto zareaguji "S cim me to zase otravuje?!?" a vsechno odkliknou a kdyz tam nebude zaskrtavatko "uz se me na to nikdy neptej", tak kvuli tomu mozna i zmeni prohlizec.
Veni, vidi, copi
Jendа avatar 6.5.2015 20:35 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Začal bych tím, že se nebude odesílat formulář s heslem.
xkucf03 avatar 6.5.2015 21:24 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Přijatelná alternativa k heslům moc neexistuje.

Takže bych začal tím, že aplikace1, do které uživatel zadává heslo2, se k němu nebude distribuovat nezabezpečenou cestou3.

[1] u webů typicky JavaScript
[2] které se klidně na klientovi může zahashovat a server se ho za normálních okolností – pokud aplikaci cestou nikdo nepozmění – nedozví
[3] nešifrované/nedůvěryhodné HTTP

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Jendа avatar 6.5.2015 21:32 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Přijatelná alternativa k heslům moc neexistuje.
Challenge-response auth. Asymetrická kryptografie.
xkucf03 avatar 6.5.2015 22:00 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP
  • asymetrická kryptografie vyžaduje, aby si s sebou uživatelé něco nosili, což pro řadu z nich není přijatelné (nebo můžou mít zase heslo, ze kterého se odvodí klíč)
  • pointa je v tom, že ať už se přihlašuješ jakkoli, potřebuješ mít důvěryhodný software1 a to jak pro to přihlášení, tak pro vlastní používání (čtení e-mailů, zadávání platebních příkazů, čtení novin atd. – jinak se stane, že e-mail a peníze pošleš jinam, než jsi chtěl, zobrazí se ti e-maily a platby, které ti ve skutečnosti nepřišly, a v novinách si přečteš nesmysly (což asi není takový rozdíl oproti realitě – Infobaden rulez :-)).

[1] když už tu důvěryhodnost nedokáže posoudit uživatel, tak aspoň důvěryhodný z pohledu provozovatele služby/aplikace – který má přístup k datům uživatelů, a ti mu tudíž musí věřit tak jako tak

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Jendа avatar 6.5.2015 22:17 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
nebo můžou mít zase heslo, ze kterého se odvodí klíč
Přesně tak. Rozdíl je v tom, že se to heslo neposílá na server - takže není možné aby nastal ten populární případ údivu „jé, já jsem serveru poslal své heslo a on ho teď zná, to je ale zlý server!“
xkucf03 avatar 6.5.2015 22:34 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Jak víš, že se to heslo neposílá na server nebo někam jinam, když ti ten JavaScript přišel po HTTP a kdykoli se ti mohla nainstalovat nová verze (takže i když jsi tu starou četl, je ti to celkem na nic)?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Jendа avatar 6.5.2015 22:36 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Samozřejmě není možné toto řešit nějakým javascriptem, heslo se musí zadávat přímo do prohlížeče, který ho ven nepustí.
7.5.2015 11:25 MarSik
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V čem je rozdíl jestli pošlu seed nebo hash? Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.

Jediný asi opravdu spolehlivý způsob je veřejný/privátní klíč a na ten uživatelé nikdy nepřistoupí (protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama).

Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
Jendа avatar 7.5.2015 16:14 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V čem je rozdíl jestli pošlu seed nebo hash?
Záleží na tom jak ten seed/hash počítáš…
Replay tím stejně neodstraním a pokud tam je sůl nebo čas, tak už je to celkem běžná forma challenge/response.
No vždyť o to mi jde.
protože nemáme uživatelsky příjemný a univerzální způsob jak pracovat s heslem chráněnýma čipovkama
I RSA/ECDSA odvozené z hesla je mnohem lepší než současný způsob.
Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.
SCRAM, ale ten mi přijde překomplikovaný. Jsou jednodušší cesty.
Petr Tomášek avatar 9.5.2015 20:07 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Vzpomínám si, že jsem četl o protokolu na přihlášení přes nezabezpečený kanál, kde server nikdy nedostal heslo v čitelné formě (ani v db, ani při přihlášení), ale už si nevzpomínám jak se ten protokol jmenoval.

Ono by úplně stačilo upravil HTML standard tak, aby se přidal nový typ formulářového pole který by heslo hashoval v prohlížeči, který by případně dostal za parametr "sůl" a na server by to posílalo jen čistý hash. Něco ve stylu:

 <form>
   <input type="hashed-password" hash-method="sha512" hash-encoding="base64" salt="GxzoEm+ce3s8z2VLpQzz4CSh5awdC0xc07fJ0o/r">
   <input type="submit">
 </form>
multicult.fm | monokultura je zlo | welcome refugees!
Jendа avatar 9.5.2015 21:25 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.
xkucf03 avatar 9.5.2015 21:40 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Nešifrované HTTP

To je pravda – součástí soli by měla být i doména serveru a jméno uživatele případně i název služby (na doméně jich může být víc).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
Petr Tomášek avatar 10.5.2015 14:39 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Co když si na svém ďábelském webu nastavím stejnou sůl jako mi vrátí AbcLinuxu a získaný hash prostě použiju?

V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...

A taky to neřeší replay a přihlášení uloženým hashem z uniklé databáze.

Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.

multicult.fm | monokultura je zlo | welcome refugees!
Jendа avatar 10.5.2015 15:05 Jendа | skóre: 76 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V tom případě by Abclinuxu bylo opravdu debilní, kdyby si poslanou sůl nepoznamenalo do databáze (nejlíp s dalším identifikátorem, např. IP adresou klienta nebo tak něco) a nechalo si vnutit sůl jinou...
Jak to pomůže?
  1. Jdu na abclinuxu.cz/prihlaseni, vygeneruje mi to sůl 1234
  2. Na svém webu kam se přihlašuješ nastavím sůl 1234
  3. Ty se přihlásíš, já získaný hash(tvoje_heslo+1234) pošlu AbcLinuxu, to mě přihlásí
Replay to řeší, pokud se zajistí pokaždé jiná sůl, viz výše.
A jak pak budeš na serveru porovnávat jestli je to heslo správné? Při registraci dostaneš hash(mojeheslo+666), při dalším přihlášení hash(mojeheslo+999), úplně jiné hodnoty, neporovnatelné.
22.5.2015 16:58 Honza
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Jsou to: Digest-MD5, Digest-SHA1, Digest-*, CRAM-*, SCRAM-*, viz RFC.

Všechny fungují tak že server pošle náhodný řetězec, klient připojí svůj náhodný řetězec a samotný hash hesla uživatele (jak je uložený v databázi). To celé zahashuje a spolu s náhodnými řetězci pošle serveru, který ověří že hash sedí.

Ten hash v té databázi je navíc ve tvaru "login:realm:heslo", takže server sice zná hash který by mohl zneužít k přihlášení jménem uživatele na jiný server, ale jen pokud ten server bude mít totožný realm.

Nejlepší na tom je, že webové prohlížeče i webové servery Digest podporují - stačí použít ne-basic .htpasswd autentizaci Apache - AuthType Digest.

viz podrobný (praktický) popis
pavlix avatar 25.8.2015 12:28 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Nešifrované HTTP
O CRAM-* bych to tak úplně netvrdil, ale jinak jsem na SCRAM udělal myslím docela hezké diagramy, které ukazují jak to funguje.
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
15.6.2018 10:24 zivl
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Souhlas!
4.5.2015 00:38 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Tak ono je to celkem jedno, pokud je na druhé straně nějaký NSA leník :-D.
4.5.2015 20:20 mikezt
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Výborne, najprv spravili z myšlienky pospájaných textových dokumentov (HTML) audio-vizuálny des a teraz to ešte celé zašifrujú. O dôvod viac začať používať Gopher.
5.5.2015 18:45 luky
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Vyborne si to vymysleli. Nejdriv v prohlizeci zkurvi dotaz na akceptovani klice a pak donuti vsechny weby, aby pouzivaly https. Jim do vedeni prisel _byvaly zamestnanec_ nejake certifikacni autority, ne? Nechapu, proc dotaz na akceptovani klice neni jeden dialog, kde je napsany otisk klice a moznosti prijmout, prijmout trvale, odmitnout.
7.5.2015 11:35 lertimir | skóre: 63 | blog: Par_slov
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Celé to souvisí pracemi na http protokolu 2.0 (http/2), který bude binární a původně vůbec neměl mít nešifrovanou komunikaci. viz 1 a 2 Pravděpodobně se do něj i nešifrovaná komunikace protlačí, ale jako spíše minoritní prvek. Mozilla jako jeden z důležitých přispivatelů k tomuto designu do toho se rozhodla šťourat i pro http 1.1
28.5.2015 12:23 ycuzo | skóre: 3
Rozbalit Rozbalit vše Re: Nešifrované HTTP
neznasam https doslovne ma obtazuje...
23.6.2015 18:29 xcvbvcx
Rozbalit Rozbalit vše Re: Nešifrované HTTP
V ankete chybi moznost hlasovat proti.
17.7.2015 15:43 Andrej | skóre: 47 | blog: Republic of Mordor | Zürich
Rozbalit Rozbalit vše Re: Nešifrované HTTP

Nešifrované HTTP by bylo svým způsobem OK, kdyby bylo aspoň kryptograficky podepisované, aby koncový uživatel mohl ověřit, že skutečně čte původní informace zveřejněné na nějakém webu. Dnešní nešifrované HTTP bohužel znamená, že se s informacemi může stát cestou cokoliv a koncový uživatel nemá možnost na to přijít.

ǑǦŹǓǕǙǞǺǨȞȬḔḦḰḾṊṎṸẄẌỖ
Luk avatar 17.7.2015 21:48 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Nešifrované HTTP
A ono se taky bohužel občas stává.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
28.8.2015 16:35 Jerzy
Rozbalit Rozbalit vše Apple a nešifrované HTTP v iOS appkách
Tohle se týká i mobilních aplikací, viz App Transport Security Technote, featura v iOS9, která defaultně blokuje všechnu HTTP komunikaci.
15.2. 14:20 call girls in gurgaon
Rozbalit Rozbalit vše Re: Nešifrované HTTP
Call girls in Gurgaon | Best and affordable Gurgaon Escorts 7291042470
Call @ 7291042470, We serve for the VIP clients who are seeking the most astonishing, delightful and splendid model-independent Call Girls in Gurgaon
https://rishikeshgirls.in/call-girls-in-gurgaon/
https://www.oyobook.com/
Call girls in Rishikesh 9999416576 Independent Escorts Service Rishikesh
Are feeling exhausted and tired without Call girls Rishikesh 9999416576 Book High Profile Call girls in Rishikesh, Escorts in Rishikesh VIP russian escort.
https://rishikeshgirls.in/
High Profile Call Girls in Gurgaon | 7291042470 | Escorts in Gurgaon
Beautiful High Profile Call Girls in Gurgaon. As escorts in Gurgaon Service offer satisfied service for you & get a perfect choice
https://muskangirlsdwarka.in/high-profile-call-girls-gurgaon/
Best escorts in Gurugram | 9990069753 | high profile call girls Gurugram
We offer our great VIP deals independent escorts Gurugram & high profile call girls Gurugram who will give you deep lusty lovemaking session.
https://muskangirlsdwarka.in/gurgaon/
VIP call Girls in Gurgaon | 7291042470 | Independent escorts
Best high profile call girls in Gurgaon 7291042470, beautiful call girls Gurgaon & independent Escorts in Gurugram, Haryana. Hire sexy girls models Gurgaon.
https://www.singledate.in/
Call girls in Gurgaon Call @ 7291042470 & get bets Gurgaon Escorts
100% Authorised call girls in Gurgaon booking. Call 7291042470 for booking escorts in Gurgaon, get best Call girls in Gurgaon
https://www.singledate.in/call-girls-huda-city-center/
http://thelawassociate.com/
Call girls in Dwarka Book now 9990069753 Dwarka Escorts Service
We are hot & sexy Independent Escorts in Dwarka call 9990069753 for VIP Call girls in Dwarka, feel deep sex @ High Profile call girls Dwarka.
https://muskangirlsdwarka.in/
24 Hour Service Call Girls in Gurgaon 7291042470 Escorts in Gurgaon
Hello, i am Muskan 24*7 call girls in Gurgaon service provider. I am Gurgaon escorts entrepreneur, as an business Russian escorts in Gurgaon.
https://muskangirlsdwarka.in/sikanderpur-gurgaon/
Call girls in Dehradun 9999416576 | Dehradun VIP Escorts Service
Enjoy fun with Independent call girls in Dehradun 9999416576 Book Escorts Service in Dehradun now. High profile escorts in Dehradun, Vip call girls Dehradun
https://rishikeshgirls.in/call-girls-in-dehradun/
Independent Agra Escorts Services 7291042470 VIP Call girls in Agra
Agra Escorts service have gathered a collection of the most sexy High profile call girls in Agra, VIP Russian Models collection, independent escorts in Agra
https://rishikeshgirls.in/call-girls-in-agra/
Naughty Nights in Delhi 7291042470 Premium Call Girls in Delhi
Find the most beautiful russian Call Girls in Delhi 24/7 by connecting our high profile female independent Escorts in Delhi . Call: 7291042470
https://muskangirlsdwarka.in/services/call-girls-in-delhi/
https://gurgaon.oyobook.com/
Call Girls In Haridwar 9999416576 High profile Russian Escorts Haridwar
Hire independent Russian call girls in Haridwar, Our VIP call girls Haridwar offered services 24/7 Call 9999416576, high profile escorts Haridwar & Models.
https://rishikeshgirls.in/call-girls-in-haridwar/
https://www.torontoplumbinggroup.com/
https://aqualuxdp.ca/
https://agra.oyobook.com
https://argentina.oyobook.com
https://australia.oyobook.com
https://noida.oyobook.com
https://belgium.oyobook.com
https://bengaluru.oyobook.com
https://brazil.oyobook.com
https://canada.oyobook.com
https://chandigarh.oyobook.com
https://dehradun.oyobook.com
https://delhi.oyobook.com
https://denmark.oyobook.com
https://france.oyobook.com
https://germany.oyobook.com
https://gurgaon.oyobook.com
https://haridwar.oyobook.com
https://hyderabad.oyobook.com
https://jaipur.oyobook.com
https://malaysia.oyobook.com
https://mumbai.oyobook.com
https://netherlands.oyobook.com
https://pune.oyobook.com
https://singapore.oyobook.com
https://spain.oyobook.com
https://thailand.oyobook.com
https://udaipur.oyobook.com
https://uk.oyobook.com
https://usa.oyobook.com

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.