abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Videozáznamy z LinuxDays 2025
    včera 20:00 | Komunita

    Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

    Ladislav Hagara | Komentářů: 0
    Turris Omnia NG
    4.10. 15:22 | IT novinky

    Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

    Ladislav Hagara | Komentářů: 13
    Přímý přenos z LinuxDays 2025
    4.10. 05:22 | Komunita

    Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

    Ladislav Hagara | Komentářů: 11
    Soud zrušil rekordní pokutu pro Avast
    3.10. 22:44 | IT novinky

    V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

    … více »
    Ladislav Hagara | Komentářů: 3
    Google Chrome 141
    3.10. 19:00 | Nová verze

    Google Chrome 141 byl prohlášen za stabilní. Nejnovější stabilní verze 141.0.7390.54 přináší řadu novinek z hlediska uživatelů i vývojářů. Podrobný přehled v poznámkách k vydání. Opraveno bylo 21 bezpečnostních chyb. Za nejvážnější z nich (Heap buffer overflow in WebGPU) bylo vyplaceno 25 000 dolarů. Vylepšeny byly také nástroje pro vývojáře.

    Ladislav Hagara | Komentářů: 0
    eDoklady mají kvůli vysoké zátěži technické potíže
    3.10. 17:11 | Upozornění

    eDoklady mají kvůli vysoké zátěži technické potíže. Ministerstvo vnitra doporučuje vzít si sebou klasický občanský průkaz nebo pas.

    Ladislav Hagara | Komentářů: 7
    Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling
    3.10. 17:00 | Komunita

    Novým prezidentem Free Software Foundation (FSF) se stal Ian Kelling.

    Ladislav Hagara | Komentářů: 1
    Vývoj webového prohlížeče Ladybird (09/2025)
    3.10. 14:33 | Komunita

    Na čem pracují vývojáři webového prohlížeče Ladybird (GitHub)? Byl publikován přehled vývoje za září (YouTube).

    Ladislav Hagara | Komentářů: 0
    Vyšla kniha Počítačové programy a autorské právo
    3.10. 12:33 | Upozornění

    Vyšla kniha Počítačové programy a autorské právo. Podle internetových stránek nakladatelství je v knize "Významný prostor věnován otevřenému a svobodnému softwaru, jeho licencím, důsledkům jejich porušení a rizikům „nakažení“ proprietárního kódu režimem open source."

    javokajifeng | Komentářů: 0
    Neoprávněný přístup do GitLab instance používané konzultačním týmem Red Hatu
    3.10. 01:11 | Bezpečnostní upozornění

    Red Hat řeší bezpečnostní incident, při kterém došlo k neoprávněnému přístupu do GitLab instance používané svým konzultačním týmem.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (38%)
     (45%)
     (15%)
     (17%)
     (20%)
     (15%)
     (17%)
     (16%)
     (15%)
    Celkem 175 hlasů
     Komentářů: 12, poslední 4.10. 20:35
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Linuxová poradna / Firefox 51.0.1 a nedostatečn zabezečené weby
    Štítky: copy, error, Firefox, Internet, paste, prohlížeče, web

    Dotaz: Firefox 51.0.1 a nedostatečn zabezečené weby

    18.2.2017 14:49 lertimir | skóre: 64 | blog: Par_slov
    Firefox 51.0.1 a nedostatečn zabezečené weby
    Přečteno: 1090×
    Potřeboval jsem se připojit na web s https, který má starší šifry a Firefox mi dá nejen varování 
    An error occurred during a connection to aaaaaa.bbb. Peer attempted old style (potentially vulnerable) handshake. Error code: SSL_ERROR_UNSAFE_NEGOTIATION

    Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
    Kontaktujte prosím vlastníky webového serveru a informujte je o tomto problému.
    To, co mne překvapilo, že nebyla žádná možnost jak vzít informaci na vědomí a pokračovat na web. Nevíte jak to obejít? Myslím ve firefoxu, samozřejmě copy paste do Konqeroru funguje.
    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    Jendа avatar 18.2.2017 17:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    https://brmlab.cz/user/jenda/ssl3
    18.2.2017 17:42 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    no já tě chápu. Ale jednodušší je skutečně stránku otevřít v konqueroru. Ale proč to bloknou ve firefoxu tak natvrdo.
    Jendа avatar 18.2.2017 19:58 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Ale proč to bloknou ve firefoxu tak natvrdo.
    Nekompatibilní světonázor (Jste stará rezavá konzerva, která si pořád myslí, že vám mají počítače sloužit a nechápete ten skvělý pokrok.). Stejně jako proč nejde overridnout HSTS, HPKP a OCSP, v nastavení zrušili vypnutí javascriptu a obrázků, zrušili možnost zastavit animaci gifů, a s přechodem na nový formát rozšíření se velmi ztíží věci jako NoScript.
    18.2.2017 21:08 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Jen klid dit už nic neříkám, já sám se v sobe potýkám.
    Jendа avatar 18.2.2017 21:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    To nebylo poznat že první věta (i se závorkou) je ironie?
    18.2.2017 21:13 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    bylo. moje odpověď také.
    18.2.2017 21:42 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Ale asi nebylo poznat, že to je citace. :-)
    18.2.2017 22:48 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Predpokladam, ze ta stranka sa snazi donutit clienta pouzit SSLv2, alebo SSLv3. Oba protokoly su derave a ich pritomnost na servri znizuje bezpecnost aj TLS. Preto sa postupne odstranuju z kniznic a tym padom, skorsie ci neskorise, aj z browserov. Ked ma pamat neklame, tak FF a Chrome ide cestou to odstranit bez cakania, az budu odstrane z beznych kniznic ... Podla merani je uz len cca 0.3% trafficu cez tieto protokoly ... pokial ma niekto velmi silnu potrebu ist na tak biedne zabeznecenu stranku (e.g. server nebol uz dlhsie updatnuty), tak je zatial moznost znovu povolit SSLv3, lebo pouzit nejaky "proxy", ako napr socat. Ako sa da ocakavat, tak obe moznosti nie su doporucovane ...
    20.2.2017 08:54 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    A nebo na tu stránku jít přes HTTP, pokud to umožňuje. Aspoň pak uživatel nemá tu iluzi bezpečnosti.
    20.2.2017 15:36 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    presne tak :)
    23.2.2017 12:51 Jirka
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Z vaší diskuse vyplývá použití ne zrovna bezpečných verzí protokolů na odmítnuté stránce.

    Jenže já se nemůžu cca týden dostat hlavně na stránky Microsoftu, Mozilly a ESETU, kde hledám pomoc s tímto problémem - Win 10, poslední sestavení, se všemi kritickými aktualizacemi. FF ver. 50.0.1.

    V případě ESETU se nedostanu např. na stránky servisu:

    https://servis.eset.cz/knowledgebase/article/View/338/54/eset-log-collector

    A taky se nedostanu na stránky Mozilly:

    https://forum.mozilla.cz/viewtopic.php?t=2751

    Po restartu Firefoxu 50.0.1 se to u jedné stránky dočasně spravilo a přístup byl možný.

    Ted zrovna mi přestala jít i pošta na seznamu, která ještě před chvílí fungovala bez potíží.

    Tak nevím. Docela to vadí a od Mozilly je nefér to, že nenapíše příčinu (protokol), zakáže i sama sebe a řekne jen, informujte tvůrce stránek. Jak, když na stránky se nedostanu.

    A pokud mi zruší noscript a další rozšíření, tak s mou dosud milovanou Mozillou končím. Místo aby se snažili lišit, snaží se vypadat stejně jako Chrome. Pak si klidně můžu přejít na Chrome a nemusím se s nimi potýkat.

    Chci se zeptat, která verze TLS je tedy bezpečná? Má smysl v prohlížeči u HTTPS zakázat ty ostatní protokoly TLS a SSL? ( ted zrovna to dobré zřejmě není, ale obecně.)

    Jirka

    23.2.2017 13:18 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    V tom případě ale není problém ve Firefoxu, ale v tom, že na vás nejspíš někdo útočí a Firefox vás správně před tím útokem ochrání. Vyzkoušejte, zda to na stejném počítači dělají i jiné prohlížeče, případně zda se stejně chovají i jiné počítače ve stejné síti. Podle toho poznáte, zda je útok veden na prohlížeč, počítač nebo síť.
    23.2.2017 13:19 ES
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Tak to asi mate vetsi problem nez jenom nefunkcni FF.
    Heron avatar 23.2.2017 13:37 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Zkoušel jsem ty dva uvedené weby na Win10 a FF 51.0.1 (nikoliv tedy 50), a vše funguje OK, oba weby jedou přes TLS 1.2 a kromě mírné stížnosti na RSA je to spojení v pohodě.

    Takže problém bude někde u vás, nemáte na síti náhodou zastaralou proxy?

    Verze TLS jsou bezpečné aktuálně všechny (preferuje se TLS 1.2), verze SSL nejsou bezpečné žádné a mělo by se od nich už dávno ustoupit (sslv2 2011, sslv3 v 2015). TLS 1.0 je tady od 1999, takže náhrada byla hodně dlouho před koncem ssl.
    Heron
    23.2.2017 13:44 lertimir | skóre: 64 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Problém je lokální. jednak jsou stránky viditelné v mozile 48 50 i 51. jednak vytvářejí bezpečné weby. eset a mozilla
    23.2.2017 14:22 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Docela to vadí a od Mozilly je nefér to,...
    Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada. Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ... Mozila vas spravne informuje ze "Error code: SSL_ERROR_UNSAFE_NEGOTIATION".

    Pozeral som ako je nastavena stranka servis.eset.cz. Podporuju len bezpecne TLS + bezpecne sifrovacie schemy. Takze v tomto pripade je problem vo vasom PC, alebo vasej sieti. Moznosti je viacej:
    - mate zavirovane pc
    - mate nainstalovanu nejaku odpocuvaciu applikaciu typu superfish
    - niekto na sieti sa vam znazi naburat do pocitaca (uplne staci hacknuty router)
    - mate na sieti stare proxy
    - mate na pocitaci, alebo v sieti zle nakonfigurovany antivirus

    Je uplne jedno, ktora je to moznost, kazda jedna je zla. V najhorsom pripade to moze viest k situacii, ze utocnik ziska citlive udaje z browseru, alebo este viac zaviri vasu masinu.

    Doprocujem nejak systematicky prejst jednotlive veci a skusit zuzit problem na konkretne miesto. E.g.:
    - FF s cistym profilom (bez pluginov), sa sprava rovnako ?
    - chrome na tej istej masine vyhadzuje podobne chyby ? (IE / Konqeror ani netreba skusat, jedno horsie ako druhe)
    - mate v systemovom trust store nejaky ca cert, ktory ocividne vypada zly ? (superfish, lenovo, symatec, etc..)
    - FF na inej masine v tej istej sieti sa sprava podobne ?
    - co ukaze host servis.eset.cz ? (mne vrati 91.228.165.24)
    - co ukaze openssl s_client -connect servis.eset.cz:443 -no_ssl2 -no_ssl3 -no_tls1 -no_tls1_1 ?

    ... podobny problem som riesil nedavno u znamych. Niekto im vybural router a zmenil DNS server. Vdaka tomu bolo vsetko routovane cez utocnikov server ... samozrejme, ze riesili ako vypnu tu hlasku vo FF a nie, ze im niekto odpocuva celu LAN siet ... ludia su prote nepoucitelny.
    Jendа avatar 23.2.2017 18:59 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada.
    Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu. Je záhodno, aby se zeptal, jestli jsem se nepřeklepl, nebo aby mě na síťový problém upozornil, ale znemožnit akci je prostě nepřijatelné.
    Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ...
    O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.
    Heron avatar 23.2.2017 19:24 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu.
    Dobře, nejsi 99% a dle tvé wiki jsi si vytvořil prostředek, jak přesně to co chceš dosáhnout. Případně si můžeš přepsat ten prohlížeč tak, aby ti vyhovoval.
    O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.
    Problém je, že add exception v realitě znamená, že na to bude každej (ok, možná ne úplně každej) klikat jak pominutej a po chvíli ani nebude vnímat, že to tam je. Ostatně tak jak jsme v minulosti viděli třeba i u státní správy, kdy bylo oficiálními místy doporučováno klikat na add exception (afaik u datových schránek) a to, že tam dva roky nebyl platný cert nějak nikomu nevadilo (takže ideální pozvánka pro mitm).
    Heron
    23.2.2017 22:03 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Ne, v tomto případě ta umělá inteligence správně odhalila útok, zatímco uživatel řeší, jak jí obejít a nacpat tajná data útočníkovi. Pokud nejste 99 % a webovému prohlížeči a jeho zabezpečení perfektně rozumíte, tak vás přece nějaké nastavení pro BFU nezastaví, protože máte prohlížeč nastavený po svém.
    chybí tlačítko Add Exception.
    To tlačítko tam nechybí. Jak se dočtete výše, kdyby tam bylo, uživatel se na nic neptal, zmáčknul by ho a dostal by se na web podvržený útočníkem. Díky tomu, že tam není, musel se zeptat, a dozvěděl se, že má napadený počítač nebo síť. Ta absence tlačítka tedy zafungovala přesně tak, jak měla.
    24.2.2017 11:28 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    chybí tlačítko Add Exception.
    Miesate dve veci:

    1) ked nie je v poriadku certifikat, alebo sa neda overti, tak uzivatel dostane moznost "add exception". V tom momente sa spojenie degratuje na uroven "ssh", kde sa pri prvom pristupe zapameta certifikat a pri daslom kontroluje. Ak dojde k zmene, tak uzivatel je na to upozorneny. Toto je podla mna vporiadku, lebo vela ludi ma doma zariadenia, na ktorych mozno chce (musi mat) HTTPs, ale zbytocne riesit drahy cert. Takze "ssh" styl autorizacie (e.g. akceptujem pri prvom spojeni) je vporiadku.

    2) lertimir-ovi nieco downgradovalo spojenie na sifrovaciu schemu, ktora nie je podrporovana Firefoxom. Takze tam ani nema mat ako "add exception", lebo proste je to uz koniec. Dalo by sa to prirovnat k v vyplakavaniu nad "HTTP 404", alebo "HTTP 500". Tam to je uz tiez konecna a nejake zazracne tlacidlo ten obsah proste nema ako zobrazit ...

    btw: v oboch pripadoch nejde o ziadnu umelu inteligenciu. Tu sa nebavime o robotoch, co citaju stranky a kategorizuju ich podla obsahov. Tu sa bavime o transportnej urovni, ktora ma presne dane pravidla co je dobre a co nie ... a ci sa to ludom paci, alebo nepaci, tak bezpecnost nejak zarucena musi byt. Predpokladam, ze vela ludom by sa pacil domaci trezor, ktory sa odomkne pri pohlade na neho, ale uz menej by sa im pacil trezor, ktory sa odomkne ak sa nanho pozrie zlodej ... a toto je presne pripad tu ...
    24.2.2017 12:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    V tom prvním případě to ale znamená, že útočníkovi stačí podvrhnout self-signed certifikát – a uživatel si ho s radostí přidá do výjimek.
    zbytocne riesit drahy cert
    Certifikát je možné mít zadarmo.
    Takze "ssh" styl autorizacie (e.g. akceptujem pri prvom spojeni) je vporiadku.
    Není, protože uživatel to stejně nikdy nezkontroluje.
    27.2.2017 17:24 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    V tom prvním případě to ale znamená, že útočníkovi stačí podvrhnout self-signed certifikát – a uživatel si ho s radostí přidá do výjimek.
    Browser musi poukazat na problem, ale nemoze byt ako pestunka. Ked pise "not secure" na spojenie a uzivatel sa aj tak bude snazit pokracovat, tak je to uzivatelova chyba. Tak isto ako vyrobca trezoru moze vysvetlit uzivatelovi, ze nema rozdavat svoj pin kazdemu koho vidi, ale realne nema sancu mu zabranit aby to spravil. Nie je chyba trezoru, ak sa donho zlodej dostane cez vyzradene heslo. Tak presne neni chyba browseru, ak si uzivatel prida certifikat, aj ked mu jasne napise, ze to nie je dobre.

    Chrome pise: 
    Attackers might be trying to steal your information from example.com (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID
    Firefox pise: 
    The owner of example.com has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.
    Otvorene poviem, ze chrome ma toto lepsie napisane. Bezny uzivatel strati pozornost tak po 4 - 5 slovach, kde ma chrome "attackers" a tesne "steal". Firefox zacina tak, ze to asi ani neni problem, len nevedia nastavit stranku ... aj ked, potom sa len trosku opravia
    Certifikát je možné mít zadarmo.
    Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.
    Není, protože uživatel to stejně nikdy nezkontroluje.
    Vid. prva cast mojej odpovedi ... ked si to nekontroluje je to jeho chyba, kto si to vie skontrolovat, tak moze fungovat aspon ako "ssh".
    Josef Kufner avatar 27.2.2017 19:14 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Tohle srovnání Firefoxu a Chrome je na bugreport (do Firefoxu).

    Otázka je, zda uživatel má dostatečné technické znalosti, aby byl schopen zvážit rizika a vůbec pochopit, co se děje. U drtivé většiny uživatelů tomu tak nebude a spoustě adminů a poskytovatelů služeb to ušetří práci s řešením problémů s ukradenými hesly a vykradenými účty.

    Pokud jde o admina a certifikát na intranetu, tak si má udělat svou certifikační autoritu a tu si naimportovat, kde potřebuje. Mám takle skriptem generované certifikáty pro lokální testovací domény a krom chvíle nastavování kdysi na začátku to funguje velmi dobře.
    Hello world ! Segmentation fault (core dumped)
    27.2.2017 19:55 j
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Uz sem mockrat psal ....

    1) uzivatele bezpecnost nezajima 2) uzivatel desitky let pouziva http a nikomu to nevadi 3) browser ma i u https drzet hubu a web zobrazit 4) teprve kdyz uzivatel chce bezpecnost resit, mel by mu browser poskytnout nastroje (ty aktualne neexistuji zadne) 5) teprve potom by mel browser upozornovat (na nesrovnalosti) pripadne blokovat (pri naruseni te vyzadane bezpecnosti)

    Mimochodem, mam slusnych par let zkusenosti s bezpecnosti ve firemnim sektoru. Zcela bez vyjimek plati, ze cim vic se bezpecnost vymaha po uzivatelich, tim horsi ve skutecnosti je. Konkretne, banka, povinost menit heslo co tyden, pamet 2 roky zpet ... 12+ znaku, kontroly na lepiky pod klavesnici atd atd ... vysledek? Jeden vymyslel a vsichni pouzivali ... jedno heslo, ktere splnovalo pozadavky, a kteremu zmenili co tyden prave cislo tydne v roce (a pripadne ten rok). Tzn stacilo okoukat heslo 1x a bylo mozne jej urcit na libovolny termin dopredu i dozadu. Ale bylo, dle korporatnich pravidel, naprosto bezpecne.

    Tohle je exaktne totez. Uzivatel chce aby mu to fungovalo, chce ten web videt. Nezajima ho co si o tom mysli nejakej vul nekde v kotehulkach.

    Navic treba varovani kolem selfsign je totalni kravina ze vsech existujicich uhlu pohledu. Selfsign cert je exatkne stejne naprd jako libovolnej cert vydanej libovolnou CA. Naopak, je o rad bezpecnejsi (minimalne) protoze (kdyby to browser umel, jako ze neumi) je mozny ho svazat s danym webem, a priste pripadne resit, jestli se zmenil.

    Jeste vetsi sranda je pak to, ze tam kde bezpecnost alespon nejaka* je (DANE a spol) se tomu browsery vyhejbaj jak cert krizi ... procpak asi.

    *Porad tu existuje problem, ze se zmeni DNS a roli CA prebira provozovalel DNS, ale kdyz nic jinyho, tak se provozovatel webu o ty zmene dozvi (nebo muze dozvedet), coz v pripade vydani certifikatu nejakou CA nema sanci. Navic DNS stejne uzivatel verit musi, protoze jinak se nikam nepripoji.
    27.2.2017 21:42 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Browser musi poukazat na problem, ale nemoze byt ako pestunka.
    Kde je ta hranice? Když dostane certifikát podepsaný MD4 nebo mu server nabídne jako jediný protokol SSL2, má dát uživateli na výběr a umožnit pokračovat? To kvůli tomu musí být v dnešním prohlížeči MD4 a SSL2 implementované? A když ten „web“ vůbec nebude podporovat HTTP, tak prohlížeč poukáže na problém, ale když uživatel prohlásí, že chce pokračovat, tak prohlížeč vytiskne požadavek, vloží do obálky a pošle jí poštou? Schválně uvádím absurdity, aby bylo jasné, že uživatel nikdy nemá bezbřehou možnost výběru. Vždycky je omezený tím, co mu prohlížeč nabízí – a zrovna u těch certifikátů a algoritmů je to tak, že by prohlížeč uživateli něco mohl umožnit, protože to implementované má, a druhý den už to implementované nemá. Ostatně, kdyby platilo, že co prohlížeč jednou začne podporovat, musí podporovat už na pořád, budou prohlížeče pořád jenom bobtnat a bobtnat.
    Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.
    Ten certifikát může vystavit třeba chytrý domácí router, ten se k tomu hodí.

    Jinak to, že je zařízení v intranetu, vystavení certifikátu nevadí. To, že nemá DNS záznam v externí zóně je chyba, a doufám, že tenhle nesmysl odejde do věčných lovišť nejpozději s NATem, je to „řešení“ ze stejného těsta. Podporu na spouštění skriptů/binárek pro vystavení certifikátu nepotřebujete. Pokud ta HW konzole serveru, router a podobná krabička umožňuje nahrát privátní klíč a certifikát, tak tam certifikát od Let's Encrypt dostanu. A pokud má to zařízení nějaký certifikát zadrátovaný napevno, aspoň už vím, co příště nekupovat.
    ked si to nekontroluje je to jeho chyba
    Není. Pokud nějaký bezpečák přistupuje k bezpečnosti způsobem „uživatel si musí zkontrolovat, musí vědět, musí znát“, tak nic neumí. Hodit bezpečnost na neznalého uživatele je snadné, ale žádnou bezpečnost to nezajistí. Systém musí být bezpečný sám o sobě, nemůže spoléhat na to, že uživatel se bude pořád o bezpečnost starat.
    24.2.2017 06:57 Kate | skóre: 9
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Jendo, jenže ty se ve chvíli kdy se nedostaneš z FF na web Mozilly, Esetu a podobných asi začneš nejdřív zajímat jestli mají něco s certifikáty a hned potom jestli na tebe třeba tvůj router neprovádí MITM. Což je v tu chvíli celkem možná varianta. Zatímco tazatel už hledá jak to obejít. V tu chvíli jsou veškeré obranné mechanismy prohlížeče k ničemu, protože i kdyby to bylo zastrčené hluboko v about:config, uživatel by si na netu návod našel.
    27.2.2017 17:36 j
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    To jiste, nejlepsi je, kdyz si user nainstaluje starou verzi browseru, a zakaze ji aktualizace, protoze ma naprosto v riti nejaky ssl/tls/ a dalsi cypoviny, ale chce aby mu ten web fungoval ...

    A to je presne to, co se stane.

    2lertimir: Nahod si pale moon (a zrus FF). Pokud ti nebude z nejakyho duvodu vyhovovat vychozi nastaveni, tak si do nej jeste dej palemoon commander. Pribudou ti advanced options. Mno a tam si muzes pozapinat co jen libo (v about config to jde samo taky, ale tohle je precijen privetivejsi).
    23.2.2017 22:18 eset
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Open ESET > F5 to enter advanced setup> Web and Email > SSL/TLS- disable.
    Jendа avatar 23.2.2017 19:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Jako že než použít protokol, na který je známý nějaký útok (který může vyžadovat MITM, nějaké další podmínky co do přenesených dat a konfigurace serveru atd.), je lepší použít protokol, který je možné odposlechnout úplně triviálně?
    27.2.2017 17:48 j
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    To je presne nazor soudruhu z mozilly, je prece lepsi se na APcko prihlasovat opentext heslem, nez pouzit sice (teoreticky)* deravou, ale precijen sifru.

    *Teoreticky, protoze vetsinou je treba odchytit pomerne dost dat, na coz treba login k nejaky krabce rozhodne nestaci.

    Jako bonus je to dokonalej zpusob, jak BFUcka dotlacit k tomu, aby pouzivali prohlizec, se kterym jim to funguje = starej a neaktualizovanej, protoze oni to(at uz cokoli - televize, pracka, lednicka, apcko, router, .... vsechno veci ktery se v domacnostech pouzivaji dokud fyzicky neumrou, coz i s kurvitkama muzou bejt desitky let) chteji pouzivat.

    A to vse ve jmenu pseudobezpecnosti, "zajistovane" "autoritami" ... ktere vydaji kdykoli komukoli jakykoli certifikat k cemukoli, coz se pravidelne a setrvale deje. Zato dat provozovatelum webu a jejich uzivatelum realnej nastroj, na slusny zajisteni bezpecnosti, nato nemaji cas, protoze pridavaj kravince jako napriklad https://www.abclinuxu.cz/zpravicky/firefox-test-pilot-rozsiren-o-snooze-tabs-a-pulse zato podstatny veci https://bugzilla.mozilla.org/show_bug.cgi?id=14328 hnijou a hnijou (s DANE a DNSSEC to primo souvisi, protoze je treba implementovat obecnej DNS dotaz). Krasnych 18 let coz?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.