A PH! lapcsalád mikor lesz HTTPS?

"várhatóan rendkívül idegesítő funkcióra"
Ha lesz lehetőség rá, akkor biztosan kikapcsolom ezt a funkciót...

[ Szerkesztve ]

Holnap országszerte 10 fok várható. Ebből 2 Budapesten, 1 Győrött, 2 Miskolcon...

Basszus, nem is tudtam, hogy az Operát is már a Mozilla csapata fejleszti.

<-ƘƘ->

Sima statikus weboldalnak mi a bubanatnak https?
Ha ertesitenek a juzeteket ugyis siman csak tovabb-tovabb-tovabb el sem olvasnak mi az.

Talán nem kellett volna elrejteni a böngésző sorban a HTTP, HTTPS - tagokat, és akkor a kedves felhasználó látná, hogy mit néz.

Azert, hogy biztosan attol kapd az informaciot, akire szamitasz.

while (!sleep) sheep++;

Nálam a chrome egy zöld lakattal jelzi, vagy nem az?

Az authentikáció mehetne HTTPS-en, de nem gondolom, hogy túl sok bizalmas infó cserélne helyet azon kívül. Szóval a logintól eltekintve a maradék még lehetne sima http...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Megnéztem, nekem az egyébként nem használt IE végig kiírja az URL-t, az Opera meg a lehagyaja az elejéről a protokollt. Érdekes, erre nem is figyeltem fel eddig, az meg még érdekesebb hogy nem is találok olyan olyan bekapcsolható opciót az Opera-ban hogy írja ki végig az URL-t.

Most nem kötekedésképpen, de régebben (talán a mostani is?) az Explorer külön felhívta a figyelmemet, hogy az oldalra küldött adatokat titkosítatlanul küldöm és ajajaj mások is megszerezhetik az adataimat. Ez voltaképp valami hasonló volt (van).

Az megint más kérdés, hogy első körben kapcsoltam is ki. Nekem ne pofázzon a böngésző!

(Azért nem vagyok képben a mai Explorer-ek státuszával, mert már vagy 7-8 éve csak Firefox fut nálam.)

"Sokkal könnyebb gazdagon boldognak lenni, mint szegényen" (Moldován András)

Erre mondják a hírben említett fejlesztők, hogy kevés, mert preventíven arra szeretnék felhívni a figyelmet, hogy most éppen nincs ott a zöld lakat, tehát nem vagy biztonságban.

<!-- Hello tourist on the right side, hello tourist on the left side -->

Miért nem színezik a címsávot? Biztonságos kapcsolatnál zöld, nem biztonságosnál valami halvány piros színe lehetne. Informatív is, nem is tolakodó.

"«Fuck does Cuno care?» The boy turns to you. (He doesn't care.)" [+] "The parasite makes nothing for itself. Its only tools are taxes and tithes meant to trick you into offering what it has not earned. In Rapture we keep what is ours." [+] 

Detto, nálam az IE10 is tudja és igen, én is kikapcsoltam anno.

Az mondjuk már más tészta hogy nálam azért nincs fent az IE 11 és nem is lesz mert az szétcseszi a minialkalmazásokat W7 alatt, míg IE10 alatt minden patent.

Valóban sikerült a legtöbb hátrányt elsimítani:
- Sebesség: Az SSL kulcsok cseréje időt vesz igénybe, emiatt a titkosított kapcsolat lassabb lehet. Ezen segít a google SPDY protokollja, bár kliens és szerver oldalról is kell a támogatás.
- 1 IPhez csak 1 ssl cert tartozhat: Erre van megoldás, de a régebbi böngészőknél még lehet probléma.
- Pénz: Minden oldalhoz (sőt aldomainhez) külön ssl cert kell, bár erre is vannak ingyenes megoldások
- Biztonság: Az OpenSSL bizalma elég erősen megingodd a Hearbleed bug (amit sokak szerint az internet eddigi legkomolyabb hibája volt) óta, ami legközvetlenebbül SSL-es oldalakat sújtotta

Szóval szerintem is mindenki átállhatna rá, de azért remélem a chrome ésszerű és nem zavaró módon fog figyelmeztetni a nem olyan biztonságos oldalakra.

Amúgy pont a Chrome-ot sokan kritizálják a cert visszavonásokat figyelmen kívül hagyó SSL kezelése miatt.

[ Szerkesztve ]

Ingyenes SSL cert csak non profit oldalaknak jar. Ha uzleti tevekenyseget folytatsz ami siman igaz a PH!-ra akkor meg kell venned. Mondjuk nem halnanak bele ha ki kellene fizetni...

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

Wildcard SSL-t nem nagyon kapsz ingyen sehonnan, így cseszheted az aldomaineket.

[ Szerkesztve ]

Újabb átgondolatlan, életképtelen ötlet gugliéktól. Mostanság egyre több az ilyen....

Tea az élet!

Ha valaki nagyon akar, akkor https-en is tud fülelni, azért meg senki nem fog lemondani a kívánt weboldalról mert "potenciálisan" bárki lefigyelheti.

HTTPS-en azert nehezen. HTTP-n meg trivialis a dolog.

while (!sleep) sheep++;

Azért a man-in-the-middle támadás megvalósítása jóval nehezebb mint egy egyszerű Sniff.

"Sima statikus weboldalnak mi a bubanatnak https?": mert már annyira nincs mit csinálni a böngészővel, hogy fújni kell valami marhaságot, hogy hír legyen belőle.

(#6) emvy: "Azert, hogy biztosan attol kapd az informaciot, akire szamitasz.": és ha kiírja a böngésző, hogy most http-re váltott, akkor tudni fogja, kitől jön az infó? hint: nem. arról meg nem beszélünk, hogy a közelmúlt eseményei alapján a http és a https protokollok biztonsága nagyjából egyforma.

(#9) dabadab: "Igazából az a kérdés, hogy tulajdonképpen mi szól a http mellett?": nem, az a kérdés, mi szól a http lecserélése mellett. szerintem semmi. "valami minimális processzoridőt megtakarít a titkosítás hiánya": ez kliens oldalon minimálisnak tűnik, de szerveroldalon, ilyen kis helyi blogok, mint pl. a ph! 400 ezer regelt felhasználó és valószínűleg sok párhuzamos néző, már nem kis prociidőről beszélünk. a https ellen szól még az is, hogy kicsit nehezebb hozzá rendesen megfaragni a hálózatot, régebbi oprendszereken nem megy annyira nagyon jól, stb.

mi szól még a https ellen... pontosan melyik https-ről beszélsz? hint: legutóbbi ssl bug után szétrobbant az ssl és ezen a héten az a menő, ha saját ssl implementációd van. miért is erőlteti a kugli a saját hülyeségét?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"a http és a https protokollok biztonsága nagyjából egyforma"

Hat, nem, nagyjabol nem egyforma. Te gondolom benne hagyod a kocsidban a kulcsot ejjel az utcan, csak nyilt levelezolapon levelezel, a szervereiden nem hasznalsz tuzfalat, mert szamodra vagy 100%, vagy 0% a biztonsagi szint.

Az extra savszeligeny elhanyagolhato, nyilvan (par szazalek). A Google sajat meresei szerint a front-end szervereiken a TLS a CPU-terheles kevesebb, mint 1%-at jelenti.

A mostansag hasznalt szimmetrikus cyhperek nagyon optimalisak, raadasul az osszes modern CPU-ban vannak ehhez szukseges utasitasok.

Forras: High Performance Browser Networking. Chapter 4. Transport Layer Security (TLS)

[ Szerkesztve ]

while (!sleep) sheep++;

Attól függ, hogy ki akar közbeékelődni. A pistike szintű kíváncsiskodóktól véd, de ha mondjuk egy nsa kíváncsi, akkor egy szintén hiteles tanúsítvánnyal ülnek közbe, amit biztonságosnak jelez minden, ami nem nézi azt is, hogy ez ugyanaz a tanúsítvány-e mint az előző látogatásnál.

Egyébként több helyen is láttam már, hogy rosszul használják a tanúsítványokat, nem csak azon az aldomainen amire szól. Egyetemen, de banki oldalon is láttam már ilyet. Persze ilyenkor mindenféle figyelmeztetés jön fel, amit a felhasználó továbbnyom.

Szóval igazából nyugodtan lehet közbeékelődni bárkinek, nem sokan fogják érteni mi történik. Olyan beállítással meg, ami nem engedi megnyitni a lapokat megint nem lehet működni, mert tényleg fontos oldalakon is el van cseszve, amit viszont nem tilthatnak le.

[ Szerkesztve ]

a kulcsot nem hagyom benne, de vannak olyan környékek, ahol jobb nyitva hagyni, mert legalább nem törik be az ablakot.

az alapvető nézőpontbeli különbségünk az, hogy te/ti egy idealizált világról beszéltek, ahol az ssl meg a tls implementációk frissek, naprakészek és hibátlanok. én meg azokról a romokról, ami a heartbleed után itt maradt. ráadásul azzal, hogy a heartbleedre hivatkozva mindenki elkezdett saját ssl-t faragni, csak romlott a helyzet. a gugli erőlteti az övét, elhiggyem, hogy nincs benne nsa backdoor? nem hiszem.

majd éppen csak lecsengett a heartbleed okozta első sokk, gyorsan kiderült még két szakajtónyi bug az openssl-ről, de rögtön utána jött a hír, hogy a böngészőkben tiltsák le a tls/ssl közül az egyiket (nem emlékszem már pontosan és nem találta meg a gugli a filmbámulás közötti reklámszünetben). tehát még szemétdomb az egész.

az adatfolyamokhoz egyébként nem annyira egyszerű hozzáférni (minden híresztelés ellenére), egyedül a wifi az, ahol a nyers adathoz esélyed van hozzáférni, de ott meg a mac titkosítva van, wpa2, szóval ott sem esik be csak úgy bárki a rendszeredbe. ktv-hez nem tudsz hozzáférni (figyelembe véve, hogy a jelszavak az upstreamen mennek, nem a downstreamen), szóval nem annyira triviális egy mitm. akinek meg az, az egyébként is szétkapja a lomodat, mint foxi a lábtörlőt.

"Az extra savszeligeny elhanyagolhato": a sávszélesség igényét nem firtattam. akinek baja van vele, fizessen elő nagyobb csomagra, oszt jónapot.

"A Google sajat meresei szerint a front-end szervereiken a TLS a CPU-terheles kevesebb, mint 1%-at jelenti.": ja, hogy a gugli külön szervert tart a tls kicsomagolására. úgy könnyű...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A google és a baromságai. Mint az MX 5 érték.

Le style est l' homme même. | Azt mondani, hogy nem érdekel a magánélethez való jog, mert neked nincs titkolnivalód, ugyanolyan, mintha azt mondanád, hogy nem érdekes a szólásszabadság, mert nincs mondanivalód.

Szerintem is jó ötlet, de pár gondolat:

Talán pont az Internet Explorer hívja fel legjobban a figyelmet, hiszen az egész címsort zöldre változtatja

- A nagy körbe kérdezésben, a Microsoftot nem kérdezték meg
- Jelenleg, a nagy és megbízható, globális, ingyenes Email szolgáltatók mindegyike használja
- A Bankok mindegyike használja
- A felhőszolgáltatók mindegyike használja

Kialakult az emberekben egy olyan tudat, hogy ahol kell és fontos ott van zöld jel. Ha túlzásba viszik, akkor hozzászoknak, vagy megcsömörlenek tőle. Tehát meg kellene fordítani - de ez csak akkor jó, ha az arányok is megfordulnak -, azaz a böngésző azt jelezné és mondjuk pirossal, ha az oldal nem HTTPS-en keresztül érhető el.

A Google Chrome jelzése is figyelemre méltó

A legszerényebb talán a Firefoxé

A szükséges minimum megvan, ami azt is jelenti ebben az esetben, hogy jelzés szempontjából ez az optimális, mert a felhasználó nem bámul mindig zöld jelzést. Nem szokik olyan mértékben hozzá. Hanem amikor tényleg olyan oldalra téved, ami fontos és biztonságos, akkor megörül egy picit, abban a pillanatban, amikor a címsor részben vagy egészben bezöldül, mert tudja, hogy most ebben a számára fontos pillanatban biztonságban vannak az oldalra küldött és onnan fogadott bitjei.

Hát mondjuk hogy a jelszavad ne plain textként utazzon bejelentkezéskor...