« 1 2
Autor Zpráva
Martin2
Profil *
Keeehi:
pokud bude útočník od začátku sedět na komunikaci mezi tebou a uživatelem, může mu měnit jeho požadavky v případě, že napíše doménu do adresního řádku
To je pravda, nicméně to je situace, kterou může uživatel zpozorovat změnou adresy (protokolu). V případě class 3 certifikátů pak i docela viditelnou změnou grafiky adresního řádku. Souhlasím, že je tu určitě ještě prostor pro zlepšení chování prohlížečů v takových případech nebo rozšíření DNS o informaci pro povinné šifrování.
Keeehi
Profil
Martin2:
To není úplně pravda. Situace o které jsem psal je ta, kdy návštěvník zadá adresu úplně poprvé do prohlížeče. Třeba v případě že uvidí v televizi reklamu na cocacolu a tak v prohlížeči napíše cocacola.cz. Žádný protokol neuvedl a samozřejmě nemůže vědět jak má vypadat normální stav.
Pokud už se návštěvník jednou úspěšně připojil k tvému serveru, dá se už jeho vhodnou konfigurací dosáhnou toho, aby prohlížeč už napříště používal výhradně HTTPS nehledě na to že uživatel protokol neuvede.
Martin2
Profil *
To je samozřejmě jasné, ale uživatel by se měl naučit nezadávat žádná privátní data webům, které nemají aktivní HTTPS.
Bubák
Profil
Martin2:
uživatel by se měl naučit nezadávat žádná privátní data webům, které nemají aktivní HTTPS
To je těžké, když v televizní debatě zazní věta: „Já nevím, jak jsem říkal, já jsem nikdy nešifroval...
www.youtube.com/watch?v=wnR8LNs1S_c
TomášK
Profil
Jeden čerstvý úlovek - StartEncrypt (služba StartSSL, která má CA ve výchozích) umožnovala komukoliv získat certifikát pro jakoukoliv stránku, na kterou může uživatel nahrát soubor nebo která používá open redirect, tedy třeba google.com, paypal.com, linkedin.com, login.live.com.

www.computest.nl/blog/startencrypt-considered-harmful-today
Martin2
Profil *
Je jasné, že ten systém není nezničitelný. Žádný není, zvlášť když ho obsluhují lidé. Já se jen snažím reagovat na příspěvek jakreho, který by mohl dospět k závěru, že HTTPS je jen nějaké šidítko, které je schopen rozbít na počkání kdejaký agent NSA, což prostě není pravda. Pokud někdo neudělá hrubou chybu, je zabezpečená vrstva nad HTTP nepřekonatelná – minimálně ne počítačem používajícím Von Neumannovu architekturu (zatím všechny) a nejspíš ani kvantovým počítačem (zatím žádný).
« 1 2

Vaše odpověď

Mohlo by se hodit

Odkud se sem odkazuje


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: