| Autor | Zpráva | ||
|---|---|---|---|
| Martin2 Profil * |
#1 · Zasláno: 30. 6. 2016, 01:30:17
Keeehi:
„pokud bude útočník od začátku sedět na komunikaci mezi tebou a uživatelem, může mu měnit jeho požadavky v případě, že napíše doménu do adresního řádku“ To je pravda, nicméně to je situace, kterou může uživatel zpozorovat změnou adresy (protokolu). V případě class 3 certifikátů pak i docela viditelnou změnou grafiky adresního řádku. Souhlasím, že je tu určitě ještě prostor pro zlepšení chování prohlížečů v takových případech nebo rozšíření DNS o informaci pro povinné šifrování. |
||
| Keeehi Profil |
#2 · Zasláno: 30. 6. 2016, 11:18:24
Martin2:
To není úplně pravda. Situace o které jsem psal je ta, kdy návštěvník zadá adresu úplně poprvé do prohlížeče. Třeba v případě že uvidí v televizi reklamu na cocacolu a tak v prohlížeči napíše cocacola.cz. Žádný protokol neuvedl a samozřejmě nemůže vědět jak má vypadat normální stav. Pokud už se návštěvník jednou úspěšně připojil k tvému serveru, dá se už jeho vhodnou konfigurací dosáhnou toho, aby prohlížeč už napříště používal výhradně HTTPS nehledě na to že uživatel protokol neuvede. |
||
| Martin2 Profil * |
#3 · Zasláno: 30. 6. 2016, 12:18:49
To je samozřejmě jasné, ale uživatel by se měl naučit nezadávat žádná privátní data webům, které nemají aktivní HTTPS.
|
||
| Bubák Profil |
#4 · Zasláno: 30. 6. 2016, 12:46:40
Martin2:
„uživatel by se měl naučit nezadávat žádná privátní data webům, které nemají aktivní HTTPS“ To je těžké, když v televizní debatě zazní věta: „Já nevím, jak jsem říkal, já jsem nikdy nešifroval...“ www.youtube.com/watch?v=wnR8LNs1S_c |
||
| TomášK Profil |
#5 · Zasláno: 2. 7. 2016, 08:43:59
Jeden čerstvý úlovek - StartEncrypt (služba StartSSL, která má CA ve výchozích) umožnovala komukoliv získat certifikát pro jakoukoliv stránku, na kterou může uživatel nahrát soubor nebo která používá open redirect, tedy třeba google.com, paypal.com, linkedin.com, login.live.com.
www.computest.nl/blog/startencrypt-considered-harmful-today |
||
|
Časová prodleva: 3 dny
|
|||
| Martin2 Profil * |
#6 · Zasláno: 5. 7. 2016, 02:15:20
Je jasné, že ten systém není nezničitelný. Žádný není, zvlášť když ho obsluhují lidé. Já se jen snažím reagovat na příspěvek jakreho, který by mohl dospět k závěru, že HTTPS je jen nějaké šidítko, které je schopen rozbít na počkání kdejaký agent NSA, což prostě není pravda. Pokud někdo neudělá hrubou chybu, je zabezpečená vrstva nad HTTP nepřekonatelná – minimálně ne počítačem používajícím Von Neumannovu architekturu (zatím všechny) a nejspíš ani kvantovým počítačem (zatím žádný).
|
||
|
Časová prodleva: 8 let
|
|||
0