Chrome Security Team - a HTTP kapcsolatot nem biztonságosnak kellene jelölni

Titkosítás, biztonság, privát szféra

A Chrome Security Team azt javasolja, hogy a böngészők fejlesztői fokozatosan kezdjék el jelezni a nem biztonságos eredetű elemekről, hogy azok nem biztonságosak. A javaslat célja az, hogy a gyártók még egyértelműbben jelezzék a felhasználók felé, hogy a HTTP nem nyújt semmilyen adatbiztonságot. A csapat 2015-ben tervezi kidolgozni a dolog mikéntjét.

Addig is javaslatokat, ötleteket visszajelzéseket várnak. A részletek itt olvashatók.

( pehsa | 2014. 12. 13., szo – 21:50 )

Erről hirtelenbe csak 2 dolog jutott eszembe:

1, Most akkor böngészés közben ha HTTP oldalt nyitok meg, mert az adott oldalnak nincs HTTPS elérhetősége akkor a pofámba ugrik majd mindig a kis manó, hogy tájékoztasson arról amit már eleve tudok?

2, Az átlag felhasználóknál ezzel sem fognak sokat elérni. Nem egy embert ismerek, akik az ilyen riasztásokat/figyelmeztetéseket el se olvassák, csak tovább nyomnak. (Aztán nyavalyognak, hogy lassú a gép meg megint vírus van rajta.)

( SzBlackY | 2014. 12. 13., szo – 22:44 )

Egyfelől a nagyobb biztonságra törekvés mindig jogos, de a kuglinál mi ez a nagy fene nagy https mánia, amikor pl. OCSP-t alapból letiltják és egy időben a CRL ellenőrzés letiltásáról is szó volt? A legjobb tippem, hogy nagyon zavarja őket, hogy nem csak ők tudnak majdnem korlátlanul majdnem minden webes forgalmat figyelni (analytics, ugyebár)...

Másfelől nem vagyok biztos abban, hogy mindenhova kellene titkosítás, illetve nem a titkosítás megléte/nem léte a legnagyobb security hiba rengeteg oldalon. (ill off-topic: annyira szép lesz, amikor sorozatban mennek a support ticket-ek pl. a router [de bármilyen más off-the-shelf webes adminolt eszköz] gyártójához, hogy "követtem az utasításokat, de a böngésző azt írja, hogy nem biztonságos"...)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

annyira szép lesz, amikor sorozatban mennek a support ticket-ek pl. a router [de bármilyen más off-the-shelf webes adminolt eszköz] gyártójához, hogy "követtem az utasításokat, de a böngésző azt írja, hogy nem biztonságos"

"az én értelmezésemben az átnyúlhat subneteken" - miből gondolod hogy a fenti usertípus esetében ilyen előfordul? (usertípus = nem képes felmérni mit jelent hogy a böngésző szól, és inkább panaszkodik)

Synology otthoni NAS, gyárilag a DSM unencrypted, adnak hozzá dinamikus dns-t. User otthonról a dyndns-sel próbálja elérni... Gyakorlatilag a helyi hálóról nem jut ki, mégis másik subnetben van.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

És az az user aki ilyennel foglalkozik nem tud egy security exceptiont hozzáadni úgy ahogy most kénytelenek vagyunk szórakozni ha nincs tanúsítvány házilag tákolt https oldalhoz? Arra kívánok amúgy rámutatni hogy oké hogy nem lehet minden esetre felkészülni, de ha felére/nagyrészére fel lehet azért az elég jó megoldás már.

Én meg azt mondom, hogy nem kellene akár csak a felére sem felkészülni, mert hiába állít bármi mást a kugli, bőven van olyan tartalom az inter és intraneteken, ami még a self-signed certet sem éri meg.
A usernek meg tapasztalataim szerint igenis gondot okoz a biztonsági figyelmeztetés (1. "nem működik ez a szar" vagy 2. "valami figyelmeztetés jelent meg és inkább bezártam"), különösen, amikor a naccerű krómban a "Speciális" opciók között van az "oks, megbízom a cert-ben" opció...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( procika v | 2014. 12. 13., szo – 22:45 )

Kicsit elkanyarodva, de HTTPS dolog.

Van esetleg valakinek konkrét statisztikája, hogy HTTPS protokollon elérhető Joomla, WP oldalakat támadják-e jelenleg?

Lehet igazság abban az elképzelésemben, hogy a HTTPS a robotoknak is plusz erőforrás felhasználás és a viszonylag kevés így elérhető oldal jelenleg még nem éri meg HTTPS-en is rápróbálni?

( BaT | 2014. 12. 13., szo – 23:44 )

Indítsanak egy firefoxot. :) Az pl. szól ha https oldalon http tartalom van, szól ha http oldalon jelszó mezőt talál, stb.

( vargad | 2014. 12. 14., v – 01:35 )

A sok ingyen wifi-nél majd lesz fejvakarás amikor nem jön be az eltérített oldal, ahol el lehet fogadni a használati feltételeket, mert a kezdőlap is https-en érhető el.

( hnsz2002 v | 2014. 12. 14., v – 11:07 )

Hogy rövid idő után visszatértem firefoxra, annak többek között volt az egyik oka, hogy chromeban egyszerűen nem lehetett permanensen elfogadni a self signed certeket... Rohadt idegesítő mindig rányomni.
Na ha most ez bevezetik sima http-s oldalra is, szerintem a userek is hamar el fognak pártolni tőle.
--
The Community ENTerprise Operating System

( zrubi v | 2014. 12. 15., h – 09:09 )

Szerintem ezzel a "titkosítsunk mindent, mert az biztonságos" haditervvel nagyon durván átestünk a ló másik oldalára.

Nem hinném, hogy ez a törekvés bármin is jó irányba változtatna.

--
zrubi.hu