A Mozilla fokozatosan kivezetné a nem biztonságos HTTP támogatást

 ( trey | 2015. május 3., vasárnap - 9:35 )

A Mozilla bejelentette, hogy fokozatosan kivezetné termékeiből a nem biztonságos HTTP támogatást. A vállalat a webes közösség támogatását keresi ambiciózus tervének megvalósításához. A Mozilla közölte, hogy hamarosan javaslatot nyújt be az ügyben a W3C WebAppSec Working Group-hoz.

A Mozilla fokozatosan léptetné életbe tervét. Első körben egy dátumot határozna meg, ami után böngészője összes új funkciója csak a biztonságos weboldalakkal működne, majd ezután vezetné ki azokhoz a böngészőfunkciókhoz való hozzáférést, amelyek a nem biztonságos oldalakkal kapcsolatosak, kiváltképp, amelyek kockázatot jelentenek a felhasználók biztonságára vagy privát szférájára nézve.

Richard Barnes, Firefox biztonsági főnök blogbejegyzése itt olvasható.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

jah persze, mert ami https az halálbiztonságos.
ffox-szal eztán nem lehet megnézni egy plain http hobbi honlapot, mert veszélyben leszek tőle

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

„ ffox-szal eztán nem lehet megnézni egy plain http hobbi honlapot, mert veszélyben leszek tőle” - ezt hol olvastad?

vágom, h ez a javaslat nem erről szól, de mozzarelláéknál szó volt róla, hogy minden http oldalon olyan figyelmeztetést dobnának föl mint az érvénytelen https tanusítványoknál - szerintem összefügg

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

"jah persze, mert ami https az halálbiztonságos."
Pffff. Ebből Neked komolyan ez jött le?

--
PtY - www.onlinedemo.hu, www.westeros.hu

http://www.spiegel.de/international/germany/inside-the-nsa-s-war-on-internet-security-a-1010361.html

Arról szól az egész, hogy azok ne hallgathassák le az internetes kommunikációt, akiknek nincs olyan technológiájuk, mint az NSA-nak.

Szerinted miért dobják a warningot egyes RSA encription-ökre?
Pont ezek miatt, amik 1-1,5 éve derültek ki.

RSA $10M

Azóta már lefolyt ám némi víz a Dunán.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Az elso felere nem reagalnek mert nem ertem az mitol jott ki beloled.

A masodik feleen, pedig kerjuk gondoljon az egyszeri userekere. Nekik ettol egyszerubb/jobb lesz az eletuk. Es igen, kicsit biztonsagosabb is.

A Mozillánál totál el vannak tévedve. Arra támaszkodni, hogy majd a Cloudflare megment mindenkit, akinek jelenleg nem elérhető az SSL szolgáltatás, sokat elmond arról mennyire gondolták át ezt a tervezetet. Arról nem is beszélve, hogy a kis-közép vállalkozások weboldalainak semmi szüksége ilyen fajta biztonságra, ez csak további teljesen felesleges kötelező költségekkel nehezítené meg az életüket. A hosting szolgáltatók supportját előre sajnálom, szép móka lesz amikor a tájékozatlan fejlesztők tömkelege elkezd telefonálni, hogy hát a weboldal éveken át működött, de hát a megrendelőnek most ilyen olyan problémája van.

Értem én, szomorú ami a Github-al történt, de amíg nincs teljes körű megoldás, addig ezzel a tervezettel csak a saját felhasználóikkal fognak kibaszni.

Az meg van, hogy nem azt találták ki, hogy holnaptól nincs sima http, hanem hogy az új feature-öket teszik SSL-onlyvá, és szép lassan vezetik ki? És hogy egyre több ingyenes tanusítvány szolgáltató van?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> az új feature-öket teszik SSL-onlyvá

Nagy könnyebbség. :)

> egyre több ingyenes tanusítvány szolgáltató van

Mm-hm, amiből azért elég sok a szemétdombra való, illetve sok hoszting (különösen az olcsók, tipikusan amiken a személyes vackok mennek) pénzt kér az SSL telepítésért.

Olyat kell használni, ami nem szemétdombra való. Hostingból meg olyat, ahol nem kérnek érte plusz pénzt, vagy csak keveset.
Kereslet-kínálat.
--
PtY - www.onlinedemo.hu, www.westeros.hu

> Olyat kell használni, ami nem szemétdombra való.

Ezek egyébként mostanság melyek is? (No flame intended.)

Én a StartSSL-t szoktam használni, ill. nagyon várom a let's encryptet, kíváncsi leszek rá.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A StartSSL-nél lehet már a www subdomaint is regisztrálni? Régen azért voltak vele gondok. :)

A cert automatikusan érvényes a domain.tld-re és szabadon megadhatsz egy host.domain.tld subjectAltName-et. (így akár a www-t is)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Mikor nem lehetett?
Még a class1-es is automatice kapja a domain.tld-t altnameként a www.domain.tld mellé.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Azt azért ugye tudod, hogy a StartSSL tanúsítványt kizárólag személyes célra használhatod ingyen?

Na ja, oda kell egy 60 usd/2 éves verified [esetleg StartSSL WoT, bár azt soha nem próbáltam]. Ha tényleg csak a Symantec-féle árazás lenne (két évre 695 usd), megérteném ahogy mindenki itt problémázik.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Az a baj, hogy amíg a világ nagyobbik fele nem {tud|akar} pénzt költeni arra, hogy a céges email-cím ne egy gmailes/freemailes vacak legyen, addig a hatvan dollárt is irreálisnak tartom, különösen akkor, ha egy full statikus oldal alá kéne https-t tenni, csak mert néhány jóképességű így gondolta jónak, élükön a Google-lel és a Mozillával.

Az, hogy itthon 20-ezreket kérnek nyomorult C típushoz egy évre, és még altname sincs benne, nemhogy wildcard, érthető.
De az, hogy ennél kevesebbért Class 2-est kapsz 2 évre minden fícsörrel, ráadásul annyi certet gyártasz, amennyit nem szégyellsz, szerintem egyáltalán nem sok $60-ért, még akkor sem, ha cégnek további $60.
Ha egy informatikai döntéshozó ezt felfogni képtelen, akkor az a cég ne is szerepeljen még a gugli találati listájában se, és valóban jöjjön fel 600 ablak evvel a szöveggel, amíg az oldalukat böngészem:
"Ha ezen a weboldalon Ön bármilyen adatot megad, azt illetéktelenek kezébe juthat!'
És legyen mellette 20 konfirm.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Egy három-öt fős KKV esetében ki az informatikai döntéshozó, akit meg kell győzni a certvásárlásról, vagy a freemailes "céges" email lecseréléséről?

Itt nem dinamikus weblapokról volt szó, ott tényleg indokolt az SSL.

Azon ugye akkor nincs is űrlap, amit ki kell tölteni?
Amelyik cég freemail-t és társait használ, az alapból denied anélkül, hogy mozilla f@szkodna.
--
PtY - www.onlinedemo.hu, www.westeros.hu

> Amelyik cég freemail-t és társait használ, az alapból denied anélkül, hogy mozilla f@szkodna.

Jó, mindjárt szólok is a lakatosnak, hogy ne jöjjön holnap zárat javítani, mert freemailes címe van a kétemberes cégének. :(

Az a baj, és ebbe a hibába rengetegen beleesnek itt a hupon, hogy:
- cég != informatikai cég
- felhasználó != informatikus
- ügyfél != informatikai cég ügyfele

+sok

Biztos komoly weboldala is van a csókának, amin űrlapok is vannak.
És igen, a freemail kizáró ok. Nálad javítson zárat, nálam meg ne. Ha ért az informatikához, ha nem, ha a vállalkozásához üzleti célból (!) ilyet használ, akkor vessen magára.
--
PtY - www.onlinedemo.hu, www.westeros.hu

> És igen, a freemail kizáró ok. Nálad javítson zárat, nálam meg ne.

:'(

ez most valami vicc?

annyira megdöbbentően nehéz rendesen és becsülettel dolgozó "kétkezi munkásembert" találni manapság, hogy te ezzel szemmel láthatóan nem vagy tisztában. elképzelni sem tudod.

weblap? nem érdekel, ha azt sem tudja sokuk, hogy egy PC-t hogyan kell bekapcsolni, és ha (jó esetben) a fia/lánya tolmácsol majd neki akár citro-s szemétgyűjtő mail címükről, már ha egyáltalán mail útján elfogad bármit is.

semmivel nem kevesebbek, mint a fullhonlapos & saját domanines címmel szerelt vállalkozók/vállalkozások. sőt.

--
Vortex Rikers NC114-85EKLS

Pont erről beszélek.
Nem én hoztam fel a jómunkásemberkisiparost a mozilla ssl restriction témában :D
--
PtY - www.onlinedemo.hu, www.westeros.hu

te megértetted amit leírtam?

--
Vortex Rikers NC114-85EKLS

Persze, csak épp az egész téma ezen része full irreleváns a Mozilla által beharangozott dologgal.
Ám Te sem értetted meg, amit fentebb írtam az üzletszerű használatról.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Miert lenne irrelevans? Van egy egy-ket emberes ceg, akinek egyszeruen nem eri meg SSL tanusitvanyt venni $60-ert, reszben mert sok konyvelo eleve el sem fogad olyan szamlat, amin nem forint a vegosszeg, masfelol meg nem is feltetlen ert hozza / tudja, hogy miert lenne ez neki jo.

De persze, ha te vallalod, hogy ingyen es bermentve tajekoztatod ezeket az embereket es segitesz neki tanusitvanyt valasztani es telepiteni, akkor elismerem, hogy igazad van. Addig viszont csak a szad jar olyan dolgokrol, amikre keves ralatasod van.
--
Blog | @hron84
Üzemeltető macik

Nézd már meg, kinek válaszolsz

Azonban, az a könyvelőnek is kijár a picsán rúgás, aki egy USD-s számlával nem tud mit kezdeni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Pedig ha tudnad, hany ilyen van... es konnyu azt mondani, hogy valassz masikat, de sokszor a rossz, a rosszabb meg a meg rosszabb kozul lehet valasztani...
--
Blog | @hron84
Üzemeltető macik

Szerintem tudod, hogy mit szoktak mondani a phpistukakrol...

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ok, van 2 emberes társaság.
Van weboldaluk? TF van.
Használnak rajta olyan funkciót, amit majd a FF/később más is korlátozni fog a tanúsítvány hiánya miatt? TF, van.
Ez nekik ügyfélvesztést okozhat? TF igen.

Ha ez mind igaz, akkor venni fog. Ha meg nem, akkor épp a kinemszarjale kategória - eddig a következtetésig azonban ebben a threadben sajnos senki sem jut el, csak trollkodik gondolkodás helyett.
--
PtY - www.onlinedemo.hu, www.westeros.hu

"Ha ez mind igaz, akkor venni fog. "

Kissé fordítva ülöd meg a lovat: mi az istenért vegyen, ha egyébként semmi nem indokolja az SSL-t?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Semmi sem indokolja?
"Ha ez mind igaz", akkor minden igaz válasz indokolja.
--
PtY - www.onlinedemo.hu, www.westeros.hu

>mesterségesen generált igény

És mennyi ilyen van a világon, amihez alkalmazkodni kell :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Olyan divathullám, amihez alkalmazkodni _kell_, azért nincs sok. :)

Ki mondta, hogy _kell_?
Mert egy-két kiegészítő/funkció nem működik? Ezt úgy értelmezed, hogy alkalmazkodni _kell_?
Nem kell. Főleg, hogy mindenki azt szajkózza, hogy a FF ehhez porszem, senki sem fogja használni emiatt.
Majd az idő eldönti.
Ha meg minden böngésző menni fog a FF után, akkor meg majd _kell_, mert nem lesz más alternatíva. Ezt is eldönti az idő.
Ezért nem is értem, mi ez az irdatlan f@szcibálás meg visítozás a probléma körül...
--
PtY - www.onlinedemo.hu, www.westeros.hu

> Ezért nem is értem, mi ez az irdatlan f@szcibálás meg visítozás a probléma körül...

tl;dr mert benga nagy plusz adminisztratív, pénzügyi és technológiai overheaddel járna bevezetni az SSL-only webet

Ennél jobban nem tudom leegyszerűsíteni a problémát.

Nem _kötelező_, csak aki úgy érzi.
Autópályán se kötelező menni, ám meg kell venni a matricát, ha mégis.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Autós hasonlat? Ám legyen: holnap azt mondja az NKH, hogy automata váltós autóra akkor is kell pályamatrica, ha sosem mész fel vele az autópályára. (De presze csak a Dunántúlon, mert ugye a Mozillának sem 100% a market share-je.)

A hasonlat inkább: holnaptól azt mondja az NKH, hogy önvezető autóra akkor is kell pályamatrica, ha nem mész fel vele a pályára - a Mozilla csak az "új" feature-khöz kérné az SSL-t, az, hogy a Béluka 2004 Bt. feltegye a weblapjára, hogy "létezünk", nem.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Az rsh, rcp is micsoda jó dolog, francnak kell ssh, senki sem fogja használni... Ja, hogy mostanra gyakorlatilag kipusztultak az r-es parancsok?

Azert egy SSH es egy sima statikus weboldal kozott van egy kis kulonbseg, nem?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Pont annyi, mint a telnet meg az ssh kozott.

Ami azt illeti, minden fiszfasz dologra ssh-t hasznalunk, sokszor olyankor is, amikor amugy tokeletesen felesleges overhead maga a protokoll, mert benne vagy amugy is publikus adatok utaznak, vagy eleve egy titkositott csatorna van benne. Az emberek zome azert hasznal ssh-t, mert meg senki nem jott elo jobbal, es nem azert, mert biztonsagra vagyik.
--
Blog | @hron84
Üzemeltető macik

+1. Általában kell az ssl, de mint minden általánosítás, ez is hibás :) (Két gép közötti direkt kábel, secure rackben - sikerült az auditort meggyőzni, hogy oda nem köll...)

A világ értelmesebben gondolkodó fele ilyenkor szokott mondani egy olyat, hogy ácsi...

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Akkor reklamálj a mozillánál, hátha hallgatnak rád.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Az aláírásodban szereplő két weboldal közül egyik sem támogatja az SSL-t: az egyik átirányít egy webmailre, a másik pedig akkora cert errort dob, hogy beleremeg a céges proxy. Miért nem vettél még hatvan dodóért certet? Hiszen az nagyon olcsó, te is megmondtad.

:D
Itt üt vissza az értő olvasás hiánya.

1. Nem irányít át webmailre egyik sem, mivel plain HTTP mindegyik.
2. Nem tartom - egyenlőre - szükségesnek, hogy SSL legyen alatta.
3. De, ha már említetted a webmailt - az alatt láttál-e SSL-t? Ott sem? Akkor még a szemed is gyenge...

Az, hogy azon az IP-n van olyan oldal, ami SSL-es (nyilván más CN-nel), és az ilyenkor feljön, nyilván semmit sem jelent (azon kívül, hogy egyenlőre nincsenek szeparálva IP-kre a HTTP only és az SNI-s oldalak).

De, hogy megnyugtassam a lelked, hamarosan SSL lesz mind.

--
PtY - www.onlinedemo.hu, www.westeros.hu

1. Mivel végig SSL-ről volt szó a threadben, feltételeztem, hogy egyértelmű, hogy továbbra is SSL-ről van szó. (Értsd: http helyett https-en keresztül hívtam az oldalt)
2. Pontosan erről beszélek én is.
3. A webmail alatt természetesen már láttam, ettől még az aláírásodban szereplő linkek nem működnek SSL-en, ennél többet viszont nem is állítottam.

Az aláírásban szereplő linkek működnek. (katt->néz)
Ja, hogy _átírod_ a linket, és nem működik? Sorry :D

https://t-mobile.hu/

Ez is milyen szar már... (mondjuk tényleg gáz, hogy nincs benne altname, ha már van cert ugyanahhoz a domainhez).
Ez jobb példa:

https://alexandra.hu/

Szóval, ha URL-eket írogatsz át random, akkor ez ne lepjen meg.

--
PtY - www.onlinedemo.hu, www.westeros.hu

Most mit hadakozol? Működik az aláírásodban szereplő két weboldal SSL-en? y/n?

Nem működik, és saját bevallásod szerint sincs rá szükség, hogy legyen SSL. Akkor miért hadakozol, ha más is pont ugyanazt mondja?

Senki nem vitatja, hogy ne lenne létjogosultsága az SSL-less oldalaknak. A Mozilla sem. Csak az új feature-öket tervezik SSL-onlyvá tenni.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nem hadakozom, csak jeleztem, hogy a teszted irreleváns :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Már bocs, de egyeNlőre maximum két darab deszkát vágsz le, ami egyelőre megteszi polc helyett. Mé' nem lehet ezt megtanulni...?!

Jogos a 2 pont!
--
PtY - www.onlinedemo.hu, www.westeros.hu

> Nem én hoztam fel a jómunkásemberkisiparost a mozilla ssl restriction témában :D

Valóban. Én hoztam fel, mert látszólag képtelen(ek) vagy(tok) megérteni, hogy a világ nem csak IT-szakemberekből áll. Sőt.

Ettől még a Mozilla törekvése helytálló :)
És képzeld, ha 60 évvel ezelőtt emailről meg mobiltelefonról beszélsz egy IT szakinak, az is hülyének néz.
A világ erre halad, és tartani kell vele. Akinek nem sikerül - még kicsit sem -, az lemorzsolódik. Ez meg történelmi tény.
--
PtY - www.onlinedemo.hu, www.westeros.hu

> A világ erre halad, és tartani kell vele.

Ez nem a korral haladás. Nekem a hobbiprojektjeim mindegyikén is van SSL, de ettől még el tudom fogadni a tényt, hogy ez nem mindenhol létszükséglet.

Nem is lesz tiltva, csak egyes böngészőfunkciók lesznek korlátozva :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Melyikek? Ugye-ugye...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Pl. jelszómentés, űrlapmező előzmények, stb.
--
PtY - www.onlinedemo.hu, www.westeros.hu

ezt javascriptbol el lehetett eddig erni?
Mert en ugy olvastam, hogy javascript api lenne megkurtitva.
De lehet rosszul gondolom...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

A kiegészítők a FF-hoz js-ben íródnak (a többségük biztos).
--
PtY - www.onlinedemo.hu, www.westeros.hu

Mitől lenne a http-n érkező űrlapok tartalmának mentése _lokálisan_ kevésbé biztonságos, mint a https-en keresztül érkezőké? :)

Pl attól, hogy a user így rákényszerül, hogy minden alkalommal be kell írnia mindent. Lustaság fél egészség, ha ez https-en nem probléma, akkor azokat az oldalakat fogja előnyben részesíteni a user is, ahol a plusz feature-ök működnek.
Nem feltétlenül az adott funkció biztonságos működése a cél, hanem az, hogy ez az egész mit okoz majd a userek fejében.
--
PtY - www.onlinedemo.hu, www.westeros.hu

/o\

Vagyis az userek ra lesznek kenyszeritve a dragabb, joval szarabb minosegu, am https-en at mukodo vallalkozasok szolgaltasaira csak azert, mert valamelyik Mozillas fejlesztoben bennszakadt egy fing. A versenyt erosito, ertelmes, jol alatamasztott fejlesztest latunk megszuletni, csak gratulalni tudok hozza.
--
Blog | @hron84
Üzemeltető macik

Ha verseny van, akkor alkalmazkodni kell. Ha ez azon múlik, hogy van-e megfelelő certje valakinek, akkor majd vesz, ha ebből anyagi kára származik.
ISO is ugyanez, hulla fölösleges szar, mégis, akinek kell, megcsinálja (a 2 fős cég meg elvan anélkül is).
--
PtY - www.onlinedemo.hu, www.westeros.hu

> ISO is ugyanez, hulla fölösleges szar, mégis, akinek kell, megcsinálja (a 2 fős cég meg elvan anélkül is).

Láttam már két fős Bt-t több szabványmegfelelőségi plecsnivel, mint amennyit fejből fel tudnék sorolni. Meg ne csak abból indulj ki, hogy kétfős cég == PHPistike Bt.

És emiatt látni fogsz kétfős céget is SSL tanúsítvánnyal. :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ha szerinted hulla fölösleges sz@r, akkor ne csináld. csak amikor rájössz, hogy mégsem az, akkor már késő lesz.

Ezt próbálom magyarázni azoknak, akik szerint az SSL szar és fölösleges, hisz' tele van sechole-lal. Ha épp nincs ismert sérülékenység, majd előbb-utóbb kiderül, hogy mégis van.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Nem, én az ISO-ról beszéltem: te azt mondod, hogy sz@r, mert lehet rosszul is csinálni, ergo fölösleges. Erre mondom, hogy nem, nem fölösleges, csak amikor majd rájössz, hogy nem az, akkor már késő lesz.
Ugyanígy van az ssl is: lehet sz@rul is csinálni, de attól még biztonságosabb és megbízhatóbb, mint a plain text. Az ssl-ről majd kiderülhet sérülékenység, a plaintext átvitelnél meg by design sérülékeny az átvitt adat - akár teljese mást is kaphatsz válasz gyanánt, mint amit a szerver eredetileg elküldött.

Csak képletesen mondtam.
Amúgy nem szar, csak az emberek (cégvezetők/döntéshozók included) többségében hamis képpel él a jelentése.
T.i. azt hiszik, hogy ha valaki ISO minősítéssel gyárt/szolgáltat, az minőséget jelent, holott nem. Csupán arról van szó, hogy az adott vállalkozás ügymenete áttekinthető, rendezett, és azt a minőséget produkálják, amit vállaltak.
Azaz, ha azt vállalták, hogy amit csinálnak, az egy kalap sz@r, és ezt bizonyítani is tudják az audit folyamán, akkor megkapják a minősítést.
Tudom, hogy kicsit elrugaszkodott a példa, de hellyel-közzel erről van szó.
--
PtY - www.onlinedemo.hu, www.westeros.hu

ja, hogy ja. Így egészen más.

"Ha ezen a weboldalon Ön bármilyen adatot megad, azt illetéktelenek kezébe juthat!"

És? Teszem azt, adott egy blog, a tartalom rajta publikus, oda mi a retkes péknek SSL? Vagy mint gelei által említett 3 oldalas statikus honlap, ahol van mondjuk egy kapcsolat oldal egy (publikus) árlista és esetleg egy galéria? Félsz, hogy megtudják a böngésződ user agentét?

Komolyan, mi a ráció benne?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Amit idéztél, azt el is olvastad? A válaszból ítélve vagy nem, vagy csak épp nem értetted meg.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Akkor lefordítom: az oldalak elenyésző részén van űrlap. És még kevesebben van olyan, amely által továbbított adatok nem egyébként is publikus felületre kerülnek.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Megy itt a rugozas az urlapon, pedig nem csak oda, visszafele is jo a titkositas. Honnan tudod, hogy a kedvenc blogodra/hiroldaladra tenyleg azt irja a szerzo, amit te olvasol? Ugye onnan indul ez az egesz tema, hogy manapsag csak az nem nez/modosit bele, aki nem akar...

Pl. a Verizon (amcsi internetszolgaltato orias) nyiltan bevallalja, hogy lecsereli a rajta athalado weboldalakon a reklamot sajatra. Miota rajtakaptak oket van opt-out, de azert eleg kememy.

Vagy egy feltort router malware-t szur a mogotte csucsulo gepek altal lekert oldalakba, a sebezheto/hozza nem erto user meg siman beszopja.

Es akkor meg szo sem volt a titkosszolgalatokrol, torveny altal eloirt blokkolasokrol (ok, annak a gagyibbja IP/DNS alapu, de biztos van aki mar szintet lepett).

Bazi nagy +1

A titkosszolgálatok legfeljebb titkosan kiállíttatnak a nemzethy tanúsítványszolgáltatóval egy wildcard certet, vagy kérnek az adott domainre egyet és kész.
--
zsebHUP-ot használok!

Ha ez megtörténne, az adott nemzethy tanúsítványszolgáltató root CA-i fénysebességgel kerülnének ki az összes böngésző és más kliens truststore-jából.
Nem vállalnák be, mert az end of business lenne.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Én valahogy nehezen hiszem, hogy épp' a titkosszolgálatok ne kapnának lehetőséget a titkosítás feloldására.
Nem azon van a hangsúly, hogy megtörténik-e, hanem azon, hogy a nyilvánosság mit tud erről és mennyire bizonyos a tudásában.

A kompromittálódott CA-kat nyilván kidobják (volt példa is rá), de csak akkor, ha nyilvánvalóvá válik...

A titkosszolgálatok biztosan nem. Legalábbis szolgáltatók tudtával nem.
Nyomozati szervek bírósági végzéssel minden bizonnyal.
Mindenesetre azon sem lepődnék meg, ha lenne a böngészőkben egy színkód a címsorban/felugró figyelmeztetés/stb. arra, ha az utolsó látogatás óra változott a certificate.
--
PtY - www.onlinedemo.hu, www.westeros.hu

> Mindenesetre azon sem lepődnék meg, ha lenne a böngészőkben egy színkód a címsorban/felugró figyelmeztetés/stb. arra, ha az utolsó látogatás óra változott a certificate.

Remek gondolat, de hogy kezeled a lejárt certek cseréje körül kialakuló pánikot?

Miért lenne pánik? Az első alkalmakkor lenne más a színe, aki paranoid, nem ad meg az oldalon érzékeny adatot.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Userek 99%-a nem hogy leszarja a színkódot, de még csak hova tenni sem tudja. Főleg, mikor a web egy keresőmezővel kezdődik számára.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ezért sem lenne pánik (utalás az előző HSZ-re).
--
PtY - www.onlinedemo.hu, www.westeros.hu

Csak így haszna nincs.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Annak a számára, aki tudja, hogy mi az, van.
Másnak sincs haszna, amit az emberek többsége ignorál, mégis jó, hogy van.
--
PtY - www.onlinedemo.hu, www.westeros.hu

> Nem vállalnák be, mert az end of business lenne.

Mm-hm, a szavak és kifejezések, amikre érdemes rágúglizni:
- national security letter
- FBI subpoena
- Patriot Act

Persze, ezert is volt a titkosszolgalatos resz mintegy zarojelben. Egyebkent ugye a kevesbe nagy spilerek ellen van ilyen esetben is eszkoz, pl. EFF SSL Observatory (nem igazan ismerem), vagy tanusitvany valtozas figyelo kiterjesztes a bongeszohoz. Ezt utobbit hasznalom, es hat folyton bejelez, hogy "warning, meg nem jart le az elozo, de megis uj cert van!". :) Ennek ellenere nem teljesen haszontalan, pl. ha a sajat/ceges belso cuccoknal ugrana fel a cert valtozas figyelmezteto, hat igencsak huzodna a szemoldokom...

De egy atlag user szempontjabol ez mind mindegy, ott en, mint site gazda inkabb azert titkositanek, hogy az emlitett, cert manipulacioval nem foglalkozo, de a sima http-n utazo oldalamba orommel belepiszkalo kocsogoket elharitsam.

2*60 az. egyszer 60 hogy teged azonositanak es utana 60 usd domainenkent. en is azt hittem csak 60 (elegge azt sugalljak) aztan miutan vegigjatszottam veluk az azonositast meg kifizettem, es akartam egy ugyfelnek csinalni egy certet kiderult az +60 lesz...

A'rpi

Ehhez képest a NetLock 2 évre 6990 Ft-ért ad automata, domain ellenőrzött (webszerver docroot-ba kell egy txt-t elhelyezni a megadott tartalommal) tanúsítványt. Kis cégeknek bőven elég.

--
trey @ gépház

Régebben a netlockos certekkel gond volt egyes mobil eszközökön.
Ez még áll?
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ezekkel néztem meg most:

- iOS 8.3
- Windows Phone 8.1
- Android 5.0.2

Mindegyikkel rendben van.

--
trey @ gépház

Ok, kösz, ez jó hír.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ha az ügyfélnek csinálod, akkor persze. Saját részre (értsd: saját domainek) annyit csinálsz, amennyit nem szégyellsz.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Most úgy őszintén, saját domainen hány certet használsz napi szinten aktívan? Értem én, hogy a jövőben ez úgy lesz, mint az IPv6 esete a villanykörtével, de jellemzően egy domainen 1-2 cert bőven elég szokott lenni (egy subdomaines cert meg jellemzően a fődomainre is érvényes, ergo egy webmail-re megveszed és a blogod is okés lesz).

Hirtelen összeszámolva van 7 domainem (minimum), plusz nem mindegyikhez szeretnék wildcard/altname tanúsítványt, plusz vannak kiadott aldomainek. És evvel a hóborttal szerintem nem vagyok egyedül.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Viszont amit mondasz, hogy egy 60 dodós accal egy domainhez tudsz korlátlan certet kérni. A kérdés akkor inkább az, hoyg hány certet alkamaz egy átlagos website, aminek van egy domaine.

"Viszont amit mondasz, hogy egy 60 dodós accal egy domainhez tudsz korlátlan certet kérni."

Fussunk neki újra, együtt: nem egy domainhez tudsz certet csinálni egy 60 dodós cuccal, hanem az összes domainhez, ami a regisztrált és azonosított személy tulajdonában van (és/vagy technikai kontaktként a whoisban szerepel).
Egy átlagos domainhez is tartozhat több - levelezés, web, ftp, más aldomainek, stb.
Az rendben van, hogy egy-egy webshopnak egy elég bár a webshopok tulajdonlása is érdekes, mert vannak azonos tulajdonban lévő, más-más profilú oldalak.
Ettől függetlenül sajnos a webshopok többsége plaintext...
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ami ugye nem igaz.
Pontosabban: nonprofit célra.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Nem sokat változtat a helyzeten ;)

Alapvetően nem, ez igaz. Ám sok alkalommal (ha épp nem veszi ki a rendszer szúró próba szerint) simán megcsinálható az énwebshopom.hu-ra is. :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Mutatsz olyat, ami széles körben elfogadott (támogatja az összes böngésző), használható üzleti célra és ingyenes?
Igazából ha a Mozilla végső célja az, hogy kizárólag https-en közlekedjen a web, akkor tudnám értékelni egy Mozilla tanúsítvány kiadást minden célra ingyenesen, a böngésző gyártókkal meg egyezzen meg, hogy támogassák. Egy ilyen átalakítás után a cert kiadók fel fogják emelni azt árakat, mert tuti biznisz lesz nekik. Kissé versenyellenes. Szóval csináljanak csak ingyé' certet.

Nagyjából ez lesz a Let's Encrypt. És nézd meg a támogatóikat.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Jól hangzik, csak kell még bele az Opera, a Google, az Apple, és az MS.

És ez amúgy milyen webszervereket támogat?

Addig oké, hogy letöltesz egy agentet, ami automatikusan bekonfigurálja a HTTPS endpointot, de ezt hogy csinálja? Az mindegy, hogy milyen http-szervert futtatsz? Ez így elég érdekesen hangzik.

stunnel

:D
És azt hogy?
Ha a virtualhost http-n fut, és az okos fejlesztő úgy írta meg, hogy a listener alapján abszolút hivatkozásokat bök a HTML forrásba, akkor mi lesz?
Sajnos, nem egy java alkalmazásnál láttam ilyet, ahol nem lehetett konfigurálni a dolgot - az is igaz, hogy régen volt, nem tudom, akad-e még ilyen... Ha nem tévedek, a Jira volt ilyen: reverse proxy mögött nem akart menni (10 éves story, lehet, azóta ezen bütyköltek).
--
PtY - www.onlinedemo.hu, www.westeros.hu

Tessék relatív path-okkal dolgozni.

Ne nekem mondd! :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Mindenkinek mondom. ;)

Akkor +1 :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ha jól látom az API docs-ot, egy Apache-ot fel tud konfigolni, de gondolod lesz "natív" kulcs-fájl kezelés is (az Apache konfigurátor mindenesetre megkapja a ca/kulcs/cert útvonal hármast :) ).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Én ezt nem értem, hogy képzelik, "Fityfirity Pista" személyes blogja is https-n menjen? Vagy akár az én kis blogocskám? Mi a fenének? Lassítja és az egész koceráj nem ér annyit, hogy pluszba fizessem a https szolgáltatást nem mintha egy borult összeg lenne, de azért mert néhány oldalt felnyomnak nem kéne mindenkire ráerőltetni a https-t.

--
honlapom http://dyra.eu/

Szövegértés lvl 1.

En elolvastam a linkelt blogpostot is, es inkabb a te hozzaszolasod hangnemevel van problema.

A linkelt blogbejegyzesben irjak, hogy *kivezetnek* feature-oket a sima http alol, es hardvertamogatast (gondolom itt a fileapi-ra kell gondolni) vonnak meg a http tartalomtol. Gondolom javascriptbol majd ezeket nem lehet meghivni, hogyha nem https-bol jon.

Szerintem ez nagyon karos. Fejlesztesnel tok nagy elony, hogy lehet debuggolni ha nagy gaz van (ki-bekapcsolni a https-t).

Inkabb a firefoxot kapnak ossze. Minden ful kulon processzbe, normalis memoriamonitorozas, ha valamelyik ful nem aktiv, akkor javascriptet leallitani/optimalizalni, stb, stb.

Vagy mondjuk lehetne egy komplett konyvtarat drag&dropolni, legalabb ugy, ahogy a chrome-ban.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

FYI, az e10s elég jól halad, Nightly-ban már default, mikor először bekapcsolták még vissza kellett térnem, de szerintem már vagy három hónapja nincs vele gond.

Idézet:
Fejlesztesnel tok nagy elony, hogy lehet debuggolni ha nagy gaz van (ki-bekapcsolni a https-t).

Valamiért ismerve Mozilláékat szinte biztos vagyok benne, hogy ez egy about:config kérdése lehet, már a kivezetés korai szakaszában (amikor csak az új API-kat nem éred el), ha meg végképp dobnák a http-t (10 év? nem tudom), akkor is.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

+1 és jó volna, ha nem minden második órában döntene úgy a szoftver, hogy frissítést tölt le és telepít a megkérdezésem nélkül, mert az sem túl praktikus és secure (pl. honnét tudjam, hogy ő turkált vagy valaki akinek nem kéne, ha látom a változást a tripwire-ben).

A fejlesztői szerveren semmi sem tiltja, hogy stunnel-ben végződtesd a forgalmat a prod. lábon, és a webszervered meg a localhost:80-on ketyegjen sima http-n beszélgetve :-P

Persze, azt se tiltja semmi, hogy otszor atnatold, meg hatszor attunellezd, csak a jo retkes francnak akarnek ilyen ostobasagot csinalni.
--
Blog | @hron84
Üzemeltető macik

A kolléga teljes mértékben felfogta a szöveget. Jelen pillanatban is éppen gyújtják rá a netet a Mozillára. Ez egy abszolút elbaszott döntés. Statikus HTML oldalaknak nem kell SSL. Ez egy hobbi és kisvállalkozás ellenes döntés. Teljesen szembe megy azzal, amiért a 90-es években létrehozták a webet. Ez egy őrület.
Ha ez keresztül megy akkor még én is eldobom a Firefoxot.

--
GPLv3-as hozzászólás.

Annyira nem eszik forrón a kását... IPv4-en, SNI nélkül elég mókás lenne végigverni a "mindenhova ssl"-t elképzelést, pláne, hogy az SNI nem csak gyereknél jelent "speciális nevelési igény"-t, hanem webszervernél is.

Ok vezessék ki... van ezzel kapcsolatban egy sokkal komorabb gyanúm... ha ez meglesz, akkor innentől akinek nincs érvényes és széles körben elfogadott SSL tanúsítványa, az finoman szólva komoly hátrányokba fog ütközni akkor, amikor a felhasználók megpróbálják elérni.

Képzeljetek el egy Torrent oldalt, amint tanúsítványért folyamodik? Vagy valami nem mainstream, "szélsőségesnek" bélyegzett hírportált vagy infóforrást. Vagy a wikileakst. Ezek némelyikre ráadásul az anonimitásra épít... Folytathatnám. Az ilyeneket onnantól vagy kalózböngészővel vagy sehogyan. Pláne ha a keresési találatokba sem kerülnek be onnantól.

Kérdés, hogyan lesz megoldva, hogy kiben/miben fognak majd az újabb verziójú böngészők megbízni, de ha pl. ezt a kört erősen lekorlátozzák, vagy felosztják zöld-szürke-vörös zónás tanúsítványokra vagy egyéb hülyeségre mondjuk a jövőben, akkor... nos ez egyenes út pofára osztályozáshoz, bíróságon kívüli cenzúrához. Ennek a törvényi háttere is érdekes lesz, ha egyáltalán felismeri a törvényhozás.

De egyszerűsítsük le a dolgot, mert talán túlnyújtom a rétestésztát... 5-10 éven belül erre kialakulhat egy monopolisztikus ipari kartell, aki kb. eldöntheti, ki terjeszthet tartalmat a weben egyszerűen azzal, hogy valakitől megtagadják vagy irreálisan drágán adják a tanúsítványokat, vagy egyszerűen csak a lebukás kockázatát prezentálják... ilyesmi kering a fejemben... mert ugye állandóan arról megy a jajveszékelés, hogy milyen rossz dolog, hogy az Interneten bármi terjedhet és hogy ezt szinte lehetetlen szabályozni - talán megtalálták rá a módszert (é: akik irányítják a tanusítványkiadást, azok irányítják a tartalmat)? Csak ennyi a bajom ezzel hosszútávon...

no mind1

Az kerül komoly hátrányba, akinek egyáltalán nincs tanúsítványa, de ott van a self signed cert, ami bárkinek lehet, és azt ír bele bárki, amit akar. Azt sokkal kevésbé tartom valószínűnek, hogy az anonim oldalakra azért ne lehessen felmenni, mert a böngésző letiltja a self-signed certet.

--

A self-signed certek ellen már most is ordítanak a böngészők, néha a lejárt tanúsítványon sem egyszerű túllépni.

Nem örülnék túlságosan, ha minden második weboldalon el kellene ezt játszani.
Másrészt van ingyenes szolgáltató, de csak magánszemélyeknek és évente kell megújítani.

Ez akkor kezd igazán veszélyessé válni, ha Mozilláék komolyan gondolják és más böngészők is erre az útra lépnek...

Gyakorlatban használhatatlan a self signed cert a mozillán kívül, mert direkt ellene mennek sokan - pl. míg firefoxban 1-2 egyszerű klikkel meg tudod jegyeztetni, addig próbáld ezt meg más böngészőkben. Szerintem is a cenzúra és kontroll a motiváció - mi más lenne, ez a logikus.

??

Legutobb pont hogy Firefox-ban volt a self-signed certet izzadas elfogadni, mig mas bongeszoben egyetlen click volt. Lemaradtam volna valamirol?

Update: direkt megneztem most, Safariban egy kattintas, Chrome-ban ketto, Firefoxban harom, mikor elsore nyitsz meg egy self signed certes oldalt (emlekeimhez kepest tenyleg bonyolodott Chrome-ban). Szoval tovabbra is: kapja be a Firefox, de tenyleg.

Te valamit nagyon félre nézel. Nem arról beszélek hogy elfogadd, hanem hogy emlékezzen rá! Ez nagyon nem mindegy. Firefox-nál egyszer kell egyeztetni az ujjlenyomatot, a többinél pedig minden alkalommal.

Safarinal is csak egyszer, megjegyzi, es az az egy is csak 1 kattintas, nem 3, mint Firefox-nal.

Chrome ezekszerint valtozhatott sokat, mert regen mintha az is megjegyezte volna.

chrome a windows cert kezelojet hasznalja. a self signed cert-et le tudod nyomni group-policyben (fixme ha megse), ha meg csak siman egy gepre kell felrakni, akkor a site CA cert-jet le kell menteni fajlba (foo.pem), majd azt importalni "megbizhato legfelso szintu szolgaltato"-kent (vagy mi a neve a csoportnak).

az mar kerdes hogy ez igy mennyire biztonsagos

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Biztonságos, ha a cert érvényességét tényleg ellenőrzöd (akárcsak PGP-nél, például), nemcsak vakon importálod.

Random certeket beimportalni CA-nak? Nope.

Egyrészt nem random certeket, másrészt nem CA-nak. :)

Arra gondoltam, hogy ha egy self-signed certről meg tudsz bizonyosodni, hogy tényleg autentikus, akkor azt a certet kivételként felveheted.

Ja, ugy igen, csak a kollega feljebb nem ezt irta.

Tényleg, bocs. :)

Es hany klikk felvenni Chrome-ba (egyaltalan, hogy lehet, ha Linuxos gepen nem vagyok AD tag?), es hany klikk FF-ben?
--
Blog | @hron84
Üzemeltető macik

Egyrészt régebben nem tudtam megcsinálni - pár óra baszakodás után dobtam a dolgot - másrészt szerintem sima usernek ez így nagyon nem könnyű - szemben firefox-szal, amit sokszor irányítottam telefonon - asszem 3 klikk és nagy gombokra kell bökni - tehát a gyakorlatban működés szempontjából nekem FF volt jó kizárólag. Safari-t nem néztem, de le fogom tesztelni ott mennyire macerás és hogy tényleg megjegyzi-e.

Otthoni felhasznalasra okes a firefox profile-ban tarolt cert8.db-je. Menedzsment szempontbol viszont katasztrofalis ez a megoldas.

GP-ből szerintem csak IE alá - bár FF alá anno használtunk GP patcheket, de azt pl. nem lehetett szabályozni, hogy ezt a user sessiononként ne módosíthassa.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Szerintem ha Windows, akkor DER lesz az, de mindegy :-P

> Képzeljetek el egy Torrent oldalt, amint tanúsítványért folyamodik?

Most lecsekkoltam az összes torrent-oldalt, amire még fejből emlékeztem, és mindegyik elérhető https-en keresztül. Egyik sem self-signed, ráadásul. Pont nem ez a probléma a történetben (szerintem)

Ha már itt jelent meg a hír, mit szól ehhez a HUP?

joco-macbookair2:~ joco$ openssl s_client -connect hup.hu:443
connect: Operation timed out
connect:errno=60

--

hadd találjam ki: Dell géped van.
:)

Apple-je biztos nem, mert lemaradt a hozzászólásból a „Sent from my iPhone”.

--
The Elder Scrolls V: Skyrim

En is epp kerdezni akartam.... vagy kicsit optimistabban: Lesz https a HUP-on! :)

Mekkora buzik

Hmmm...majd használnak mást az emberek... Az IE is tett rá, hogy a weblapok 70% nem jelent meg normálisan, aztán mire észbe kaptak a 95%-os részesedési arányuk a böngészők között szépen elolvadt... Az FF is erre a sorsra juthat. Ahelyett, hogy a böngészőt fejlesztenék... No, majd meglátjuk (mondta a vak is)...
üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

+1
teljesen igazad van. régen az FF is jó volt. most meg már a régi tls/ssl oldalt nem is lehet még kivételnek sem megadni. jelenleg 3 FF van a gépemen mert valami csak a 17v a másik csak 24-ben megy. A szomorú h a többi böngészőben meg sehogy sem.

mielőtt bárki kérdezi h milyen oldalak, HP iLO 2/3/4 :D
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

Miért nem frissited az ilo-t? Épp itt van előttem 37-es ff-ban egy ilo2, tökéletesen működik. 3-as, 4-es ilo meg nyilván működik.
(idén januári az utolsó ilo2 frissités, rakás security lyuk van a korábbiakban, szóval nem csak a ff miatt érdemes frissiteni)

Az iLO kene, hogy menjen TLS-sel, hacsak nem regi, bugos firmwared van. Regi (<1.3) TLS verziokat hasznalo, altalad nem modosithato cuccokat rakd be a security.tls.insecure_fallback_host listaba. Akar globalisan is beallithatod, melyik TLS verzioig legyen hajlando az ff visszavaltani, de ez nem ajanlott, maradjon 3-on, ami az 1.3-at jelenti.

frissíteni, na ja, tervben van. nem lehet egykönnyen rebootolni... +legalább csak 1 bizonyos hállózatból lehet elérni őket.
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

Lassan már belső, védett hálózaton sem lehet plain menni (lásd http/2 proposalok), a megnövekedett cpu igényt és nagyobb latencyt meg viseld el.
--
zsebHUP-ot használok!

Ahol authentikációs adat közlekedik, ott egyértelmű, hogy kell a titkosítás; ebből a szempontból meg hótt mindegy, hogy egy távoli shell, vagy egy webszerver forgalmáról van szó.

Én arról beszélek, hogy egyeseknek annyira elszállt az agyuk, hogy kötelezővé akarták tenni a titkosítást, pld. a HTTP/2-ben (ennek az állása tudtommal az, hogy bizonyos implementációk máshogy nem fognak működni). Gondold már végig ennek a hatását mondjuk egy belső hálózati részen, ahol nagy sávszélességigény van, a webszerverek sendfile-lal lapátolják ki jelenleg az adatot.
Irgalmatlanul megnöveli a CPU-igényt, illetve a latencyre sincs jó hatással.
Nem jó, ha elveszik a választás lehetőségét, kezdünk átesni a ló túloldalára...

CPU-kban mióta van AES instruction set? Talán ideje lenne elkezdeni használni.

Hasznaljak is sok-sok eve, de sok helyen teljesen felesleges barmifele crypto alkalmazasa. Az IT security vonalon sokaknal mania a plaintext kommunikacio tuzzel-vassal torteno kiirtasa, fuggetlenul attol, van-e barmifele esszerusege a titkositasnak, vagy csak piszkosul fognak szivni masok emiatt.

Ennyi erővel email helyett használhatnál üzenetküldésre statikus html-t is, ami publikusan olvasható.
Minek is titkolózni, ha az embernek nincs rejtegetni valója... :D
--
PtY - www.onlinedemo.hu, www.westeros.hu

Megmérted már, hogy mennyivel kerül többe egységnyi adat mozgatása titkosítatlanul és titkosítva? El tudod fogadni, hogy van olyan, akit ez érdekel?
--
zsebHUP-ot használok!

Mai mércével mérve szinte semmivel. Ja, igen 386-oson, 33.6-os modemmel szörnyű. Ez tény.

--
PtY - www.onlinedemo.hu, www.westeros.hu

Nem erted, mirol beszelunk.

De. CPU és sávszélesség igényről.
A kiszolgálói oldalon az esetek 90%-ában a CPU átlagos napi terheltsége 20% alatt van - ezért is nagy találmány a virtualizáció.
A LAN/WAN terheltséget is lehet mérni, és hasonló arányban van kihasználva a pillanatnyi sávszélesség.
Azt is elhiszem, hogy vannak extrém esetek/adatátvitelek, de ott nem a titkosított csatorna a fő probléma, hanem az eleve alultervezett/kinőtt infrastruktúra.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Szoval nem tudsz olyan esetet elkepzelni, amikor a felesleges / ertelmetlen titkositas problemat okozhat. Jo neked, hogy minden egyes CPU magod korlatlan teljesitmenyu, ill. a rendszereid linearisan skalazhatoak (en meg sehol sem lattam ilyet), a kodolas/ dekodolas 0 idoigenyu, es nemcsak a szamitasi, hanem az IO (megiscsak titkositva taroljuk mar lokalisan is az adatokat!) es a halozat is korlatlan kapacitasu - kulonben nem lehetne alultervezett/ kinott az infrastruktura. Nekunk sajna egyik sincs meg ezert nagyon nem mindegy, mi hogyan kommunikal, akar egy adott fizikai gepen belul is. Nem beszelhetek a munkamrol, de maradjunk annyiban, eleg komplex es jol kicentizett/ kihasznalt az infrastruktura ahhoz, hogy ne akarjunk folos koroket futni HTTP->HTTPS valtassal, onallo PKI bevezetesevel, stb. csak azert, mert valaki ugy gondolja, hogy a plaintext kommunikacio irtando. Maradjunk annyiban, hogy pl. a telco vilagban megadjak a kapacitasat egy rendszernek, amit minden korulmeny kozott tudnia kell (itt a kutyat nem erdekli, hogy van olyan napszak, amikor nincs 100%-re porgetve) es a low latency vilagban nem jatek a kriptografia teljeskoru bevezetese.

Nem, olyan esetet nem tudok elképzelni, amikor egy amúgy is funkciószegény weboldal tulajdonosa problémának érzi, hogy a böngészők egyes funkciói (amiket az ő weboldala nyilván ő ki sem használ), le lesznek korlátozva a HTTPS hiánya miatt.
Ennek ellenére, ha a funkciószegény plaintext weboldal tulajdonosa szeretne ügyfeleket regisztráltatni a weboldalán, és elvárja, hogy a userek a regisztrációhoz szükséges személyes adataikat és a jelszavukat ugyanígy, plaintext módon vigyék fel a weboldalán, az már ma, még azelőtt rohadjon meg, hogy bármely böngésző bármely irányban is lépéseket tenne az ilyenek miatt. :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Hülyeségeket írsz. Ez tény.

A cáfolat az állításodra pedig ez:
a tesztgép üresjáraton 98 Wattot fogyaszt.
Egy fájl 64 szálon történő letöltése (/dev/null-ba írása) localhoston, HTTP-n:
CPU: 1.5% user, 0.0% nice, 7.2% system, 3.2% interrupt, 88.1% idle
1.849 GB/s
132 Watt

Ugyanez HTTPS-sel:
CPU: 82.2% user, 0.0% nice, 15.2% system, 2.6% interrupt, 0.0% idle
701 MB/s
332 Watt

export OPENSSL_ia32cap="~0x200000200000000" után már csak kb. 500 MB/s.

Tehát szerinted az, hogy TLS esetén ugyanaz a gép csak a teljesítménye 37%-át tudja, illetve hogy mindez több, mint 2,5-szeres áramfogyasztás mellett tudja az mai mércével szinte semmi.
Egyébként egy szálon a különbség (mert van, ahol ez is számít, nem csak az aggregált sávszélesség): 64M vs 1308M, azaz az SSL a plaintextnek mindössze 4,9%-át tudja!

Kliensoldali CPU-igényben pedig így néz ki:
HTTP: 1.16 real 0.18 user 0.93 sys
HTTPS: 23.66 real 1.81 user 0.91 sys
azaz 20-szor hosszabb idő alatt jön le a fájl, és 10-szer annyi CPU-t eszik TLS-sel!

Ez annyira nem kevés, hogy egy akkus eszköz üzemidején is bőven megérzed, ha sokat forgalmazol (bár ugye ebben a szálban nem erről beszélünk).

Localhoston http-n vs. localhoston https-en? Jól értem, hogy akkor a szerver egyben kliens is, azaz az encrypt/decrypt ugyanazon a gépen történik?
Ez valóban reprezantatív példa, ilyet nap-mint-nap tesz az ember :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ezt nekem szantad, ugye? En mar lattam kozelrol elosztott, HA rendszereket. Sosem felteteleznem, mi melyik fizikai gepen fog futni, akar mint mezei service, akar mint VM, es nekunk nagyon nem mindegy, hogy kommunikalnak a komponensek. Ne a sajat igenyedibol indulj mar ki!

> Localhoston http-n vs. localhoston https-en?
> Ez valóban reprezantatív példa, ilyet nap-mint-nap tesz az ember :)

Számítási kapacitás nemcsak localhoston kell ehhez, ha internetre néz a webszerver, akkor is működik a jelenség, nyilván megosztva a két gép között.

Egyéb érved nincs, persze nem is számítottam másra.
--
zsebHUP-ot használok!

Minek legyen?
Szerver-kliens viszonylatban mérd, ahol a szerver != kliens
--
PtY - www.onlinedemo.hu, www.westeros.hu

Nem pazarolok rád több időt, mert felesleges. Hidd el simán, hogy ha egy 32 magos gépen helyben 64 MBps a tls, akkor attól, hogy hálózaton keresztül húzom egy másik gépről nem lesz gyorsabb.
--
zsebHUP-ot használok!

Megosztva a két gép között == mindkét oldalon nő a terhelés, és mindkét oldalon kisebb arányban, mint ha egy oldalon mérnéd mindkettőt. Mind adatátvitelben, mind CPU terhelésben messze más arányban növekszik.
Ettől nem lesz reprezentatív, ha ugyanazon a CPU-n/architektúrán mérem egyidejűleg az endode/decode folyamatot.

Arról nem is beszélve, hogy a távoli adatmozgatásokat (rsync pl.) ugyanúgy SSL csatornán csinálja _mindenki_. Vagy VPN-en, vagy ssh-n keresztül, vagy más módon - ez most mellékes.
Ha ilyen nagy a teljesítmény/sebességvesztés a titkosítás miatt miért nem picsog senki, és miért nem használ pure FTP-t vagy mást?

Ja, mert nem lehetne trollkodni, hogy de milyen szar ez már megin'... OK.

--
PtY - www.onlinedemo.hu, www.westeros.hu

ssh és társai esetében _explicit_szükség_van_ titkosításra [szerk: kivettem az rsync-et, mert ott nem]

statikus html fájlok továbbításakor nincs

ha ennyire nem érted, felesleges róla tovább beszélgetni

Ha biztos akarsz leni abban, hogy azt látja a kliens, ami tőled elindul, akkor kell. Sőt, ha bármilyen authentikációs információ szaladozik a dróton, akkor is kell.

Csak a saját homokozódban tudsz gondolkozni.
Én például plaintext másolok rsync-kel, máshogy nem is jönne ki n gbps a gépekből.
--
zsebHUP-ot használok!

Épp a fenti példád bizonyítja, hogy Te gondolkodsz a saját homokozódban.
A teljesítményt előtérbe helyezni a biztonsággal szemben - a Te dolgod, a Te felelősséged. Ez alapján nem kéne általánosítani, főleg nem hangsúlyozni, hogy az a követendő.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Én meg fokozatosan a Mozzilát és a Firefoxot vezetném ki a böngésző piacról. Amúgy kár lenne értük, de ha ők úgy gondolják, hogy minden fejlesztesükkel, megnyilvánulásukkal inkább a Google Chromeot meg klónjait óhajtják támogatni, akkor lelkük rajta. Úgy el fognak tűnni a picsbe, mint ahogy a Netscape eltűnt. Az FF amikor meghatározó résztvevője lehett van volna a webes szabványoknak, sodródott az árral. Most neki áll puposkodni, miközben már mindenki remegve a Googlere figyel.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

És a Chrome lesz az első, aki majd megy a Mozilla után az SSL ügyben...
--
PtY - www.onlinedemo.hu, www.westeros.hu

Az lehet, de nem azért, mert annyira a biztonságot fogják majd szem előtt tartani, hanem azért, hogy a free tanúsítványokra megint felépítsenek egy üzleti modellt.
--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Nem csak arra.
Minden, magára valamit is adó szolgáltató https-en szolgáltat. Anno a gogel mail is plain HTTP volt, már nem az. Sőt, a nyamvadt kereső sem az. Még a tökönbökött maps sem. MS-nél is https minden olyan, ami megköveteli (ök még annyira nem szálltak el, mint más) - pl. support.
Erre viszik az irányt, és erre tartanak a böngészők is. Az sem lepne meg, ha a címsorba beírt www.akarmi.bizbaz címet első körben https-en keresnék nemsokára per. def a http helyett.
Erre tart a világ. Ha nem tetszik, akkor elő lehet venni a pincéből a stencilgépet, és lehet azon szolgáltatni az információt - nem kötelező a webes megjelenés :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ja. Miközben nap mint nap jönnek a hírek, hogy mennyire törhető az egész cucc, hogy tanúsítvány kiadó cégek milyen trehányak, és úgy általában mekkora kupi az egész. Szóval én attól nem fogom magam nagyobb biztonságban érezni, hogy a címsorban minden https lesz. Amúgy régóta úgy használom a Chromeot, hogy elsődlegesen https-en próbálkozzon, aztán amikor jön az üzenet, hogy lejárt a tanúsítvány vagy éppen nem ellenőrizhető, akkor marad a pofáraesés.

--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Figyelj, akkor mondok egy példát.
Simán el lehet lopni bármelyik autót. Minek is zárod be akkor a sajátod? Tök fölösleges, tök hülyeség, nap mint nap hallani, mennyit lopnak el/törnek fel. Akár a kulcsot is benne hagyhatod, nem leszel nagyobb biztonságban, ha bezárod a kocsid.
Ha még most sem érted, akkor sajnállak :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

http://a.te.ervelesi.hibad.hu/szalmabab

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Meghajlok az érvek előtt. :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Figyu! Nem az elvvel van bajom, hanem a megvalósítással. Attol, hogy az FF azt csinálja, amit, attól még nem lesz megreformálva az egész. Ehhez ők már kevesek. Még egyszer leírom. Nálam kényszerítve van a https. De mégis mi a lófaszt érek vele, amikor a "tanúsítvány nem ellenőrizhető" vagy a "tanúsítvány lejárt" üzeneteket kapom? Dőljek a kardomba? Respect a Mozillának, de nem ők fogják ezzel azt húzással megvaláltani a világot.
--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Szerintem a többi menni fog utána... Előbb a chrome, aztán az IE.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Elég retardált ötlet. Egy csomó belső rendszer megy érvényes tanúsítványok nélkül, pl. tesztrendszerek. Ezzel kb. azt érik el, hogy sok cég nem fog FF-en tesztelni. Én elég sokáig kitartottam az FF mellett a hülye hibái ellenére, de pár hete már nem használom.

Lazan kapcsolodik: https://letsencrypt.org/

Let’s Encrypt is a free, automated, and open certificate authority (CA), run for the public’s benefit. Let’s Encrypt is a service provided by the Internet Security Research Group (ISRG).

Free: Anyone who owns a domain name can use Let’s Encrypt to obtain a trusted certificate at zero cost.

...

Mozilla keze is vastagon benne van :)

Arriving mid-2015. No meg már volt ;)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Inkább a jelszó eltárolási lehetőséget vezetnék ki... és persze nem csak ők. Állítom, sokkal nagyobb kockázata van a tárolt jelszavaknak az átlag felhasználót nézve...

Eddig a napig meggyozodesem volt hogy en vagyok egyedul ezen a velemenyen az egesz vilagon.

Kulon csucs volt, mikor egy lastpass/keepass/franctudjamelyik fanboy ismerosom eloadta hogy csak neki biztosnagosak a jelszavai, nekem nem is lehetnek, mert ugy se 127 karakteresek mint az ovei a felhoben amiket mindig random general es nem is tud fejbol. (Ja meg enyem amugy is tuti midnenhova ugyanaz, ha en jegyzem meg magamnak).

A tárolásnak is vannak ésszerű módjai.
--
PtY - www.onlinedemo.hu, www.westeros.hu

nagy +1
a böngésző jelszó kezelője tipikusan nem ilyen.
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

Ez így van, de abban sem korlátoz senki, hogy a meghajtó/home könyvtár/stb. encryptálva legyen a gépen. ;)
Tehát a helyzet javítható.
Mint ahogyan az is hibát követ el, aki a szolgáltató felhőjében titkosítatlanul tárolja a jelszavait... Főleg, ha még erre büszke is...
--
PtY - www.onlinedemo.hu, www.westeros.hu

Nyilván, nincs tökéletes biztonság. Te is hagyd nyitva a kocsid :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

> Nyilván, nincs tökéletes biztonság.

Ez igaz, de a linkelt SO-threadben pont arról van szó, hogy elég könnyű megbizonyosodni a LastPass biztonságosságáról.

tl;dr manyeyeballs (amiről persze tudjuk, hogy "az open source definíció szerint biztonságosabb" = hülyeség)

Ez egy szempont. Meg az is szempont, hogy attól, hogy valamit még nem törtek fel, biztonságosabb lenne mint bármi más.

--
PtY - www.onlinedemo.hu, www.westeros.hu

és honnan tudod hogy nem lesz/van soha biztonsági rés ahol a jelszavakat kilophatók?
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

Sehonnan. De erre alapozzam azt, hogy titkosítani hülyeség?
Mint írtam, ilyen alapon minden ajtót/zárat/kocsit hagyjunk nyitva, hisz úgyis ellophatják.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Böngészőben mester jelszó használata?

Miért? A rendes böngésző titkosítja. Firefox esetén a logins.json-ből a konkrét adatokat nem egyszerű kimazsolázni. :)

Mertmiértis?

Olyan vicces látni, ahogy az üzemeltetők kapálóznak erősen ellene... Végül is nekik lesz vele több melójuk, az igaz :-P