A Mozilla fokozatosan kivezetné a nem biztonságos HTTP támogatást

Címkék

A Mozilla bejelentette, hogy fokozatosan kivezetné termékeiből a nem biztonságos HTTP támogatást. A vállalat a webes közösség támogatását keresi ambiciózus tervének megvalósításához. A Mozilla közölte, hogy hamarosan javaslatot nyújt be az ügyben a W3C WebAppSec Working Group-hoz.

A Mozilla fokozatosan léptetné életbe tervét. Első körben egy dátumot határozna meg, ami után böngészője összes új funkciója csak a biztonságos weboldalakkal működne, majd ezután vezetné ki azokhoz a böngészőfunkciókhoz való hozzáférést, amelyek a nem biztonságos oldalakkal kapcsolatosak, kiváltképp, amelyek kockázatot jelentenek a felhasználók biztonságára vagy privát szférájára nézve.

Richard Barnes, Firefox biztonsági főnök blogbejegyzése itt olvasható.

Hozzászólások

jah persze, mert ami https az halálbiztonságos.
ffox-szal eztán nem lehet megnézni egy plain http hobbi honlapot, mert veszélyben leszek tőle

~~~~~~~~
deb http://deb.uucp.hu/ wheezy yazzy repack

A Mozillánál totál el vannak tévedve. Arra támaszkodni, hogy majd a Cloudflare megment mindenkit, akinek jelenleg nem elérhető az SSL szolgáltatás, sokat elmond arról mennyire gondolták át ezt a tervezetet. Arról nem is beszélve, hogy a kis-közép vállalkozások weboldalainak semmi szüksége ilyen fajta biztonságra, ez csak további teljesen felesleges kötelező költségekkel nehezítené meg az életüket. A hosting szolgáltatók supportját előre sajnálom, szép móka lesz amikor a tájékozatlan fejlesztők tömkelege elkezd telefonálni, hogy hát a weboldal éveken át működött, de hát a megrendelőnek most ilyen olyan problémája van.

Értem én, szomorú ami a Github-al történt, de amíg nincs teljes körű megoldás, addig ezzel a tervezettel csak a saját felhasználóikkal fognak kibaszni.

Az meg van, hogy nem azt találták ki, hogy holnaptól nincs sima http, hanem hogy az új feature-öket teszik SSL-onlyvá, és szép lassan vezetik ki? És hogy egyre több ingyenes tanusítvány szolgáltató van?

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> az új feature-öket teszik SSL-onlyvá

Nagy könnyebbség. :)

> egyre több ingyenes tanusítvány szolgáltató van

Mm-hm, amiből azért elég sok a szemétdombra való, illetve sok hoszting (különösen az olcsók, tipikusan amiken a személyes vackok mennek) pénzt kér az SSL telepítésért.

Na ja, oda kell egy 60 usd/2 éves verified [esetleg StartSSL WoT, bár azt soha nem próbáltam]. Ha tényleg csak a Symantec-féle árazás lenne (két évre 695 usd), megérteném ahogy mindenki itt problémázik.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Az a baj, hogy amíg a világ nagyobbik fele nem {tud|akar} pénzt költeni arra, hogy a céges email-cím ne egy gmailes/freemailes vacak legyen, addig a hatvan dollárt is irreálisnak tartom, különösen akkor, ha egy full statikus oldal alá kéne https-t tenni, csak mert néhány jóképességű így gondolta jónak, élükön a Google-lel és a Mozillával.

Az, hogy itthon 20-ezreket kérnek nyomorult C típushoz egy évre, és még altname sincs benne, nemhogy wildcard, érthető.
De az, hogy ennél kevesebbért Class 2-est kapsz 2 évre minden fícsörrel, ráadásul annyi certet gyártasz, amennyit nem szégyellsz, szerintem egyáltalán nem sok $60-ért, még akkor sem, ha cégnek további $60.
Ha egy informatikai döntéshozó ezt felfogni képtelen, akkor az a cég ne is szerepeljen még a gugli találati listájában se, és valóban jöjjön fel 600 ablak evvel a szöveggel, amíg az oldalukat böngészem:
"Ha ezen a weboldalon Ön bármilyen adatot megad, azt illetéktelenek kezébe juthat!'
És legyen mellette 20 konfirm.
--
PtY - www.onlinedemo.hu, www.westeros.hu

> Amelyik cég freemail-t és társait használ, az alapból denied anélkül, hogy mozilla f@szkodna.

Jó, mindjárt szólok is a lakatosnak, hogy ne jöjjön holnap zárat javítani, mert freemailes címe van a kétemberes cégének. :(

Az a baj, és ebbe a hibába rengetegen beleesnek itt a hupon, hogy:
- cég != informatikai cég
- felhasználó != informatikus
- ügyfél != informatikai cég ügyfele

Biztos komoly weboldala is van a csókának, amin űrlapok is vannak.
És igen, a freemail kizáró ok. Nálad javítson zárat, nálam meg ne. Ha ért az informatikához, ha nem, ha a vállalkozásához üzleti célból (!) ilyet használ, akkor vessen magára.
--
PtY - www.onlinedemo.hu, www.westeros.hu

ez most valami vicc?

annyira megdöbbentően nehéz rendesen és becsülettel dolgozó "kétkezi munkásembert" találni manapság, hogy te ezzel szemmel láthatóan nem vagy tisztában. elképzelni sem tudod.

weblap? nem érdekel, ha azt sem tudja sokuk, hogy egy PC-t hogyan kell bekapcsolni, és ha (jó esetben) a fia/lánya tolmácsol majd neki akár citro-s szemétgyűjtő mail címükről, már ha egyáltalán mail útján elfogad bármit is.

semmivel nem kevesebbek, mint a fullhonlapos & saját domanines címmel szerelt vállalkozók/vállalkozások. sőt.

--
Vortex Rikers NC114-85EKLS

Miert lenne irrelevans? Van egy egy-ket emberes ceg, akinek egyszeruen nem eri meg SSL tanusitvanyt venni $60-ert, reszben mert sok konyvelo eleve el sem fogad olyan szamlat, amin nem forint a vegosszeg, masfelol meg nem is feltetlen ert hozza / tudja, hogy miert lenne ez neki jo.

De persze, ha te vallalod, hogy ingyen es bermentve tajekoztatod ezeket az embereket es segitesz neki tanusitvanyt valasztani es telepiteni, akkor elismerem, hogy igazad van. Addig viszont csak a szad jar olyan dolgokrol, amikre keves ralatasod van.
--
Blog | @hron84
Üzemeltető macik

Ok, van 2 emberes társaság.
Van weboldaluk? TF van.
Használnak rajta olyan funkciót, amit majd a FF/később más is korlátozni fog a tanúsítvány hiánya miatt? TF, van.
Ez nekik ügyfélvesztést okozhat? TF igen.

Ha ez mind igaz, akkor venni fog. Ha meg nem, akkor épp a kinemszarjale kategória - eddig a következtetésig azonban ebben a threadben sajnos senki sem jut el, csak trollkodik gondolkodás helyett.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ki mondta, hogy _kell_?
Mert egy-két kiegészítő/funkció nem működik? Ezt úgy értelmezed, hogy alkalmazkodni _kell_?
Nem kell. Főleg, hogy mindenki azt szajkózza, hogy a FF ehhez porszem, senki sem fogja használni emiatt.
Majd az idő eldönti.
Ha meg minden böngésző menni fog a FF után, akkor meg majd _kell_, mert nem lesz más alternatíva. Ezt is eldönti az idő.
Ezért nem is értem, mi ez az irdatlan f@szcibálás meg visítozás a probléma körül...
--
PtY - www.onlinedemo.hu, www.westeros.hu

A hasonlat inkább: holnaptól azt mondja az NKH, hogy önvezető autóra akkor is kell pályamatrica, ha nem mész fel vele a pályára - a Mozilla csak az "új" feature-khöz kérné az SSL-t, az, hogy a Béluka 2004 Bt. feltegye a weblapjára, hogy "létezünk", nem.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Pont annyi, mint a telnet meg az ssh kozott.

Ami azt illeti, minden fiszfasz dologra ssh-t hasznalunk, sokszor olyankor is, amikor amugy tokeletesen felesleges overhead maga a protokoll, mert benne vagy amugy is publikus adatok utaznak, vagy eleve egy titkositott csatorna van benne. Az emberek zome azert hasznal ssh-t, mert meg senki nem jott elo jobbal, es nem azert, mert biztonsagra vagyik.
--
Blog | @hron84
Üzemeltető macik

:D
Itt üt vissza az értő olvasás hiánya.

1. Nem irányít át webmailre egyik sem, mivel plain HTTP mindegyik.
2. Nem tartom - egyenlőre - szükségesnek, hogy SSL legyen alatta.
3. De, ha már említetted a webmailt - az alatt láttál-e SSL-t? Ott sem? Akkor még a szemed is gyenge...

Az, hogy azon az IP-n van olyan oldal, ami SSL-es (nyilván más CN-nel), és az ilyenkor feljön, nyilván semmit sem jelent (azon kívül, hogy egyenlőre nincsenek szeparálva IP-kre a HTTP only és az SNI-s oldalak).

De, hogy megnyugtassam a lelked, hamarosan SSL lesz mind.

--
PtY - www.onlinedemo.hu, www.westeros.hu

1. Mivel végig SSL-ről volt szó a threadben, feltételeztem, hogy egyértelmű, hogy továbbra is SSL-ről van szó. (Értsd: http helyett https-en keresztül hívtam az oldalt)
2. Pontosan erről beszélek én is.
3. A webmail alatt természetesen már láttam, ettől még az aláírásodban szereplő linkek nem működnek SSL-en, ennél többet viszont nem is állítottam.

Az aláírásban szereplő linkek működnek. (katt->néz)
Ja, hogy _átírod_ a linket, és nem működik? Sorry :D

https://t-mobile.hu/

Ez is milyen szar már... (mondjuk tényleg gáz, hogy nincs benne altname, ha már van cert ugyanahhoz a domainhez).
Ez jobb példa:

https://alexandra.hu/

Szóval, ha URL-eket írogatsz át random, akkor ez ne lepjen meg.

--
PtY - www.onlinedemo.hu, www.westeros.hu

Ettől még a Mozilla törekvése helytálló :)
És képzeld, ha 60 évvel ezelőtt emailről meg mobiltelefonról beszélsz egy IT szakinak, az is hülyének néz.
A világ erre halad, és tartani kell vele. Akinek nem sikerül - még kicsit sem -, az lemorzsolódik. Ez meg történelmi tény.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Pl attól, hogy a user így rákényszerül, hogy minden alkalommal be kell írnia mindent. Lustaság fél egészség, ha ez https-en nem probléma, akkor azokat az oldalakat fogja előnyben részesíteni a user is, ahol a plusz feature-ök működnek.
Nem feltétlenül az adott funkció biztonságos működése a cél, hanem az, hogy ez az egész mit okoz majd a userek fejében.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Vagyis az userek ra lesznek kenyszeritve a dragabb, joval szarabb minosegu, am https-en at mukodo vallalkozasok szolgaltasaira csak azert, mert valamelyik Mozillas fejlesztoben bennszakadt egy fing. A versenyt erosito, ertelmes, jol alatamasztott fejlesztest latunk megszuletni, csak gratulalni tudok hozza.
--
Blog | @hron84
Üzemeltető macik

Ha verseny van, akkor alkalmazkodni kell. Ha ez azon múlik, hogy van-e megfelelő certje valakinek, akkor majd vesz, ha ebből anyagi kára származik.
ISO is ugyanez, hulla fölösleges szar, mégis, akinek kell, megcsinálja (a 2 fős cég meg elvan anélkül is).
--
PtY - www.onlinedemo.hu, www.westeros.hu

> ISO is ugyanez, hulla fölösleges szar, mégis, akinek kell, megcsinálja (a 2 fős cég meg elvan anélkül is).

Láttam már két fős Bt-t több szabványmegfelelőségi plecsnivel, mint amennyit fejből fel tudnék sorolni. Meg ne csak abból indulj ki, hogy kétfős cég == PHPistike Bt.

Nem, én az ISO-ról beszéltem: te azt mondod, hogy sz@r, mert lehet rosszul is csinálni, ergo fölösleges. Erre mondom, hogy nem, nem fölösleges, csak amikor majd rájössz, hogy nem az, akkor már késő lesz.
Ugyanígy van az ssl is: lehet sz@rul is csinálni, de attól még biztonságosabb és megbízhatóbb, mint a plain text. Az ssl-ről majd kiderülhet sérülékenység, a plaintext átvitelnél meg by design sérülékeny az átvitt adat - akár teljese mást is kaphatsz válasz gyanánt, mint amit a szerver eredetileg elküldött.

Csak képletesen mondtam.
Amúgy nem szar, csak az emberek (cégvezetők/döntéshozók included) többségében hamis képpel él a jelentése.
T.i. azt hiszik, hogy ha valaki ISO minősítéssel gyárt/szolgáltat, az minőséget jelent, holott nem. Csupán arról van szó, hogy az adott vállalkozás ügymenete áttekinthető, rendezett, és azt a minőséget produkálják, amit vállaltak.
Azaz, ha azt vállalták, hogy amit csinálnak, az egy kalap sz@r, és ezt bizonyítani is tudják az audit folyamán, akkor megkapják a minősítést.
Tudom, hogy kicsit elrugaszkodott a példa, de hellyel-közzel erről van szó.
--
PtY - www.onlinedemo.hu, www.westeros.hu

"Ha ezen a weboldalon Ön bármilyen adatot megad, azt illetéktelenek kezébe juthat!"

És? Teszem azt, adott egy blog, a tartalom rajta publikus, oda mi a retkes péknek SSL? Vagy mint gelei által említett 3 oldalas statikus honlap, ahol van mondjuk egy kapcsolat oldal egy (publikus) árlista és esetleg egy galéria? Félsz, hogy megtudják a böngésződ user agentét?

Komolyan, mi a ráció benne?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Megy itt a rugozas az urlapon, pedig nem csak oda, visszafele is jo a titkositas. Honnan tudod, hogy a kedvenc blogodra/hiroldaladra tenyleg azt irja a szerzo, amit te olvasol? Ugye onnan indul ez az egesz tema, hogy manapsag csak az nem nez/modosit bele, aki nem akar...

Pl. a Verizon (amcsi internetszolgaltato orias) nyiltan bevallalja, hogy lecsereli a rajta athalado weboldalakon a reklamot sajatra. Miota rajtakaptak oket van opt-out, de azert eleg kememy.

Vagy egy feltort router malware-t szur a mogotte csucsulo gepek altal lekert oldalakba, a sebezheto/hozza nem erto user meg siman beszopja.

Es akkor meg szo sem volt a titkosszolgalatokrol, torveny altal eloirt blokkolasokrol (ok, annak a gagyibbja IP/DNS alapu, de biztos van aki mar szintet lepett).

Én valahogy nehezen hiszem, hogy épp' a titkosszolgálatok ne kapnának lehetőséget a titkosítás feloldására.
Nem azon van a hangsúly, hogy megtörténik-e, hanem azon, hogy a nyilvánosság mit tud erről és mennyire bizonyos a tudásában.

A kompromittálódott CA-kat nyilván kidobják (volt példa is rá), de csak akkor, ha nyilvánvalóvá válik...

A titkosszolgálatok biztosan nem. Legalábbis szolgáltatók tudtával nem.
Nyomozati szervek bírósági végzéssel minden bizonnyal.
Mindenesetre azon sem lepődnék meg, ha lenne a böngészőkben egy színkód a címsorban/felugró figyelmeztetés/stb. arra, ha az utolsó látogatás óra változott a certificate.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Persze, ezert is volt a titkosszolgalatos resz mintegy zarojelben. Egyebkent ugye a kevesbe nagy spilerek ellen van ilyen esetben is eszkoz, pl. EFF SSL Observatory (nem igazan ismerem), vagy tanusitvany valtozas figyelo kiterjesztes a bongeszohoz. Ezt utobbit hasznalom, es hat folyton bejelez, hogy "warning, meg nem jart le az elozo, de megis uj cert van!". :) Ennek ellenere nem teljesen haszontalan, pl. ha a sajat/ceges belso cuccoknal ugrana fel a cert valtozas figyelmezteto, hat igencsak huzodna a szemoldokom...

De egy atlag user szempontjabol ez mind mindegy, ott en, mint site gazda inkabb azert titkositanek, hogy az emlitett, cert manipulacioval nem foglalkozo, de a sima http-n utazo oldalamba orommel belepiszkalo kocsogoket elharitsam.

Most úgy őszintén, saját domainen hány certet használsz napi szinten aktívan? Értem én, hogy a jövőben ez úgy lesz, mint az IPv6 esete a villanykörtével, de jellemzően egy domainen 1-2 cert bőven elég szokott lenni (egy subdomaines cert meg jellemzően a fődomainre is érvényes, ergo egy webmail-re megveszed és a blogod is okés lesz).

"Viszont amit mondasz, hogy egy 60 dodós accal egy domainhez tudsz korlátlan certet kérni."

Fussunk neki újra, együtt: nem egy domainhez tudsz certet csinálni egy 60 dodós cuccal, hanem az összes domainhez, ami a regisztrált és azonosított személy tulajdonában van (és/vagy technikai kontaktként a whoisban szerepel).
Egy átlagos domainhez is tartozhat több - levelezés, web, ftp, más aldomainek, stb.
Az rendben van, hogy egy-egy webshopnak egy elég bár a webshopok tulajdonlása is érdekes, mert vannak azonos tulajdonban lévő, más-más profilú oldalak.
Ettől függetlenül sajnos a webshopok többsége plaintext...
--
PtY - www.onlinedemo.hu, www.westeros.hu

Mutatsz olyat, ami széles körben elfogadott (támogatja az összes böngésző), használható üzleti célra és ingyenes?
Igazából ha a Mozilla végső célja az, hogy kizárólag https-en közlekedjen a web, akkor tudnám értékelni egy Mozilla tanúsítvány kiadást minden célra ingyenesen, a böngésző gyártókkal meg egyezzen meg, hogy támogassák. Egy ilyen átalakítás után a cert kiadók fel fogják emelni azt árakat, mert tuti biznisz lesz nekik. Kissé versenyellenes. Szóval csináljanak csak ingyé' certet.

:D
És azt hogy?
Ha a virtualhost http-n fut, és az okos fejlesztő úgy írta meg, hogy a listener alapján abszolút hivatkozásokat bök a HTML forrásba, akkor mi lesz?
Sajnos, nem egy java alkalmazásnál láttam ilyet, ahol nem lehetett konfigurálni a dolgot - az is igaz, hogy régen volt, nem tudom, akad-e még ilyen... Ha nem tévedek, a Jira volt ilyen: reverse proxy mögött nem akart menni (10 éves story, lehet, azóta ezen bütyköltek).
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ha jól látom az API docs-ot, egy Apache-ot fel tud konfigolni, de gondolod lesz "natív" kulcs-fájl kezelés is (az Apache konfigurátor mindenesetre megkapja a ca/kulcs/cert útvonal hármast :) ).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Én ezt nem értem, hogy képzelik, "Fityfirity Pista" személyes blogja is https-n menjen? Vagy akár az én kis blogocskám? Mi a fenének? Lassítja és az egész koceráj nem ér annyit, hogy pluszba fizessem a https szolgáltatást nem mintha egy borult összeg lenne, de azért mert néhány oldalt felnyomnak nem kéne mindenkire ráerőltetni a https-t.

--
honlapom http://dyra.eu/

En elolvastam a linkelt blogpostot is, es inkabb a te hozzaszolasod hangnemevel van problema.

A linkelt blogbejegyzesben irjak, hogy *kivezetnek* feature-oket a sima http alol, es hardvertamogatast (gondolom itt a fileapi-ra kell gondolni) vonnak meg a http tartalomtol. Gondolom javascriptbol majd ezeket nem lehet meghivni, hogyha nem https-bol jon.

Szerintem ez nagyon karos. Fejlesztesnel tok nagy elony, hogy lehet debuggolni ha nagy gaz van (ki-bekapcsolni a https-t).

Inkabb a firefoxot kapnak ossze. Minden ful kulon processzbe, normalis memoriamonitorozas, ha valamelyik ful nem aktiv, akkor javascriptet leallitani/optimalizalni, stb, stb.

Vagy mondjuk lehetne egy komplett konyvtarat drag&dropolni, legalabb ugy, ahogy a chrome-ban.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Fejlesztesnel tok nagy elony, hogy lehet debuggolni ha nagy gaz van (ki-bekapcsolni a https-t).

Valamiért ismerve Mozilláékat szinte biztos vagyok benne, hogy ez egy about:config kérdése lehet, már a kivezetés korai szakaszában (amikor csak az új API-kat nem éred el), ha meg végképp dobnák a http-t (10 év? nem tudom), akkor is.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A kolléga teljes mértékben felfogta a szöveget. Jelen pillanatban is éppen gyújtják rá a netet a Mozillára. Ez egy abszolút elbaszott döntés. Statikus HTML oldalaknak nem kell SSL. Ez egy hobbi és kisvállalkozás ellenes döntés. Teljesen szembe megy azzal, amiért a 90-es években létrehozták a webet. Ez egy őrület.
Ha ez keresztül megy akkor még én is eldobom a Firefoxot.

--
GPLv3-as hozzászólás.

Ok vezessék ki... van ezzel kapcsolatban egy sokkal komorabb gyanúm... ha ez meglesz, akkor innentől akinek nincs érvényes és széles körben elfogadott SSL tanúsítványa, az finoman szólva komoly hátrányokba fog ütközni akkor, amikor a felhasználók megpróbálják elérni.

Képzeljetek el egy Torrent oldalt, amint tanúsítványért folyamodik? Vagy valami nem mainstream, "szélsőségesnek" bélyegzett hírportált vagy infóforrást. Vagy a wikileakst. Ezek némelyikre ráadásul az anonimitásra épít... Folytathatnám. Az ilyeneket onnantól vagy kalózböngészővel vagy sehogyan. Pláne ha a keresési találatokba sem kerülnek be onnantól.

Kérdés, hogyan lesz megoldva, hogy kiben/miben fognak majd az újabb verziójú böngészők megbízni, de ha pl. ezt a kört erősen lekorlátozzák, vagy felosztják zöld-szürke-vörös zónás tanúsítványokra vagy egyéb hülyeségre mondjuk a jövőben, akkor... nos ez egyenes út pofára osztályozáshoz, bíróságon kívüli cenzúrához. Ennek a törvényi háttere is érdekes lesz, ha egyáltalán felismeri a törvényhozás.

De egyszerűsítsük le a dolgot, mert talán túlnyújtom a rétestésztát... 5-10 éven belül erre kialakulhat egy monopolisztikus ipari kartell, aki kb. eldöntheti, ki terjeszthet tartalmat a weben egyszerűen azzal, hogy valakitől megtagadják vagy irreálisan drágán adják a tanúsítványokat, vagy egyszerűen csak a lebukás kockázatát prezentálják... ilyesmi kering a fejemben... mert ugye állandóan arról megy a jajveszékelés, hogy milyen rossz dolog, hogy az Interneten bármi terjedhet és hogy ezt szinte lehetetlen szabályozni - talán megtalálták rá a módszert (é: akik irányítják a tanusítványkiadást, azok irányítják a tartalmat)? Csak ennyi a bajom ezzel hosszútávon...

no mind1

Az kerül komoly hátrányba, akinek egyáltalán nincs tanúsítványa, de ott van a self signed cert, ami bárkinek lehet, és azt ír bele bárki, amit akar. Azt sokkal kevésbé tartom valószínűnek, hogy az anonim oldalakra azért ne lehessen felmenni, mert a böngésző letiltja a self-signed certet.

--

A self-signed certek ellen már most is ordítanak a böngészők, néha a lejárt tanúsítványon sem egyszerű túllépni.

Nem örülnék túlságosan, ha minden második weboldalon el kellene ezt játszani.
Másrészt van ingyenes szolgáltató, de csak magánszemélyeknek és évente kell megújítani.

Ez akkor kezd igazán veszélyessé válni, ha Mozilláék komolyan gondolják és más böngészők is erre az útra lépnek...

Gyakorlatban használhatatlan a self signed cert a mozillán kívül, mert direkt ellene mennek sokan - pl. míg firefoxban 1-2 egyszerű klikkel meg tudod jegyeztetni, addig próbáld ezt meg más böngészőkben. Szerintem is a cenzúra és kontroll a motiváció - mi más lenne, ez a logikus.

??

Legutobb pont hogy Firefox-ban volt a self-signed certet izzadas elfogadni, mig mas bongeszoben egyetlen click volt. Lemaradtam volna valamirol?

Update: direkt megneztem most, Safariban egy kattintas, Chrome-ban ketto, Firefoxban harom, mikor elsore nyitsz meg egy self signed certes oldalt (emlekeimhez kepest tenyleg bonyolodott Chrome-ban). Szoval tovabbra is: kapja be a Firefox, de tenyleg.

chrome a windows cert kezelojet hasznalja. a self signed cert-et le tudod nyomni group-policyben (fixme ha megse), ha meg csak siman egy gepre kell felrakni, akkor a site CA cert-jet le kell menteni fajlba (foo.pem), majd azt importalni "megbizhato legfelso szintu szolgaltato"-kent (vagy mi a neve a csoportnak).

az mar kerdes hogy ez igy mennyire biztonsagos

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Egyrészt régebben nem tudtam megcsinálni - pár óra baszakodás után dobtam a dolgot - másrészt szerintem sima usernek ez így nagyon nem könnyű - szemben firefox-szal, amit sokszor irányítottam telefonon - asszem 3 klikk és nagy gombokra kell bökni - tehát a gyakorlatban működés szempontjából nekem FF volt jó kizárólag. Safari-t nem néztem, de le fogom tesztelni ott mennyire macerás és hogy tényleg megjegyzi-e.

> Képzeljetek el egy Torrent oldalt, amint tanúsítványért folyamodik?

Most lecsekkoltam az összes torrent-oldalt, amire még fejből emlékeztem, és mindegyik elérhető https-en keresztül. Egyik sem self-signed, ráadásul. Pont nem ez a probléma a történetben (szerintem)

Ha már itt jelent meg a hír, mit szól ehhez a HUP?


joco-macbookair2:~ joco$ openssl s_client -connect hup.hu:443
connect: Operation timed out
connect:errno=60

--

Hmmm...majd használnak mást az emberek... Az IE is tett rá, hogy a weblapok 70% nem jelent meg normálisan, aztán mire észbe kaptak a 95%-os részesedési arányuk a böngészők között szépen elolvadt... Az FF is erre a sorsra juthat. Ahelyett, hogy a böngészőt fejlesztenék... No, majd meglátjuk (mondta a vak is)...
üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

+1
teljesen igazad van. régen az FF is jó volt. most meg már a régi tls/ssl oldalt nem is lehet még kivételnek sem megadni. jelenleg 3 FF van a gépemen mert valami csak a 17v a másik csak 24-ben megy. A szomorú h a többi böngészőben meg sehogy sem.

mielőtt bárki kérdezi h milyen oldalak, HP iLO 2/3/4 :D
--
A legértékesebb idő a pillanat amelyben élsz.
https://sites.google.com/site/jupiter2005ster/

Az iLO kene, hogy menjen TLS-sel, hacsak nem regi, bugos firmwared van. Regi (<1.3) TLS verziokat hasznalo, altalad nem modosithato cuccokat rakd be a security.tls.insecure_fallback_host listaba. Akar globalisan is beallithatod, melyik TLS verzioig legyen hajlando az ff visszavaltani, de ez nem ajanlott, maradjon 3-on, ami az 1.3-at jelenti.

Lassan már belső, védett hálózaton sem lehet plain menni (lásd http/2 proposalok), a megnövekedett cpu igényt és nagyobb latencyt meg viseld el.
--
zsebHUP-ot használok!

Én arról beszélek, hogy egyeseknek annyira elszállt az agyuk, hogy kötelezővé akarták tenni a titkosítást, pld. a HTTP/2-ben (ennek az állása tudtommal az, hogy bizonyos implementációk máshogy nem fognak működni). Gondold már végig ennek a hatását mondjuk egy belső hálózati részen, ahol nagy sávszélességigény van, a webszerverek sendfile-lal lapátolják ki jelenleg az adatot.
Irgalmatlanul megnöveli a CPU-igényt, illetve a latencyre sincs jó hatással.
Nem jó, ha elveszik a választás lehetőségét, kezdünk átesni a ló túloldalára...

Hasznaljak is sok-sok eve, de sok helyen teljesen felesleges barmifele crypto alkalmazasa. Az IT security vonalon sokaknal mania a plaintext kommunikacio tuzzel-vassal torteno kiirtasa, fuggetlenul attol, van-e barmifele esszerusege a titkositasnak, vagy csak piszkosul fognak szivni masok emiatt.

De. CPU és sávszélesség igényről.
A kiszolgálói oldalon az esetek 90%-ában a CPU átlagos napi terheltsége 20% alatt van - ezért is nagy találmány a virtualizáció.
A LAN/WAN terheltséget is lehet mérni, és hasonló arányban van kihasználva a pillanatnyi sávszélesség.
Azt is elhiszem, hogy vannak extrém esetek/adatátvitelek, de ott nem a titkosított csatorna a fő probléma, hanem az eleve alultervezett/kinőtt infrastruktúra.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Szoval nem tudsz olyan esetet elkepzelni, amikor a felesleges / ertelmetlen titkositas problemat okozhat. Jo neked, hogy minden egyes CPU magod korlatlan teljesitmenyu, ill. a rendszereid linearisan skalazhatoak (en meg sehol sem lattam ilyet), a kodolas/ dekodolas 0 idoigenyu, es nemcsak a szamitasi, hanem az IO (megiscsak titkositva taroljuk mar lokalisan is az adatokat!) es a halozat is korlatlan kapacitasu - kulonben nem lehetne alultervezett/ kinott az infrastruktura. Nekunk sajna egyik sincs meg ezert nagyon nem mindegy, mi hogyan kommunikal, akar egy adott fizikai gepen belul is. Nem beszelhetek a munkamrol, de maradjunk annyiban, eleg komplex es jol kicentizett/ kihasznalt az infrastruktura ahhoz, hogy ne akarjunk folos koroket futni HTTP->HTTPS valtassal, onallo PKI bevezetesevel, stb. csak azert, mert valaki ugy gondolja, hogy a plaintext kommunikacio irtando. Maradjunk annyiban, hogy pl. a telco vilagban megadjak a kapacitasat egy rendszernek, amit minden korulmeny kozott tudnia kell (itt a kutyat nem erdekli, hogy van olyan napszak, amikor nincs 100%-re porgetve) es a low latency vilagban nem jatek a kriptografia teljeskoru bevezetese.

Nem, olyan esetet nem tudok elképzelni, amikor egy amúgy is funkciószegény weboldal tulajdonosa problémának érzi, hogy a böngészők egyes funkciói (amiket az ő weboldala nyilván ő ki sem használ), le lesznek korlátozva a HTTPS hiánya miatt.
Ennek ellenére, ha a funkciószegény plaintext weboldal tulajdonosa szeretne ügyfeleket regisztráltatni a weboldalán, és elvárja, hogy a userek a regisztrációhoz szükséges személyes adataikat és a jelszavukat ugyanígy, plaintext módon vigyék fel a weboldalán, az már ma, még azelőtt rohadjon meg, hogy bármely böngésző bármely irányban is lépéseket tenne az ilyenek miatt. :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Hülyeségeket írsz. Ez tény.

A cáfolat az állításodra pedig ez:
a tesztgép üresjáraton 98 Wattot fogyaszt.
Egy fájl 64 szálon történő letöltése (/dev/null-ba írása) localhoston, HTTP-n:
CPU: 1.5% user, 0.0% nice, 7.2% system, 3.2% interrupt, 88.1% idle
1.849 GB/s
132 Watt

Ugyanez HTTPS-sel:
CPU: 82.2% user, 0.0% nice, 15.2% system, 2.6% interrupt, 0.0% idle
701 MB/s
332 Watt

export OPENSSL_ia32cap="~0x200000200000000" után már csak kb. 500 MB/s.

Tehát szerinted az, hogy TLS esetén ugyanaz a gép csak a teljesítménye 37%-át tudja, illetve hogy mindez több, mint 2,5-szeres áramfogyasztás mellett tudja az mai mércével szinte semmi.
Egyébként egy szálon a különbség (mert van, ahol ez is számít, nem csak az aggregált sávszélesség): 64M vs 1308M, azaz az SSL a plaintextnek mindössze 4,9%-át tudja!

Kliensoldali CPU-igényben pedig így néz ki:
HTTP: 1.16 real 0.18 user 0.93 sys
HTTPS: 23.66 real 1.81 user 0.91 sys
azaz 20-szor hosszabb idő alatt jön le a fájl, és 10-szer annyi CPU-t eszik TLS-sel!

Ez annyira nem kevés, hogy egy akkus eszköz üzemidején is bőven megérzed, ha sokat forgalmazol (bár ugye ebben a szálban nem erről beszélünk).

Megosztva a két gép között == mindkét oldalon nő a terhelés, és mindkét oldalon kisebb arányban, mint ha egy oldalon mérnéd mindkettőt. Mind adatátvitelben, mind CPU terhelésben messze más arányban növekszik.
Ettől nem lesz reprezentatív, ha ugyanazon a CPU-n/architektúrán mérem egyidejűleg az endode/decode folyamatot.

Arról nem is beszélve, hogy a távoli adatmozgatásokat (rsync pl.) ugyanúgy SSL csatornán csinálja _mindenki_. Vagy VPN-en, vagy ssh-n keresztül, vagy más módon - ez most mellékes.
Ha ilyen nagy a teljesítmény/sebességvesztés a titkosítás miatt miért nem picsog senki, és miért nem használ pure FTP-t vagy mást?

Ja, mert nem lehetne trollkodni, hogy de milyen szar ez már megin'... OK.

--
PtY - www.onlinedemo.hu, www.westeros.hu

Épp a fenti példád bizonyítja, hogy Te gondolkodsz a saját homokozódban.
A teljesítményt előtérbe helyezni a biztonsággal szemben - a Te dolgod, a Te felelősséged. Ez alapján nem kéne általánosítani, főleg nem hangsúlyozni, hogy az a követendő.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Én meg fokozatosan a Mozzilát és a Firefoxot vezetném ki a böngésző piacról. Amúgy kár lenne értük, de ha ők úgy gondolják, hogy minden fejlesztesükkel, megnyilvánulásukkal inkább a Google Chromeot meg klónjait óhajtják támogatni, akkor lelkük rajta. Úgy el fognak tűnni a picsbe, mint ahogy a Netscape eltűnt. Az FF amikor meghatározó résztvevője lehett van volna a webes szabványoknak, sodródott az árral. Most neki áll puposkodni, miközben már mindenki remegve a Googlere figyel.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Az lehet, de nem azért, mert annyira a biztonságot fogják majd szem előtt tartani, hanem azért, hogy a free tanúsítványokra megint felépítsenek egy üzleti modellt.
--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Nem csak arra.
Minden, magára valamit is adó szolgáltató https-en szolgáltat. Anno a gogel mail is plain HTTP volt, már nem az. Sőt, a nyamvadt kereső sem az. Még a tökönbökött maps sem. MS-nél is https minden olyan, ami megköveteli (ök még annyira nem szálltak el, mint más) - pl. support.
Erre viszik az irányt, és erre tartanak a böngészők is. Az sem lepne meg, ha a címsorba beírt www.akarmi.bizbaz címet első körben https-en keresnék nemsokára per. def a http helyett.
Erre tart a világ. Ha nem tetszik, akkor elő lehet venni a pincéből a stencilgépet, és lehet azon szolgáltatni az információt - nem kötelező a webes megjelenés :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ja. Miközben nap mint nap jönnek a hírek, hogy mennyire törhető az egész cucc, hogy tanúsítvány kiadó cégek milyen trehányak, és úgy általában mekkora kupi az egész. Szóval én attól nem fogom magam nagyobb biztonságban érezni, hogy a címsorban minden https lesz. Amúgy régóta úgy használom a Chromeot, hogy elsődlegesen https-en próbálkozzon, aztán amikor jön az üzenet, hogy lejárt a tanúsítvány vagy éppen nem ellenőrizhető, akkor marad a pofáraesés.

--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Figyelj, akkor mondok egy példát.
Simán el lehet lopni bármelyik autót. Minek is zárod be akkor a sajátod? Tök fölösleges, tök hülyeség, nap mint nap hallani, mennyit lopnak el/törnek fel. Akár a kulcsot is benne hagyhatod, nem leszel nagyobb biztonságban, ha bezárod a kocsid.
Ha még most sem érted, akkor sajnállak :)
--
PtY - www.onlinedemo.hu, www.westeros.hu

Figyu! Nem az elvvel van bajom, hanem a megvalósítással. Attol, hogy az FF azt csinálja, amit, attól még nem lesz megreformálva az egész. Ehhez ők már kevesek. Még egyszer leírom. Nálam kényszerítve van a https. De mégis mi a lófaszt érek vele, amikor a "tanúsítvány nem ellenőrizhető" vagy a "tanúsítvány lejárt" üzeneteket kapom? Dőljek a kardomba? Respect a Mozillának, de nem ők fogják ezzel azt húzással megvaláltani a világot.
--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Elég retardált ötlet. Egy csomó belső rendszer megy érvényes tanúsítványok nélkül, pl. tesztrendszerek. Ezzel kb. azt érik el, hogy sok cég nem fog FF-en tesztelni. Én elég sokáig kitartottam az FF mellett a hülye hibái ellenére, de pár hete már nem használom.

Lazan kapcsolodik: https://letsencrypt.org/

Let’s Encrypt is a free, automated, and open certificate authority (CA), run for the public’s benefit. Let’s Encrypt is a service provided by the Internet Security Research Group (ISRG).

Free: Anyone who owns a domain name can use Let’s Encrypt to obtain a trusted certificate at zero cost.

...

Mozilla keze is vastagon benne van :)

Inkább a jelszó eltárolási lehetőséget vezetnék ki... és persze nem csak ők. Állítom, sokkal nagyobb kockázata van a tárolt jelszavaknak az átlag felhasználót nézve...

Eddig a napig meggyozodesem volt hogy en vagyok egyedul ezen a velemenyen az egesz vilagon.

Kulon csucs volt, mikor egy lastpass/keepass/franctudjamelyik fanboy ismerosom eloadta hogy csak neki biztosnagosak a jelszavai, nekem nem is lehetnek, mert ugy se 127 karakteresek mint az ovei a felhoben amiket mindig random general es nem is tud fejbol. (Ja meg enyem amugy is tuti midnenhova ugyanaz, ha en jegyzem meg magamnak).

Ez így van, de abban sem korlátoz senki, hogy a meghajtó/home könyvtár/stb. encryptálva legyen a gépen. ;)
Tehát a helyzet javítható.
Mint ahogyan az is hibát követ el, aki a szolgáltató felhőjében titkosítatlanul tárolja a jelszavait... Főleg, ha még erre büszke is...
--
PtY - www.onlinedemo.hu, www.westeros.hu

> Nyilván, nincs tökéletes biztonság.

Ez igaz, de a linkelt SO-threadben pont arról van szó, hogy elég könnyű megbizonyosodni a LastPass biztonságosságáról.

tl;dr manyeyeballs (amiről persze tudjuk, hogy "az open source definíció szerint biztonságosabb" = hülyeség)

Olyan vicces látni, ahogy az üzemeltetők kapálóznak erősen ellene... Végül is nekik lesz vele több melójuk, az igaz :-P