A Google Chrome 68 az összes HTTP oldalt "nem biztonságos" címkével látja majd el

 ( trey | 2018. február 9., péntek - 9:19 )

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

LOL

--
zrubi.hu

Nem mindenkinek vicces. Sok magyar webportált ér majd meglepetésként amikor beélesíti a Google. Mert ezt a hírt biztosan nem olvassák sehol.


Normális HUP-ot használok!

Az a bazi nagy baj, hogy a HTTPS-hez ész nélkül odaírja, hogy "Biztonságos".

Ezek után magyarázhatom én a Mancikának, hogy oké, hogy ott a zöld lakat, de valójában Hekker Pistike csinált egy domain-validált tanúsítványt a phising oldalához.

Hogy a faszér' nem lehet inkább azt odaírni mellé, hogy "Titkosított"? Aztán mondjuk akkor legyen "Biztonságos", ha legalább EV cert van.

Mancikáknak, akik interneten éles (pénzes) munkát végeznek, kötelezővé kellene tenni egy szakirányú tanfolyamot. Mondjuk olyat, mint az ECDL. És ott oktatni ezeket. Az nem a rendszer hibája, hogy Mancika felületes.

--
trey @ gépház

Itt nem csak az éles (pénzes) munkáról van szó. A zöld lakat az ugyanolyan, mint a fehéren villogó vasúti fénysorompó. Attól még jöhet a vonat, és ráadásul neki lesz előnye.

A biztonság hamis érzete kiiktat az emberekből alapvető védekező reflexeket. Ha nincs lámpa a kereszteződésben, a többség azért alaposan körülnéz, mielőtt átkelne az úton. Ha ott világít a zöld, akkor a többség csak megy, "hiszen zöld". Legyen ott a zöld lakat, de bazira ne legyen valami "Biztonságos"-nak minősítve, mert titkosított az adatátvitel.

+1

+1

+1 !

Kurwa nagy +1.

Ez az overforced HTTPS amúgy is egy agyfasz. Ahol semmi érzékeny adat nem cserél helyet a két pont között, oda minek? Mi a fárasnak letitkosítani egy authentikáció nélküli, publikusan elérhető tartalmakat szolgáltató szerver forgalmát?

Mondanám azt, hogy man-in-the-middle ne tudják megmondani, hogy éppen melyik weboldalt nézed, dehát SNI alapján úgyis meg tudják mondani HTTPS mellett is...

Kezdjük ott, hogy a Google a man-in-the-middle :)

Magyarán semmi értelme... :/

Ez engem is érdekelne.

Azért kell erőltetni,
- mert a Google reklámokból él, és így egy fokkal nehezebb pl. egy céges proxy-n kiszűrni a reklámot (nem lehetetlen, de nehézkes)
- a http2 egyik előfeltétele a titkosítás (ha jól tudom), így néhány év múlva könnyebb lesz végre elfelejteni a http-t.

A http2 "jobbabb". :) (tényleg)

Idézet:
- a http2 egyik előfeltétele a titkosítás (ha jól tudom)

Nem kötelező, csak a böngészők nem támogatják anélkül :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Vagyis ott vagyunk, ahol a part szakad. :P

Tehát azért kell az egész webet túltitkosítani, mert egy büdös amcsi mammutnak ez az érdeke. Na, pont ez a bajom a dologgal (a pazarlás mellett).

A HTTP/2 alapvetően jó dolog (lenne) - pl. az összevonások általi lekéréscsökkentés jó ötlet - de a felesleges titkosítás erőltetése baromság.

Nem gondolom, hogy Mancikának kellene eldöntenie, hogy mondjuk megfelelő cipher-t használ-e a szolgáltatás.

Pontosan ezért nem szabad odaírni egy domain validált TLS adatátvitelhez, hogy biztonságos.

TLS mellett háromféle státusz lehetséges. Ezt Mancikának 40-es IQ felett meg kellene értenie:

- Nem biztonságos (nincs TLS, rossz tanúsítvány, gyenge cipher, stb.)
- Titkosított (van TLS, nem vagy nem eléggé alaposan validált végpont)
- Megbízható/Ellenőrzött/Biztonságos (van TLS, kellően alaposan validált végpont)

Hogy az utóbbinál a három titulus közül melyik a legjobb, az egy jó kérdés. Talán nem pont a "Biztonságos" a legjobb titulus, legalábbis magyarul.

Egy domain-validált TLS-kapcsolat biztonságos, legfeljebb nem megbízható.
Ha zöld a lámpa a zebránál, biztonságos átkelni? Elvileg igen. Megbízhatsz abban, hogy nem üt el egy őrült száguldózó, aki áthajt a piroson? Nem.

Biztonságos != megbízható.

#define biztonságos

Az a baj, hogy ezt a hülye lakatolást már a legelején elszúrta aki kitalálta, eleve úgy kellett volna elnevezni az egészet, hogy megbízható KAPCSOLAT a szerverrel. Innen kiindulva már nem rakétatudomány, hogy megbízható kapcsolat két nem megbízható fél között is lehetséges, ezt még az egybites Micike is simán megértené.

Ehelyett MINDENKI (nem csak a Google, maguk a weboldalak is, ez mindenki sara) évek óta azt nyomja, hogy ha nincs ott a ződ lakat, akkor ellopják az adataid, meghekkelik a géped, ellopják az összes pénzed, ha ott van, akkor meg nem. Sajnos a Micike a legkevésbé hibás a történetben, ő csak a "szabályokat" követi, azt csinálja, amit mondtak neki.

Szerintem az van odaírva, hogy biztonsági kapcsolat és nem az, hogy az oldal biztonságos.

--
trey @ gépház

https://support.google.com/chrome/answer/95617?visit_id=1-636537902925741313-956126447&p=ui_security_indicator&rd=1

"A webhely biztonságosságának ellenőrzéséhez tekintse meg az internetcím mellett balra látható biztonsági állapotot.
Lakat - Biztonságos
Információ - Információ vagy Nem biztonságos
Veszélyes - Nem biztonságos vagy Veszélyes"

Böngészőt választani tudni kell. Mancikának Firefoxot kell telepíteni.

--
trey @ gépház

Mondjuk éppen az is éppen egy kalap kaki, csak máshogy... :(

Tok mindegy mit irsz oda meg az is mindegy hogy mennyire biztonsagos a kapcsolat, a vegen a user ugyis beirja hogy password1 :D

+1

+1, de az ev-ről: https://stripe.ian.sh/

Különösen szép a dologban, hogy Safarin ez így néz ki: https://cdn.arstechnica.net/wp-content/uploads/2017/12/stipe-impostor-800x390.jpg

via

Aki itt ugral a HTTPS ellen: vajon nem zavarna, ha pl. az ISP-d reklamot injektalna a tartalomba, amit nezel?

----------------------
while (!sleep) sheep++;

Nem tudom mi koze S nek ahhoz, hogy kitapasom -e beluket azzert ha mahinalnak a forgalmammal.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

ISP-nek nincs bele. Pontosan kinek taposnad ki, a csoro ugyfelszolgalatosnak?

Ne aggodj, megtalalom a modjat, hogy bantasak egy ISPt ha kell.


Amit nem lehet megirni assemblyben, azt nem lehet megirni.

Erre nem nagyon van példa, max. az amcsiknál. (Legális ez egyáltalán a magyar törvények szerint?) Meg lehet szerződést bontani is.
Amúgy is, erre nem az a megoldás, hogy túltitkosítod a webet, hanem az, hogy seggberúgod azt a szolgáltatót, amelyik csinálja.

(És egyébként sem maga a HTTPS ellen ugrálunk, hanem az ellen, hogy ott is legyen, ahol nem kell. Értelemszerűen, ahol érzékeny adatok mennek oda-vissza, ott kell.)

> Erre nem nagyon van példa, max. az amcsiknál.

Ebben tevedsz, de meg ha igaz is lenne, amerika eleg nagy piac, nem? (Ott konkretan az egyik top3 ISP is csinalta.)

Egyebkent hogy veszed eszre, hogy manipulalt weboldalt nezel? Amikor a repter sajat branddinggel odatesz egy iframe-et a tetejere, az eleg egyertelmu, de a kavezos-ingyenwifis beszurt trackinget, reklamot, kriptocoin banyaszo javascriptet is eszreveszed?

> (Legális ez egyáltalán a magyar törvények szerint?)

Hol zavarja a magyar torveny a vilagot? (A google chrome nem magyar piacra fejlesztett termek.)

> Meg lehet szerződést bontani is.

Lehet.

> seggberúgod azt a szolgáltatót, amelyik csinálja.

Mar latom is lelki szemeim elott.

> Ott konkretan az egyik top3 ISP is csinalta.

Csak csinálta? Miért hagyta abba?

> de a kavezos-ingyenwifis beszurt trackinget, reklamot, kriptocoin banyaszo javascriptet is eszreveszed?

JS-t mindig blokkolni kell és whitelisttel engedélyezni azokat amik futhatnak. A reklámokat meg url filteringgel (és JS blockkal) ki lehet szűrni.

> Hol zavarja a magyar torveny a vilagot?

Ez arra vonatkozott, hogy a hazai szolgáltatók nem valószínű, hogy ezzel bepróbálkoznának, de amúgy igazad van.

> Mar latom is lelki szemeim elott.

Nem én rúgom seggbe. Rúgják seggbe a megfelelő szervezetek, intézmények. Azért vannak.

Idézet:
Nem én rúgom seggbe. Rúgják seggbe a megfelelő szervezetek, intézmények. Azért vannak.

Nézz szét amerikában ISP ügyben: a többi kontinensen levő ár többszöröséért töredék sávszelet adnak, brutális politikai hátszelük van (a net neutrality nullázás átment, ellenére annak, hogy a legelvakultabb trump-hívőkön kívül mindenki ellenezte). És a legtöbb helyen monopol helyzetben vannak, ahol meg nem, ott karteleznek és ugyanazt csinálják... ilyen környezetben már semmire nem mész még egy hatékony (ami az FCC-ről most épp nem mondható el) szabályozó szervezettel sem.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Én ezt elhiszem, de ha az amcsik buzik, akkor a világ többi részének is szopnia kell?

Egyebkent nem ertem mi ebben a szopas, pont olyan, mint a telnet helyett SSH. Eszunkbe sem jut a telnet, belso haloban sem, sehol. Mert minek.

Es igen, nekem is kell emiatt alakitani nem egy belso hasznalatra szant webes feluletes cuccomon, ha nem felel meg az ugyfelnek a warninggal hasznalat. Olyan nagy dolog? Bar ha sok evig nem volt bajuk a self-signed certtel, akkor nem biztos, hogy ebbol munka lesz... :)

Az a te választásod, hogy akkor is ssh-t használsz, ha nem feltétlen szükséges. Itt viszont a HTTPS-t kötelezővé akarják tenni. Az nem baj, ha minden szerver támogatja opcionálisan, de ne legyen már kötelező.

Nem, nem nagy dolog. De ha nem kell, akkor miért is kell?

Nem kotelezo: addig hasznalhatod a sima http-t, amig akarod, a google nem egy vilag-hatosag, hogy barmit is kotelezove tehessen.

Nem tetszik, ne hasznald: a sajat bongeszojeben azt csinal, amit akar.

Ezek utan marad a miert? kerdes: elegge el nem vitathato modon a sajat uzleti erdekeit vedi. Teged nem zavar, hogy lecserelik az o reklamjait sajatra a szerver es a browser kozott fel uton, oket viszont nagyon.

Es a mozilla miert halad ezen az uton? A hozza nem erto usereket vededno az ilyen-olyan crapware ellen.

De kötelező, legalábbis annak, aki a látogatottságból él, mert a de-facto keresőportál a kugli és le fogja sorolni a nem https-sel üzemelő oldalakat, mint ahogy a legnépszerűbb böngésző is a króm és az is ugacsolni fog, hogy nem biztonságos.

Én nem használom, de a világ jelentős része meg igen.

Ki cseréli le? Mindenki erről a MITM támadásról hápog, de ez baromira nem jellemző az ISP-k körében.

A mozarella team azért halad erre, mert a kugli errefele halad. Vagy mennek utána, vagy megszívják.

Eddig vegig a userek szempontjabol neztuk, de mindegy, nem akarlak en semmirol meggyozni.

> Csak csinálta? Miért hagyta abba?

Nem volt kedvem utana nezni, de a levegobe sem szeretek beszelni, csak ezert a mult ido. Ugy hallottam mostansag az megy, hogy magasabb a havi dijad, ha bepipalod az aprobetu melletti kis kockat, hogy nem elemezhetik a forgalmadat es nem adhatjak el funek-fanak. Lehet, hogy ez csak terv volt (tovabbra sincs kedvem most ezzel foglalkozni), de latszik, hogy mi a hozzaallas es ez az ami szamit, nem az epp aktualis technologiai megvalositas.

Es az USA meg egy "fejlett demokracia", mi mehet a vilag tobbi reszen? Ne tevesszen meg, hogy mi itt az EU-ban meg egesz jol allunk internet ugyileg.

> JS-t mindig blokkolni kell és whitelisttel engedélyezni azokat amik futhatnak. A reklámokat meg url filteringgel (és JS blockkal) ki lehet szűrni.

En a normal felhasznalok iranyabol nezem a dolgokat: nagyon kevesen blokkolnak JS-t. Plane mobilon, ami a web forgalom igen tetemes reszet teszi ki.

> Ez arra vonatkozott, hogy a hazai szolgáltatók nem valószínű, hogy ezzel bepróbálkoznának

A hazaiak nagy szolgaltatok valoszinu nem, de ez az egesz HTTPS eroltetes tema nem is miattuk van.
Es nem csak nagy, legitim ISP-k vannak. Ott a sok feltort routeres ilyen olyan ingyenwifis hely. Barmikor beuthet egy HTTP-be injektalos mulatsag.

> Ugy hallottam mostansag az megy, hogy magasabb a havi dijad, ha bepipalod az aprobetu melletti kis kockat, hogy nem elemezhetik a forgalmadat es nem adhatjak el funek-fanak.

És még a magyar a birka nép...

> Es az USA meg egy "fejlett demokracia", mi mehet a vilag tobbi reszen?

"Fejlett demokrácia", azaz "plutokratikus pszeudodemokrácia"? Az USA a legaljasabb diktatúra a világon. Nem feltétlenül a legkeményebb, de a legaljasabb, az tuti.

> En a normal felhasznalok iranyabol nezem a dolgokat: nagyon kevesen blokkolnak JS-t. Plane mobilon, ami a web forgalom igen tetemes reszet teszi ki.

És most a "normál felhasználók" miatt szívjon mindenki?

> Es nem csak nagy, legitim ISP-k vannak. Ott a sok feltort routeres ilyen olyan ingyenwifis hely. Barmikor beuthet egy HTTP-be injektalos mulatsag.

Use anonymox, ld. lejjebb.

Ez tetszik.

A bal sarokban felkészül George, az Oil and Gas International fejlesztője... :)

LEGEND. :)

Ugy-ugy. Es tudod mit? Meg mindig osszeomlik, ha a login nev mezobe egy aposztrofot teszek! :)

De legalább már csak összeomlik... vagy még mindig el lehet dobni a táblát? :)

Annak kiprobalasat masra hagyom. :)

full statikus oldalaknál mire jó ez? Tök felesleges szívatják az egyszerű blogokat és bemutatkozó oldalakat plusz egy nyavalyával. Mert utána meg amiatt rinyál, hogy a tanúsítvány nem elég jó neki. Ráadásnak ingyenes tanusitvány még rosszabb mintha nem lenne a viszonylag normális meg évi 25 dollár. Kis Pista hobbi blogjába ez aztán rohadtul kell.

--
honlapom http://dyra.eu/

Ingyenes es jo: https://letsencrypt.org/

Megoldottak hogy viszonylag keves szopassal es ingyen legyen certed, aztan elkezdik buntetni ha nincs.

Igen, arra is nagyon jó, hogy a phising oldalaknak is legyen elfogadott certje, 0 költséggel.

Hat erre most mit mondjak? :) Jol latod a helyzetet.

Es?

Hát az, hogy ahogy fentebb említették, ennek a lakatnak már semmi köze ahhoz, hogy az oldal biztonságos-e vagy sem.

Azt soha nem jelentette, függetlenül attól, hogy milyen cert van alatta. Még ha egy CA csinál is egy biztonsági auditot a tanúsítvány kiadása előtt, legfeljebb annyit állíthatna, hogy abban a pillanatban, ami a cert-ben szerepel létrehozás idejeként, szerintük biztonságos. De ilyet egyik CA sem állít, ők csak azt állítják, hogy tényleg ahhoz a subjecthez (DNS-név, cégnév, személynév, ...) tartozik a publikus kulcs, ami a certben szerepel.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Sosem jelentette azt hogy az oldal biztonsagos :)

Felrevezeto-e a zold lakat meg a secure felirat? Nyilvan igen, de szerintem ezt akarjak kivezetni, par ev es nem lesz ott semmi ha secure.

komolytalan..

--
honlapom http://dyra.eu/

Miert?

APA, KEZDŐDIK!!4!!NÉGY

És akkor a Google engedélyezni fogja a blogger/blogspot blogoknak az egyedi domaineknél a https használatot?
"Figyelmeztetés: A HTTPS protokoll jelenleg nem érhető el egyéni domaint használó blogok esetén."

---
Amíg a test renyhe, az elme dolgozik...

elmehet az anyjába a gugli.

--
GPLv3-as hozzászólás.

+1

+1, a konkrét témától függetlenül.

+1

Már több mint egy éve bejelentették, hogy ez fog történni. A HUP-on akkor is kb. ugyanezek az érvek hangzottak el a https-sel szemben. Most csak annyi a hír, hogy júliustól, és a Chrome 68-ban jelenik meg. Csodálkozom, hogy ennyi idő nem volt elég a megemésztéséhez.

egy sima statikus oldalnak nem kell https.

--
GPLv3-as hozzászólás.

+1

Miért is nem? Tartalmazhat olyan információt, ami mondjuk egy bíróságon hitelesként, bizonyítékként lehetne felhasználni - csak éppen amíg nincs HTTPS, addig semmiféleképpen sem garantálható, hogy a szerveren ugyanaz a file van, mint a kliensen, és senki nem nyúlt bele a tartalomba.
Például van egy jogszabálytár, vagy a Magyar Közlöny. Teljesen statikus információk. Megbízol bennük HTTPS nélkül úgy, hogy nem tudhatod, hogy aki köztes pont, az belenyúlhat és megváltoztathatja a tartalmat?

Akkor oda kell a HTTPS, de ahova nem kell, oda nem kell.

Mindenhova kell: http://www.ex-parrot.com/~pete/upside-down-ternet.html :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> Mindenhova kell
http://www.e... :)

Azért, hogy a szomszéd nyugodtan tudja lopni a Wi-Fit? :P

Viccet félretéve, ez nem a standard eset, hogy valaki lopja a netet. Majd, ha az ISP-knél világszerte elfogadott lesz, hogy beleugatnak a forgalomba, majd akkor visszatérhetünk erre a "problémára".

Vagy akar meg is elozhetjuk :)

Nem egészen... Ez ugyanis komoly többletterheléssel jár a rendszerekre nézve. Amíg nincs probléma, addig felesleges pazarlás. Ha az ISP-k állandó gyakorlattá teszik, akkor igen, akkor muszáj. De addig nem.

Gondolom elég sokszor le volt már írva, de azért mégegyszer, a MITM veszélyei:

Kávézóból internetezel, a routen volt egy sebezhetőség (nem sci-fi) amit kihasználva valaki úgy alakította át, hogy:
- minden http oldal végére bedob egy cryptominer kódot
- minden letöltött .exe-be bedobja a saját kis ajándékát (vagy teljesen lecseréli azt)
- doc fájlokba exploitot rak
- vagy épp javascript explitot (ugyancsak nem sci-fi)

JS-t blokkolni kell, ahonnan meg exe-t meg doc-ot töltesz le, az értelemszerűen HTTPS-en kell, hogy lejöjjön. De ahol van HTML, némi CSS, meg egy-két kép, oda minek?

* meg a videót

Ha ennyire veszélyes internetkávézóból netezni, akkor fel kell kapcsolódni anonymoxra, akkor minden auto-https lesz.
De megbízható hálózat esetén nem kell. És az ISP-k többsége nem szórakozik MITM támadásokkal.

> És az ISP-k többsége nem szórakozik MITM támadásokkal.

Ezt feltételezve a https bármilyen oldal esetében fölösleges.

Valamint releváns lehet: https://www.youtube.com/watch?v=QrHbZPO9Rnc (CVE-2017-0783 -t kihasználva az user tudta nélkül bluetooth-ra kényszeríthető át az internetes forgalom)

> Hol tartanank most ha nem erolteti a https-t a google es szamos mas ceg mar evek ota? :)

Sehol. Ez két cég volt és hány ISP van a világon. És ugye az sem mindegy, hogy a lebukás után mi lett a folytatás. Ha nem változott semmi, az már adhat aggodalomra okot, de ha abbahagyták, akkor nincs mit rugózni rajta: a csicskuló ISP-t alfaron kell billenteni.
Amcsiknál el tudom hinni, hogy gyakoribb a dolog. De ne kelljen már megint a rohadt amcsik miatt szívni az egész világnak...

Ez az egész cirkusz csak a cert előállítóknak jó, mert nő a jövedelmük.

Mivel magyarazod hogy a letsencrypt ingyenes?

A letsencrypt azért ingyenes, mert totál más biztonsági szintet ad, mint egy rendes cert.
A letsencrypt csak azt tanúsítja, hogy például a hup.hu tényleg a hup.hu, és nem ékelődött közbe senki. De azt nem mondja meg, hogy ez valójában a HUP, bárkinek kiadják a certet, aki a hup.hu domain fölött rendelkezik - áttolják a felelősséget a DNS regisztrátori oldalra, erről szól az egész. És amint nincs rajtuk felelősség, miért kérjenek el pénzt?

Viszont egy OTP Bank EV certje esetén validálva van az, hogy akié az otpbank.hu weboldalhoz tartozó cert, az tényleg az OTP Bank Nyrt.

Köszi, én nem tudtam volna ilyen szépen elmagyarázni.

A HTTP Everywhere, Let's Encrypt, Google, Mozilla et al. meg csak annyit szeretne, hogy ez legyen a minimum a felhasználói weben: tudd garantálni, hogy tényleg azzal a hosttal beszélsz, akivel gondolod, hogy beszélsz és senki ne lásson bele és ne módosíthassa a köztetek menő kommunikációt.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

És mondjuk mit csinálsz egy helyi hálón futó NAT-dobozzal? Fenntartasz egy régi browsert arra, hogy tudd menedzselni? Mert arra bizony nem lehet még letsencryptes certet sem kiadni.

"Fenntartasz egy régi browsert arra, hogy tudd menedzselni?"

Igen. De ennek semmi köze a HTTPS-hez.

https://hup.hu/treyblog/20140913/firmware_frissiteshez_windows_xp-t_+e_vagy

--
trey @ gépház

Én speciel a saját CA-val kiállítanék rá egy tanúsítványt... de nézzük máshonnan: az, hogy nem biztonságosnak jelöli, nem jelenti azt, hogy nem éred el, így nem kell külön böngésző (az a lépés csúnya öntökönlövés lenne bármelyik browsertől, mert eltörne vele ma a web). Ha meg közvetlenül rá van kötve a drót, akkor a lehallgatástól sem kell tartani, úgyhogy oda felesleges a titkosítás, mert megbízható hálózaton megy át.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

".. az, hogy nem biztonságosnak jelöli, nem jelenti azt, hogy nem éred el, így nem kell külön böngésző.."
Hááát, tudnék mesélni. Van olyan régi tanúsítvány, melyet ha meglát bármelyik böngésző még az ideiglenes kapcsolódást sem engedi.

Ennyi. A google egy undorito ceg, de ebben igazuk van.

A domain level cert is rendes cert, es penzbe kerult mindig is. Akkor lenne jogos a felhaborodas a chrome miatt ha nem csinaltak volna meg elotte a let's encryptet, mert azzal mindenkinek kivettek volna a zsebebol valamennyi penzt, meg akkor is ha csak 10 dollart.

Ha meg organization level-re van szukseged akkor fizess, nincs ezzel semmi baj. Ha majd az lesz a kovetkezo chrome-ban hogy a domain level cert is nem biztonsagos akkor majd en is felhaborodok :)

Márpedig lehet, hogy egy nap eljátsszák, hogy a Let's Encrypt és hasonló ingyenes certeket nem fogadják el; ha azt akarod, hogy a de-facto keresőben megjelenj és a de-facto böngészőben működjön az oldalad, akkor fizess a cert előállítóknak.

Koszi, ezt nem volt turelmem kiguglizni neki. Meg azt tegyuk hozza, hogy indonez ISP-k is beleszarakodnak, ugyhogy akkor ott tartunk, hogy minimum a vilag 4 legnepesebb orszagabol 3-ban letezik a problema.

Szerk.: Az egyik linkeden olvasom, hogy indiai ISP is elismerte, hogy kodot injektal. Akkor a 4 legnepesebb orszagbol 4-ben csinaljak. Biztos tobben is, de csak eddig neztem.

Addig amig meg fogom tudni nezni a weboldalt,addig nagyivben teszek ra, hogy lesz ott zold lakat vagy sem. ;)

Ahol kell, ott meg elvarom hogy legyen titkositott kapcsolat a webszerver es a gepem kozott. Tovabba, kivancsi lennek, hogy vajon titkositott kapcsolat van-e a frontend es a backend kozott - ha mar ennyire akarjuk a HTTPS-t. Vagy sikerul-e elkerulni hogy mixed-content legyen a weboldal kodjaban. etc...

most HTTPS-t mindenhova az uj hype. Ez van. Nem vagyok ellene, de hasznaljuk arra amire valo, es ott ahova valo.

A szarul bekonfiguralt, biztonsagi hibakkal teli weboldalak/webszerverek szerintem sokkal, de sokkal nagyobb problemat jelentenek. Hiaba van HTTPS, ha a website/webszerver van meghackelve. ;)

> Hiaba van HTTPS, ha a website/webszerver van meghackelve. ;)

Vagy a felhasználó gépe, arra még több példa van.

Az nem lehet, hogy az előző vállalkozása a Google-nek visszapillantó tükör gyártása volt? Amire ráírták "ön nem a valós képet látja" :)

--
Karesz
www.fotokaresz.hu

Lájtosan kapcsolódik: valamelyik szennylapon láttam a napokban egy cikket, hogy hány...
- keresőt használsz
- hány közösségi oldalról tudsz
- hány e-mail szolgáltató van
- hány fotó megosztó oldal van

stb
Nem állítom, hogy a keresőt leszámítva pont ezek voltak felsorolva, de van benne valami:
kereső? Google
Közösségi? Fész
Mail? Google
Fotó? Insta
Videó? Youtube
stb.

Persze, nem kizárólag, de a legtöbb embernek (európai, amcsi) valószínűleg mindből egy létezik, a többi mintha nem is lenne...

Meg is van: https://velvet.hu/elet/2018/01/28/10_dolog_amibol_csak_egy_van_az_interneten/
Nem állítom, hogy 100%-ban igaz, de van benne valami. :(

Javaslom kerüljön fel figyelmeztetés akkor is, ha az oldal:
- Google analytics/bármilyen egyéb követésre használt kódot tartalmaz
- Cloudflare/CloudFront/stb által MITM proxyzott

+ 1: Ha a böngészőben van olyan kiegészítő telepítve, ami hozzáfér az összes oldal tartalmához (pl. adblock, grammarly, etc.)

Továbbra is örömmel tölt el, hogy Chrome 49-et használok az XP-men és ha akarnám se tudnám frissíteni idealistáék elbirkásított verzióira.

Aki csinál egy sima blogot, vagy CV oldalt, vagy akármit, ahol a ÉGVILÁGON semmi lényeges és titkosítást (direkt nem biztonságos-t írtam) nem kíván, az mi a p--ának vegyen tanusítványt???
Legalább arra figyelne a google, hogy az adott oldalon van e mondjuk fizetési módra lehetőség, vagy webshop, vagy akármi. Pistike quake fórumán minek lenne bármi ilyesmi?

-42-

Idézet:
vegyen

Vagy szánjon rá három percet, lőjön be egy Let's Encrypt tanúsítványt (és a megújítását) oszt jónap.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Jó, de minek? :D Mert a google azt mondja? :D
Észérvek nem játszanak? :D

-42-

Egy goolge.com domainhez vajon adnának tanúsítványt?
Egy g○v.hu-ra?
(Bocs, kicsit jojoznak a szemeim, mert nem aludtam, nem bírom végig olvasni a feltételeiket)

Még nekem is reggel volt

Persze, hogy adnak. Mert ők csak annyit állítanak a certtel, hogy a kiállítás előtt ellenőrizték, hogy az, akinél az a cert van, bele tudott piszkálni a gépen a htdocs mappába (vagy tudta a host felé menő interenetes forgalmat magára irányítani...) vagy be tudott jegyezni egy DNS rekordot; vagyis a legjobb tudomásuk szerint, te tényleg a goolge.com-mal beszélgetsz vagy g○v.hu-val. (BTW, a több ezer "rendes" CA között is biztos találsz olyat, akitől kapnál rájuk certet, akár EV-t)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Csak azért vetődött fel bennem, mert futottam bele ilyenbe elgépelés miatt. És ha nincs ott a noscript... akkor lehet, hogy megszívom, és a zöld lakat rendben volt.

És hát megint ott tartunk, hogy végeredményben egy blog jellegű tartalomnál hótt felesleges az egész cécó.
Pláne, ha LAN-on akarok használni valamit: mi a rosszabb? Saját "root" certificate telepítése minden gépre, hogy elfogadják a lokális szerverek tanúsítványát, vagy ha a LAN-on http-t használok, miközben már ötven vörösen villogó ablak figyelmeztet, hogy nincs https...?

Fórumon már van jelszó, sokan ugyanazt a jelszót használják mindenhol, tehát indokolt a titkosítás. Simán lehet sok olyan felhasználó, aki regisztrál a fórumra az email címével, jelszavával, és történetesen az email fiókjához is ugyanaz a jelszava, amit megad a fórumon. Ezért érdemes titkosítani. persze aztán szerveroldalon is titkosítva kéne tárolni a jelszót. Azt viszont már nem garantálja a https.

mondjuk sok fórumba már (meg nem csak fórumba) be tudsz jelentkezni facebook-al, meg g+ azonosítóval is. Ott még meg tudom érteni. De amúgy vérpistike egyszerű weboldalára minek, arra még mindig nincsen olyan válasz ami indokolná. Többen írták a LAN-t is, jogos felvetés. Belső zárt intraneten egy doksi megjelenítőnél sem értem.

-42-

A HTTPS csak a szerver azonosságát garantálja, vagy egyéb védelmet is ad?

Példa: felrakok egy HTTPS oldalt, ami begyűjti a jelszavakat, amit megfelelő pénzért továbbadok.

A tanusítvány igazolni fogja, hogy igen te "Csab"-bal beszélgetsz, csak "Csab" a jelszavakat ellenértékért cserébe továbbadja.

A HTTPS akadályoz engem abban, hogy adathalász szervert üzemeltessek?

> A HTTPS csak a szerver azonosságát garantálja, vagy egyéb védelmet is ad?

+ a szerver és köztem senki nem nyúlt bele az oldalba (pl.: a bankom oldalán nem lesz ott, hogy támogatják az ugandai királynak való utalásom)
+ senki nem hallgat bele a kettőnk közötti forgalomba (pl.: az internetszolgáltatóm nem fogja tudni, hogy lovakra rejszolok)

> hogy adathalász szervert üzemeltessek?
Ebben nem. De pl. abban igen, hogy a kínai/orosz/amerikai nemzeti internetszolgáltató eltérítsen jelentős net forgalmat, és az így lekért oldalakba belenyúljon - adathalász kódot szúrjon be, abban igen. Mintha pont ~fél éve lett volna ilyen, hogy az oroszok felé ment jelentős forgalom egy ideig, véletlen.

Sandvine, the first-Canadian, then-US company enabling Turkey, Syria, and Egypt to poison innocent users' web traffic with spyware, threatened @Citizenlab to stop the report.
https://citizenlab.ca/wp-content/uploads/2018/03/UofT-Sandvine-Letter-to-Lyndon-Cantor-signed-8-March-2018.pdf

via

The popular coding website Github suffered a large-scale distributed denial of service (DDoS) attack that lasted more than 24 hours starting from Thursday night.
The attackers injected malicious JavaScript code into the pages of those websites that was responsible for the hijacking of their visitors to Github.

“What is happening here is pretty clear now: A certain device at the border of China’s inner network and the Internet has hijacked the HTTP connections went into China, replaced some javascript files from Baidu with malicious ones that would load”

“In other words, even people outside China are being weaponized to target things the Chinese government does not like, for example, freedom of speech.” reported the post on insight-labs.

via

Mivel már van letsencrypt és hasonlók azóta nem kellene, hogy problémát jelentsen egy ssl-t beállítani.

Tegye fel a kezét, aki szerint probléma, hogy csak biztonságos csatornán lehet elérni egy webszervert... aha... oké, hagyja fenn a kezét, aki még mindig 'telnet' protokollt használ 'ssh' helyett... aha... senki... akkor abba kellene hagyni a picsogást.

Engem pl. rohadtul zavar, hogy a routeremet kénytelen vagyok permanens kivételként kezelni, mert self-signed cert van benne és tudtommal a gyári firmware-rel ezen nem is lehet változtatni, ráadásul bootonként újat kreál...
(telnetet nem használok)

+1

Nem teljesen ugyanaz a kettő: SSH-szerű, első alkalommal rákérdezős, cert pinnelt megoldás szimpatikus lenne számomra.

Jelenleg pl. a LAN-on lévő SSL weboldalakra nincs egyszerű, end-user számára könnyen elmagyarázható cross-platform megoldás és a chrome ezeket is hátrányba részesít (nem minden szolgalátatás érhető el http oldalak számára). Minden látogatás alkalmával végig kell az egyéni cert elfogadáson.

Valamint az sem szimpatikus, hogy a cert kibocsátó egy újabb point-of-failure a webkiszolgálásban: ha úgy dönt, hogy visszavonja a certedet, akkor visszavonja. (ssh-nál ez sincs)

Lófaszt kell végigmenni minden alkalommal az egyéni cert elfogadásán. Ahol kell, ott el van baszva a dolog és a workaround workarund-ja miatt szopsz, mert az üzemetetés vagy nem ért a dolgához vagy nincs kedve dolgozni.

"Valamint az sem szimpatikus, hogy a cert kibocsátó egy újabb point-of-failure a webkiszolgálásban: ha úgy dönt, hogy visszavonja a certedet, akkor visszavonja. (ssh-nál ez sincs)"

Nyomós ok miatt szoktak ilyet csinálni... és bizony kellene az SSH-hoz is.

Idézet:
Ahol kell, ott el van baszva a dolog

+1. Csinálj egy saját CA-t, importáld be a kliensekbe azt, aztán boldog-boldogtalannak állíthatsz ki cert-et. (ez különösen Windows-környezetben játszik, ami szvsz. ebből a szempontból katasztrófa: szinte mindenhol, ahol certek szóba jöhetnek, ha valami nem tetszik neki a tanúsítványban [RADIUS PEAP, Outlook úgy önmagában és teljesen, beépített WebDAV kliens stb.], simán levágja a kapcsolatot, de épelméjű [vagy legalább PKI-re távolról utaló] hibakódot/üzenetet nem ad)

Idézet:
és bizony kellene az SSH-hoz is.

+1, a revocation a PKI egyik legfontosabb eleme (ennek megfelelően rendesen el is van kefélve, a CRL-es mókánál marha nagy lehet az átfutási idő [kliens leszedi a CRL-t, cert ok, két mp-vel később CA visszavon egy tanúsítványt, a kliens egy hétig még nem tud róla, mert elég friss a nála levő CRL], az OSCP-nél plusz erőforrás kell a klienstől a validáláshoz [és a CA-nál nagy számítási kapacitás], az OCSP Stapling még csak-csak [itt legalább a kiszolgáló van kényszerítve a plusz terhelésre - persze TLS-en kívül ez nem játszik]).

Idézet:
Nem teljesen ugyanaz a kettő: SSH-szerű, első alkalommal rákérdezős, cert pinnelt megoldás szimpatikus lenne számomra.

Mondok jobbat: hagyjuk a francba a CA-kat :) Ott van a DANE, a certet/hashét bevágod egy DNS rekordba, öröm-bódogság, használod. Ha vissza kell vonni, mert meghákolták a szervert, kiveszed a rekordot, TTL múlva az már érvénytelen. Persze kell hozzá egy DNSSec-képes infrastruktúra ( :( ) nameg csődbe menne az összes cert kibocsátó [mert nem kellenek certek]. Ja, és a böngészők nem támogatják. Nem akarok ok-okozati összefüggést kihozni ebből...

Oh, SSH host fingerprintekre van is DANE specifikáció: https://incenp.org/notes/2015/keys-in-dns.html, az OpenSSH támogatja is őket.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

> +1. Csinálj egy saját CA-t, importáld be a kliensekbe azt, aztán boldog-boldogtalannak állíthatsz ki cert-et.

Es abban a helyzetben mit csinálsz, ha nincs hozzáférésed a kliensekhez, mert gyakran cserélődnek? Pl. egy public wifi szolgáltatás, amire bárki rácsatlakozhat.

Mondjuk igy belegondolva egy wildcard-os cert működhet ilyen esetben, kár hogy letsencryptnél nincs még (ehónap végére ígérik)

> Mondok jobbat: hagyjuk a francba a CA-kat :) Ott van a DANE, a certet/hashét bevágod egy DNS rekordba, öröm-bódogság, használod.

Vagy mégjobb: hagyjuk a DNS szervereket is a francba: snow / tor