Mi az oka a HUP SSL-utálatának?

Flame

Már minden irányból pofozgatják azokat a weboldalakat, amelyek nem használnak alapértelmezetten SSL-t. Pl. a Google tervezte, hogy hátrébb rangsorolja ezeket az oldalakat, nem tudom, hogy ez a terv most hogy áll. Minden böngészőben piros felkiáltójel figyelmeztet a címsorban az SSL-t nem használó oldalakra. Az új Firefoxban meg már egy elég méretes figyelmeztető doboz jelenik meg, ha az ember elkezdi beírni a login adatait egy SSL-t nem használó oldalra (a HUP-nál is ki lehet próbálni).

Mi kell ahhoz, hogy a HUP-on default legyen az SSL? Nem cseszegetik eleget a tartalomszolgáltatókat és közvetlenül a felhasználókat is, ha olyan oldalt nyitnak meg, amelyen nem a https a default? Kéne egy pofozgató ember, aki ott állna az userek és az üzemeltetők mellett, és ha nem látja az SSL-t az oldal alatt, akkor ad egy pofont?

Miért olyan baromi nehéz belőni defaultra az SSL-t? Valaki írt itt valami olyat, hogy XY nem tudja megnyitni a munkahelyén az SSL-es oldalakat. Na ne már, 2017 van, ezen már túlléptünk úgy 10 éve.

Rakja már át valaki a kapcsolót.

  • 6101 megtekintés

( trey | 2017. 03. 07., k – 15:50 )

Huh, de unalmas már ez. Miért nem telepíted fel a HTTPSEverywhere kiegészítőt és örülsz neki? Te fogod elmagyarázni annak az embernek az irányt, aki rinyál, hogy nem tud HUPkózni, mert te letiltattad a 80-ast?

--
trey @ gépház

Ha arra akarsz utalni, hogy "szakembereknek" szól, akkor azok vannak olyan értelmesek, hogy meg tudják oldani.
De ha valaki "laikus" is idetéved, akkor annak meg ne legyen már kényszer az amihez nem ért!
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Izgulsz a Dropbox-ra? :D
Amúgy meg te akarsz dohányozni én meg nem akarom, hogy bárki is dohányozzon, ha bizonytalan abban hogy dohányozzon-e!
De te nem vagy bizonytalan. Ha az lennél akkor ez a kis klip taszítana és nem vonzana! :)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Nem kell semmit tiltani.
Miert nekem kellene kiegeszitokkel baszakodni, mert valaki nem tudja megoldani azt a hatalmas nehezseget 2017-ben, hogy nem tud meglatogatni https-en x weboldalt?

Nem a hupos jelszavamat feltem, de:
http://www.theverge.com/2017/1/26/14396130/http-https-insecure-connecti…
https://www.httpvshttps.com/

Legyen https es ne dobaljon at pl. login utan http-re.
szerk: most nezem postolas utan is atdob. kiralysag.

Hogy az utókornak is meglegyen Zaicz Gábor Etimológiai szótárából:

muszáj [1805] Német jövevényszó, a német (es) muß sein ’meg kell lennie, meg kell történnie’ szószerkezet átvétele. Ez az azonos jelentésű német müssen igére vezethető vissza. A 18. század végi irodalmi szövegekben a magyarul rosszul tudó németek gyakori szava.

Az 1805 a szó az első előfordulásának évszámát jelenti.

--
The Elder Scrolls V: Skyrim

Megnéztem az 1890-ben kiadott Szarvas Gábor és Simonyi Zsigmond Magyar nyelvtörténeti szótárát, de abban nem szerepel ez a szó, így arra következtetek, hogy annyira nem volt gyakori akkoriban.

A Google ngram nézegetője sajnos nincs magyarra, de ha valaki ismer hasonló szolgáltatást, ott rögtön kiderül a gyakoriság.

--
Pillars of Eternity

Áh, feladom. Tele van a net muszájjal, már nem is releváns, mint forrás. Egy 1880-as zsoltárt is lapozgattam, hátha találok benne muszájt, vagy muszályt, de letettem róla 10 perc után. Bár jó páran még úgy emlékeznek, hogy a muszály elfogadott volt. Lehet, hogy azt zárta le az MTA 2002 körül. Tímár Andris valószínűleg az eset tudója.

igenam, de:
"some implementations have stated that they will only support HTTP/2 when it is used over an encrypted connection, and currently no browser supports HTTP/2 unencrypted"

https://http2.github.io/faq/

Gyakorlatilag nem tudod hasznalni encrypt nelkul, ennek feltetele, hogy legyen (lehetoleg akkor mar valid) certed. E nelkul biztosan kimaradsz a jobol.

viszont ettol meg az osszehasonlitas nem valid.

HTTP/1.1-et hasonlit HTTP/2-vel, nem non-SSL-t SSL-lel.
Valojaban KET valtozo parameter van, nem egy.

Azt kene megnezni, hogy HTTP/1.1 van csak, es ugyaz SSL nelkuli es az SSL-es kapcsolat teljesitmenyet.

Van ket parameter, amibol az egyik az, ami tenylegesen hatassal van a teljesitmenyre, es a kovetkeztetes azt hozza ki, hogy a masik parameter van hatassal a teljesitmenyre. Ez egy undoritoan hazug allitas, es persze te is benyalod es terjeszted. Semmi baj, csak ne vard, hogy komolyan vegyenek barhol SSL temaban, ha ezt az osszehasonlitast hozod fel peldanak.

Ha azok közé az emberek (amennyiben jól emlékszem néhány) közé tartoznék, akik nem tudják megnézni a munkahelyükön csak sima HTTP-n, akkor azt mondanám, hogy miattam ne szívassuk már a többi embert...
Aki ezt amúgy kiköveteli magának és rinyál miatta az úgy gondolom, hogy nem veszi észre magát, közösség ide vagy oda.

♲♻♲

Trey, értem én hogy leszarod, mint ahogy azt is hogy az egész hup "suszter cipője" szinten van, még igazából bajom sincs ezzel. De ideológiát gyártani mögé, megmagyarázni azért nem kellene.

Mert az hogy bent vagy https-en és átdob http-re az minden, csak nem elfogadható. Még egy viccesképek.hu jellegű oldalon se az, a hup pedig elvileg szakmai oldal...

És nehogy már azért kelljen ilyen-olyan kiegészítőket felraknia párszáz vagy párezer user-nek, mert az oldal üzemeltetője nem képes/nem hajlandó normálisan bekonfigolni a szájt.

És egy másik vhost nem lenne megoldás? Mondjuk lenne ugyanazon a host-on egy ssl.hup.hu ami proxy-zná a hup.hu-t, ott csak ssl lenne. A hup.hu http only lenne, és minden 443-ra érkező kérést redirect-elne az ssl.hup.hu-ra?
Nem szép, de workaround-nak (vagy gondolatébresztőnek) akár jó is lehet, ha ennyire vacak a motr alatta...

Amúgy milyen drupal verzió van alatta?

Biztosan azt akarta mondani, hogy a friss szoftver mindig biztonságosabb, mint az ugyan régi, de 20 minor kiadást megélt, bugfixelt.

Gondolom erre statisztikai adatai is vannak. Gondolom a heti szinten milliós darabszámban robotok által megtört Wordpress telepítések is ezt az elméletet támasztják alá.

--
trey @ gépház

A téma szempontjából semmi jelentősége, ahogy én néztem, az újabb verziókkal is ugyanolyan szopás a HTTP és HTTPS egyidejű használata. A megoldás az lenne, hogy az összes URL-t rewrite-olni kellene HTTPS-re. Ez pedig azt jelenti, hogy a HTTP-nek helló. Ami nekem nem igazán fájna. Egy gonddal kevesebb.

--
trey @ gépház

ne haragudj, elfelejtettem hogy ezzel a "pénz" témával mindig érzékeny pontra tapintok

mint nem szakmabelinek, elmagyarázom hátha segít a megértésben: a tizes drupálos hupkó futhatna 2.4 vagy 2.0 kernelen is (linux=fos, noted), a bagóért eladott usereid nem e témában rágják épp a füled

"ne haragudj, elfelejtettem hogy ezzel a "pénz" témával mindig érzékeny pontra tapintok"

Dehogy, szívesen adok neked pénzügyi tanácsokat, ha szeretnéd. Vagy a zsebemben szeretnél kotorászni? Mit szeretnél tulajdonképpen? Felcsaptál adóellenőr sapkát is a közös képviselői mellé? Ahahahha.

"mint nem szakmabelinek,"

Ezt rendszeresen emlegeted, így azért megkérdezném, hogy mitől lesz valaki a szemedben szakmabeli? Most melyik szakmáról beszélünk? A pénzügyi vonalon vagyunk még, vagy esetleg megint csapongsz?

" a tizes drupálos hupkó futhatna 2.4 vagy 2.0 kernelen is (linux=fos, noted), a bagóért eladott usereid nem e témában rágják épp a füled"

De hisz ha egyszer eladtam őket, akkor mi a faszér' az én fülemet rágják? Nem az első logikai bukfenced ez, kérlek szedd össze magad!

Segíts megérteni, miben rágják a fülem? Csak azért kérdezem, mert ebben a szálban itt frissítésről volt szó. :D

--
trey @ gépház

>De hisz ha egyszer eladtam őket, akkor mi a faszér' az én fülemet rágják?

ebben tökéletesen egyet%20értünk, talán írd meg nekik

>Nem az első logikai bukfenc ez

ebben is, elvégre a "3 egyenlő társtulajdonosok vagyunk" vö. "felvásároltuk a huppót" bukfenc se lett ennél tovább kifejtve

Elnézést, de itt valami félreértés lesz. Én minden fikázásomat vállalok, utólag is és tulajdonképpen mindegyikkel egyetértek utólag is. Úgyhogy ebben nincs igazad.

Abban viszont igazad van, hogy az én üzleti ügyeimhez a plebsnek semmi köze sincs. Akinek van, az NAV, a könyvelőm és társai.

--
trey @ gépház

"na és trinity kalap úr?"

Kalap úr azt üzeni, hogy természetesen ő is vállalja a dolgokat.

"akkor a hwsw sajtóanyagában írottak igazságtartalmát (HUP felvásárlás) a korábbi állításaiddal szemben eztán nem kérdőjelezed meg?"

A HWSW nem vásárolta fel a HUP-ot. A HUP 3 magánszemély tulajdona. Szerencsére erről tanúk előtt aláírt szerződésem van (pontosan rögzítve a tulajdonviszonyokat), így hogy te hol mint olvasol, az vajmi keveset nyom a latban.

--
trey @ gépház

Nem tudok olyan papírról (és nincs is), ami az szerepelne, hogy a HWSW bármilyen százalékban is tulajdonosa lenne a HUP-nak. Így teljesen irreleváns, hogy oda mi van írva. Azt azért te is tudod gondolom, hogy a jogi dolgok nem úgy vannak, hogy "de tisztelt bíróság, az interneten ezen a linken az van írva, és a Bérci is azt mondta, hogy ez van, ezért nekem van igazam".

--
trey @ gépház

Akkor itt megkaptam/megkaptuk a választ, köszönet.

Szóval azért nincs default https, mert a fejlesztő(k) nem tudják, hogy kell megcsinálni rendesen. Ez így teljesen elfogadható, ez nálam is rendszeres probléma, de akkor nem kell ideologizálni a dolgot és érvelni amellett, hogy miért ne legyen default SSL, hanem meg kell mondani kerek perec, hogy nem tudjuk, hogy lehetne megcsinálni úgy, hogy ne legyen vele gond. Így egyenes és elfogadható.

Szerintem te ideologizálsz, amikor egy böngészőkiegészítőt nem tudsz/akarsz feltelepíteni. Mintha az a világ vége lenne. Engem meg nem érdekel, hogy mit csinálsz. Az oldal tud HTTPS-t. Hogy te akarod-e, tudod-e, szeretnéd-e használni, van-e böngészőkiegészítő fóbiád vagy egyéb betegséged, az már a te dolgod.

Az egyébként, hogy az összes HTTP át lesz dobva HTTPS-re koránt sincs elvetve végleg, mert

a) ez így egy fasz megoldás
b) a keresőmotorok "büntetik" ha ugyanaz a tartalom 2 "helyről" (80, 443) is elérhető

Ez egy átmeneti állapot, majd lesz végleges.

Egyébként az utálatot nem tudom honnan vetted (hint: topikcím), az oldalon már akkor volt HTTPS, amikor te még feltehetően a csattogós lepkét tologattad ;)

--
trey @ gépház

Múltkor írtad, hogy vannak vagy 4-en , akik nem tudják a https-t valamilyen okból használni. Ne bazz 4 emberért szívatsz mindenkit, mindenféle tákolmány modullal? Mi a fene olyan nehéz átállítani, hogy a https legyen az alap?
Valószínűleg ez olyan becsípődés nálad, mint régebben volt, amikor nem akartad megérteni és elfogadni a téli gumi jelentőségét. Hiába győzködtek, csak azért is évről évre nyakaskodtál. Van egyébként már téli gumid?

Átirányítás esetén működnek az én megoldásaim, de még jobb a HSTS használata, (wikipedia), viszont ilyenkor nincs kerülő út, csak https-ként fog jönni.

HSTS-nél viszont olyan megoldás működhet, hogy aki https-ként éri el az oldalt, csak azoknak küld vissza HSTS fejlécet, így nekik (az adott böngészőből) onnantól (a megadott ideig) https-en lehetne csak elérni az oldalt, még akkor is, ha http-t írnak be.

Én lecserélem, mert gondolok magamra a családomra és másokra is. Ha ezzel egy kicsit többet teszek a biztonságért, akkor miért ne? De ez offtopic, nem gondoltam, hogy válaszolsz is rá :)
Inkább a https-t állítsd be. Aki meg nem tudja a hup-ot így megnézni, az akkor nem nézi a melóbol, majd ha hazamegy nézi. Mert otthon senkinek sincs letiltva.

( KoGa v | 2017. 03. 07., k – 15:51 )

"Miért olyan baromi nehéz belőni defaultra az SSL-t? Valaki írt itt valami olyat, hogy XY nem tudja megnyitni a munkahelyén az SSL-es oldalakat. Na ne már, 2017 van, ezen már túlléptünk úgy 10 éve."
20 lesz az a 10 :)

Szerk: amúgy mi akadályoz meg, hogy beírd a böngészőben, hogy hátétépées?

( scineram | 2017. 03. 07., k – 17:29 )

Talán az, hogy az SSL már több mint 15 éve elavult? Neked is rég túl kellett volna lépned rajta.

( Taracque | 2017. 03. 07., k – 21:50 )

De mi lesz jobb a https-el? Szóval ok, nem neked kell vele dolgozni, neked nem fekszik felrakni egy bővítményt, de mi az az előny ami miatt Trey-nek (vagy bárki másnak) dolgozni kéne azzal, hogy működjön?

( BlinTux v | 2017. 03. 07., k – 22:43 )

Nekem néha http, néha https-en megy a HUP, mikor milyen kedve van xD
Tulajdonlépen nem zavar, de eléggé fércmunka lehet mögötte...

Szerk.: Mikor ezt a hsz-t írtam még https-volt, postolás után már http O.o

( freeoli v | 2017. 03. 08., sze – 07:55 )

Ez az új extrém zöld IT irányzata. Én azzal óvom a földet, hogy nem kell visszafejteni az internetes forgalmam. Az szabadon olvasható, tetszőleges személyeknek hozzáférhető, megosztható egyéb szervekkel, stb.

( hajbazer v | 2017. 03. 08., sze – 08:09 )

Alapvetően nincs értelme mindent HTTPS-en űzni.

Tegyük fel, hogy csak olvasgatni akarom a cikkeket a HUP-on, nem vagyok bejelentkezve.
HTTPS = felesleges, erőforráspazarlás.

Tegyük fel, hogy bevédtem a WiFi hálózatomat, WPA2/AES, erős jelszóval. Brute force-olhatják egy évig, amíg már más lesz a jelszó és a session-öm is lejár, amit el tudnának lopni.
HTTPS = felesleges, erőforráspazarlás.

Tegyük fel, hogy nem WiFin keresztül netezem és feltételezzük azt, hogy az ISP-t nem hekkeli fel senki, aki az én HUP bejelentkezett session-ömre kíváncsi.
HTTPS = felesleges, erőforráspazarlás.

Ami meg már a szánalmas kategória: hogy a YouTube (bejelentkezés nélkül!!) is erőlteti a HTTPS-t. Ja, a wifi hekker majd pont a megnézett videóim csomagra bontott szeleteiből fog az életemre törni. Ez nem más, mint egy felesleges és az oda-vissza titkosítás miatt rendkívül erőforráspocsékoló "biztonságosak vagyunk kérem" marketing-idealizmus.

Persze a HUP pont egy olyan oldal, ahol még van értelme a HTTPS-nek, ha valaki állandóan bejelentkezve szeretne maradni és nem biztonságos hálózatokról is HUP-ozna. Azonban én mindenképp az opcionális lehetőségre szavaznék.

Én pl. pont az vagyok, aki bejelentkezve marad mindig. Nem tartok támadástól, nincs mit védeni. Kb. az a szitu, mint a youtube-os példáddal. Én nem félek attól, hogy valaki megszerzi a sessionomat vagy jelszavamat és a nevemben elküldi szegecs olvtársat a melegebb tájakra...én is megteszem. Mi mást kéne védeni? Érthetetlen számomra ez a https mánia mindenhol.

Vicces, mennyire nyilvánvaló a HTTPS-őrületet előidéző hisztériakeltésnek az eredménye a fejekben.

Még a józan eszet is képes kiiktatni.

Amúgy meg attól még, hogy "hajbazer" néven közölték le a pornót, nem biztos, hogy egy Á. P. T. nevű egyén tette, avagy én. Nem emlékszem, hogy személyi igazolvánnyal kellett volna igazolnom magam a HUP-ra való regisztrációkor, ergo a hozzáférési fiókom nem köthető a személyemhez bizonyító erejűen. Egy esetleges hekket követő bizonyítási eljárás során sokkal többet számít az IP cím, amivel igénybe vették a fiókot.

A MITM mondd neked valamit? Meg az, hogy a http-nél csak az a biztos a megjelenített tartalommal, hogy az a te gépedre érkezett meg - de hogy honnan, és mi az eredeti content, na az pont nem.
A HUP jelenleg Docker konténerben fut, ha a konténert futtató gépen fut a böngésződ is, akkor beszélhetünk arról, hogy biztonságos hálózaton nézed a HUP-ot,máskor már azért annyira nem (A gépen kívül már az infrastruktúrától függ, hogy mennyire tekinthető megbízhatónak a hálózat) a hostingon kívülről nézve, amikor nem harmadik, hanem sokadik "fél" hálózata, eszköze is ott van a géped és a kiszolgáló között, akkor már nem.

( end | 2017. 03. 08., sze – 08:47 )

Nem értem miért gond ez? Amióta csak megemlítésre került itt a HUP-https, és felfedeztem, hogy a böngésző gyorsindítója, még mindig "http"-re van beállítva, hozzátettem az "s" betűt, azóta stabilan "https".

(Azt már csak hallkan merem megjegyzni, hogy a böngésző "ezeréves", és a rendszer sem túl friss, de a HUP stabilan https.) :-) - (Ja, és nincs erre böngésző kieg. aktiválva.)

"De mi lesz jobb a https-el?" - Tényhelyzet.., G. kitalálta, hogy így legyen és alkalmazkodunk, mert számunkra ez a fejlődés, - végre egyszer, - legalább nem jelent egy újabb plusz "backdoor-t".

( Charybdis | 2017. 03. 08., sze – 23:15 )

SSL ma már mindenkinek van alapból (lásd Cpanel AutoSSL), most már a zöld címsor a menő, bár az sokba kerül. Lehet, hogy egyszer a Google elkezdi büntetni a nem zöld címsoros oldalakat...

( jzola v | 2017. 03. 09., cs – 08:34 )

Tudtátok hogy vannak olyanok akiket nem érdekel a HTTPS-only?
Elég sok embert hidegen hagy a dolog.

Ez egy technológia. Az pedig cseréli a korábbi elavultat, a kevésbé biztonságosat. (Vagy, úgy tetszik, és ha ez a cél, akkor a kevésbé követhetőt.) Nem is kell, hogy így, nevesítve érdekeljen a szakmán kívül bárkit is. (Ha viszont nem tud valamilyen oldalt elérni, vagy a G. e miatt "negatívba helyezi", az rövidesen érdekelni fog minden szakmán kívüli felhasználót is.)

( denton | 2017. 03. 09., cs – 14:08 )

Egyébként én úgy tudom, hogy a http és https oldalak lényegében két külön oldalnak számítanak a keresőkben, pl googleban.
Ergó amikor van http és https is egyszerre, akkor a google büntetni fog, mert két különböző oldalon ugyanaz a tartalom.

Azt nem tudom, hogy kinek fáj az ha a http-ről állandó redirect van a https-re kényszerítve. A 80-as portot se kell tiltani, csak redirect-elni. Olyanról nem hallottam még, hogy valaki nem tudja megnyitni a https-t, talán ha valami comodor64-en nézi az oldalt, talán akkor :)

Átolvastam. Minthogy hajbazer topictársnak az egész fejlődéssel baja van (Win98 elég neki, ahogy a másik topicban írta), ráadásul fejlesztget valami sw-t is, amit 1000-1500 ember használ cégen belül, úgyhogy csakmeg tudja ugrani ezt a feladatot - ír egy saját böngészőt, vagy épp backportolja mondjuk a FF-ot, belehegesztve az openssl-t/libressl/whatewer használatát, és forkol belőle egy ff98 ágat :-P

Persze megteheti azt is, hogy a Windows beépített ssl könyvtárát cseréli le openssl/libressl/saját implementációból készített, a WinSSL-lel API szinten kompatibilis átiratra...

( Breaknet | 2017. 03. 20., h – 22:06 )

Hoppá hoppá hoppá, jól látok? :D