hup.hu HTTPS-en keresztül?

 ( trey | 2016. november 23., szerda - 13:11 )
Légyszi legyen!
41% (122 szavazat)
Nem!
13% (40 szavazat)
MÁR KÉSZ VAAAAANNNNNN!!!!
46% (139 szavazat)
Összes szavazat: 301

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nyilvánvaló volt, hogy "nesze parasztok zabáljátok a hígat amiért sírtatok" stílusban lesz tálalva :)

--
gg

Mintha te nem máshogy csinálnád :D A "kifinomult" stílusod garancia lenne a pol. korr. és szívélyes tájékoztatásra.

--
trey @ gépház

Szerencsére ezt már úgyis megszokták és megszerették az userek.

Mintha mi tapsolnánk vissza.

Nincs "Csak az eredmény érdekel" választási lehetőség, így nem érvényes a szavazás...

https nélkül egyelőre szebb! :)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Egy "mit bánom én" opció még elfért volna. :)

Azt kerestem én is :)

===============================================================================
// Hocus Pocus, grab the focus
winSetFocus(...)

http://c2.com/cgi/wiki?FunnyThingsSeenInSourceCodeAndDocumentation

csak az eredmény érdekel, nem tudom, mi az a HTTPS és főleg hogy minek kell. Ubuntu alatt is futni fog a HUP azzal? Mert anélkül nem jó

Illetve, hogy kerek legyen... "A visszajelzés és vinnyogás SEM érdekel" :D

--
trey @ gépház

Akkor ez miért nem 404? http://hup.hu/visszajelzes :D

szerintem ezért
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Ideje volna már.

Látom a nic-ked nem a Pinkerton rövidítése! :)
(Félig) nyitott kapukat döngetsz. :)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Nem, valóban nem a Pinkerton rövidítése! ;-)
Csak azt nem értem, a HTTPS Everywhere miért nem löki át.

A HTTPS Everywhere csak azt löki át ami benne van az adatbázisában. Küldtem is be egy pull requestet.

Köszi. Mennyi ennek az átfutási ideje?

Addig is, amíg bekerül az adatbázisba:

cd ~/.mozilla/firefox/xxxx.yyyy/HTTPSEverywhereUserRules
vi hup.xml

Bele:

<ruleset name="HUP">
        <target host="hup.hu" />
        <target host="www.hup.hu" />

        <rule from="^http:"
                to="https:" />
</ruleset>

:wq

Örül.

(xxxx.yyyy nyilvánvalóan a Firefox profil neve)

--
trey @ gépház

A felhasználókhoz csak a következő releasekor jut el, az olyan 2-4 hét között van.

Úgy látom bejön a https://hup.hu is, de akkor mért nem dob át rögtön ide http-ről? Gyönyörű Let's Encrypt certje van :)

Gondolom azért, mert még elég fejlesztés alatti állapotban van.


server
{
listen 80;
listen [::]:80;
return 301 https://$host$request_uri;
}

Ennyi "fejlesztes" kellene hozza.

Örülnék neki, ha alapértelmezett lenne, mert jórészt nyilvános hot-spotokról internetezek szerte az országban, legalább 3 különböző eszközről. Gondolom más is van hasonló cipőben.

Már működik, de telhjesen értelmetlen.

Most is ott a sárga warning: "part of the site is not secure"
bármilyen külső (clear http) hivatkozással könnyedén bárki el tudja törni a lakatot.

Különben sem értem miért az a perverziója valakinek hogy a publikus híreket is https-en keresztül akarja olvasni.

--
zrubi.hu

egyáltalán nem értelmetlen. ráadásul elég könnyű lenne javítani, az összes sima http hivatkozás igazából permanens
átirányítás (301) https-re, szóval mindenütt csak át kéne írni a hup.hu-n https-re, és működne rendesen.

Úgy érted, hogy amikor berakod a hozzászólásodba a http://nagyonrosszcica.ɢoogle.com/cicasgif.gif.png-t, akkor cseréljük ki a linket https-re, hátha azon nem érhető el a kép?
(értem miről beszélsz, de olvasd el azt is, amire válaszoltál)

a hozzászólásba beágyazott http tartalmakkal persze jól meg lehet törni a https-t (ha ez engedélyezve van/lesz),
de én a motor forrásában lévő linkekről beszéltem. pl. google-analytics, feedburner, pingvinbolt linkek.
ezeket kéne sztem https-re javítani (már csak azért is, mert ezek amúgy is már https-ek 301-gyel).

így az oldal tökéletes https lesz, kivéve persze azokat az eseteket, ha vki http-t ágyaz be hozzászólásban.
ez nyilván előfordulhat, de pl. ezen az oldalon, ahol mondjuk van már pár hozzászólás, nem fordul elő.

én megpróbáltam építő jelleggel hozzászólni egyébként, nem hiszem, hogy egyből szemtelenkedni kellene.

+1

Úgy érted, hogy amikor berakod a hozzászólásodba a http://nagyonrosszcica.ɢoogle.com/cicasgif.gif.png-t, akkor cseréljük ki a linket https-re

Bár nem engem kérdeztél, de igen, azokat is le szokták cserélni a saját szerveren átirányított https címre.

jah, erről van is itt egy másik hozzászólás vhol, pl. a github ezt csinálja:
https://github.com/blog/743-sidejack-prevention-phase-3-ssl-proxied-assets

de pl. a facebook (ha jól tudom, de nem biztos, mert jelenleg nem használom :) )
meg nem ágyazza be a sima http tartalmakat, csak a https-t.

(egyébként pont ezért (is) kellett vhol pár éve https-re áttérni,
hogy működjenek rendesen a facebookba beágyazott videók.)

Szerintem ha végigkövetted ezt az egészet, már kezded érteni, hogy miért nem volt eddig https. :)
(BTW, tudom, idegesítő a trollkodás, de én threadben szoktam olvasni, ha már. Mindegy...)

"Különben sem értem miért az a perverziója valakinek hogy a publikus híreket is https-en keresztül akarja olvasni."

Hat eloszor is tobben loginolnak, mag hozzaszolnak (ahogy te is) es akkor mar indokolt. De inkabb azt mond meg, hogy nekem mint egyszeri usernek mi hatranyom van abbol ha (jol mukodo!) https van egy oldalon.

A "jól működő https oldallal" nem lenne probléma, csak a gyakorlatban olyan sajnos nincs - de legalábbis igen ritka. Amiket Te mint "egyszerű user" látogatsz, azok szinte kivétel nélkül hamis biztosnágérzetben ringatnak, ami bizony neked rossz. Még akkor is, ha nem tudsz róla.

1.
A HTTPS oldalakhoz egy 3rd party (profitorientált) cégtől kell megvásárolni a tanúsítványt. Ebben a cégben Te mint olvasó is feltétel nélkül meg kell hogy bízz. És meg is bízol, mert a Mozilla/Microsoft/Apple megmondta (előre telepítette) neked a cégek root certificate-jeit.

Ilyen cégből viszont elég sok van, nézd csak meg (firefox esetén): Preferences -> Advanced -> Certificates -> View Certificates -> Authorities

Amennyiben Te nem bízol meg az itt felsorolt cégek MINDEGYIKÉBEN, akkor már eleve veszett fejsze nyele ez az egés HTTPS mizéria. Ugyanis ezek BÁRMELYIKE ki tud állítani olyan (pl hup.hu-ra szóló) tanúsítványt amire a böngésződ szép szemkápráztató zöld lakat megjelenítésével reagál.
(Nagyon leegszerűsítve elég csak ezen cégek közül csak egyet komprommitálni/lefizetni/feltörni és az egész világ a Te kezeidben lehet ;)

2.
a bejelentkezési adatok biztonságos(abb) elküldését már jópár évvel ezelőtt kitalálták, nem csak a clear text auth létezik ;)

3.
A legtöbb accountot NEM a https hiánya miatt szerzik meg a gyakorlatban, hanem a ratyi webalkalmazások, rosz tervezés, frissítések hiánya miatt.

4.
a HTTPS nem véd a gonosz/támadó jellegű tartalom ellen. Esetünkben pedig a tartalom (külső linkek) a userektől jönnek, így megbízhatatlan(nak kellene tekinteni) mind. Ezzel szemben a legtöbb user vakon klikkel bármire, "mert hát ott a zöld lakat, mi baj lehetne???"
(Ha nem így lenne, akkor az pl FB sem jelezné ezt külön egy felugróablakban, hogy biztosan elhagyni akarod az adott oldalt, és a vad interneten szörfözni készülsz?)

5.
A titkosítás "miatt" még csak megvédeni sem lehet a szerencsétlen usereket, mert sem proxy, sem tűzfal nem tudja (értelmesen) elemezni a "zöldlakatos" forgalmakat.

6.
Keress csak rá arra, hogy az elmúlt egy évben hányszor vérzett el az összel SSL/TLS implementáció;)

Ezekkel szemben ha nincs HTTPS, csak sima HTTP elérés, akkor az oldal üzemeltetője nem is sugall semmit olyat, amit esetleg az egyszerű userek (hibásan) feltételeznek egy HTTPS oldalról.
Te mint user sem (de legalábbis kisebb eséllyel) esel abba a hibába, hogy máshol is használt jelszót adj meg, olyan önynugtató mantrával, hogy hát ez it biztonságban van, mert ződ a lakat.

szerintem.

--
zrubi.hu

my name is tevagyaz and i approve this message

mindegyik felvetés érdekes, és sztem megfontolandó.

sztem egyébként azok a userek, akik megkülönböztetik a http és https protokollokat, esetleg még a lakat színére is figyelnek,
és zöld lakat láttán egyfajta hamis biztonságtudat alakul ki bennük, szerintem ők viszonylag kevesen vannak. pláne azok, akik
ezek közül mondjuk zöld lakat esetén béna jelszót használnak (esetleg máshol is használtat), de mondjuk nem zöld, vagy sima
http esetén meg jó bonyolult egyedit, na ők aztán sztem baromi kevesen. jó, ezt csak érzésre mondom, nincs semmilyen felmérés
a birokomban.

éppen ezért sztem bármilyen módszer, ami megnehezíti az esetleges támadók dolgát, az üdvözlendő.

én azt gondolom (elfogadva zrubi által leírtakat), hogy még egy béna https és jelentősen megnehezíti a mitm
támadások alkalmazását. olyannyira, hogy nem is inkább a kommunikációs csatornát fogják támadni, hanem pont
a webalkalmazás / infrastruktúra egyéb elemeit, ahogy egyébként zrubi írta. egy jobban összerakott https-t
meg mondjuk tényleg elég nehéz szétszedni.

ugyanakkor véleményem szerint a https rohamos terjedésével kialakul az a helyzet, hogy az elsöprő
többség (nagy általánosságban) képtelen lesz hagyományos mitm támadásokra, nyilván lesznek azok (nagyon kevesen),
akik mindenféle egyéb sebezhetőségeket (rosszul kialakított https-t, hibás implementációkat, összevásárolt / kikutatott 0dayeket)
kihasználva tudnak majd mitm támadásokat (jó nehezen) végrehajtani, illetve lesznek (vannak) azok, akik bizonyos
tanúsítvány kiállítók / egyéb szervezetek felett állva, velük együttműködve, esetleg őket irányítva,
könnyedén lehallgathatnak mindent (NSA).

na ez már itt talán a Crypto Wars téma, nem bizos, hogy ide tartozik, hogy a HUP-on jó-e ha van https vagy nem jó.

én mindenesetre a pro/kontra érveket figyelembe véve egyértelműen https párti vagyok. :)

Az, hogy nem lehet proxy-zni a https-t, az minden oldalnál fenn áll üzemeltetés szempontjából. Dehát pont ez lenne a lényege. Amúgy a phishing és támadó linkek elleni védelmet segítheti a böngészőbe épített megoldás. Ott van frissülő adatbázis. Ennek minden hátrányával. Nyilván nem lehet rátolni céges vírusellenőrzést reptében.

A weboldal kiszolgáló oldalán tudnék elképzelni egy szűrést a feltöltött tartalomra és linkekre, ami még olyan szempontból is jó lenne, hogy egyszeri folyamat lenne szerver oldalon, az helyett hogy kliens oldalon kellene mindenkinek külön megtennie. Ezt persze nem feature kérésnek írom, csak válaszként neked. :)

Ezt a https-t nem lehet ellenorizni mantrat, legy szives mellozzetek mar!

Szinte biztos vagyok benne, hogy nem csak egy termek letezik a dologra, en tapasztalatbol csak egyet ismerek:
SCB.
Aztan persze meg ott van a motorja a Zorp.
Azt 100%-ra nem tudom, de valszeg 6-os Zorp GPL is tud ilyen feature-oket, csak neked kell bekonfiguralnod.

+ extra elony, hogy onnantol kezdve, hogy van egy ilyened; a bongeszodbol kiirthatod az osszes CA-t, es csak egyet kell felvegyel amiben megbizol: a sajat magad altal generalt CA-t, amiver ropteben alairsz a zorp-al minden ssl forgalmat, az eredeti ssl-t kivaltando, es oda konfiguralod be azon CA-k listajat, amiben megbizol, es celszeru alairnia.

Akkor beszeljunk pls. ssl/tls-rol, ha mar legalabb az alapokkal tisztaban vagyunk!

Ohh :)

Az általad említett megoldások kizárólag SAJÁT szerver védelmére, és saját alkalmazottak auditálására valók.

Mivel gyakorlatilag ez egy MITM támadás, általános célú használata jogi szempontból minimum aggályos, de sok esetben akár törvénybe is ütköző tevékenység.

--
zrubi.hu

Szerintem ha egy cég beleírja a szerződésbe, hogy az infrastruktúra csak céges felhasználásra való, minden magántermészetű dolgot kizárnak, és odaírják, hogy a forgalmat szúrópróba szerűen megfigyelhetik, akkor nem nagyon lehet ágálni ellene, ha nem csak a titkosítatlan, hanem a titkosított forgalmat is ellenőrzik.

Persze tudom, erről sokan másképp gondolkoznak, pl. a céges leveleket elolvashatja-e a cég témáról is elég nagy vita zajlott. Ez pedig szerintem ugyanaz a kérdés pepitában.

Szerintem ha egy cég beleírja a szerződésbe, hogy az infrastruktúra csak céges felhasználásra való, minden magántermészetű dolgot kizárnak, és odaírják, hogy a forgalmat szúrópróba szerűen megfigyelhetik, akkor nem nagyon lehet ágálni ellene, ha nem csak a titkosítatlan, hanem a titkosított forgalmat is ellenőrzik.

Egy cég azt irat alá amit akar, de attől még az simán lehet éppen hatájos törvényekbe ütköző dolog.

Ilyen módon "feltört" SSL kapcsolat nem csak a felhasználó szemszögéből nagyon gázos dolog, hanem a célszerver is simán beperelhetne hogy Te (mint alkalmazó cég) az ő domainjére állítáasz ki HAMIS tanúsítványokat, és belenézel olyan forgalomba amihez az ég világon semmi közöd.

A "magántermészetű" dolgok teljes kizárása pedig szerintem durván életszerűtlen, és feltételezem jogilag is nehezen védhető tevékenység.

Pl a fizetésedet is egy bankszámlára utalják, amit ugye céges juttatás, tehát a munkádhoz szorosan kapcsolódó dolog. Ahhoz hogy ennek dolgait megnézd/intézd be kell lépj egy bank weboldálára. Viszont ez már durván nem céges, és a cégednek az ég világon semmi köze nincs a bankszámládhoz, azon kívül hogy oda utal. Ilyen internetes forgalom feltörése, és "ellenőrzése" szerintem bármilyen aláírt fecni mellett is törvénybe ütköző cselekedet.

Ennyi erővel a WC-be is tehetnének kamerát, hiszen azt is munkaidőben csinálod ;)
(Sőt a "szerzői jogok" esetleges átruházódása miatt lehet hogy a végtermék is a cég tulajdona ;)

szerintem.

--
zrubi.hu

Szerencsére az EV cert-öket nem tudják spoofolni. Óppardon, az IE userek felé igen.

Nézzük picit másfelől:

* A céges forgalmat védhetem / auditálhatom vele, és meglesz a vírus / reklám / whatever védelem, amit egy sima squid vagy más tartalomszűrő proxy tudna neked adni.
* Hogy ugyanezt valaki az otthoni routerére tegye fel, és ugyanígy / ugyanerre használja (ismerek ilyet, cövek pl. szokott néha irogatni is ida, sőt asszem neki vannak is zorp gpl buildjei ubiquity rspro - openwrt csomagformátumban)

Mi maradt ki, amit szerinted még védeni kellene, és nincs felsorolva?

Igen, vannak pontok, ahol ezeket a mitm-jellegű beavatkozásokat már nem lehetne ilyen simán megtenni. Pl. egy isp szintjén. És ez pont jól is van így: csak olyan tud legálisan evvel belehalgatni az ssl/tls forgalomban, aki arra valóban jogosult is.

Probléma egy szál se!

>> csak olyan tud legálisan evvel belehalgatni az ssl/tls forgalomban, aki arra valóban jogosult is

tehát a hokedli bt és annak zorpos rendszergazdája nem (akármit is íratott a sajtpapírjára)

Szuper! :D

Most akkor lehet szolni, hogy a bal felso HUP logo ne a http://hup.hu/ -re dobjon?

Te mindig szólhatsz a logo miatt :D

Kész.

--
trey @ gépház

Ezzel az a baj, hogy Ajnasz Hupper kiterjesztése nem https kompatibilis még.
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Írtam a helpdesk-ünknek és azt válaszolták vissza, hogy sajnos azt mi nem tudjuk megoldani. A ticket-et lezárták. :)

--
trey @ gépház

Átmeneti megoldásként amíg Ajnasz nem követi a nagy változásokat, azt nem lehetne megoldani, hogy ha http-n nézem az oldalt, akkor a HUP logó is oda menjen vissza, míg ha https-en akkor oda?
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Persze, ha a kisujjad nyújtod, a végén a karod kell, de a károd se ússza meg.

--
trey @ gépház

+1

Gondolom csak annyit kellene csinálni, hogy a linket protokol (séma) nélkül kellene megadni (hup.hu v. //hup.hu, a https://hup.hu helyett).

Javítva.

--
trey @ gépház

Hálás köszönet érte. :)
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

Köszönjük.

^^ 40%-nak fogalma nincs mire szavazott

--
trey @ gépház

nem igaz, én pl. megnéztem, hogy már elérhető a https, és utána szavaztam arra az opcióra, hogy "legyen".
ugyanis még nincs _teljesen_, mivel vannak http hivatkozások az oldalban, aminek nem kéne lennie.

megoldás baromi egyszerű: az összes sima http igazából már eleve 301 a megfelelő https oldalra (ha jól
néztem végig gyorsan), szóval egy mozdulattal át kéne írni, és akkor tökéletes https lenne az oldal. :)

+1

Én is így szavaztam.

+1

En azert a hsts-t se hagynam ki a "tokeletesseg"-hez.

Btw.: Multkor facebook-on a nixCraft-on feldobtak a https temat. Valaki hozzaszolt, hogy ha mar belekezdenek, akkor hsts-t is erdemes lenne.

Masnapra hsts volt, meg orombodotta! ;)

Szoval hsts everywhere!!! ;)

Ez nem (mindig) igaz.
Legalábbis én vagyok a kivétel: amikor szavaztam default még nem volt elérhető a https, azért szavaztam így.

Üdv.

Mit értesz default alatt?

--
trey @ gépház

ha beírom a címsorba azt, hogy hup.hu, akkor http-n jön, nem https-en.

Szóval legyen = ne nekem kelljen külön beírnom, hogy ma épp https-en kérem.

És mi lesz azokkal a tiltakozókkal / könyörgőkkel / fenyegetőzőkkel / siránkozókkal / toporzékolókkal, akik azzal jönnek, hogy náluk céges szinten tiltva van a HTTPS?

Ők mit csináljanak munkaidőben? Talán unatkozzanak? :)

--
trey @ gépház

Cimmogok neha esetleg megprobalkozhatnak azzal a izevel na mi is az?
Ja megvan: munka

És ha az arra a napra megvan?

--
trey @ gépház

Akkor irány haza. :)

+1

Miert, lehetett szavazni ? En csak ranyomtam egy radiogombra, senki nem mondta, hogy ezzel szavazok.
(Egyebkent en is az elsore nyomtam, de csak mert nincs "nem erdekel" gomb. Marmint ugy ertem, a szavazas temaja erdekel, mert fejlesztes temaban nem is szavazok, de itt az nem erdekel, hoyg lesz vagy nem lesz https, de ha ilyet nem tudok mondnaio, akkor megis inkabb a "legyen" gombra nyomok, holott ott a harmadik gomb figyelmeztetesnek, hogy mar valoszinuleg van)
--
http://www.micros~1
Rekurzió: lásd rekurzió.

"Camo is all about making insecure assets look secure."

LOL

--
zrubi.hu

hát, valószínűleg ezt a github jól átgondolta, és nem látták problémásnak.
https://github.com/blog/743-sidejack-prevention-phase-3-ssl-proxied-assets

https + IPv6, igazi geek vagyok! :)

+1
most már én is! :)
Ma bekapcsolta a Telekom az IPv6-ot nálam.

--
Soli Deo Gloria

Ahogy nezem developer consoleba azer volna mit ganezni :) google-ads, embed-player.js, stb.
Egyebkent ha mar Drupal az alap akkor csak at kell allitani hogy milyen html kodot lehet beagyazni, illetve ha lehet is akkor is forced legyen a https, vagy atirni hogy ha http cimet ir be az ipse, akkor linkroviditovel atformalja szepen https-re.

ja es en nem 301 redirectel csinalnam hanem rewrite-al.. mert akkor az rss feed tovabbra is muxeni fog amit IRC-n hasznalok :D

csoda hogy az ipv6ot nem hozta fel valaki .... :D amúgy +1 https-re

Végül is "csak" 2009 óta érhető el a HUP IPv6-on.

--
trey @ gépház

^^ mondom "csoda" :)

Hibajelentés (avagy feature request): vegyétek fel a certbe a wiki.hup.hu címet is!

*Legyen, csak akkor valami 21. századi, pl. QUIC protokollt támogató hoszton mert pont azért szeretem a HUP-ot, mert azonnal megnyílik amint rábökök még lassan HSPA kapcsolaton is.

[x] NNTP

RSS-t is plz.

Nem az a baj, hanem, hogy az RSS-ben a linkek azok mar http-k (fuggetlenul attol, hogy az RSS-t http-n vagy https-en szeded-e le). Persze a HTTPS Everywhere segit.

.