Testovací provoz HTTPS/SSL

[MikeC]

Tak ale to už je potom o tom, kdo má "odvahu" používat Win10 :6066: ::-DD:

[yeti]

Honzacz: Upřímně je mi to úplně u pozadí. Ani si nedovedu představit ze by někdo věnoval úsilí k odposloucháváni zájmového hobby fóra. Možná bych se na to díval jinak, kdyby šlo o "jiné hobby" Doufám ze se neurazis, když tu nazorove podryvam tvoji praci. To bych nerad. Fakt mi šlo jen o to, jestli mi něco neuniká. Uz toho nechme a pouziveme https nakonec, dyt to nic nestojí tak proč ne, ze jo.

[yeti]

Mnov: Já bych to tak tragicky neviděl. Z tlf se mi teď blbe pise tak se teď rozepisovat moc nemůžu, ale jak se dostanu k PC a vzpomenu si, tak k tomu zkusím par veticek sesmolit. Jen bych řekl, ze ms je proti guuglu slabej odvar...

[HonzaCZ]

yeti: Mně to ani nevadí. Já vím, že to smysl má, jen jsem ti to chtěl vysvětlit. Tobě to třeba nevadí, jsou lidi, co používají stejné heslo všude, např. Je to samozřejmě jejich blbost, ale proč to útočníkům usnadňovat. Nemusí jít přímo o napadnutí tohoto fóra, ale může ho útočník zneužít k jinému, komplikovanějšího útoku. Samozřejmě to tady nemá tak velký smysl jako třeba u eshopů nebo někde, kde se prolíná virtuální a reálnej svět, ale bagatelizovat to je nesmysl.

mnov: No pár článků není vše. Stejně tak jsou články o tom, že to je blbost... Každopádně já s W10 zatím vyčkávám

[mnov]

Tak já s W10 taky vyčkávám, ale už jsem si ho musel nainstalovat alespoň do virtuálu, protože jsem potřeboval otestovat RPi2 s W10 a to bez PC s W10 nejde nainstalovat. :713:
Nicméně jsem to jen vyzkoušel a pak šel i na RPi2 Linux.
Mimochodem v tom článku je i zmínka o Androidu.

[HonzaCZ]

sice jsme lehce offtopic , ale když už jsme to nakousli...
Windows 10: analýza probíhající komunikace

	Několik dní se setkávám, jak na webu tak osobně, s velmi emotivními posuzováním systému MS Windows 10 ve vztahu k důvěrnosti dat. S ohledem na diskuzi, která se zaměřuje spíše na domněnky než argumenty, jsem se rozhodl vytvořit tento článek, jehož cílem je detailnější analýza chování systému.

více na http://www.root.cz/clanky/windows-10-analyza-probihajici-komunikace/

[Mira]

kde se prolíná virtuální a reálnej svět,

Může mi někdo osvětlit, kde to je? Sedlácky - pokud zmáčknu OFF na PC, začíná reálnej svět, nebo když zapnu ON, začně virtuální? Nebo už žijem v Matrixu? Sorry za OFF, ale todle jsem si nemohl odpustit, protože já pořád žiju asi pozadu, přestože Matrix jsem viděl, ale pořád ho nechápu. Jsem ovce? (To že sem občas vůl už si připouštím, ale ne to, že si pletu reál a virtuál.) Proto potřebuji osvětu.

[HonzaCZ]

Třeba eshop? V počítači si něco naklikám (virtuální svět) a přijde mi domů balík s reálným předmětem (realnej svět). Internetový bankovnictví? Něco si v počítači naklikám a pošlu reálný peníze někomu na účet. A když to dovedeme ad absurdum, tak i třeba tohle fórum - domluvěj se tady lidi, co si jsou navzájem sympatický, že se někde reálně sejdou a pokecaj, zablbnou s autama atd... Co se týče toho zabezpečení, resp. šifrování a ověření identity serveru (https), tak jde jen o to, jak moc nám záleží na tom, aby někdo, kdo nemá nevěděl, co se v tom "našem" virtuálním světě děje, případně nemohl nějak měnit komunikaci nebo nám ukrást citlivá data.

[PavelG]

Možná by přece jen bylo dobré shrnout, co připojení přes zabezpečený protokol přinese, a co naopak neřeší. Ať nejsou dohady nebo dokonce nějaká nenaplněná očekávání.

Jak tomu rozumím já, z bezelstně uživatelského hlediska není rozdíl. Vidím, co jsem viděl a vidí to každý, kdo na stránky zavítá. Prostě normální web jak byl, beze změn.

V čem je rozdíl: u standardního http se můj počítač pokusí zjistit, který počítač (IP adresa) provozuje subarufanclub.cz. Tuto adresu pak použije pro navázání http protokolu, kterážto komunikace je normálně textová, čitelná.
Takže: když bych poslouchal uprostřed, přečtu si veškerou komunikaci a budu jí rozumět, včetně např. hesla, kterým se přihlašujete. A dále, pokud bych si chtěl pohrát, tak bych se mohl tvářit, že JÁ jsem tím, kdo provozuje subarufanclub.cz a vy byste komunikovali skrze mne (se mnou) a mysleli si, že si povídáte s Honzovým serverem.
Https se chová tak, že před započetím komunikace se browser zeptá serveru, kdo je. On mu předá jistý identifikátor a podle toho se dá poznat, zda je to skutečně Honzův server, nebo nějaký vykuk. Kromě toho se data neposílají v otevřeném textu, ale zašifrovaná, takže ani pasivní šňupálek nezjistí, co se posílá. Je to celé komplikovanější, ale pro základní pochopení to stačí.

TJ. kdyby se jednalo o banku, kde se přihlašujete a zadáváte platební příkazy, promyslete si, co by se dalo udělat zajímavých věcí, kdybyste byli ti, kdo jsou schopni číst kompletní komunikaci nebo dokonce se tvářit jako onen bankovní server.

Pro inspiraci vtip:
Výslech arabského lupiče skrze tlumočníka.
Vyšetřovatel: Kam jsi schoval peníze?
Tlumočník: (arabsky) Kam jsi schoval peníze?
Lupič (arabsky) Neřeknu
Tlumočník: (česky) Neřekne

V: Půjdeš před soud
T: Půjdeš před soud
L: Neřeknu
T: Neřekne

V: Zavřeme tě, hrozí ti až 10 let, když budeš spolupracovat, dostaneš míň.
T: Zašijou tě do prasečí kůže, hodí mezi prasata a ta tě sežerou.
L: Jsou v sedadle mého auta.
T: Neřekne ani za nic.

[HonzaCZ]

Jen bych upřesnil, že to není můj server

Ale jinak to, co napsal PavelG, jsou základní výhody HTTPS. Dále si např. do stránek nikdo nic po cestě nepřidá - jsou třeba wifi free poskytovatelé v restauracích, na letištích a podobně, kteří jsou schopní si do stránek přidat vlastní reklamu. To není nic extrémně nebezpečného. Mohou si tam ale také přidat vlastní javascript kód, který se pak třeba pokouší vaším "jménem" (javascript běží ve vašem prohlížeči) připojit na nějaký web a klidně tam může udělat nějakou akci.

Příklad:
SFC má uživatele, který je zároveň admin zpravodajského serveru, kde je trvale přihlášen do administrace. Prostředník (MITM - man in the middle; např. poskytovatel internetu) vloží do nezabezpečeného přenosu ze serveru SFC do počítače uživatele svůj javascript, který se pokusí udělat nějakou akci v administraci toho zpravodajského serveru - třeba smazat všechny články nebo si tam přidat vlastní reklamu, rozeslat hromadný mail na uživatele, nebo si do stránek přidat zase svůj nebezpečný javascript a rozšířit si tím působnost z malého fóra nadšenců na zpravodajský server s třeba desítkami tisíc návštěv denně. A tam už si zase může najít uživatele, kteří jsou někde trvale přihlášeni a pokračovat...

Samozřejmě to nejde vždy, závisí na zabezpečení těch dalších prvků/webů. Ale v dnešní době, kdy se zabezpečení webu řeší stála méně než by mělo, tak není potřeba příliš náhod ani shod okolností. Samozřejmě těch útoků se dá udělat víc. Ono to není jenom o tom jednom webu. Uživatelé si to neuvědomují a nelze jim to zazlívat, bohužel si to neuvědomuje ani spousta administrátorů. Jeden příklad za všechny - na Alze bylo možné ještě nedávno (před nasazením HTTPS) nakupovat za peníze cizích lidí... https://www.souki.cz/jak-jde-na-alza-cz ... izi-penize

Vážně to není jenom o tom, že někdo ukradne vaší emailovou adresu tady z webu a začnou vám chodit spamy. Těch útoků a využití je spousta.


No a v neposlední řadě na HTTPS navazují takové věci, jako použití HTTP/2. Ten třeba umožňuje spojovat dotazy na server, čili místo desítek dotazů na všechny obrázky, skripty, styly i samotné html, které se dějou při každém jednotlivém načtení stránky, se jich provádí řádově méně. Samozřejmě hodně dotazů je špatně, protože dotazy nějakou dobu trvaj, stojej výpočetní výkon, režii síťového provozu atd.


Takže tolik k tomu. A ještě k těm bankám... nejeden bezpečnostní expert říkal, že zrovna banky mají paradoxně velice často to zabezpečení dost mizerné.

[HonzaCZ]

Tak už fungují přes HTTPS i postranní bannery. Kdyby někdo měl nějaký poznatek, co přes HTTPS nefunguje, tak sem s ním. :826:

[jcz]

Malokdo to oceni, ale za nas sec insidery thumbs up!

[HonzaCZ]

Nj, málo osvěty. Ale já se nenechám odradit.

[mnov]

Prohlížeč mi nadává při hledání podle uživatele:



Asi je to tím, že vkládám odkazy na obrázky http a ty se pak vyskytnou ve výsledku vyhledávání?

[jcz]

Mne to treba tenhle screenshot nezobrazi na https. Na http ano.