Https na rozpadu

[Trace]

Dobrý den,

bylo by možné rozpad provozovat přes https, např. díky letsencrypt https://letsencrypt.org/ certifikátu (je zdarma)?

[bacil]

Stejně je to tady monitorovaný, to si nepomůžeš.

Pokud ti jde o to se sem dostat nepozorovaně třeba z práce, tak použij socks proxy přes ssh tunel.

[Trace]

použij socks proxy přes ssh tunel.

Tohle už používám. Ale https je prostě nice to have a navíc to v podání letsencrypt nic nestojí.

[bacil]

No to si jenom myslíš že je to zadamo. Zapne se https a než dostaneš stránku z rozpadu, tak si dáš kafe. Takhle stačí pidivýkon.

[Argonaut]

taky bych byl pro SSL:) navíc ho hosting nabízí, byť počítám že kvůli trafficu má tento web nějakou specialni dohodu...

[strejdaondra]

https://de.wikipedia.org/wiki/Hypertext ... col_Secure

[DanBlack]

@strejdaondra...

První příspěvek a hned o ho*ně.
Když hodláš dělat chytrýho, tak příště aspoň odkaz na českou wiki.

[bacil]

Https nedoporučuji z důvodu bezpečnosti. Každý ví kdo jsi, lze dohledat konkrétní účet v pc. Klasika http je mnohem víc anonymní. Jestli si myslíš že https bylo prosazeno do masového užívání kvůli bezpečnosti, jsi na omylu. Ani socks proxy ti nepomůže, což u http jo.

[dallli]

Https nedoporučuji z důvodu bezpečnosti. Každý ví kdo jsi, lze dohledat konkrétní účet v pc. Klasika http je mnohem víc anonymní. Jestli si myslíš že https bylo prosazeno do masového užívání kvůli bezpečnosti, jsi na omylu. Ani socks proxy ti nepomůže, což u http jo.

Můžeš nějak vysvětlit to co jsi napsal? Vůbec tomu nerozumím. Ani jedné větě.

[dallli]

No to si jenom myslíš že je to zadamo. Zapne se https a než dostaneš stránku z rozpadu, tak si dáš kafe. Takhle stačí pidivýkon.

A toto tvrzení máš podloženo čím? Zkušeností s provozováním desítek serverů a desítek či víc tisíc stránek?

[dallli]

Také bych se přikláněl k překlopení na https. Už jen kvůli možnému úniku přihlašovacích údajů kdekoliv po cestě (socks proxy ani jiné vpn či šifrované tunely tento problém neřeší) a následné možnosti vkládat příspěvky pod cizím nickem. Nehledě na to, že mnozí používají stejné heslo na více stránek a tudíž je pak zcela reálná šance zneužití jinde.

[Trace]

Https nedoporučuji z důvodu bezpečnosti. Každý ví kdo jsi, lze dohledat konkrétní účet v pc.

Muzes tohle prosim vice vysvetlit?

Pro lidi pripojene pres sdruzeni typu czfree.net (tzn casto pres wifi sit) je podle me pouziti http nevhodne, protoze jejich heslo k rozpadu muze odposlechnout pulka sidliste. VPN a socks proxy neni optimalni reseni, protoze k tomu nema pristup kazdy a vetsina ani nevi, co to je.

Za me https je dobry napad (hodny alespon vyzkouseni) i za cenu, ze to serveru prida trochu zateze navic

[OldSoldier]

Https nedoporučuji z důvodu bezpečnosti

Prosim Te, kdyz necemu nerozumis, tak se k tomu nevyjadruj. Na tom, co jsi napsal neni pravdiva ani carka.

1. HTTP a HTTPS spojeni je na transportni vrstve identicke - tedy klient vytvori pozadavek na ziskani dat a server mu je poskytne. Pouze u HTTPS spojeni je tato komunikace "obalena" pomoci vrstvy SSL (Secure Socker Layer), takze data jsou po ceste zasifrovana.
2. HTTPS se vsude prosazuje z rady duvodu, nejen bezpecnostnich. Napriklad je to HTTP/2, ktera napriklad poskytuje podstatne rychlejsi nacitani stranek.
3. Vzhledem k vykonnosti soucasneho HW je uz ted naprosto v pohode pripojeni HTTPS pouzivat, protoze drive to neslo zejmena z vykonostnich omezeni (sifrovani bylo moc narocne na vypocet), coz dneska neni uz problem. Na druhe strane "zli hosi" maji mnohem lepsi prostredky na odposlechnuti internetove komunikace, takze plati, ze cokoliv poslete nesifrovane, je stejne, jako byste si vyvesili tuto informaci na plot sveho domu (vcetne identity)
4. A to je posledni bod - paradoxne plati, ze v pripade https spojeni vi o odesilanych a prijimanych datech pouze dve strany - odesilatel a provozovatel webu. V pripade nezabezpeceneho http spojeni o tom vi s nadsazkou cely internet.

Mozna jsi na to prisel protoze jsi zmatl dva pojmy - "https over ssl" (jak se take https rika) a "ssl autentizace" - ale to spolu vubec nesouvisi, protoze u https klice pro sifrovani poskytuje server (privatni i verejny), kdezto u ssl autentizace klient vlastni privatni klic a server zna verejny, takze je mozne identifikovat klientskou stranu.

A prave u https je to presne naopak, protoze klient chce overit, ze se bavi se serverem, se kterym se bavit chce. To znamena, ze my jako uzivatele rozpadu vime, ze se prihlasujeme (a posilame sve heso) na rozpad.cz a ne nekam jinam. A presne o tom https je, tedy:

1. zasifrovat spojeni, aby jej nebylo mozne odposlehnout treti stranou
2. overit, ze se prihlasuji ke konkretnimu serveru a ne k nejakemu podvodnemu (viz heslo "phishing")

[pracintl]

Ono to není zase tak jednoduché.

Při použití HTTPS byste měli také vždy ověřit v prohlížeči, že použitý certifikát je vydaný veřejnou uznávanou autoritou a patří k danému webu. Dost často se používají ve firemním prostředí gatewaye, které komunikaci rozšifrují, zkontrolují a zase zašifrují svým cetifikátem. V prohlížeči máte zelený zámeček - vše je OK - protože doménová nebo lokální politika Vám tento certifikát podstrčila jako trusted root. Minulý týden jsem to viděl dokonce jako výsledek činnosti lokálně instalovaného antiviru ESET na W10.

[dallli]

Při použití HTTPS byste měli také vždy ověřit v prohlížeči, že použitý certifikát je vydaný veřejnou uznávanou autoritou a patří k danému webu.

Ano, na toto slouží jednoduchý CAA dns záznam, není třeba to kontrolovat ručně.
https://blog.sslmentor.cz/clanky/ssl/co ... aa-zaznam/

[Trace]

Dost často se používají ve firemním prostředí gatewaye, které komunikaci rozšifrují, zkontrolují a zase zašifrují svým cetifikátem.

To ale neni problem samotneho https, to je zpusobeno tim, ze pouzivas pocitac ktery patri korporatu. Obrana je jednoducha - na korporatnim komplu se neprihlasuji na potencialne citlive stranky, jelikoz korporaty pouzivaji https://en.wikipedia.org/wiki/SIEM, diky kteremu je mimo jine dohledatelny i kazdy jednotlivy stisk klavesy...