Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.
Vaše pomoc je stále potřeba!

Autor Téma: HTTPS  (Přečteno 20998 krát)

Jakub Vaněk

  • Stálý člen
  • **
  • Příspěvků: 752
    • Web programátora a studenta Jakuba Vaňka
HTTPS
« kdy: 22 Ledna 2016, 07:45:18 »
Zdravím,
plánujete zapnout na fóru podporu HTTPS? Máme tu Let’s Encrypt, takže s certifikátem by problém být nemusel.
Notebook: Lenovo Thinkpad X200, Xubuntu 16.04

Martin Šácha

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • ******
  • Příspěvků: 5153
Re:HTTPS
« Odpověď #1 kdy: 22 Ledna 2016, 08:20:42 »
Zatim neplanujeme.
O LE a jeho uchylnych 90 dennich certifikatech mi ani nemluv. Whitelisting certifikatu je kvuli tomu naprosto nepouzitelnej...
Mint MATE 64bit / DuckDuckGo.com
Programátoři považují WYSIWYG za špatné u kódu i u žen. Programátor chce "dostat to, co žádá“ – kód tajemný, neodpouštějící, nebezpečný.

lover

  • Návštěvník
  • Příspěvků: 8
    • školský blog
Re:HTTPS
« Odpověď #2 kdy: 13 Prosince 2017, 11:45:36 »
Zatim neplanujeme.
Mohli by ste HTTPS iba povoliť ( bez platného certifikátu ) ako prejav dobrej vôle to niekedy nahodiť naozaj.

Martin Šácha

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • ******
  • Příspěvků: 5153
Re:HTTPS
« Odpověď #3 kdy: 31 Prosince 2017, 11:42:34 »
A k cemu je HTTPS bey platneho certifikatu? :)
Mint MATE 64bit / DuckDuckGo.com
Programátoři považují WYSIWYG za špatné u kódu i u žen. Programátor chce "dostat to, co žádá“ – kód tajemný, neodpouštějící, nebezpečný.

lover

  • Návštěvník
  • Příspěvků: 8
    • školský blog
Re:HTTPS
« Odpověď #4 kdy: 03 Ledna 2018, 11:23:52 »
bey platneho certifikatu? :)
Okrem iných to používa webhostingový provider websupport pre ( skoro ) všetkých svojich zákazníkov.
Asi vie prečo.

jmp

  • Host
Re:HTTPS
« Odpověď #5 kdy: 03 Ledna 2018, 11:30:38 »
platnej certifikát by byl fajn (i kdyby byl jen selfsigned) :-D

lover

  • Návštěvník
  • Příspěvků: 8
    • školský blog
Re:HTTPS
« Odpověď #6 kdy: 24 Dubna 2019, 11:33:05 »
certifikát by byl fajn
Konečne sa dá prihlásiť s aspoň nejako zabezpečeným pripojením  :-*

Gmisiycs

  • Aktivní člen
  • *
  • Příspěvků: 323
    • Helltracker
Re:HTTPS
« Odpověď #7 kdy: 24 Dubna 2019, 17:13:15 »
A k cemu je HTTPS bey platneho certifikatu? :)

Dovolím si reminiscenci.
K čemu je HTTPS?
K čemu je certifikát?

HTTPS zajistí, že spojení mezi dvěma počítači, jakýmkoliv způsobem provedené (internet, WI-FI, USB, SerialPort, ...), bude šifrované pomomocí principů vhodných pro toto století.
Certifikát zajistí, že se prohlížeč nebude ptát: Vážně chcete povolit toto podezřelé spojení s tímto nedůvěryhodným webem?

Takže na vaši jednoduchou otázku: "A k cemu je HTTPS bez platného certifikátu?", existuje jednoduchá odpověď: "K zabezpečení dat při přenosu.". Jinými slovy, spojení je šifrováno stejně s certifikátem i bez něj. Bez certifikátu je možnost podvrhu, s certifikátem taky, akorát si odborníci myslí, že nikoliv. Oč je bezpečnější COMODO či AVAST oproti CANONICALU nechám na chytrácích z Mozilly a Google.
____

Let's Encrypt je sqělá volba. Sám používám a dávám jim za pravdu. S delším certifikátem jsou delší jistoty i průsery. Kupříkladu letos v dubnu, přizměně ACMEv1 na ACMEv2, bych s dlouhodobým certifikátem měl od konce letošního roku neplatný HTTPS a nemohl bych s tím nic dělat, dokud by certifikát neexpiroval. Až se zase provalí, že má certifikační autorita se nechala podplácet, jako se to děje v průměru s 0.5 firmou za rok, tedy 1 firma každé 2 roky, měl bych stejný průser. Takto mi oficiální rutina v Pythonu "CERTBOT" automaticky obnovuje certifikáty všech domén i subdomén. V případě dalších průšvihů s dírami v HTTPS mám do třech měsíců certifikát zrevalidován, přičemž (tuším) jednou měsícně to mohu udělat ručně, poloautomaticky. Tím se myslí ručně spustit CERTBOT, stisknout YES a zavřít SSH tunel. Vše se dokončí samo.

Na WHITELISTY se již nehraje, neb Let's Encrypt již zajišťuje údajně 1/4 trhu. Nejste banka, Jste zájmový WEB.

Přesto jakékoliv HTTPS ano, přenášíte totiž po síti přihlašovací údaje uživatelů nechráněně a proto jste všemi velkými vyhledávači perzekuováni na pořadí výsledků, mnohými uživateli pak ignorováni jen proto, že prostě nechtějí pustit veřejně do světa své e-maily a hesla.


Vážně stále trváte na WHITElistu? Nebyla by na skladě chytřejší výmluva, hodná linuxáka?  ;)
R.I.P. Trusty Tahr - nezapomenu...

Gmisiycs

  • Aktivní člen
  • *
  • Příspěvků: 323
    • Helltracker
Re:HTTPS
« Odpověď #8 kdy: 24 Dubna 2019, 17:27:13 »
Aby to nevypadalo jako plytká kritika, ještě doplním...

Vím, že je vlákno postarší, vím, že nějakou chvilku HTTPS máte/máme. Děkuji.

Kritika má býti konstruktivní, takže navrhuji nepovolit ve stránkách jakýkoliv nešifrovaný obsah. Pokud jde přímo o tuto stránku fóra, jsou zde k dnešku dva nechráněné aktivní linky:
Kód: [Vybrat]
http://www.mageo.cz/icons/JMP.gif
http://jakubvanekpc.jecool.net/tardis.png

Opět Vám/nám to zvedne rating, nejen na Gůglu.
R.I.P. Trusty Tahr - nezapomenu...

jmp

  • Host
Re:HTTPS
« Odpověď #9 kdy: 24 Dubna 2019, 20:25:18 »
jj, na mojí ikonku bacha :-D

Michal Stanke

  • Administrátor fóra
  • Aktivní člen
  • ******
  • Příspěvků: 89
    • michal.stanke.cz
Re:HTTPS
« Odpověď #10 kdy: 25 Dubna 2019, 17:20:31 »
Certifikát jsem pro fórum přidal asi před týdnem nebo dvěma. Dneska jsem trochu prošel konfiguraci webserveru a přidal zmiňovanou CSP hlavičku pro vynucení obrázku pouze přes šifrované spojení. Další úpravy přijdou asi až po přesunu na nový server, který snad zvládnu alespoň otestovat tento víkend.

Gmisiycs

  • Aktivní člen
  • *
  • Příspěvků: 323
    • Helltracker
Re:HTTPS
« Odpověď #11 kdy: 25 Dubna 2019, 17:46:57 »
Já vím Bohumile, já vím...

Sotva něco zprovozníte, už Vás otravujeme s blbostma.
Díky za vaši práci !
R.I.P. Trusty Tahr - nezapomenu...

TIBOR

  • Závislák
  • ***
  • Příspěvků: 6529
  • Som uzivatel linuxovej distribucie, som linuxak?
Re:HTTPS
« Odpověď #12 kdy: 25 Dubna 2019, 19:22:46 »
přidal zmiňovanou CSP hlavičku pro vynucení obrázku pouze přes šifrované spojení.
Co to znamena? Budu blokovane vsetky vkladane obrazky bez https alebo iba avatar.
HP Laptop 17-ca1xxx Ubuntu Mate 22.04 FF 64bit.
Asus X751LB-TY014H Ubuntu Mate 20.04.1 FF 64bit.
Linus, Lajnas, Línus, Luínus, Lajnus a je mi naozaj jedno, ako ľudia vyslovujú moje meno. Ale "Linux" je vždy "Linux". LINUS TORVALDS, tvorca Linuxového jadra.(V dokumente Revolution OS)

Gmisiycs

  • Aktivní člen
  • *
  • Příspěvků: 323
    • Helltracker
Re:HTTPS
« Odpověď #13 kdy: 25 Dubna 2019, 20:19:01 »
V podstatě ano. Záleží na přesném nastavení.  Povolení výjimky je povoleno.
https://www.root.cz/clanky/bezpecnejsi-web-s-hlavickou-content-security-policy/
nebo https://securityheaders.cz/csp
nebo ...

Diskuze okolo zakazovaného obsahu jsou sice nevyhnutelné, nicméně nikdy nevyřeší problém bezpečnosti.
Je zde jednoznačný argument:
Řetěz je tak pevný jako jeho nejslabší místo!
Nekompletní zabezpečení webu je ostudou jak ubuntu.cz, tak stránky, kam si ukládáte obrázky. V době HTTPS zdarma jde o čistou nezodpovědnost vůči uživateli.
Neomluvitelnou!
R.I.P. Trusty Tahr - nezapomenu...

Michal Stanke

  • Administrátor fóra
  • Aktivní člen
  • ******
  • Příspěvků: 89
    • michal.stanke.cz
Re:HTTPS
« Odpověď #14 kdy: 28 Dubna 2019, 07:25:16 »
Ano, přesně tak. HTTP hlavička Content-Security-Policy určuje plošně pro celou načtenou stránku povolené zdroje pro načítání obrázků, fontů, CSS stylů, skriptů apod. Ostatní prohlížeč nenačte. Od včerejška je hlavička (pro všechny stránky na fóru) nastavená na
Kód: [Vybrat]
content-security-policy: default-src 'self'; style-src 'self' 'unsafe-inline'; font-src 'self'; img-src 'self' https: data: ubuntu.com www.google-analytics.com; media-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google-analytics.com ajax.googleapis.com apis.google.com www.gstatic.com www.google.com; frame-src *.google.com; frame-ancestors 'self'; form-action 'self'; upgrade-insecure-requests
Pro obrázky to znamená, že se na webu zobrazí jen ty nahrané na fóru, obrázky pro Google Analytics a reCaptchu, z ubuntu.com a nebo obrázky načtené odkudkoliv přes HTTPS.

 

Provoz zaštiťuje spolek OpenAlt.