Prosíme přihlašte se nebo zaregistrujte.

Přihlašte se svým uživatelským jménem a heslem.

Novinky: Školení nejen k OS Ubuntu pro širokou veřejnost, více informací zde.

Autor Téma: HTTPS  (Přečteno 6433 krát)

Jakub Vaněk

  • Stálý člen
  • ***
  • Příspěvků: 752
  • Karma: +75/-4
    • Zobrazit profil
    • Web programátora a studenta Jakuba Vaňka
HTTPS
« kdy: 22 Leden 2016, 07:45:18 »
Zdravím,
plánujete zapnout na fóru podporu HTTPS? Máme tu Let’s Encrypt, takže s certifikátem by problém být nemusel.
Notebook: Lenovo Thinkpad X200, Xubuntu 16.04

Martin Šácha

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • Guru
  • ******
  • Příspěvků: 5150
  • Karma: +303/-77
    • Zobrazit profil
Re:HTTPS
« Odpověď #1 kdy: 22 Leden 2016, 08:20:42 »
Zatim neplanujeme.
O LE a jeho uchylnych 90 dennich certifikatech mi ani nemluv. Whitelisting certifikatu je kvuli tomu naprosto nepouzitelnej...
Mint MATE 64bit / DuckDuckGo.com
Programátoři považují WYSIWYG za špatné u kódu i u žen. Programátor chce "dostat to, co žádá“ – kód tajemný, neodpouštějící, nebezpečný.

lover

  • Návštěvník
  • *
  • Příspěvků: 8
  • Karma: +0/-0
    • Zobrazit profil
    • dôležité
Re:HTTPS
« Odpověď #2 kdy: 13 Prosinec 2017, 11:45:36 »
Zatim neplanujeme.
Mohli by ste HTTPS iba povoliť ( bez platného certifikátu ) ako prejav dobrej vôle to niekedy nahodiť naozaj.

Martin Šácha

  • Člen občanského sdružení Ubuntu ČR a placené komunitní podpory
  • Administrátor fóra
  • Guru
  • ******
  • Příspěvků: 5150
  • Karma: +303/-77
    • Zobrazit profil
Re:HTTPS
« Odpověď #3 kdy: 31 Prosinec 2017, 11:42:34 »
A k cemu je HTTPS bey platneho certifikatu? :)
Mint MATE 64bit / DuckDuckGo.com
Programátoři považují WYSIWYG za špatné u kódu i u žen. Programátor chce "dostat to, co žádá“ – kód tajemný, neodpouštějící, nebezpečný.

lover

  • Návštěvník
  • *
  • Příspěvků: 8
  • Karma: +0/-0
    • Zobrazit profil
    • dôležité
Re:HTTPS
« Odpověď #4 kdy: 03 Leden 2018, 11:23:52 »
bey platneho certifikatu? :)
Okrem iných to používa webhostingový provider websupport pre ( skoro ) všetkých svojich zákazníkov.
Asi vie prečo.

jmp

  • Závislák
  • ****
  • Příspěvků: 2583
  • Karma: +243/-32
    • Zobrazit profil
Re:HTTPS
« Odpověď #5 kdy: 03 Leden 2018, 11:30:38 »
platnej certifikát by byl fajn (i kdyby byl jen selfsigned) :-D

lover

  • Návštěvník
  • *
  • Příspěvků: 8
  • Karma: +0/-0
    • Zobrazit profil
    • dôležité
Re:HTTPS
« Odpověď #6 kdy: 24 Duben 2019, 11:33:05 »
certifikát by byl fajn
Konečne sa dá prihlásiť s aspoň nejako zabezpečeným pripojením  :-*

Gmisiycs

  • Člen
  • **
  • Příspěvků: 218
  • Karma: +11/-0
    • Zobrazit profil
    • Helltracker
Re:HTTPS
« Odpověď #7 kdy: 24 Duben 2019, 17:13:15 »
A k cemu je HTTPS bey platneho certifikatu? :)

Dovolím si reminiscenci.
K čemu je HTTPS?
K čemu je certifikát?

HTTPS zajistí, že spojení mezi dvěma počítači, jakýmkoliv způsobem provedené (internet, WI-FI, USB, SerialPort, ...), bude šifrované pomomocí principů vhodných pro toto století.
Certifikát zajistí, že se prohlížeč nebude ptát: Vážně chcete povolit toto podezřelé spojení s tímto nedůvěryhodným webem?

Takže na vaši jednoduchou otázku: "A k cemu je HTTPS bez platného certifikátu?", existuje jednoduchá odpověď: "K zabezpečení dat při přenosu.". Jinými slovy, spojení je šifrováno stejně s certifikátem i bez něj. Bez certifikátu je možnost podvrhu, s certifikátem taky, akorát si odborníci myslí, že nikoliv. Oč je bezpečnější COMODO či AVAST oproti CANONICALU nechám na chytrácích z Mozilly a Google.
____

Let's Encrypt je sqělá volba. Sám používám a dávám jim za pravdu. S delším certifikátem jsou delší jistoty i průsery. Kupříkladu letos v dubnu, přizměně ACMEv1 na ACMEv2, bych s dlouhodobým certifikátem měl od konce letošního roku neplatný HTTPS a nemohl bych s tím nic dělat, dokud by certifikát neexpiroval. Až se zase provalí, že má certifikační autorita se nechala podplácet, jako se to děje v průměru s 0.5 firmou za rok, tedy 1 firma každé 2 roky, měl bych stejný průser. Takto mi oficiální rutina v Pythonu "CERTBOT" automaticky obnovuje certifikáty všech domén i subdomén. V případě dalších průšvihů s dírami v HTTPS mám do třech měsíců certifikát zrevalidován, přičemž (tuším) jednou měsícně to mohu udělat ručně, poloautomaticky. Tím se myslí ručně spustit CERTBOT, stisknout YES a zavřít SSH tunel. Vše se dokončí samo.

Na WHITELISTY se již nehraje, neb Let's Encrypt již zajišťuje údajně 1/4 trhu. Nejste banka, Jste zájmový WEB.

Přesto jakékoliv HTTPS ano, přenášíte totiž po síti přihlašovací údaje uživatelů nechráněně a proto jste všemi velkými vyhledávači perzekuováni na pořadí výsledků, mnohými uživateli pak ignorováni jen proto, že prostě nechtějí pustit veřejně do světa své e-maily a hesla.


Vážně stále trváte na WHITElistu? Nebyla by na skladě chytřejší výmluva, hodná linuxáka?  ;)
R.I.P. Trusty Tahr - nezapomenu...

Gmisiycs

  • Člen
  • **
  • Příspěvků: 218
  • Karma: +11/-0
    • Zobrazit profil
    • Helltracker
Re:HTTPS
« Odpověď #8 kdy: 24 Duben 2019, 17:27:13 »
Aby to nevypadalo jako plytká kritika, ještě doplním...

Vím, že je vlákno postarší, vím, že nějakou chvilku HTTPS máte/máme. Děkuji.

Kritika má býti konstruktivní, takže navrhuji nepovolit ve stránkách jakýkoliv nešifrovaný obsah. Pokud jde přímo o tuto stránku fóra, jsou zde k dnešku dva nechráněné aktivní linky:
Kód: [Vybrat]
http://www.mageo.cz/icons/JMP.gif
http://jakubvanekpc.jecool.net/tardis.png

Opět Vám/nám to zvedne rating, nejen na Gůglu.
R.I.P. Trusty Tahr - nezapomenu...

jmp

  • Závislák
  • ****
  • Příspěvků: 2583
  • Karma: +243/-32
    • Zobrazit profil
Re:HTTPS
« Odpověď #9 kdy: 24 Duben 2019, 20:25:18 »
jj, na mojí ikonku bacha :-D

Michal Stanke

  • Administrátor fóra
  • Návštěvník
  • ******
  • Příspěvků: 19
  • Karma: +5/-0
    • Zobrazit profil
    • michal.stanke.cz
Re:HTTPS
« Odpověď #10 kdy: 25 Duben 2019, 17:20:31 »
Certifikát jsem pro fórum přidal asi před týdnem nebo dvěma. Dneska jsem trochu prošel konfiguraci webserveru a přidal zmiňovanou CSP hlavičku pro vynucení obrázku pouze přes šifrované spojení. Další úpravy přijdou asi až po přesunu na nový server, který snad zvládnu alespoň otestovat tento víkend.

Gmisiycs

  • Člen
  • **
  • Příspěvků: 218
  • Karma: +11/-0
    • Zobrazit profil
    • Helltracker
Re:HTTPS
« Odpověď #11 kdy: 25 Duben 2019, 17:46:57 »
Já vím Bohumile, já vím...

Sotva něco zprovozníte, už Vás otravujeme s blbostma.
Díky za vaši práci !
R.I.P. Trusty Tahr - nezapomenu...

TIBOR

  • Guru
  • *****
  • Příspěvků: 6149
  • Karma: +450/-21
  • Som uzivatel linuxovej distribucie, som linuxak?
    • Zobrazit profil
Re:HTTPS
« Odpověď #12 kdy: 25 Duben 2019, 19:22:46 »
přidal zmiňovanou CSP hlavičku pro vynucení obrázku pouze přes šifrované spojení.
Co to znamena? Budu blokovane vsetky vkladane obrazky bez https alebo iba avatar.
Asus X751LB-TY014H Ubuntu 18.04 XX 64bit - Mate.
Linus, Lajnas, Línus, Luínus, Lajnus a je mi naozaj jedno, ako ľudia vyslovujú moje meno. Ale "Linux" je vždy "Linux". LINUS TORVALDS, tvorca Linuxového jadra.(V dokumente Revolution OS)

Gmisiycs

  • Člen
  • **
  • Příspěvků: 218
  • Karma: +11/-0
    • Zobrazit profil
    • Helltracker
Re:HTTPS
« Odpověď #13 kdy: 25 Duben 2019, 20:19:01 »
V podstatě ano. Záleží na přesném nastavení.  Povolení výjimky je povoleno.
https://www.root.cz/clanky/bezpecnejsi-web-s-hlavickou-content-security-policy/
nebo https://securityheaders.cz/csp
nebo ...

Diskuze okolo zakazovaného obsahu jsou sice nevyhnutelné, nicméně nikdy nevyřeší problém bezpečnosti.
Je zde jednoznačný argument:
Řetěz je tak pevný jako jeho nejslabší místo!
Nekompletní zabezpečení webu je ostudou jak ubuntu.cz, tak stránky, kam si ukládáte obrázky. V době HTTPS zdarma jde o čistou nezodpovědnost vůči uživateli.
Neomluvitelnou!
R.I.P. Trusty Tahr - nezapomenu...

Michal Stanke

  • Administrátor fóra
  • Návštěvník
  • ******
  • Příspěvků: 19
  • Karma: +5/-0
    • Zobrazit profil
    • michal.stanke.cz
Re:HTTPS
« Odpověď #14 kdy: 28 Duben 2019, 07:25:16 »
Ano, přesně tak. HTTP hlavička Content-Security-Policy určuje plošně pro celou načtenou stránku povolené zdroje pro načítání obrázků, fontů, CSS stylů, skriptů apod. Ostatní prohlížeč nenačte. Od včerejška je hlavička (pro všechny stránky na fóru) nastavená na
Kód: [Vybrat]
content-security-policy: default-src 'self'; style-src 'self' 'unsafe-inline'; font-src 'self'; img-src 'self' https: data: ubuntu.com www.google-analytics.com; media-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google-analytics.com ajax.googleapis.com apis.google.com www.gstatic.com www.google.com; frame-src *.google.com; frame-ancestors 'self'; form-action 'self'; upgrade-insecure-requests
Pro obrázky to znamená, že se na webu zobrazí jen ty nahrané na fóru, obrázky pro Google Analytics a reCaptchu, z ubuntu.com a nebo obrázky načtené odkudkoliv přes HTTPS.