HTTPS

[Jakub Vaněk]

Zdravím,
plánujete zapnout na fóru podporu HTTPS? Máme tu Let’s Encrypt, takže s certifikátem by problém být nemusel.

[Martin Šácha]

Zatim neplanujeme.
O LE a jeho uchylnych 90 dennich certifikatech mi ani nemluv. Whitelisting certifikatu je kvuli tomu naprosto nepouzitelnej...

[lover]

Zatim neplanujeme.

Mohli by ste HTTPS iba povoliť ( bez platného certifikátu ) ako prejav dobrej vôle to niekedy nahodiť naozaj.

[Martin Šácha]

A k cemu je HTTPS bey platneho certifikatu?

[lover]

bey platneho certifikatu?

Okrem iných to používa webhostingový provider websupport pre ( skoro ) všetkých svojich zákazníkov.
Asi vie prečo.

[jmp]

platnej certifikát by byl fajn (i kdyby byl jen selfsigned) :-D

[lover]

certifikát by byl fajn

Konečne sa dá prihlásiť s aspoň nejako zabezpečeným pripojením 

[Gmisiycs]

A k cemu je HTTPS bey platneho certifikatu?

Dovolím si reminiscenci.
K čemu je HTTPS?
K čemu je certifikát?

HTTPS zajistí, že spojení mezi dvěma počítači, jakýmkoliv způsobem provedené (internet, WI-FI, USB, SerialPort, ...), bude šifrované pomomocí principů vhodných pro toto století.
Certifikát zajistí, že se prohlížeč nebude ptát: Vážně chcete povolit toto podezřelé spojení s tímto nedůvěryhodným webem?

Takže na vaši jednoduchou otázku: "A k cemu je HTTPS bez platného certifikátu?", existuje jednoduchá odpověď: "K zabezpečení dat při přenosu.". Jinými slovy, spojení je šifrováno stejně s certifikátem i bez něj. Bez certifikátu je možnost podvrhu, s certifikátem taky, akorát si odborníci myslí, že nikoliv. Oč je bezpečnější COMODO či AVAST oproti CANONICALU nechám na chytrácích z Mozilly a Google.
____

Let's Encrypt je sqělá volba. Sám používám a dávám jim za pravdu. S delším certifikátem jsou delší jistoty i průsery. Kupříkladu letos v dubnu, přizměně ACMEv1 na ACMEv2, bych s dlouhodobým certifikátem měl od konce letošního roku neplatný HTTPS a nemohl bych s tím nic dělat, dokud by certifikát neexpiroval. Až se zase provalí, že má certifikační autorita se nechala podplácet, jako se to děje v průměru s 0.5 firmou za rok, tedy 1 firma každé 2 roky, měl bych stejný průser. Takto mi oficiální rutina v Pythonu "CERTBOT" automaticky obnovuje certifikáty všech domén i subdomén. V případě dalších průšvihů s dírami v HTTPS mám do třech měsíců certifikát zrevalidován, přičemž (tuším) jednou měsícně to mohu udělat ručně, poloautomaticky. Tím se myslí ručně spustit CERTBOT, stisknout YES a zavřít SSH tunel. Vše se dokončí samo.

Na WHITELISTY se již nehraje, neb Let's Encrypt již zajišťuje údajně 1/4 trhu. Nejste banka, Jste zájmový WEB.

Přesto jakékoliv HTTPS ano, přenášíte totiž po síti přihlašovací údaje uživatelů nechráněně a proto jste všemi velkými vyhledávači perzekuováni na pořadí výsledků, mnohými uživateli pak ignorováni jen proto, že prostě nechtějí pustit veřejně do světa své e-maily a hesla.


Vážně stále trváte na WHITElistu? Nebyla by na skladě chytřejší výmluva, hodná linuxáka? 

[Gmisiycs]

Aby to nevypadalo jako plytká kritika, ještě doplním...

Vím, že je vlákno postarší, vím, že nějakou chvilku HTTPS máte/máme. Děkuji.

Kritika má býti konstruktivní, takže navrhuji nepovolit ve stránkách jakýkoliv nešifrovaný obsah. Pokud jde přímo o tuto stránku fóra, jsou zde k dnešku dva nechráněné aktivní linky:

Kód: [Vybrat]

http://www.mageo.cz/icons/JMP.gif
http://jakubvanekpc.jecool.net/tardis.png
Opět Vám/nám to zvedne rating, nejen na Gůglu.

[jmp]

jj, na mojí ikonku bacha :-D

[Michal Stanke]

Certifikát jsem pro fórum přidal asi před týdnem nebo dvěma. Dneska jsem trochu prošel konfiguraci webserveru a přidal zmiňovanou CSP hlavičku pro vynucení obrázku pouze přes šifrované spojení. Další úpravy přijdou asi až po přesunu na nový server, který snad zvládnu alespoň otestovat tento víkend.

[Gmisiycs]

Já vím Bohumile, já vím...

Sotva něco zprovozníte, už Vás otravujeme s blbostma.
Díky za vaši práci !

[TIBOR]

přidal zmiňovanou CSP hlavičku pro vynucení obrázku pouze přes šifrované spojení.

Co to znamena? Budu blokovane vsetky vkladane obrazky bez https alebo iba avatar.

[Gmisiycs]

V podstatě ano. Záleží na přesném nastavení.  Povolení výjimky je povoleno.
https://www.root.cz/clanky/bezpecnejsi-web-s-hlavickou-content-security-policy/
nebo https://securityheaders.cz/csp
nebo ...

Diskuze okolo zakazovaného obsahu jsou sice nevyhnutelné, nicméně nikdy nevyřeší problém bezpečnosti.
Je zde jednoznačný argument:
Řetěz je tak pevný jako jeho nejslabší místo!
Nekompletní zabezpečení webu je ostudou jak ubuntu.cz, tak stránky, kam si ukládáte obrázky. V době HTTPS zdarma jde o čistou nezodpovědnost vůči uživateli.
Neomluvitelnou!

[Michal Stanke]

Ano, přesně tak. HTTP hlavička Content-Security-Policy určuje plošně pro celou načtenou stránku povolené zdroje pro načítání obrázků, fontů, CSS stylů, skriptů apod. Ostatní prohlížeč nenačte. Od včerejška je hlavička (pro všechny stránky na fóru) nastavená na

Kód: [Vybrat]

content-security-policy: default-src 'self'; style-src 'self' 'unsafe-inline'; font-src 'self'; img-src 'self' https: data: ubuntu.com www.google-analytics.com; media-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' *.google-analytics.com ajax.googleapis.com apis.google.com www.gstatic.com www.google.com; frame-src *.google.com; frame-ancestors 'self'; form-action 'self'; upgrade-insecure-requests
Pro obrázky to znamená, že se na webu zobrazí jen ty nahrané na fóru, obrázky pro Google Analytics a reCaptchu, z ubuntu.com a nebo obrázky načtené odkudkoliv přes HTTPS.