Technický důvod byl právě Seznam, a teď se najednou tváří, že oni nic a hrozně se diví, proč HTTPS někdo ještě nepoužívá. Přesměrování na HTTPS u Seznamu způsobilo ztrátu „bodů“, tím pádem nižší pozici ve výsledcích vyhledávání – což by byl problém pro weby, kterým Seznam přivádí nezanedbatelnou návštěvnost.
Nenechávám si posílat balíky v pruhledných obalech (kdy by kazda postacka viděla, co nakupuji) - ze stejného duvodu nechci nakupovat pres http, kdy kazdy na lince muze odposlechnout komunikaci.
A uz vubec nechci zadavat sve osobni udaje a heslo pres http, kde si to opet muze nekdo odchytnout.
Ta tabulka je trochu zavádějící - pokud eshop nemá HTTPS všude, tak jako by HTTPS ani neměl. Stačí odchytit jednou session cookie a útočník může nakupovat za cizí peníze.
Pokročilý útočník může ještě injectnout na stránku falešný login formulář a zajistit si tak nakupování zdarma i na příště.
Problém je u shopů, kde lze zaplatit "zapamatovanou platební kartou".
Eshopů, co tento způsob podporují je celkem dost - rohlik.cz namátkou.
Bez HTTPS na celém webu bych si tuto funkci nikdy nedovolil zákazníkům nabídnout.
Ještě mi přijde velmi vtipné prohlášení Alzy, že se podle nich jedná o standard. Phe, Alzu k tomu dotlačil tlak bezpečnostních kritiků a výsměch na internetu, protože to neměli implementované ani na přihlášení.
Ani když bude část webu na HTTP, neznamená to, že se útočník může dostat k session. Např. pokud je session řešené přes cookie, je možné jí nastavit, že se používá pouze pro HTTPS spojení a že není přístupná z JavaScriptu.
Aby bylo jasno, já si myslím, že dnes už není důvod mít někde HTTP – a pokud ještě někde je, měl by být přechod na HTTPS v plánu, ne to omlouvat, že HTTPS vlastně není potřeba. Ale není pravda, že web na HTTP nebo kombinace HTTPS a HTTP automaticky znamená, že web není zabezpečen.
http/https kromě protokolu označuje i port, striktně vzadu to je v pořádku i v režimu slovíčkaře.
Http má pořád svoje místo a pořád bude řada situací, kdy ten protokol bude mít smysl. Třeba repositář pro linuxové balíčky, u něho je naprosto nevhodné servírovat obsah přes https.
Vidíte, a jsou i tací, kteří nechtějí, aby někdo mohl kvůli nešifrovanému HTTP odposlechnout, jaké balíčky stahují. Navíc stahování balíčků přes HTTPS ničemu nevadí. A do třetice, to, že není potřeba v tomhle případě používat HTTPS, je dané jenom tím, že balíčky by měly být podepsané – jenže ten podpis řeší úplně to samé, jako HTTPS. Takže druhá varianta je naopak používat HTTPS, a pak už není potřeba balíčky podepisovat. (Samozřejmě za situace, kdy správce webu je stejně důvěryhodný, jako autor balíčků – což v případě zrcadel mimo kontrolu distribuce nemusí být pravda.)
Mr jirsak, opet davate najevo, jak absolutne vubec netusite co je k cemu dobre?
Podpis a sifrovani spolu ma spolecne pouze to, ze mohou byt pouzity obdobne algoritmy, ale ucel je diametralne jiny. Podepsany email si muze precist kdokoli cestou, zasifrovany nikoli. Zasifrovany email prozmenu nic nevypovida o svem puvodu.
Ale jiste muzete sve bance vysvetlit, ze ma zrusit ty klientske certifikaty, generatory, overovaci sms ... je to prece zbytecne, kdyz pouzivaji https.
Nikde jsem netvrdil, že HTTPS a podpis je to samé. Ale zrovna v případě stahování balíčku z oficiálního repository distribuce splní HTTPS i podpis stejnou funkci, totiž ověřit, balíček je opravdu součástí oficiálního repository distribuce. Pokud budu stahovat z nějakého zrcadla, která nemá distribuce plně pod kontrolou, tam už je to něco jiného.
Ostatně, klíč pro ověření podpisu balíčku jste si předtím také stáhli přes HTTPS z webu distribuce a proto mu důvěřujete…
cookies lze omezit pouze na https protokol a nebudou leakovat v http. Třeba brána české spořitelny odmítá již několik let fungovat pokud s ní komunikuji přes http protokol, ale kontrola by mohla být důslednější.
S Alzou byla vždy sranda a trvalo jí pěkně dlouho než pochopila závažnost svých bezpečnostních problémů. Došlo to tak daleko, že se musely dělat fiktivní objednávky na její zaměstnance, aby vůbec pochopila, že to je průser.
Největších e-shopů na světě není mnoho, takže se pohodlně vejdou do té mnou zmiňované menšiny obchodů. Navíc největší e-shop na světě si může dovolit ukládat údaje o platební kartě, protože je důvěryhodný (kdyby nebyl, asi by nebyl největší). A největší e-shop na světě si asi dokáže zařídit, aby někdo nemohl nakupovat na cizí platební kartu jenom tak, že odposlechne identifikátor session z nešifrovaného spojení.
Web jsem migroval na https doporučeným postupem 1:1 + 301 redirect 2. března a do současné doby z webu, který má v indexu seznamu cca 10 tisíc stran je převedeno na https jen několik málo stran.
A to už je to cca 2 měsíce. Google s tím problém nemá a reagoval v řádu dnů. Propad žádný, naopak u Googlu pozoruji zvýšený počet přicházejících návštěvníků.
Navíc webu začala významně klesat návštěvnost z přirozených výsledků fulltextu Seznamu - za ony dva měsíce odhaduji mínus 50-70%.
Osobně věřím, že je to dočasný stav a za pár měsíců se s tím Seznam vypořádá, ale pokud bych byl (jako u eshopů) životně odkázán na návštěvnost ze seznamu, udělal bych zatím na https jen platební bránu a správu účtu zákazníka.
No a jsem u toho. Hezky si tady poplácejte po ramenou jak je https nesmírně důležité. Spočítejte si ty miliardy protočený za dejme tomu posledních 5 let přes českou ekomerci a zamyslete se o kolik okradených, poškozených, zneužitých a pod zákazníků tím že byla odposlechnuta jejich komunikace se doopravdy jedná.....jo že jste o nikom takovém neslyšeli...no není divu.
Většinou jde p pishing a tomu https nezabrání jenom to technicky malinko zesložití, ale pokud někdo bude chtít vytvořit "okrádátko" tak si poradí i s https. Hlavně když za PC na uživatelské straně bude sedět BFU, který dokáže na pishing nalítnout. Ten asi nebude kontrolovat která CA komu vystavila certifikát a jestli je v adresní řádce správná adresa.
No a až bude vše v https, tak si budpou mnout mobilní operátoři ruce, naboť jejich "dynamické" FUP je proti https samozřejme restriktivní.
Jednim z mozna opomijenych duvodu prechodu, proc velci poskytovatele obsahu prechazeji na https je imho obava, ze jini velci hraci na trhu s konektivitou by se radi prizivili a sem tam vnutili nejakou tu reklamu (content injection). Neni to vymysl, takove plany zvazoval nejeden operator. A prechod treba Seznamu na https je jeden z duvodu, proc se se od takovych zameru upustilo.