Vlákno názorů k článku Seznam už dořešil problém s HTTPS. E-shopy se do něj ale zatím nehrnou od Necroman - Ta tabulka je trochu zavádějící - pokud eshop...
-
Necroman (neregistrovaný)
Ta tabulka je trochu zavádějící - pokud eshop nemá HTTPS všude, tak jako by HTTPS ani neměl. Stačí odchytit jednou session cookie a útočník může nakupovat za cizí peníze.
Pokročilý útočník může ještě injectnout na stránku falešný login formulář a zajistit si tak nakupování zdarma i na příště. -
Gwyn (neregistrovaný)
Problém je u shopů, kde lze zaplatit "zapamatovanou platební kartou".
Eshopů, co tento způsob podporují je celkem dost - rohlik.cz namátkou.Bez HTTPS na celém webu bych si tuto funkci nikdy nedovolil zákazníkům nabídnout.
Ještě mi přijde velmi vtipné prohlášení Alzy, že se podle nich jedná o standard. Phe, Alzu k tomu dotlačil tlak bezpečnostních kritiků a výsměch na internetu, protože to neměli implementované ani na přihlášení.
-
Ani když bude část webu na HTTP, neznamená to, že se útočník může dostat k session. Např. pokud je session řešené přes cookie, je možné jí nastavit, že se používá pouze pro HTTPS spojení a že není přístupná z JavaScriptu.
Aby bylo jasno, já si myslím, že dnes už není důvod mít někde HTTP – a pokud ještě někde je, měl by být přechod na HTTPS v plánu, ne to omlouvat, že HTTPS vlastně není potřeba. Ale není pravda, že web na HTTP nebo kombinace HTTPS a HTTP automaticky znamená, že web není zabezpečen.
-
Tomáš2 (neregistrovaný)
http/https kromě protokolu označuje i port, striktně vzadu to je v pořádku i v režimu slovíčkaře.
Http má pořád svoje místo a pořád bude řada situací, kdy ten protokol bude mít smysl. Třeba repositář pro linuxové balíčky, u něho je naprosto nevhodné servírovat obsah přes https.
-
Vidíte, a jsou i tací, kteří nechtějí, aby někdo mohl kvůli nešifrovanému HTTP odposlechnout, jaké balíčky stahují. Navíc stahování balíčků přes HTTPS ničemu nevadí. A do třetice, to, že není potřeba v tomhle případě používat HTTPS, je dané jenom tím, že balíčky by měly být podepsané – jenže ten podpis řeší úplně to samé, jako HTTPS. Takže druhá varianta je naopak používat HTTPS, a pak už není potřeba balíčky podepisovat. (Samozřejmě za situace, kdy správce webu je stejně důvěryhodný, jako autor balíčků – což v případě zrcadel mimo kontrolu distribuce nemusí být pravda.)
-
fd (neregistrovaný)
Mr jirsak, opet davate najevo, jak absolutne vubec netusite co je k cemu dobre?
Podpis a sifrovani spolu ma spolecne pouze to, ze mohou byt pouzity obdobne algoritmy, ale ucel je diametralne jiny. Podepsany email si muze precist kdokoli cestou, zasifrovany nikoli. Zasifrovany email prozmenu nic nevypovida o svem puvodu.
Ale jiste muzete sve bance vysvetlit, ze ma zrusit ty klientske certifikaty, generatory, overovaci sms ... je to prece zbytecne, kdyz pouzivaji https.
-
Nikde jsem netvrdil, že HTTPS a podpis je to samé. Ale zrovna v případě stahování balíčku z oficiálního repository distribuce splní HTTPS i podpis stejnou funkci, totiž ověřit, balíček je opravdu součástí oficiálního repository distribuce. Pokud budu stahovat z nějakého zrcadla, která nemá distribuce plně pod kontrolou, tam už je to něco jiného.
Ostatně, klíč pro ověření podpisu balíčku jste si předtím také stáhli přes HTTPS z webu distribuce a proto mu důvěřujete…
-
Tomáš2 (neregistrovaný)
cookies lze omezit pouze na https protokol a nebudou leakovat v http. Třeba brána české spořitelny odmítá již několik let fungovat pokud s ní komunikuji přes http protokol, ale kontrola by mohla být důslednější.
S Alzou byla vždy sranda a trvalo jí pěkně dlouho než pochopila závažnost svých bezpečnostních problémů. Došlo to tak daleko, že se musely dělat fiktivní objednávky na její zaměstnance, aby vůbec pochopila, že to je průser.
-
Největších e-shopů na světě není mnoho, takže se pohodlně vejdou do té mnou zmiňované menšiny obchodů. Navíc největší e-shop na světě si může dovolit ukládat údaje o platební kartě, protože je důvěryhodný (kdyby nebyl, asi by nebyl největší). A největší e-shop na světě si asi dokáže zařídit, aby někdo nemohl nakupovat na cizí platební kartu jenom tak, že odposlechne identifikátor session z nešifrovaného spojení.
