Vlákno názorů k článku Jak jde (nejen) na Alza.cz nakoupit za cizí peníze [AKTUALIZACE] od vojta - Dobrý den, Pokud bych byl administrátorem Alzy tak je...
-
vojta (neregistrovaný)
Dobrý den,
Pokud bych byl administrátorem Alzy tak je celý problém (dle mého názoru) řešitelný následujícím způsobemnasadit do root adresáře .htaccess soubor ve kterém bude automatický enforce https spojení. Validní SSL certiofikát předpokládáím pro Alzu není problém.
RewriteEngine on
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}Proto veškeré načtení alza.cz by automaticky skončilo na https://alza.cz
Problém vyřešen?
Pokud se mýlím prosím o opravu.
Děkuji
-
sekuriťák (neregistrovaný)
Já základní problém vidím jinde. HTTP prostě musí umřít - není vhodné ani na weby s hloupými obrázky kočiček. Tvůrci browserů a firmy jako google to vědí a proto ho dávno nepoužívají. Bohužel při tvorbě http 2.0 se to povinné písmenko s na konci prosadit nepovedlo - ne kvůli hospodským kecům, že to není potřeba, ale právě kvůli různým agenturám na 3 písmena a šílenostem typu služba zákazníkům alá Lenovo (injektováním reklamy do https).
HTTPS only připojení by mělo být součásti každého rozumného hostingu a pro e-shopy by toto vůbec nemusely řešit.
Poslední měsíc se ve volném čase zabývám tím, že otravuji všechny velké české weby (i e-shopy) s konfigurací SSL, těch pár které ho mají, ho mají blbě a to dost. Třetina má Fko, zbytek se plácá kolem Cčko a pak sem tam nějaké A nebo B. Pochlubte se jaké je hodnocení vašeho webu podle ssl testu od ssllabs? HTTP beru jako F- a až mi řeknetě co máte, pak teprve budu brát vážně vaše komentáře, co všechno stačí a co ne
-
Myslím si, že v případě blogu není problém, pokud někdo přečte komunikaci. Jde jen o blog a po uživateli žádné údaje nechci (pokud nepíše komentář pod článkem, kde si bezpečnost stejně řeší Disqus). Jde mi o to, aby místo mého webu útočník někomu nepodstrčil úplně jiný web vyžadující nějaké informace. Tím je cokoliv, co nepoužívá TLS, zranitelné.
Jak nad tím tak přemýšlím, vedle nutnosti TLS a HSTS mi přijde ještě dost podstatné DNSSEC. Musím si o tom přečíst víc.
-
Petr Soukup (neregistrovaný)
Pořád se toho ale dá vyčíst výrazně méně, než kdyby tam nebylo. Například my hostujeme v cloudu AWS, takže vyčtená IP není až tolik platná. Adresy totiž poměrně často rotují, takže by se musely analyzovat okamžitě a ne až třeba zpětně z logu. Nemluvě o tom, že na jedné IP může být více webů.
