Hlavní navigace

Názor k článku Nejčastější bezpečnostní chyby na českých webech, vysvětleny „pro lidi“ od https_everywhere - to: Filip Jirsák Neříkejte mi, co jsem si vyvrátil....

  • Článek je starý, nové názory již nelze přidávat.
  • 21. 1. 2015 17:41

    https_everywhere (neregistrovaný)

    to: Filip Jirsák

    Neříkejte mi, co jsem si vyvrátil. :)

    HTTPS je nutné pro bezpečné přihlášení a na tom trvám. Je to další stupeň zabezpečení a snadno se tím vyřeší právě onen problém session hijacking, který je reálný.

    Nový challenge se totiž typicky negeneruje při každé zprávě.
    DNSSEC je bezpečný. Samozřejmě v tom smyslu, že vše musí být správně nastaveno. On třeba takový blbě nakonfigurovaný Apache také nebude dělat bezpečné HTTPS spojení.

    Je otázkou, zda je vhodné kvůli nějakému ukládání oblíbených spojů mít databázi uživatelských účtů. To už by mi asi byla milejší cookie, která odvede naprosto stejnou práci.
    Další věcí je, že tyto všechny zdánlivě bezvýznamné informace nemusí být až tolik bezvýznamné, zvlášť, když je o vás někdo systematicky sbírá. Ale to už jsem moc paranoidní...
    To by bylo na jinou diskuzi.

    Ano, challenge-response je určitě lepší, nikdy jsem netvrdil opak. Mě se jenom nezdálo tvrzení, že pro bezpečné přihlašování není nutné HTTPS.

    Minimálně při vytvoření účtu, kdy posílám hash hesla na server je nutné použít bezpečný kanál. Pokud útočník ten hash zachytí, může se přihlašovat jak se mu zlíbí.
    A když už by ta stránka měla HTTPS pro odeslání hashe hesla, tak by nedávalo smysl, kdyby se to nepoužilo pro další komunikaci.

    Podle mě je nejlepší možný způsob použití certifikátů. Heslo si totiž uživatel může vymyslet slabé. Kdežto klíče jsou generovány nějakým CSP a jsou silné.
    Navíc nehrozí nebezpečí, že nékdo zahlédne, jaké heslo zadáváte. Maximálně uvidí heslo, kterým mají chráněný privátní klíč, ale samotný PK neuvidí.

    PS: Účelem HTTPS ani nebylo řešit problém s hesly. To už je jiný boj.

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).