NOVINKA - Online rekvalifikační kurz Python programátor. Oblíbená a studenty ověřená rekvalifikace - nyní i online.
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.

Diskuze – Let's Encrypt je hrozbou, ssls.cz o něm šíří nepravdy

Zpět

Upozorňujeme, že diskuze pod našimi online kurzy jsou nemoderované a primárně slouží k získávání zpětné vazby pro budoucí vylepšení kurzů. Pro studenty našich rekvalifikačních kurzů nabízíme možnost přímého kontaktu s lektory a studijním referentem pro osobní konzultace a podporu v rámci jejich studia. Toto je exkluzivní služba, která zajišťuje kvalitní a cílenou pomoc v případě jakýchkoli dotazů nebo projektů.

Komentáře
Avatar
Marian Benčat
Člen
Avatar
Marian Benčat:28.11.2016 18:36

Jako bych četl vyjádření od Špačka...

https://gist.github.com/…e9e6fa65c5ac

Odpovědět
28.11.2016 18:36
Totalitní admini..
Avatar

Člen
Avatar
Odpovídá na Marian Benčat
:28.11.2016 18:37

Vyjádření od Špačka jsem viděl, ale nečerpal z něj. :)

 
Odpovědět
28.11.2016 18:37
Avatar
Neaktivní uživatel
Tvůrce
Avatar
Neaktivní uživatel:28.11.2016 19:58

Tak keď sú neschopní a nevedia ako spraviť automatické obnovovanie certifikátu ako napríklad WebSupport, tak nech nehovoria, že sa to nedá. Tak isto aj s tým "zeleným https pruhom" v prehliadači. Ja ho tam vidím a to dosť zreteľne. A myslím, že ani podpora browserov nebude zlá, ale to som neskúmal. Zrejme im klesli predaje ich certifikátov, tak musia trošku zhodiť free konkurenciu.

Odpovědět
28.11.2016 19:58
Neaktivní uživatelský účet
Avatar
Pavol Hejný
Tvůrce
Avatar
Pavol Hejný:28.11.2016 21:32

Taky jsem včera ten email dostal :)

Odpovědět
28.11.2016 21:32
/^(web )?(app )?developer$/
Avatar
Pavol Hejný
Tvůrce
Avatar
Pavol Hejný:29.11.2016 20:38

Samotné HTTPS je často zcela k ničemu, pokud jsou na stránce jiné díry např. Reflected XSS, které jsou na mnoha běžných stránkách zabezpečených pomocí SSL.

Pokud už někdo zavádí HTTPS, měl by si projít stránku např. pomocí https://securityheaders.io a vědět alespoň o základních bezpečnostních věcech - XSS, Reflected XSS, SQL Injekcích, proč není dobré používat md5 a proč solit, apod. . Protože často se HTTPS nasazuje zcela zbytečně, jenom aby to dobře vypadalo v URL.

Odpovědět
29.11.2016 20:38
/^(web )?(app )?developer$/
Avatar

Člen
Avatar
Odpovídá na Pavol Hejný
:29.11.2016 20:40

Doporučuju spíš https://observatory.mozilla.org, kde je víc nástrojů v jednom a získáš tak mnohem obsáhlejší výsledky. Mimochodem, schválně se zkus kouknout v Observatory na ssls.cz. :)

 
Odpovědět
29.11.2016 20:40
Avatar
buri
Člen
Avatar
Odpovídá na Pavol Hejný
buri:2.12.2016 13:20

Ale tu nejde o XSS a podobne. Áno aj to je veľmi dôležité ale SSL je hlavne dobré proti tomu, aby ťa ISP alebo na nejakej neznámej WiFine nemohol nikto "odpočúvať" resp. robiť Man-in-the-middle útok. To je tá pasívna časť reťazca. Až potom nastupuje tá aktívna, kedy sa vyžaduje mať na webe ochránené vstupy, atp. to je tá aktívna. | A áno, som aj ja u ssls.cz, ešte mi ten e-mail neprišiel ale týmto ma skôr lákajú prejsť ku konkurencií i keď tá konkurencia zo slovenska to má drahšie (pretože využívam Comodo Positive SSL DV + 5 SAN). Ale ja mám takú filozofiu. Na osobné stránky a "neverejné projekty" alebo skrátka len linky ktoré chcem ochrániť, dávam Let's Encrypt. Na verejné projekty a niečo čo má širší dosah na ľudí, dávam platený (minimálne) DV - záleží od situácie. Ale dalo sa čakať že takto resellery zareagujú. Je jasné že im takto klesli tržby. Ale tu je iná pointa. Ja chápem že im ide o zisky, je to predsa firma a tá je primárne na generovanie obratu a zisku. Ale ak nemajú nastavenú dobre firemnú kultúru, je to špatne. Takto sa ukazujú len v tom, že im ide len o zisky a nie o dobro koncových používateľov. Naopak v dnešnej dobe kedy sa u nás teraz schválil zákon o hazarde a teda cenzúre atp., by o to viac sa mal tlačiť ASPOŇ free SSL certifikát do popredia aby sa raz vlády nerozhodli nás sledovať a zakázať akékoľvek šifrovanie (to sa dúfam nestane, bolo by to totiž k ničomu. Algoritmy existujú a uškoda len bežným ľuďom; tým čo sa rozumia, to nezakážu. ... Ale vysvetlite to politikom no... Hlavne tomu čo tvrdil: "Vy ste niekedy šifroval? Já teda nie!" :D)

Odpovědět
2.12.2016 13:20
Prvý dojem klame!
Avatar
Pavol Hejný
Tvůrce
Avatar
Odpovídá na buri
Pavol Hejný:2.12.2016 14:24

Technicky odposlouchávání Man-in-the-middle a XSS je něco jiného, s tím plně souhlasím. Ale dopady na uživatele to má často prakticky stejné. Při Man-in-the-middle si někdo rovnou data odchytí. Pokud je na webu XSS díra, tak si je jenom od něj pomocí JS pošle k sobě (obvykle mu stačí nějaký PHP session cookie).

Samozřejmě asi ISP nezneužívají XSS díry, ale umím si představit, že si "logují" provoz.

Já chtěl jenom říct, že nemá smysl investovat mnoho peněz do jednoho druhu bezpečnosti a kašlat na jiné a to je podle mě typický případ SSL certifikátů, alespoň pokud vezmu české weby.

Odpovědět
2.12.2016 14:24
/^(web )?(app )?developer$/
Avatar
Marian Benčat
Člen
Avatar
Odpovídá na Pavol Hejný
Marian Benčat:2.12.2016 14:50

Pokud není programátor úplnej trouba, tak se javascript ke cookie vubec nedostane.

Odpovědět
2.12.2016 14:50
Totalitní admini..
Avatar
mkub
Tvůrce
Avatar
mkub:3.12.2016 10:20

dopustaju sa sireniu hoaxu, ked toto rozsiruju!
alebo klesli jej trzby a to, co sa deje s inou autoritou pripisuju Let' Encrypt...

a v kazdom pripade za tento HOAX by som urcite k tejto spolocnosti nesiel a ak by som bol zakaznikom tejto spolocnosti, tak by som u nich zrusil konto a presiel uplne inam, lebo praktikuje velmi nekale praktiky na ocernovanie konkurencie

 
Odpovědět
3.12.2016 10:20
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 10 zpráv z 15.