Google začne výrazně upozorňovat na nezabezpečené stránky

v6ak:

Na SA to zbytečné není. Na chvilku ignorujme to, že i tady se přihlašujeme a že nejspíš na stejné doméně se přihlašují i admini (pro které HTTPS na celé doméně zmenší šanci, že se nechají napálit). I kdyby šlo o čistě informační web, má to smysl. Představme si, jak by to mohlo vypadat na HTTP: * Nahoře bude úplně jiná reklama, než jakou tu mají provozovatelé. Ti z ní neuvidí ani korunu a může jít o něco pochybného, jako reklama na různé spořiče energie nebo zázračné prostředky na šetření motoru. Ano, to se občas někde objeví tak jako tak, ale majitelé webu mají u svého webu aspoň zájem, aby se to u nich neukazovalo. U kukaččího vejce bude kukačkám důvěryhodnost asi celkem ukradená. * Mezi zprávami se objeví informace, že se SvetAndroida přesouvá na jinou doménu. * Po otevření webu začne notebook topit, protože někdo přidal těžařský skript z CoinHive. * Kliknu na link do obchodu, dostanu se ale na nějakou napodobeninu původního obchodu, která bude napříjlad sbírat informace o kartách. Kdo by to kontroloval, na SvětAndroida přece snad nebudou dávat link na podvodníky, ne? * Otevřu článek, přečtu si o nové aplikaci, na konci bude link třeba na apkmirror (jako tu už nejednou byl) - ale tentokrát povede jinam... * Podobně u návodu na rootnutí telefonu nebo na aktualizačni software. Akorát tentokrát je v ohrožení typicky i počítač. * Web se pokusí nainstaloval malware skrze nějakou zranitelnost nebo skrze sociální inženýrství jako fake flash update. Mimochodem, nic z toho nesouvisí se šifrováním, ale s možností měnit obsah. Tady je asi významnější přínos HTTPS. Možná si řeknete, tomu by uživatel mohl zabránit opatrností. Někdy asi ano, někdy moc ne. A navíc, rady jako "pozor na nedůvěryhodné weby" by se musely rozšířit i na všechny weby na plain HTTP. Což je ale přesně ta situace, kdy bude Chrome varovat. Žé útok není tak snadné provést? * Některé útoky mohou fungovat i celkem automatizovaně, tzn. útočník nemusel řešit konkrétní stránku a web SvětAndroida ani nemusel znát. * I když si nemyslíte, že byste byli připojeni k nějakému pochybnému routeru, stačí mít zapnutou Wi-Fi a mít možnost se k nějaké veřejné síti připojit. Nástroje jako Wi-Fi Pineapple vyřeší zbytek. * Bezpečnost routerů je často pochybná, takže ani domácí síť není zárukou bezpečí. * I pokud jsem zrovna teď na bezpečném routeru, ověřil jsem si to a věřím ISP, lze útočit skrze cache poisoning.

SeppWinkler:

Presadzovanie HTTPS je často kontraproduktívne, resp. zbytočné. Aký to má význam na stránkach s informatívnym obsahom? Čo by sa stalo, keby napr. SA bol len na HTTP?

skrisa:

V6ak: .. diky za vysvetleni.. jsem sice coder, ale je lepsi to vyslechnout po letech znova a ujistit se, ze co delam, delam dobre :) .. neni zde rec jen o sifrovanem spojeni.. chrome upozornuje i na nebezpecne stranky napr. s malware apod.. ale prave do teto kategorie haze i weby s nechranenym autorskym obsahem.. snad to pisu jasne.. Zkratka by mne, kdyz uz, zajimala specifikace 'skatulkovani' .. thx

v6ak:

"který bude říkat, že nejsou stránky nezabezpečené." - Nevloudila se sem jedna negace navíc? @skrisa: Toto je něco jiného. Týká se to HTTPS, které má zajistit, že při přenosu mezi serverem a vaším zařízením stránku nikdo nepozměnil a nemohl přečíst posílaná data. Třeba tady na SvetAndroida by bez toho mohl někdo na síti pozměnit obsah článku (a třeba u linku na stažení aplikace tam hodit něco jiného) nebo přečíst heslo, kterým se přihlašujete. Dnes se u HTTPS typicky ukazuje zelený zámeček vlevo vedle adresy (výjimku dělá hlavně Internet Explorer) a u HTTP se nezobrazuje často žádné varování. Nemá to nic společného se samotným obsahem stránky. Malware, phishing a jiné hrozby se tam mohou tak jako tak objevit. S HTTPS je tam ale může umístit jen správce webu/serveru, zatímco předtím to mohl udělat kdejaký jouda, který měl přístup k lokální síti. (A že možností je - ARP spoofing, WiFi Pineapple, ...)

skrisa:

Tak snad ukazi i detailni specifikaci nebezpecnych webu. Nekdy je totiz nebezpecny web oznacen jen proto, ze nechrani autorsky obsah a s bezpecim usera to nema co delat.