ugrás a tartalomhoz

Public Beta: December 3, 2015

MadBence · 2015. Nov. 21. (Szo), 00.31
Érkezik a Let’s Encrypt nyilvános bétája
 
1

Én már kipróbáltam, és nagyon

MadBence · 2015. Nov. 21. (Szo), 04.11
Én már kipróbáltam, és nagyon meg vagyok vele elégedve, megérte a hosszú várakozás.
7

Számomra lehangoló, hogy az

Joó Ádám · 2015. Nov. 21. (Szo), 22.11
Számomra lehangoló, hogy az ígéret ellenére nem lesz meg az indulásig a DNS alapú ellenőrzés, és ha magad akarod kezelni a kulcsaid, akkor macerásabb a igénylés, mint egy hagyományos CA esetén. Túl nagyot markoltak, nem a konfiguráció automatizálásának (ami például Nginx-en még nincs is meg) kellene prioritásnak lennie.

Ezzel együtt működik, és nagy dolog.
2

It’s time for the Web to take

Hidvégi Gábor · 2015. Nov. 21. (Szo), 11.11
It’s time for the Web to take a big step forward in terms of security and privacy. We want to see HTTPS become the default.
Szerintem elég lenne csak az érzékeny adatokat titkosítani, a többit fölösleges. Sajnos itt is előjön a HTML alapú web nagy hátránya, hogy dokumentumokat kezelünk benne, nem pedig egymástól független adatfolyamokat (egy átlagos website átlagos oldalán: menü, tartalmi blokk, oldalsó menük, lábléc, reklámok).
3

Ez az érv gyakori, de... Nem

PAtrik · 2015. Nov. 21. (Szo), 13.38
Ez az érv gyakori, de...

Nem ritka például, hogy hotelokon vagy ingyenes wifi hálózatokban a szolgáltató az oldalakba reklamot tesz. Egy esetleges támadó MITM betehet barmit akar a weblaborra is (flash, javascript, ...) és ezt a böngésző a weblabor.hu domain alatt futtatja majd.

Több érv is a teljes titkosítás mellett szól, mint a felhasználók megfigyelése elleni védelem, esetleges secured session lopás, bizalom a tartalomhoz.
4

A https nem csak titkosítást

MadBence · 2015. Nov. 21. (Szo), 17.33
A https nem csak titkosítást végez, hanem biztosítja az adatok integritását is. Ha látok egy képet/futtatok az oldalon egy scriptet, akkor szeretnék biztos lenni benne, hogy azt nem módosította harmadik fél. Nem utolsósorban seo szempontból is előnyös a https (a google lepontoz, ha nincs https).

Tervbe van véve, hogy böngészőkben is expiciten "nem biztonságos" oldalként lesznek megjelölve azok az oldalak, amik nem érhetőek el https-en keresztül (nyilván erre még sokat kell várni).
8

A többiek már kifejtették,

Joó Ádám · 2015. Nov. 21. (Szo), 22.15
A többiek már kifejtették, hogy az adatok és futtatott kód (!) integritása legalább olyan fontos, mint az érzékeny adatok védelme, de ehhez még hozzátenném, hogy első ránézésre ártatlan információkból is messzemenő következtetéseket lehet levonni összefüggéseiben.
9

És az egyszerűséggel mi lesz?

pp · 2015. Nov. 21. (Szo), 22.40
jaja, csak ehhez tudni kéne, hogy mikor mi az érzékeny adat. Szóval egy mozdulattal, egy sokkal komplexebb problémára vezetted vissza az egész kérdéskört, mint ahonna elindultunk. Arról nem beszélve, hogy ami ma nem olyan érzékeny, az adatbányászat fejlődésének köszönhetően holnap már az lesz.

pp
12

Egyben válaszolok az összesre

Hidvégi Gábor · 2015. Nov. 23. (H), 10.42
MITM és integritás

Jó lenne látni egy statisztikát, mennyire elterjedt ez a fajta támadás. Legjobb tudomásom szerint egy ilyenhez valamelyik ponton fizikai hozzáférés szükséges (belső háló, wifi), ami jelentősen megnehezíti a kivitelezést.

Szerintem jóval nagyobb veszély, hogy a weboldalak készítői beteszik a reklámozók ellenőrizhetetlen scriptjeit az oldalaikra. Olyanról már olvastam, hogy nagy hirdetőcég rendszerébe került káros javascript, de arról nem, hogy MITM törnének sorra site-okat.

Érzékeny adatok védelme

Amíg mindenki gondolkodás nélkül beenged az oldalára olyanokat, mint a Google Analytics, addig nincs miről beszélni. Mindenki találkozott már olyannal, hogy járt egy bizonyos website-on, aztán a Facebook-on és más helyeken onnantól kezdve olyan témájú hirdetések jelentek meg.

Ha egy weboldalon járok, csak az tud rólam információt szerezni, akinek a külső erőforrása (scriptje, képe) ott van az oldalban, legyen az akár titkosítva, akár nem. Bányászni ezekből lehet, amit összegyűjtenek.

Egyszerűség

A mostani, mindent egyben HTML oldalak jóval összetettebbek, mint ha a háttérben különböző adatfolyamokból épülnének össze. Így most nem lehet például egy oldalt normálisan gyorstárazni, mert az egyik rész ilyen gyakran frissül, a másik meg olyan gyakran, teljesen változó. Emellett bő tíz éve egyre nő az igény az AJAX-os oldalakra. AJAX = az oldal egyéb részeitől független vagy részben függő adatfolyam. Érdekes módon ez mindenkinek feltűnt, csak a HTML 5 készítőinek nem, hogy fel kéne darabolni.
13

Remarketing

Max Logan · 2015. Nov. 23. (H), 11.17
Mindenki találkozott már olyannal, hogy járt egy bizonyos website-on, aztán a Facebook-on és más helyeken onnantól kezdve olyan témájú hirdetések jelentek meg.
Ezt úgy hívják, hogy remarketing, és igencsak jóság, ha üzleti oldalról kell gondolkodnod.
15

És kimondottan ijesztő, ha

Há.Zé. · 2015. Nov. 23. (H), 11.41
És kimondottan ijesztő, ha kicsit belegondolsz. Pl. mi köze a facebooknak vagy a googlenek, hogy milyen orvosi témájú lapokon böngészel adott esetben, vagy milyen befektetési lehetőség után érdeklődsz, mikyen szexlapokra vagy kíváncsi (pl. rajongója vagy a lópornónak)
És mindezt úgy is képes lehet begyűjteni, hogy nem regisztráltad magad sem a fb-n, sem a google-n.

Mondok ijesztőbbet: van egy tahó szomszédom. A nevén és címén kívül semmit sem tudtam róla. Van egy playstationje, amivel pár napig tönkrevágta a környéken a wifit. Ennyi információból kb negyedóra alatt megtaláltam a munkahelyét és a mobilszámát, valamint az e-mail címét. Mert a gúgli ahol tud, segít. Képzeld, ha valaki olyan kezd kutatni, aki még ért is hozzá! (Potenciális ügyfél, munkaadó HR-ese)
16

Nem ez a lényeg

Hidvégi Gábor · 2015. Nov. 23. (H), 11.45
Te mint a website látogatója, hol adtál jogot 1, harmadik félnek, a Google-nek, hogy személyes adatokat gyűjtsön rólad, 2, a harmadik fél továbbadja a személyes adataidat egy negyedik félnek?
17

Abban a pillanatban, hogy

Max Logan · 2015. Nov. 23. (H), 11.53
Abban a pillanatban, hogy használod az oldalt, megadtad a jogot. Az más kérdés, hogy a site-ok erről nem tájékoztatnak, és megint más kérdés, hogy amennyiben igen, az átlagos internetet böngésző user pont tojik ezekre az információkra, mert neki tartalom és szolgáltatás kell, lehetőleg azonnal.

Nem szeretnék belemenni a kérdés fejtegetésébe, mert jelen életemben nem dolgom ezekért a dolgokért kardoskodni. Nekem nagy áldás, hogy vannak ilyen megoldások, mert értékteremtően fel tudom őket használni.
19

Figyelj, ha egy olyan

Hidvégi Gábor · 2015. Nov. 23. (H), 11.58
Figyelj, ha egy olyan lényegtelen dologért, mint a sütemények, az EU hozott egy szabályozást, hogy a látogatónak el kell fogadnia a használatukat, pedig azok elvileg csak közted és a tartalomszolgáltatód között szállnak, akkor a harmadik félhez eljuttatott analitika, amivel hasonlóan érzékeny adatokat lehet összegyűjteni, az mennyire súlyos?

Hogyan adod meg valamihez a jogot az oldal látogatójaként, amikor nem is tudsz róla, hogy van? Honnan látszik, hogy rólad mit gyűjtenek össze?
21

Nem szeretnék belemenni a

Max Logan · 2015. Nov. 23. (H), 12.05
Nem szeretnék belemenni a témába, mert nem ismerem annyira az egész képet. De van egy olyan sejtésem, hogy te sem.

Azaz: fogalmad sincsen, hogy mit és hogyan gyűjtenek, hogy miként vagy te beazonosítható. (Névvel, címmel, telefonszámmal, vagy egyszerűen van egy hash, ami alapján csak közvetve vagy beazonosítható, nem IP és egyebek alapján?).

Amíg a konkrét workflow, és a tárolt adatok összefüggései nem publikusak – tippem szerint sosem lesznek azok… – addig az egész beszélgetés ismeretlen paramétereken alapszik, ergo, erőteljesen megkérdőjelezhető ebben a formájában.

Kell a kritikus tömeg, aztán lehet nyomást gyakoroloni.

Amekkora erőforrásokat áldoz a Facebook, a Google és egyebek a követésre, legalább akkora erőforrást kellene allokálni globális összefogással, hogy nyomást lehessen gyakorolni. Ha erre nincsen meg az affinitás, akkor ez az egész kb. vihar biliben. Szerintem.
22

Hogyan adod meg valamihez a

Max Logan · 2015. Nov. 23. (H), 12.07
Hogyan adod meg valamihez a jogot az oldal látogatójaként, amikor nem is tudsz róla, hogy van? Honnan látszik, hogy rólad mit gyűjtenek össze?
Azt ugye érezzük, hogy eddig is gyűjtöttek rólad adatokat, és nem tudtál róla, nem adtál rá engedélyt? Kormányok, magánnyomozók, paparazzik, oknyomozó riporterek, piaci alapon működő adatgyűjtők (konkurencia figyelése), stb, stb.
14

Jó lenne látni egy

MadBence · 2015. Nov. 23. (H), 11.37
Jó lenne látni egy statisztikát, mennyire elterjedt ez a fajta támadás. Legjobb tudomásom szerint egy ilyenhez valamelyik ponton fizikai hozzáférés szükséges (belső háló, wifi), ami jelentősen megnehezíti a kivitelezést.
Az internetszolgáltatóknak pont ilyen hozzáférésük van, és ezt ki is használják. Egyébként ezt mi is tapasztaltuk, amikor bekapcsoltuk a CSP headereket az oldalon, nagyon durván magas százalékban (én 50+-ra emlékszem) fordultak elő idegen scriptek az oldalon, nyilván ezek közül sok lehet valamilyen böngésző extension, de akkor is aggasztó a szám.

Amíg mindenki gondolkodás nélkül beenged az oldalára olyanokat, mint a Google Analytics
Oldalt üzemeltetni mindenféle trackelés nélkül totális öngyilkosság. A felhasználók viselkedésének követése (amíg az aggregáltan történik) nem gáz, a segítségével lehet a optimalizálni az oldalt. Ha én beágyazok egy scriptet az oldalba, akkor meg fogom nézni előtte, hogy az mit is csinál pontosan: speciel a google analyticsben megbízok, hogy nem fog szenzitív adatokat gyűjteni (email, személyes adatok, bankkártya, stb).

A mostani, mindent egyben HTML oldalak jóval összetettebbek, mint ha a háttérben különböző adatfolyamokból épülnének össze.
Nem teljesen értelek. Legyen külön http kérés a menü és a tényleges tartalom? A képek és a többi külső erőforrás most is külön http kérés, a http2 pont ezeknek a hatékony kiszolgálását oldja meg (server push).
18

Az internetszolgáltatóknak

Hidvégi Gábor · 2015. Nov. 23. (H), 11.54
Az internetszolgáltatóknak pont ilyen hozzáférésük van, és ezt ki is használják.
Ha ilyet tapasztalnék, abban a pillanatban mennék tovább, szerencsére még nem történt meg velem.

Oldalt üzemeltetni mindenféle trackelés nélkül totális öngyilkosság.
A weblogokról biztos hallottál már, vannak szerveroldali, nyílt forrású megoldások, amikkel elemezni lehet őket. Továbbadni egy google-nek, facebook-nak az oldalaid látogatóinak információit, ingyen úgy, hogy ők ebből pénzt csinálnak, na, ez az igazi ostobaság.

speciel a google analyticsben megbízok, hogy nem fog szenzitív adatokat gyűjteni
Ha megoldják azt, hogy elmész X termékforgalmazó oldalra, aztán a facebookon X típusú termékreklámok jelennek meg hirtelen, azt jelenti, hogy még abból az ártatlan analitikus adatból, hogy te hol jártál, pontosan tudják, hogy Te, Dányi Bence vagy az oldalon. Ez nem elég személyes? Ezek után te megbízol bennük?

Legyen külön http kérés a menü és a tényleges tartalom?
Persze. Mi köze van a menünek a tartalomhoz? Lehet, hogy nincs is benne közvetlen link az adott oldalra. Miről szól az ajax? Csak az frissül, aminek kell.
24

Ha megoldják azt, hogy elmész

Max Logan · 2015. Nov. 23. (H), 12.31
Ha megoldják azt, hogy elmész X termékforgalmazó oldalra, aztán a facebookon X típusú termékreklámok jelennek meg hirtelen, azt jelenti, hogy még abból az ártatlan analitikus adatból, hogy te hol jártál, pontosan tudják, hogy Te, Dányi Bence vagy az oldalon. Ez nem elég személyes? Ezek után te megbízol bennük?
Utaltam erre egy másik kommentben: fogalmad sincsen arról, hogy ezt így tudják-e, vagy egyszerűen egy hash alapján tudják, hogy mi a te részleges történeted, de hogy te ki vagy, azt mondjuk már nem.
28

De, van fogalmam arról, hogy

Hidvégi Gábor · 2015. Nov. 23. (H), 13.16
De, van fogalmam arról, hogy pontosan tudják, ki vagyok, hisz a saját szememmel látom, működik a dolog. Meg egyéb emberektől is ezt hallom vissza, laikusoktól. De tessék, itt van egy 2006-os cikk, idézem az idevágó részt:
aggodalmuknak adtak hangot, mert szerintük az adatok összerendezése után igen gyakran azonosíthatóvá válik a felhasználó. Az AOL ugyan számsorozatokat használt a júzerek személyes adatai helyett, ám ez – s ezt később több szakértő és jogvédő is megerősítette – nem elegendő az anonimitás fenntartásához. A legegyszerűbb eset az, amikor az illető a saját nevére keres rá, s ezzel az elvileg névtelenséget biztosító kódszámhoz azonnal hozzárendeli a személyazonosságát. Ugyanígy megkönnyíti az identifikációt, ha a felhasználó valamilyen okból egyéb adatait (lakcím, telefonszám, társadalombiztosítási szám stb.) gépeli be
29

Ez esetben azt tudom mondani,

Max Logan · 2015. Nov. 23. (H), 13.50
Ez esetben azt tudom mondani, hogy aki dolgának érzi, harcoljon az elvei mentén.

A magam részéről élek a dolog(ok) pozitív oldalával, ahogyan pl. a kést is szeletelésre, faragásra, nem pedig ölésre használom.

Aztán ha egy idő után egy-egy funkció nem lesz elérhető, mert győzött a nyomás, akkor elfogadom. Ha meg lehet találni más megoldást ugyanazon, vagy közel ugyanazon működsére, akkor mindenki happy.

Személy szerint nem dolgom, hogy ez ügyben kardoskodjak, annál inkább, hogy értékteremtő módon használjam a megkérdőjelezett lehetőségeket a saját dolgaim viszonylatában.

A végkövetkeztetésem pedig az, hogy rohadt nagy lemaradásban van mindenki az internettel és annak következményeivel kapcsolatban, és ha marha gyorsan nem lesz világméretű erőforrásallokálás e tekintetben, akkor a helyzet ennél már csak rosszabb lesz.

A Google-nek és Facebook-nak együtt van kb. 55.000 alkalmazottja. Ennél jóval több embert lehetne világszinten mozgósítani az ügyek érdekében, és akkor le lehetne dolgozni a lemaradást.

Ha az OpenSource világ él és virul, akkor egy ilyen jóval fajsúlyosabb dolog okán össze kellene, hogy álljon a globális csapat. Ha nem akar, vagy nem tud, akkor talán éppen az a dolga most az emberiségnek, hogy a vesztébe rohanjon.

A másik lehetőség pedig az, hogy idővel minden a helyére kerül. Mert ez így szükségszerű, és mindenkinek megvan a maga dolga. Duális világban élünk, kell a sötét, hogy aztán jöjjön a fény. Másik nézőpontból: azért van sötét, mert másfelé „néz” a fény.
20

CSP

Há.Zé. · 2015. Nov. 23. (H), 12.01
Erről a CSP header témáról tudnál mondani pár szót, hogy mit és hogyan találtatok a segítségével? (Főleg a hogyan érdekel)
23

Egy viszonylag jó leírás, az

MadBence · 2015. Nov. 23. (H), 12.22
Egy viszonylag jó leírás, az eredmények összegyűjtéséhez report-uri direktíva lehet érdekes. Mióta https van nálunk, azóta nagyságrendekkel lecsökkent a hibák száma (kb. a böngésző extensionönök maradtak).
25

Köszi, de ennél jóval

Há.Zé. · 2015. Nov. 23. (H), 12.46
Köszi, de ennél jóval egyszerűbb leírásra gondoltam: tképp az érdekel (egyelőre nem tiszta a működés és iszonyat nehezen olvasok, annyira rossz a szemem, idegennyelvű szöveg erre még rátesz :( ), hogy az említett idegen szkripteket a böngésző találta meg az oldalatokon vagy szerver oldalra jött valami visszajelzés ebből?

Megpróbálom majd végigrágni magam ezen a linkeden is, meg a CSP témában talált másikon is, de az nem megy öt perc alatt :(
26

kb a lényeg: egy http

MadBence · 2015. Nov. 23. (H), 12.51
kb a lényeg: egy http fejlécben direktívákat adsz meg a böngészőnek, pl a script-src azt mondja meg, hogy milyen domainekről származó scriptek futtathatók az oldalon (tehát pl. a saját kódom és az analytics mehet), a report-uri-t megadva a böngésző a megsértett szabályokról jelentést küld a megadott url-re. nyilván ehhez az egészhez natív böngésző támogatás kell (ez azért már elég jó).
27

O.K., így már tiszta. Tankjú!

Há.Zé. · 2015. Nov. 23. (H), 13.02
O.K., így már tiszta. Tankjú!
5

?

Há.Zé. · 2015. Nov. 21. (Szo), 21.53
Bocs, nem bírom végigolvasni az eredetit.
Ez is valami olyasmi, mint a cacert.org?
Vagy hogy lesz ebből ingyenes tanúsítvány?
6

Ez egy új CA, ugyanolyan,

Joó Ádám · 2015. Nov. 21. (Szo), 22.00
Ez egy új CA, ugyanolyan, mint bármelyik a jelenlegi nagyok közül, éppcsak ingyen adja a tanúsítványokat. A saját gyökere mostanában kerül be a böngészőkkel szállítottak közé, illetve a régebbiek támogatása érdekében keresztben az IdenTrust is aláírta a közbülső tanúsítványát.
10

Más szemszögből

vbence · 2015. Nov. 21. (Szo), 23.27
A HTTPS normává tételével viszont elvisszük a webet egy központosított irányba, ahol a CA-k mint nódpontok jelennek meg. Ha már jövő és privacy meg nagytesvér orra alá borsot, akkor szívesebben látnék valami peer-to-peer alapú megoldást.
11

Erre lesz megoldás a DANE.

Joó Ádám · 2015. Nov. 21. (Szo), 23.29
Erre lesz megoldás a DANE.