Novinky na SvětOutdooru

[ntz]

Btw, ted jsem si vsiml a zacalo me to dost stvat, proc tu pro kristovy rany neni v roce 2022 SSLizovane http (https) ? Let's Encrypt certifikat je zadarmo .. Tohle je fakt obrovska nekazen ..

Nevim, kdo je tady technickej admin, mel by byt ale prisne potrestan za tohle ...

[apuka]

Kdybys cetl pozorne, duvod uz parkrat zaznelo od mika, naposled jenom pred par dny. Stejna jako to, ze to u webu zase takove terno neni.

[ntz]

ja jako ajtak snad ani nechci cist duvod proc nema web v roce 2022 SSL zabezpeceni .. tohle proste zadnej rozumnej duvod nema .. pokud teda rozumnym duvodem nemyslis, ze server bezi na nejakem starem plesnivem cosi (se starym plesnivym OS a web serverem) a ze se na tom neda rozbehat (napr) certbot ...

mike mi jiste promine ma ostra slova - timto nabizim technickou pomoc chcete-li .. klidne mi napis maila/PM ..

[Tomas]

Tož jako ajťák to vidím obdobně jako ntz. Racionální důvod to v jednadvacátým století to v podstatě mít ani nemůže (kromě lenosti), certoš z Letsencryptu s certbotem se tam dá hodit jednodušše a kdykoliv.

A přestane to tu vypadat jak u diletantů ze začátku tisíciletí.

Též jsem schopen/ochoten pomoci, bude-li to třeba, ale je to vcelku triviální úkon (i když je pravda, že jsem to asi tak 10 let nedělal).

[Dromedaro]

Btw, ted jsem si vsiml

Mě spíše překvapuje, že ty jako IT jsi si toho všiml až nyní, zatímco IT analfabet jako já o tom ví od samého začátku.
Jinak se tedy přidávám k tvému názoru.

[Tomas]

Mě spíše překvapuje, že ty jako IT jsi si toho všiml až nyní, zatímco IT analfabet jako já o tom ví od samého začátku.

Ajťák ví dlouho, ale musí mít náladu, vůli a čas aby začal konat.

Mě to třeba taky napadlo už dávno, ale nedělal jsem nic.

[ntz]

Mě spíše překvapuje, že ty jako IT jsi si toho všiml až nyní ...

vim to uz dyl, spis me to zacalo stvat az ted, kdyz jsem manualne prepsal http na https a furt to nefunguje ... mel jsem driv za to, ze je jenom expirnutej certifikat a ignoroval jsem to ...

[pavproch]

Stará konverza promlouvá: NEGABAT do věcí které fungují!

[Dromedaro]

Ajťák ví dlouho, ale musí mít náladu, vůli a čas aby začal konat.

Tak tyhle předpoklady mám

NEGABAT do věcí které fungují!

Platnost této rady jsem si ověřil nedávno. Začal jsem se hrabat v kole, které do té doby fungovalo bez problémů a poté muselo do servisu

[mike]

Mě to třeba taky napadlo už dávno, ale nedělal jsem nic.

Tos nedelal spravne

zacalo me to dost stvat, proc tu pro kristovy rany neni v roce 2022 SSLizovane http (https) ? Let's Encrypt certifikat je zadarmo .. Tohle je fakt obrovska nekazen ..

Co konkretne te na tom zacalo stvat? Delam IT a to prevazne security pres 30 let, a tak by mne to fakt zajimalo. Co presne ti na tom tak vadi? Jak jsem psal jinde, neni to tak davno, co to takhle mela naprosta vetsina webu a pres HTTPS jely jen ty, co to opravdu potrebovaly, treba banky. Pak se nekdo rozhodnul, ze sifrovani je in a ze ho prosadi vsude (pamatuju si clanky na tohle tema). Coz se povedlo, neni to nic proti nicemu, ale podle mne je to u naproste vetsiny webu (90+ %) zbytecne. Protoze sifrovani je opravdu potreba tam, kde jsou nejake senzitivni informace.

Takze mi prosim reknete, co konkretne by to prineslo vam i OF v tomhle pripade? A fakt mne nezajimaji obecne reci typu vsichi to tak maji, je to standard apod. Konkretni prinosy v tomhle konkretnim pripade.

Duvod je prosty. Nekdo by to musel udelat. Ten nekdo nejspis nepotrebuje technickou pomoc, ale chut a cas. OF bezi tak nejak samo, zakladatel a majitel ma uz dlouho jine zajmy a muzeme byt radi, ze OF vubec bezi. Vlastne ani jako moderatori nevime, co se po technicke strance deje, snad aspon obcasna nutna udrzba. My se starame o stav diskusi, ale stav serveru jde mimo nas. Myslim, ze jsou tu podstatnejsi veci, ktere by se hodily vyresit, ale jsme tak nejak smireni s tim, ze se to nestane. Protoze je to prace.

Muzu adminum zkusit napsat a navrhnout jim to. Kdyz mi date nejaky dobry duvod, pricemz zatim zadny nepadnul. Vidim jeden duvod proti. Certifikaty expiruji a musi se menit. Coz znamena udrzbu navic, byt malou, a v tomhle pripade skoro urcite warningy ohledne expirovanych certifikatu. To uz jsem zazil na spouste mist jinde.

[Tomas]

No, lidi si zcela účelně třeba posílají adresy, čísla účtů a já nevím jaké osobní příběhy přes SZ. Tak to tady lítá plaintextem.

Nově příchozí ? Pokud ještě tedy v nějáké další dekádě bude nějáký, uvidí že web je insecure. Je to o všeobecné serióznosti webu.

Čas BBSek už skončil a tohle v podobném režimu stále běží z historických důvodů. Dostat to do současného století jak jsem již řekl je triviální úkon a ntz se mnou bude souhlasit.

Navíc lidi se nabídli, tak nevim na čem to tady krvácí.

[ntz]

presne !!!! (co rika @Tomas) .. Navic obcas nekdo pise neco z prace, nebo proste z nejake site, ktera neni bezpecna ... proc bych se mel prihlasovat k nejake sluzbe (pokud bych potreboval), ktera neni zabezpecena ? A urcite to muze i mnohe uvedomele lidi odradit .. navic clovek zadava mejl pri registraci ... proste brrr, http je v pohode na nejakej content browsing (kecam, ani tam neni v pohode), urcite ale neni v pohode jako uzivatelska sluzba

[mike]

Tak to tady lítá plaintextem.

Lita. A? Jaka je sance, ze nekdo odchyti komunikaci mezi tebou a OF zrovna v okamziku, kdy budes posilat neco senzitivniho? Pokud to nebude cilene na tebe, tak bych se vic bal, ze mne trefi meteorit.

Co se cileneho utoku tyce, tak bude nejspis snadnejsi hacknout web a dostat se ke vsem informacim najednou. OF bezi na vic, nez 10 let stare verzi phpBB. Jsem si skoro jisty, ze utoky na ni existuji (a byly davno opraveny), ale snad to ani nechci vedet. Tohle mi prijde jako podstatne vetsi riziko, ktere nejspis zustane nevyresene.

Nově příchozí ? Pokud ještě tedy v nějáké další dekádě bude nějáký, uvidí že web je insecure. Je to o všeobecné serióznosti webu.

Nebezpeci je, ze to browsery zacnou vic vyzadovat nebo dokonce bez nejakeho ohavneho cerveneho upozorneni na HTTP vubec nepusti. Pak by to jiste odrazujici bylo, zatim to IMO bezneho uzivatele neodradi, protoze netusi, wocogou.

Navíc lidi se nabídli, tak nevim na čem to tady krvácí.

Hmm, uz nevim, jak to mam napsat. OF bezi na volnobeh. Nabidka lidi je nejspis k nicemu, protoze by je k tomu admin musel pustit a to uz si to rovnou muze udelat sam.

A urcite to muze i mnohe uvedomele lidi odradit

Jiste, lidi, co delaji z komara stado velbloudu Nastesti jich moc neni a tohle neodradilo ani apuku

.. navic clovek zadava mejl pri registraci

A? Mail dneska zadavas v kazdem eshopu...

[Dromedaro]

Mě zde překvapila nedávná informace, že při zadávání hesla zde k účtu na foru to nezabezpečení může zapříčinit to, že to heslo může někdo odečíst. Ale tak to už jsem napravil a pro OF mám unikátní heslo.

Jinak, jak se zde zmiňuje, že si lidé vyměňují adresy, maily, čísla účtu atd. V čem přesně to vadí, pokud nejde jen o to, že se někdo dozví adresu, číslo účtu atd. K čemu by mu to bylo kromě toho, že to bude vědět? Mně to zase nepřijde jako nějak citlivá informace. Adresy, maily, telefonní čísla a čísla účtu se běžně zadávají. Já jen, jestli mi něco neuniká.

[Mawenzi]

tak treba bude vedet kde bydlis a kdy jedes do skotska
taky se znamym stalo ze jeli na tyden na hory, prvni den turnusu jim vykradli auto zaparkovany u hotelu kde meli klice od domu s adresou (ta je na zeleny karte mozna?) a kdyz se vratili k vykradenymu autu a prijeli do vykradenyho domu tak radosti moc neskakali...

jenze to je proste blba shoda nahod, no

[Dromedaro]

tak treba bude vedet kde bydlis a kdy jedes do skotska

[mike]

Nic ti neunika, jsou to bezne veci, ktere zadavas v kazdem e-shopu, aniz bys o vlastnikovi neco vedel. To uz spis obsah SZ, pokud si s nekym pises duverneji (a pak je snad lepsi pouzit mail, z vice duvodu).

Ano, kombinace jmena a hesla je dobre mit unikatni, opet z vice duvodu. Prijde mi ovsem vic nebezpecne, ze kdyz pouzijes v nejakem eshopu stejnou kombinaci, tak se s ni nejaky pikolik prihlasi na OF, nez ze to nekdo odchytne na dratech. Protoze to neni az tak jednoduche a pravdepodobnost, ze se to stane nahodou, je miziva. Musel by tobe jit.

[Dromedaro]

Jo, ten důvěrný obsah SZ, ten mi dává smysl.

[mike]

taky se znamym stalo ze jeli na tyden na hory, prvni den turnusu jim vykradli auto zaparkovany u hotelu kde meli klice od domu s adresou (ta je na zeleny karte mozna?) a kdyz se vratili k vykradenymu autu a prijeli do vykradenyho domu tak radosti moc neskakali...

Jasne, klice s adresou je pruser. Kdyz mi ukradli batoh i s obcankou u Teplic, tak tohle bylo prvni, co jsme s policajtama resili. Nastesti mam nahradni klice u kamaradky, ktera tam dosla a zamkla se vevnitr, nez mne jiny kamos dovezl

A mimochodem, ti policajti rikali, ze presne tohle resili asi tak pred tydnem. Vykradli auto, tam byly klice i adresa, takze hned i byt. Ale to bylo par kilometru, ke mne to nastesti bylo podstatne dal. Z cehoz mi vyslo, ze s sebou na koupani nebudu nosit obcanku

Na foru klice nemas a tyhle veci se deji spis na FB, kde se lidi chlubi, ze jednou na dovolenou a dohledat tam, kde bydli, byva jednoduche i s fotkama. Aby se to stalo tady a jeste odposlouchanim komunikace... mit takovou smulu, tak uz je snad lepsi si to rovnou hodit

[Mawenzi]

ja si nestezuju, aspon mi forum dobre funguje pres starou operu mini na mobilu

[Dromedaro]

A mimochodem, ti policajti rikali, ze presne tohle resili asi tak pred tydnem. Vykradli auto, tam byly klice i adresa, takze hned i byt. Ale to bylo par kilometru, ke mne to nastesti bylo podstatne dal. Z cehoz mi vyslo, ze s sebou na koupani nebudu nosit obcanku

Tohle mi nedošlo. Já furt řešil a řeším spíše, že jestli mě někdo u vody okrade, tak doufám, že mi tam nechá oblečení, abych nešel domů x kilometrů nahej a jak bych se dostal bez klíčů domů, tak všelijaká opatření, ale že by měl naservírovanou adresu i s klíči, to jsem si neuvědomil. Tak dík za tip. V tom případě i do krytého bazénu, kde to mám ve skříňce si občanku nebrat.

[mike]

Mne to taky doslo az kdyz mi to rekli policajti a prijemny pocit to teda nebyl... Obleceni mi tam nenechali, coz ale bylo tim, ze jsem ho chytre nacpal do batohu Zustaly mi boty a alumatka

[Tomas]

Lita. A? Jaka je sance, ze nekdo odchyti komunikaci mezi tebou a OF zrovna v okamziku, kdy budes posilat neco senzitivniho?

Každej debilní admin na prvnim korporátním firewallu v nějáké síti která jede deep packet inspection. Konkrétně v korporátu to mají lidi rádí. Mají heslo, username, web a cokoliv co kdo kam píše, bo plaintext. I to je ze své podstaty privátní informace. Je to prostě z podstaty blbě.

.. navic clovek zadava mejl pri registraci

A? Mail dneska zadavas v kazdem eshopu...

Přes HTTPS a SSL o kterém se bavíme. Asi je debata zde o tom zcela zbytečná.

Nevím co bych dodal v moment kdy mi tady člověk v roce 2022 obhajuje HTTP a jeho výhody, na to připraven skutečně nejsem. Wasted time.

[mike]

Konkrétně v korporátu to mají lidi rádí. Mají heslo, username, web a cokoliv co kdo kam píše, bo plaintext.

Hmm, tak takovy admin by zaslouzil vyhazov. Mozna i zavrit, mozna by se to dalo napasovat na poruseni listovniho tajemstvi. Kazdopadne to slusny clovek nedela a ano, admina jsem delal jeste v dobe, kdy o nejakem zabezpeceni nemohla byt rec. Kdyz jsem omylem neco odchytil, tak jsem se v tom nevrtal a hned to smazal. Jednou to pri nejakych pokusech bylo i heslo, a tak jsem dotycne hned napsal, at si ho zmeni.

Přes HTTPS a SSL o kterém se bavíme.

Jiste, ale v tom e-shopu k tomu muze mit pristup kdokoliv a navic to ulozi nekam do databaze, ktera jim casem utece. Podle mne je to podstatne vetsi nebezpeci, nez ze to nekdo odchytne po ceste.

Nevím co bych dodal v moment kdy mi tady člověk v roce 2022 obhajuje HTTP a jeho výhody, na to připraven skutečně nejsem. Wasted time.

Tos asi spatne pochopil. Kde jsem obhajoval vyhody HTTP? Aspon jednu citaci, prosim

Naprosto nemam nic proti tomu, aby se preslo na HTTPS, ale pisu, ze to v soucasnem stavu fora neni jednoduche zaridit. Muzu adminum napsat, ale to je asi tak vsechno. Kdybyste mi dali nejaky dobry duvod, tak by to mohlo pomoct (nezaruceno).

[Tomas]

Hmm, tak takovy admin by zaslouzil vyhazov. Mozna i zavrit, mozna by se to dalo napasovat na poruseni listovniho tajemstvi.

Nj, ale to při užití HTTP je vcelku jedno. Letí to plaintextem, ať jsi kde jsi. Prostě posílat hesla v čitelné formě se v současnosti už nenosí a hlavně nemusí. Je to jedno jestli na to vidí ISP, korporátní admin nebo borec co si udělá fajn večer a hackne nějáke bezdrátové pojítko.

Jiste, ale v tom e-shopu k tomu muze mit pristup kdokoliv a navic to ulozi nekam do databaze, ktera jim casem utece. Podle mne je to podstatne vetsi nebezpeci, nez ze to nekdo odchytne po ceste.

Posílaš hash přes kryptograficky zabezpečený kanál. V DB uvdí zas hash + salt, dostat z toho funkční heslo je výpočetně náročné. Při užití dostatečně kvalitního kryptografického algoritmu je i ten hash stěží prolomitelný zpět na heslo a to i z databáze.

Tos asi spatne pochopil. Kde jsem obhajoval vyhody HTTP? Aspon jednu citaci, prosim

V moment kdy říkáš, že HTTPS není třeba a nepřipouštíš jiné alternativy tak takto z mého pohledu konáš.

Hlavně v moment kdy je náprava jednoduchá, byť chápu stav kdy to nelze z různých důvodú zařídít a je to nějákým způsobem náročné.

To že je staré phpbb potenciální vektor nějákého úniku dat je další problem. Ale to jsme zpět u toho volnoběhu.

[ntz]

Konkrétně v korporátu to mají lidi rádí. Mají heslo, username, web a cokoliv co kdo kam píše, bo plaintext.

Hmm, tak takovy admin by zaslouzil vyhazov. Mozna i zavrit, mozna by se to dalo napasovat na poruseni listovniho tajemstvi. Kazdopadne to slusny clovek nedela ..

kdyby na me nekdy praskla pulka toho, co jsem jako mlady ajtak ze sportu delal jen tak z pleziru, tak me asi budete muset nechat zastrelit ...

Nevím co bych dodal v moment kdy mi tady člověk v roce 2022 obhajuje HTTP a jeho výhody, na to připraven skutečně nejsem. Wasted time.

Tos asi spatne pochopil. Kde jsem obhajoval vyhody HTTP? Aspon jednu citaci, prosim

prosim neslovickar ... co se tady teda resi v tomhle tematu ? tak dobre .. "neobhajoval jsi to" .. akorat o tom mluvis tonem ze http zde na foru je pouze "specialni operace" protoze https je meh ...

nema smysl se dal hadat ... ja jsem nadhodil tohle tema jako navrh na vylepseni ... ze je tady http preziju .. hesla si generuju unikatni a mam je ulozeny v prohlizeci .. spousta lidi to ale takhle nedela .. jako autor webu prasatko.eu mam nezmerne zkusenosti s technickou strankou veci a mohu proto nabidnout i pomoc, abych jen tak nekecal .. veskere dalsi debaty jsou fakt Wasted Time

[mike]

Posílaš hash přes kryptograficky zabezpečený kanál. V DB uvdí zas hash + salt, dostat z toho funkční heslo je výpočetně náročné. Při užití dostatečně kvalitního kryptografického algoritmu je i ten hash stěží prolomitelný zpět na heslo a to i z databáze.

Jaky hash? Proste tam zadas sve udaje a silne pochybuju o tom, ze by je meli v databazi ulozene sifrovane. Nakonec, uniku databazi je spousta a nezasifrovanych dat z nich taky. A i kdyby byla databaze sifrovana, tak k ni stejne maji pristup zamestnanci eshopu uz jen proto, aby objednavku mohli vyridit. Pri tom tvou adresu vidi.

V moment kdy říkáš, že HTTPS není třeba a nepřipouštíš jiné alternativy tak takto z mého pohledu konáš.

Ale ja prece nic takoveho nerikam. Rikam jen, ze vyhody nejsou az takove, jak to prezentujete a realne riziko je male.

Hlavně v moment kdy je náprava jednoduchá, byť chápu stav kdy to nelze z různých důvodú zařídít a je to nějákým způsobem náročné.

OK, zkusim jim napsat. S nicim nepocitejte a pak muzete byt jen prijemne prekvapeni

[Tomas]

Jaky hash? Proste tam zadas sve udaje a silne pochybuju o tom, ze by je meli v databazi ulozene sifrovane. Nakonec, uniku databazi je spousta a nezasifrovanych dat z nich taky. A i kdyby byla databaze sifrovana, tak k ni stejne maji pristup zamestnanci eshopu uz jen proto, aby objednavku mohli vyridit. Pri tom tvou adresu vidi.

Napsal jsem nesmysl (byl jsem koukat na ten nezdárný hokej a měl nějáký pivo). Prostě proběhne klasický HTTP/S POST s uživatelským jménem/heslem. S hashem se pracuje na straně databáze, chraní jen pří přístupu z venčí, stejně tak užití saltu. Jde o to jen to tam přepravit a to řeší HTTPS a v důsledku SSL o čemž je tento topic.

Ale ja prece nic takoveho nerikam. Rikam jen, ze vyhody nejsou az takove, jak to prezentujete a realne riziko je male.

Je to hlavně zbytečné a neseriózní v moment kdy je náprava zdánlivě jednoduchá.

OK, zkusim jim napsat. S nicim nepocitejte a pak muzete byt jen prijemne prekvapeni

Vůle ze strany uživatelů fóra zde však byla, to už nikdo neokecá.

[mike]

Tak jo, napsal jsem adminum a uvidime.

Je to hlavně zbytečné a neseriózní v moment kdy je náprava zdánlivě jednoduchá.

Zdanlive je to spravne slovo

[mike]

kdyby na me nekdy praskla pulka toho, co jsem jako mlady ajtak ze sportu delal jen tak z pleziru, tak me asi budete muset nechat zastrelit ...

Taky jsem si v mladi rad hral, ale hrani je jedna vec a zneuziti druha. Navic byla rec o korporatu a sprave firewallu, k tomu jen tak nekoho nepusti, protoze muze napachat strasne skody a klidne vyradit cely korporat z provozu. Docela pochybuju o tom, ze zkuseny admin, ktery ma spoustu jine prace, se bude vrtat v uzivatelskych datech. Taky se trochu zmenila doba, mame GDPR, v korporatech na to velmi dbaji a kazdy, kdo byt jen potencialne prichazi do styku se senzitivnimi daty, podepisuje silena lejstra, ktera by nedocetl ani apuka Jsou tam i slusne sankce a dost bych se divil, kdyby nekdo riskoval skvely plat a celou karieru (protoze po pruseru uz by ho nikdo nezamestnal) kvuli necemu takovemu. Muzu se samozrejme plest, ale nevidim to jako podstatne riziko. Deep packet inspection samozrejme bezi, ale automaticky, takove veci ostatne delaji i antiviry lokalne.