SSL na forum

na nové kategorie, zlepšení apod.

Moderátoři: Moderátoři - veteráni, Moderátoři - nová krev

SSL na forum

Příspěvekod ntz » úte kvě 17, 2022 12:03

Btw, ted jsem si vsiml a zacalo me to dost stvat, proc tu pro kristovy rany neni v roce 2022 SSLizovane http (https) ? Let's Encrypt certifikat je zadarmo .. Tohle je fakt obrovska nekazen ..

Nevim, kdo je tady technickej admin, mel by byt ale prisne potrestan za tohle ...
ntz
nadšenec
nadšenec
 
Příspěvky: 1959
Registrován: čtv pro 30, 2021 11:51

Re: SSL na forum

Příspěvekod apuka » úte kvě 17, 2022 12:06

Kdybys cetl pozorne, duvod uz parkrat zaznelo od mika, naposled jenom pred par dny. Stejna jako to, ze to u webu zase takove terno neni.
apuka
outdoor maniak
outdoor maniak
 
Příspěvky: 16500
Registrován: čtv bře 31, 2011 8:34

Re: SSL na forum

Příspěvekod ntz » úte kvě 17, 2022 12:14

ja jako ajtak snad ani nechci cist duvod proc nema web v roce 2022 SSL zabezpeceni .. tohle proste zadnej rozumnej duvod nema .. pokud teda rozumnym duvodem nemyslis, ze server bezi na nejakem starem plesnivem cosi (se starym plesnivym OS a web serverem) a ze se na tom neda rozbehat (napr) certbot ...

mike mi jiste promine ma ostra slova - timto nabizim technickou pomoc chcete-li .. klidne mi napis maila/PM ..
ntz
nadšenec
nadšenec
 
Příspěvky: 1959
Registrován: čtv pro 30, 2021 11:51

Re: SSL na forum

Příspěvekod Tomas » úte kvě 17, 2022 12:27

Tož jako ajťák to vidím obdobně jako ntz. Racionální důvod to v jednadvacátým století to v podstatě mít ani nemůže (kromě lenosti), certoš z Letsencryptu s certbotem se tam dá hodit jednodušše a kdykoliv.

A přestane to tu vypadat jak u diletantů ze začátku tisíciletí. :D

Též jsem schopen/ochoten pomoci, bude-li to třeba, ale je to vcelku triviální úkon (i když je pravda, že jsem to asi tak 10 let nedělal).
Tomas
nadšenec
nadšenec
 
Příspěvky: 1215
Registrován: stř črc 12, 2006 20:17
Bydliště: Plzeň

Re: SSL na forum

Příspěvekod Dromedaro » úte kvě 17, 2022 12:42

ntz píše:Btw, ted jsem si vsiml

Mě spíše překvapuje, že ty jako IT jsi si toho všiml až nyní, zatímco IT analfabet jako já o tom ví od samého začátku.
Jinak se tedy přidávám k tvému názoru.
Dromedaro
inventář fóra
inventář fóra
 
Příspěvky: 4259
Registrován: pát bře 27, 2020 8:20

Re: SSL na forum

Příspěvekod Tomas » úte kvě 17, 2022 12:48

Dromedaro píše:Mě spíše překvapuje, že ty jako IT jsi si toho všiml až nyní, zatímco IT analfabet jako já o tom ví od samého začátku.

Ajťák ví dlouho, ale musí mít náladu, vůli a čas aby začal konat.

Mě to třeba taky napadlo už dávno, ale nedělal jsem nic. :D
Tomas
nadšenec
nadšenec
 
Příspěvky: 1215
Registrován: stř črc 12, 2006 20:17
Bydliště: Plzeň

Re: SSL na forum

Příspěvekod ntz » úte kvě 17, 2022 13:00

Dromedaro píše:Mě spíše překvapuje, že ty jako IT jsi si toho všiml až nyní ...


vim to uz dyl, spis me to zacalo stvat az ted, kdyz jsem manualne prepsal http na https a furt to nefunguje ... mel jsem driv za to, ze je jenom expirnutej certifikat a ignoroval jsem to ...
ntz
nadšenec
nadšenec
 
Příspěvky: 1959
Registrován: čtv pro 30, 2021 11:51

Re: SSL na forum

Příspěvekod pavproch » úte kvě 17, 2022 13:02

Stará konverza promlouvá: NEGABAT do věcí které fungují!
...and push the baby hard.... well, gotta admit I do...
Uživatelský avatar
pavproch
outdoor maniak
outdoor maniak
 
Příspěvky: 28136
Registrován: čtv říj 6, 2005 10:50
Bydliště: Zaplaťpanbu 350km na východ od 100věžaté (a často ještě o 200km dál východněji)
User is Online!

Re: SSL na forum

Příspěvekod Dromedaro » úte kvě 17, 2022 13:56

Tomas píše:Ajťák ví dlouho, ale musí mít náladu, vůli a čas aby začal konat.

Tak tyhle předpoklady mám :D

pavproch píše:NEGABAT do věcí které fungují!

Platnost této rady jsem si ověřil nedávno. Začal jsem se hrabat v kole, které do té doby fungovalo bez problémů a poté muselo do servisu :lol:
Dromedaro
inventář fóra
inventář fóra
 
Příspěvky: 4259
Registrován: pát bře 27, 2020 8:20

Re: SSL na forum

Příspěvekod mike » úte kvě 17, 2022 15:22

Tomas píše:Mě to třeba taky napadlo už dávno, ale nedělal jsem nic.

Tos nedelal spravne :twisted:

ntz píše:zacalo me to dost stvat, proc tu pro kristovy rany neni v roce 2022 SSLizovane http (https) ? Let's Encrypt certifikat je zadarmo .. Tohle je fakt obrovska nekazen ..

Co konkretne te na tom zacalo stvat? Delam IT a to prevazne security pres 30 let, a tak by mne to fakt zajimalo. Co presne ti na tom tak vadi? Jak jsem psal jinde, neni to tak davno, co to takhle mela naprosta vetsina webu a pres HTTPS jely jen ty, co to opravdu potrebovaly, treba banky. Pak se nekdo rozhodnul, ze sifrovani je in a ze ho prosadi vsude (pamatuju si clanky na tohle tema). Coz se povedlo, neni to nic proti nicemu, ale podle mne je to u naproste vetsiny webu (90+ %) zbytecne. Protoze sifrovani je opravdu potreba tam, kde jsou nejake senzitivni informace.

Takze mi prosim reknete, co konkretne by to prineslo vam i OF v tomhle pripade? A fakt mne nezajimaji obecne reci typu vsichi to tak maji, je to standard apod. Konkretni prinosy v tomhle konkretnim pripade.

Duvod je prosty. Nekdo by to musel udelat. Ten nekdo nejspis nepotrebuje technickou pomoc, ale chut a cas. OF bezi tak nejak samo, zakladatel a majitel ma uz dlouho jine zajmy a muzeme byt radi, ze OF vubec bezi. Vlastne ani jako moderatori nevime, co se po technicke strance deje, snad aspon obcasna nutna udrzba. My se starame o stav diskusi, ale stav serveru jde mimo nas. Myslim, ze jsou tu podstatnejsi veci, ktere by se hodily vyresit, ale jsme tak nejak smireni s tim, ze se to nestane. Protoze je to prace.

Muzu adminum zkusit napsat a navrhnout jim to. Kdyz mi date nejaky dobry duvod, pricemz zatim zadny nepadnul. Vidim jeden duvod proti. Certifikaty expiruji a musi se menit. Coz znamena udrzbu navic, byt malou, a v tomhle pripade skoro urcite warningy ohledne expirovanych certifikatu. To uz jsem zazil na spouste mist jinde.
Uživatelský avatar
mike
Moderátor
Moderátor
 
Příspěvky: 49287
Registrován: pát čer 13, 2008 17:27

Re: SSL na forum

Příspěvekod Tomas » úte kvě 17, 2022 16:06

No, lidi si zcela účelně třeba posílají adresy, čísla účtů a já nevím jaké osobní příběhy přes SZ. Tak to tady lítá plaintextem.

Nově příchozí ? Pokud ještě tedy v nějáké další dekádě bude nějáký, uvidí že web je insecure. Je to o všeobecné serióznosti webu.

Čas BBSek už skončil a tohle v podobném režimu stále běží z historických důvodů. Dostat to do současného století jak jsem již řekl je triviální úkon a ntz se mnou bude souhlasit.

Navíc lidi se nabídli, tak nevim na čem to tady krvácí.
Tomas
nadšenec
nadšenec
 
Příspěvky: 1215
Registrován: stř črc 12, 2006 20:17
Bydliště: Plzeň

Re: SSL na forum

Příspěvekod ntz » úte kvě 17, 2022 16:15

presne !!!! (co rika @Tomas) .. Navic obcas nekdo pise neco z prace, nebo proste z nejake site, ktera neni bezpecna ... proc bych se mel prihlasovat k nejake sluzbe (pokud bych potreboval), ktera neni zabezpecena ? A urcite to muze i mnohe uvedomele lidi odradit .. navic clovek zadava mejl pri registraci ... proste brrr, http je v pohode na nejakej content browsing (kecam, ani tam neni v pohode), urcite ale neni v pohode jako uzivatelska sluzba
ntz
nadšenec
nadšenec
 
Příspěvky: 1959
Registrován: čtv pro 30, 2021 11:51

Re: SSL na forum

Příspěvekod mike » úte kvě 17, 2022 16:28

Tomas píše:Tak to tady lítá plaintextem.

Lita. A? Jaka je sance, ze nekdo odchyti komunikaci mezi tebou a OF zrovna v okamziku, kdy budes posilat neco senzitivniho? Pokud to nebude cilene na tebe, tak bych se vic bal, ze mne trefi meteorit.

Co se cileneho utoku tyce, tak bude nejspis snadnejsi hacknout web a dostat se ke vsem informacim najednou. OF bezi na vic, nez 10 let stare verzi phpBB. Jsem si skoro jisty, ze utoky na ni existuji (a byly davno opraveny), ale snad to ani nechci vedet. Tohle mi prijde jako podstatne vetsi riziko, ktere nejspis zustane nevyresene.

Tomas píše:Nově příchozí ? Pokud ještě tedy v nějáké další dekádě bude nějáký, uvidí že web je insecure. Je to o všeobecné serióznosti webu.

Nebezpeci je, ze to browsery zacnou vic vyzadovat nebo dokonce bez nejakeho ohavneho cerveneho upozorneni na HTTP vubec nepusti. Pak by to jiste odrazujici bylo, zatim to IMO bezneho uzivatele neodradi, protoze netusi, wocogou.

Tomas píše:Navíc lidi se nabídli, tak nevim na čem to tady krvácí.

Hmm, uz nevim, jak to mam napsat. OF bezi na volnobeh. Nabidka lidi je nejspis k nicemu, protoze by je k tomu admin musel pustit a to uz si to rovnou muze udelat sam.

ntz píše:A urcite to muze i mnohe uvedomele lidi odradit

Jiste, lidi, co delaji z komara stado velbloudu ;-) Nastesti jich moc neni a tohle neodradilo ani apuku ;-)

ntz píše: .. navic clovek zadava mejl pri registraci

A? Mail dneska zadavas v kazdem eshopu...
Uživatelský avatar
mike
Moderátor
Moderátor
 
Příspěvky: 49287
Registrován: pát čer 13, 2008 17:27

Re: SSL na forum

Příspěvekod Dromedaro » úte kvě 17, 2022 16:39

Mě zde překvapila nedávná informace, že při zadávání hesla zde k účtu na foru to nezabezpečení může zapříčinit to, že to heslo může někdo odečíst. Ale tak to už jsem napravil a pro OF mám unikátní heslo.

Jinak, jak se zde zmiňuje, že si lidé vyměňují adresy, maily, čísla účtu atd. V čem přesně to vadí, pokud nejde jen o to, že se někdo dozví adresu, číslo účtu atd. K čemu by mu to bylo kromě toho, že to bude vědět? Mně to zase nepřijde jako nějak citlivá informace. Adresy, maily, telefonní čísla a čísla účtu se běžně zadávají. Já jen, jestli mi něco neuniká.
Dromedaro
inventář fóra
inventář fóra
 
Příspěvky: 4259
Registrován: pát bře 27, 2020 8:20

Re: SSL na forum

Příspěvekod Mawenzi » úte kvě 17, 2022 16:43

tak treba bude vedet kde bydlis a kdy jedes do skotska :D
taky se znamym stalo ze jeli na tyden na hory, prvni den turnusu jim vykradli auto zaparkovany u hotelu kde meli klice od domu s adresou (ta je na zeleny karte mozna?) a kdyz se vratili k vykradenymu autu a prijeli do vykradenyho domu tak radosti moc neskakali...

jenze to je proste blba shoda nahod, no
Uživatelský avatar
Mawenzi
outdoor maniak
outdoor maniak
 
Příspěvky: 9357
Registrován: čtv úno 3, 2011 13:37

Re: SSL na forum

Příspěvekod Dromedaro » úte kvě 17, 2022 16:49

Mawenzi píše:tak treba bude vedet kde bydlis a kdy jedes do skotska :D

:D
Dromedaro
inventář fóra
inventář fóra
 
Příspěvky: 4259
Registrován: pát bře 27, 2020 8:20

Re: SSL na forum

Příspěvekod mike » úte kvě 17, 2022 16:49

Nic ti neunika, jsou to bezne veci, ktere zadavas v kazdem e-shopu, aniz bys o vlastnikovi neco vedel. To uz spis obsah SZ, pokud si s nekym pises duverneji (a pak je snad lepsi pouzit mail, z vice duvodu).

Ano, kombinace jmena a hesla je dobre mit unikatni, opet z vice duvodu. Prijde mi ovsem vic nebezpecne, ze kdyz pouzijes v nejakem eshopu stejnou kombinaci, tak se s ni nejaky pikolik prihlasi na OF, nez ze to nekdo odchytne na dratech. Protoze to neni az tak jednoduche a pravdepodobnost, ze se to stane nahodou, je miziva. Musel by tobe jit.
Uživatelský avatar
mike
Moderátor
Moderátor
 
Příspěvky: 49287
Registrován: pát čer 13, 2008 17:27

Re: SSL na forum

Příspěvekod Dromedaro » úte kvě 17, 2022 16:52

Jo, ten důvěrný obsah SZ, ten mi dává smysl.
Dromedaro
inventář fóra
inventář fóra
 
Příspěvky: 4259
Registrován: pát bře 27, 2020 8:20

Re: SSL na forum

Příspěvekod mike » úte kvě 17, 2022 16:55

Mawenzi píše:taky se znamym stalo ze jeli na tyden na hory, prvni den turnusu jim vykradli auto zaparkovany u hotelu kde meli klice od domu s adresou (ta je na zeleny karte mozna?) a kdyz se vratili k vykradenymu autu a prijeli do vykradenyho domu tak radosti moc neskakali...

Jasne, klice s adresou je pruser. Kdyz mi ukradli batoh i s obcankou u Teplic, tak tohle bylo prvni, co jsme s policajtama resili. Nastesti mam nahradni klice u kamaradky, ktera tam dosla a zamkla se vevnitr, nez mne jiny kamos dovezl :)

A mimochodem, ti policajti rikali, ze presne tohle resili asi tak pred tydnem. Vykradli auto, tam byly klice i adresa, takze hned i byt. Ale to bylo par kilometru, ke mne to nastesti bylo podstatne dal. Z cehoz mi vyslo, ze s sebou na koupani nebudu nosit obcanku ;-)

Na foru klice nemas a tyhle veci se deji spis na FB, kde se lidi chlubi, ze jednou na dovolenou a dohledat tam, kde bydli, byva jednoduche i s fotkama. Aby se to stalo tady a jeste odposlouchanim komunikace... mit takovou smulu, tak uz je snad lepsi si to rovnou hodit ;-)
Uživatelský avatar
mike
Moderátor
Moderátor
 
Příspěvky: 49287
Registrován: pát čer 13, 2008 17:27

Re: SSL na forum

Příspěvekod Mawenzi » úte kvě 17, 2022 17:03

ja si nestezuju, aspon mi forum dobre funguje pres starou operu mini na mobilu :D
Uživatelský avatar
Mawenzi
outdoor maniak
outdoor maniak
 
Příspěvky: 9357
Registrován: čtv úno 3, 2011 13:37

Re: SSL na forum

Příspěvekod Dromedaro » úte kvě 17, 2022 17:08

mike píše:A mimochodem, ti policajti rikali, ze presne tohle resili asi tak pred tydnem. Vykradli auto, tam byly klice i adresa, takze hned i byt. Ale to bylo par kilometru, ke mne to nastesti bylo podstatne dal. Z cehoz mi vyslo, ze s sebou na koupani nebudu nosit obcanku ;-)


Tohle mi nedošlo. Já furt řešil a řeším spíše, že jestli mě někdo u vody okrade, tak doufám, že mi tam nechá oblečení, abych nešel domů x kilometrů nahej a jak bych se dostal bez klíčů domů, tak všelijaká opatření, ale že by měl naservírovanou adresu i s klíči, to jsem si neuvědomil. Tak dík za tip. V tom případě i do krytého bazénu, kde to mám ve skříňce si občanku nebrat.
Dromedaro
inventář fóra
inventář fóra
 
Příspěvky: 4259
Registrován: pát bře 27, 2020 8:20

Re: SSL na forum

Příspěvekod mike » úte kvě 17, 2022 17:13

Mne to taky doslo az kdyz mi to rekli policajti a prijemny pocit to teda nebyl... Obleceni mi tam nenechali, coz ale bylo tim, ze jsem ho chytre nacpal do batohu :roll: Zustaly mi boty a alumatka :D
Uživatelský avatar
mike
Moderátor
Moderátor
 
Příspěvky: 49287
Registrován: pát čer 13, 2008 17:27

Re: SSL na forum

Příspěvekod Tomas » úte kvě 17, 2022 17:16

mike píše:Lita. A? Jaka je sance, ze nekdo odchyti komunikaci mezi tebou a OF zrovna v okamziku, kdy budes posilat neco senzitivniho?

Každej debilní admin na prvnim korporátním firewallu v nějáké síti která jede deep packet inspection. Konkrétně v korporátu to mají lidi rádí. Mají heslo, username, web a cokoliv co kdo kam píše, bo plaintext. I to je ze své podstaty privátní informace. Je to prostě z podstaty blbě.

ntz píše: .. navic clovek zadava mejl pri registraci

mike píše:A? Mail dneska zadavas v kazdem eshopu...

Přes HTTPS a SSL o kterém se bavíme. Asi je debata zde o tom zcela zbytečná.

Nevím co bych dodal v moment kdy mi tady člověk v roce 2022 obhajuje HTTP a jeho výhody, na to připraven skutečně nejsem. Wasted time.
Tomas
nadšenec
nadšenec
 
Příspěvky: 1215
Registrován: stř črc 12, 2006 20:17
Bydliště: Plzeň

Re: SSL na forum

Příspěvekod mike » úte kvě 17, 2022 17:26

Tomas píše:Konkrétně v korporátu to mají lidi rádí. Mají heslo, username, web a cokoliv co kdo kam píše, bo plaintext.

Hmm, tak takovy admin by zaslouzil vyhazov. Mozna i zavrit, mozna by se to dalo napasovat na poruseni listovniho tajemstvi. Kazdopadne to slusny clovek nedela a ano, admina jsem delal jeste v dobe, kdy o nejakem zabezpeceni nemohla byt rec. Kdyz jsem omylem neco odchytil, tak jsem se v tom nevrtal a hned to smazal. Jednou to pri nejakych pokusech bylo i heslo, a tak jsem dotycne hned napsal, at si ho zmeni.

Tomas píše:Přes HTTPS a SSL o kterém se bavíme.

Jiste, ale v tom e-shopu k tomu muze mit pristup kdokoliv a navic to ulozi nekam do databaze, ktera jim casem utece. Podle mne je to podstatne vetsi nebezpeci, nez ze to nekdo odchytne po ceste.

Tomas píše:Nevím co bych dodal v moment kdy mi tady člověk v roce 2022 obhajuje HTTP a jeho výhody, na to připraven skutečně nejsem. Wasted time.

Tos asi spatne pochopil. Kde jsem obhajoval vyhody HTTP? Aspon jednu citaci, prosim ;-)

Naprosto nemam nic proti tomu, aby se preslo na HTTPS, ale pisu, ze to v soucasnem stavu fora neni jednoduche zaridit. Muzu adminum napsat, ale to je asi tak vsechno. Kdybyste mi dali nejaky dobry duvod, tak by to mohlo pomoct (nezaruceno).
Uživatelský avatar
mike
Moderátor
Moderátor
 
Příspěvky: 49287
Registrován: pát čer 13, 2008 17:27

Re: SSL na forum

Příspěvekod Tomas » úte kvě 17, 2022 18:22

mike píše:Hmm, tak takovy admin by zaslouzil vyhazov. Mozna i zavrit, mozna by se to dalo napasovat na poruseni listovniho tajemstvi.

Nj, ale to při užití HTTP je vcelku jedno. Letí to plaintextem, ať jsi kde jsi. Prostě posílat hesla v čitelné formě se v současnosti už nenosí a hlavně nemusí. Je to jedno jestli na to vidí ISP, korporátní admin nebo borec co si udělá fajn večer a hackne nějáke bezdrátové pojítko.

mike píše:Jiste, ale v tom e-shopu k tomu muze mit pristup kdokoliv a navic to ulozi nekam do databaze, ktera jim casem utece. Podle mne je to podstatne vetsi nebezpeci, nez ze to nekdo odchytne po ceste.

Posílaš hash přes kryptograficky zabezpečený kanál. V DB uvdí zas hash + salt, dostat z toho funkční heslo je výpočetně náročné. Při užití dostatečně kvalitního kryptografického algoritmu je i ten hash stěží prolomitelný zpět na heslo a to i z databáze.

mike píše:Tos asi spatne pochopil. Kde jsem obhajoval vyhody HTTP? Aspon jednu citaci, prosim ;-)

V moment kdy říkáš, že HTTPS není třeba a nepřipouštíš jiné alternativy tak takto z mého pohledu konáš.

Hlavně v moment kdy je náprava jednoduchá, byť chápu stav kdy to nelze z různých důvodú zařídít a je to nějákým způsobem náročné.

To že je staré phpbb potenciální vektor nějákého úniku dat je další problem. Ale to jsme zpět u toho volnoběhu.
Tomas
nadšenec
nadšenec
 
Příspěvky: 1215
Registrován: stř črc 12, 2006 20:17
Bydliště: Plzeň

Re: SSL na forum

Příspěvekod ntz » úte kvě 17, 2022 18:26

mike píše:
Tomas píše:Konkrétně v korporátu to mají lidi rádí. Mají heslo, username, web a cokoliv co kdo kam píše, bo plaintext.

Hmm, tak takovy admin by zaslouzil vyhazov. Mozna i zavrit, mozna by se to dalo napasovat na poruseni listovniho tajemstvi. Kazdopadne to slusny clovek nedela ..


kdyby na me nekdy praskla pulka toho, co jsem jako mlady ajtak ze sportu delal jen tak z pleziru, tak me asi budete muset nechat zastrelit ...

mike píše:
Tomas píše:Nevím co bych dodal v moment kdy mi tady člověk v roce 2022 obhajuje HTTP a jeho výhody, na to připraven skutečně nejsem. Wasted time.

Tos asi spatne pochopil. Kde jsem obhajoval vyhody HTTP? Aspon jednu citaci, prosim ;-)


prosim neslovickar ... co se tady teda resi v tomhle tematu ? tak dobre .. "neobhajoval jsi to" .. akorat o tom mluvis tonem ze http zde na foru je pouze "specialni operace" protoze https je meh ...

nema smysl se dal hadat ... ja jsem nadhodil tohle tema jako navrh na vylepseni ... ze je tady http preziju .. hesla si generuju unikatni a mam je ulozeny v prohlizeci .. spousta lidi to ale takhle nedela .. jako autor webu prasatko.eu mam nezmerne zkusenosti s technickou strankou veci a mohu proto nabidnout i pomoc, abych jen tak nekecal .. veskere dalsi debaty jsou fakt Wasted Time
ntz
nadšenec
nadšenec
 
Příspěvky: 1959
Registrován: čtv pro 30, 2021 11:51

Re: SSL na forum

Příspěvekod mike » úte kvě 17, 2022 18:29

Tomas píše:Posílaš hash přes kryptograficky zabezpečený kanál. V DB uvdí zas hash + salt, dostat z toho funkční heslo je výpočetně náročné. Při užití dostatečně kvalitního kryptografického algoritmu je i ten hash stěží prolomitelný zpět na heslo a to i z databáze.

Jaky hash? Proste tam zadas sve udaje a silne pochybuju o tom, ze by je meli v databazi ulozene sifrovane. Nakonec, uniku databazi je spousta a nezasifrovanych dat z nich taky. A i kdyby byla databaze sifrovana, tak k ni stejne maji pristup zamestnanci eshopu uz jen proto, aby objednavku mohli vyridit. Pri tom tvou adresu vidi.

Tomas píše:V moment kdy říkáš, že HTTPS není třeba a nepřipouštíš jiné alternativy tak takto z mého pohledu konáš.

Ale ja prece nic takoveho nerikam. Rikam jen, ze vyhody nejsou az takove, jak to prezentujete a realne riziko je male.

Tomas píše:Hlavně v moment kdy je náprava jednoduchá, byť chápu stav kdy to nelze z různých důvodú zařídít a je to nějákým způsobem náročné.

OK, zkusim jim napsat. S nicim nepocitejte a pak muzete byt jen prijemne prekvapeni ;-)
Uživatelský avatar
mike
Moderátor
Moderátor
 
Příspěvky: 49287
Registrován: pát čer 13, 2008 17:27

Re: SSL na forum

Příspěvekod Tomas » úte kvě 17, 2022 19:09

mike píše:Jaky hash? Proste tam zadas sve udaje a silne pochybuju o tom, ze by je meli v databazi ulozene sifrovane. Nakonec, uniku databazi je spousta a nezasifrovanych dat z nich taky. A i kdyby byla databaze sifrovana, tak k ni stejne maji pristup zamestnanci eshopu uz jen proto, aby objednavku mohli vyridit. Pri tom tvou adresu vidi.

Napsal jsem nesmysl (byl jsem koukat na ten nezdárný hokej a měl nějáký pivo). Prostě proběhne klasický HTTP/S POST s uživatelským jménem/heslem. S hashem se pracuje na straně databáze, chraní jen pří přístupu z venčí, stejně tak užití saltu. Jde o to jen to tam přepravit a to řeší HTTPS a v důsledku SSL o čemž je tento topic.

mike píše:Ale ja prece nic takoveho nerikam. Rikam jen, ze vyhody nejsou az takove, jak to prezentujete a realne riziko je male.

Je to hlavně zbytečné a neseriózní v moment kdy je náprava zdánlivě jednoduchá.

mike píše:OK, zkusim jim napsat. S nicim nepocitejte a pak muzete byt jen prijemne prekvapeni ;-)

Vůle ze strany uživatelů fóra zde však byla, to už nikdo neokecá.
Tomas
nadšenec
nadšenec
 
Příspěvky: 1215
Registrován: stř črc 12, 2006 20:17
Bydliště: Plzeň

Re: SSL na forum

Příspěvekod mike » úte kvě 17, 2022 20:38

Tak jo, napsal jsem adminum a uvidime.

Tomas píše:Je to hlavně zbytečné a neseriózní v moment kdy je náprava zdánlivě jednoduchá.

Zdanlive je to spravne slovo ;-)
Uživatelský avatar
mike
Moderátor
Moderátor
 
Příspěvky: 49287
Registrován: pát čer 13, 2008 17:27

Re: SSL na forum

Příspěvekod mike » úte kvě 17, 2022 20:46

ntz píše:kdyby na me nekdy praskla pulka toho, co jsem jako mlady ajtak ze sportu delal jen tak z pleziru, tak me asi budete muset nechat zastrelit ...

Taky jsem si v mladi rad hral, ale hrani je jedna vec a zneuziti druha. Navic byla rec o korporatu a sprave firewallu, k tomu jen tak nekoho nepusti, protoze muze napachat strasne skody a klidne vyradit cely korporat z provozu. Docela pochybuju o tom, ze zkuseny admin, ktery ma spoustu jine prace, se bude vrtat v uzivatelskych datech. Taky se trochu zmenila doba, mame GDPR, v korporatech na to velmi dbaji a kazdy, kdo byt jen potencialne prichazi do styku se senzitivnimi daty, podepisuje silena lejstra, ktera by nedocetl ani apuka ;-) Jsou tam i slusne sankce a dost bych se divil, kdyby nekdo riskoval skvely plat a celou karieru (protoze po pruseru uz by ho nikdo nezamestnal) kvuli necemu takovemu. Muzu se samozrejme plest, ale nevidim to jako podstatne riziko. Deep packet inspection samozrejme bezi, ale automaticky, takove veci ostatne delaji i antiviry lokalne.
Uživatelský avatar
mike
Moderátor
Moderátor
 
Příspěvky: 49287
Registrován: pát čer 13, 2008 17:27

Další

Zpět na Návrhy