» »

Chrome v boju proti nešifriranim spletnim stranem

Chrome v boju proti nešifriranim spletnim stranem

Razlika med Chrome 53 in Chrome 56

vir: CNET

vir: CNET
CNET - Https je protokol za varno komunikacijo preko računalniškega omrežja, ki je za razliko od http protokola šifriran ter zaradi tega bolj varen (če je pravilno implementiran) za uporabnika pred spletnimi prevaranti. Http protokol, ki je nešifriran, ne zagotavlja kriptografsko varne potrditve identitete nasprotne stranke, medtem ko https protokol zahteva vsaj verifikacijo domene, če že ne celo potrditve identitete upravljalca domene (EV).

Zaradi spletnih prevarantov se je Chrome odločil pospešiti bitko proti nešifriranim spletnim stranem, s čimer nameravajo začeti januarja 2017, ko bo izšla nova različica spletnega brskalnika - Chrome 56. Parisa Tabriz, vodja Googlove ekipe inženirjev, ki se ukvarja z varnostjo na Chromu, je dejala da je njihov plan izpostaviti spletne strani, ki so nešifrirane in s tem morebiti nevarne obiskovalcem.

Boja proti nešifriranim stranem se bodo lotili postopoma, saj ne želijo dodati obvestila vsaki nešifrirani spletni strani, saj bi se ljudje tega navadili in obvestilo počasi začeli ignorirati. Zaradi tega bodo najprej izpostavili strani, ki od uporabnika zahtevajo vnos svojih podatkov ali svoje kreditne kartice. Ni znano kdaj bodo začeli izpostavljati tudi spletne strani, ki ne zahtevajo nobenega vnosa od uporabnika, vendar nameravajo s časom izpostaviti vsako nešifrirano spletno stran.

Google s tem ne želi le preprečiti prevarantom krajo podatkov in denarja, prav tako želi izboljšati vsebino, ki jo predlaga svojim uporabnikom. Po njihovih besedah naj bi bila vsaj polovica spletnih strani na Chromu že šifriranih.

58 komentarjev

«
1
2

bsaksida ::

Ljudje ne bojo mogli ignorirati, če bo chrome dodal capacho na obvestilo

Vitamin-B ::

bsaksida je izjavil:

Ljudje ne bojo mogli ignorirati, če bo chrome dodal capacho na obvestilo

Bodo pa posegli po drugem brskalniku, ki "ne kaze nadleznih obvestil" ;)

pirlo ::

Problem je samo v tem, ker so certifikati dragi. Za enega, ko ima svoje osebno stran to je nesmiseln strošek. Dvomim, da bodo tako hitro to vpeljali za vse strani.

Mavrik ::

pirlo je izjavil:

Problem je samo v tem, ker so certifikati dragi. Za enega, ko ima svoje osebno stran to je nesmiseln strošek. Dvomim, da bodo tako hitro to vpeljali za vse strani.


Certifikati so že lep čas zastonj za spletne strani - tako s strani letsencrypt kot startssl.
The truth is rarely pure and never simple.

čuhalev ::

Certifikati so vredni le toliko kot njihovi izdajatelji.

Otzi ::

Mavrik je izjavil:

Certifikati so že lep čas zastonj za spletne strani - tako s strani letsencrypt kot startssl.

Fajn informacija. A potem je tu še strošek fiksnega IP za gostovanje.

Ales ::

Ne rabiš fiksni IP, že leta ne. Razen, če si na zelo starem strežniku.

Otzi ::

Ales je izjavil:

Ne rabiš fiksni IP, že leta ne. Razen, če si na zelo starem strežniku.

Pri tebi morda res ne, Domenca in Hitrost pa oba prvavita da potrebuješ :)

Primoz ::

Če se lahko sprijazniš s tem, da ti spletna stran ne bo delovala v IE6 in 7, potem ne rabiš IPja.
There can be no real freedom without the freedom to fail.

737 ::

Chrome je oglaševalska platforma. Torej spyware, ki uporabniku sledi na (vsaj) šest načinov:

Google Chrome @ Wikipedia

Truga ::

Mavrik je izjavil:

Certifikati so že lep čas zastonj za spletne strani - tako s strani letsencrypt kot startssl.

Ne uporabljat startssl, startcom so lani kupli kitajci, ki issuajo sumljive certe. Verjetno samo vprasanje casa kdaj bo removan in trusted CAjev :P

boolsheat ::

Jap, chrome je spyware in prav noro je, da ima že tako velik tržni delež, gotovo najbolj razširjen spyware na svetu.

Otzi, free alternativa je tudi cloudflare, ampak se je potrebno zavedati nekaj zadev:
http://cryto.net/~joepie91/blog/2016/07...

Vseeno, za določene zadeve je OK rešitev

Startssl ni ravno zastonj, preklic računaj 30USD in tudi drugače ni več priporočljiv...

Prava rešitev je letsencrypt, ki pa mislim, da izdaja trenutno samo 3 mesečne certifikate? Menda se zadeve rešijo s caddy spletnim strežnikom:
https://caddyserver.com/

lukaz ::

boolsheat je izjavil:


Prava rešitev je letsencrypt, ki pa mislim, da izdaja trenutno samo 3 mesečne certifikate? Menda se zadeve rešijo s caddy spletnim strežnikom:
https://caddyserver.com/


Ali pa cronjob, ki ti renewa par dni pred iztekom.

Zgodovina sprememb…

  • predlagalo izbris: nurse013 ()

SloSlayer ::

Zdi se mi OK, da se ob nešifrirani povezavi prikaže opozorilo, ko se mora vpisovati osebne podatke ali celo številko kreditne kartice, v ostalih primerih pa je to bedarija.

MrStein ::

Opa, a ne bodo več pustili brez opozorila na nešifrirane povezave, šifrirane pa celo blokirali?
Nekdo je očitno potegnil glavo iz.... kjerkoli jo je že imel.
Naj jo potegne do konca.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Pithlit ::

Ej... mogoče bojo pa celo eupravo zdaj porihtal...

Sicer bolj verjetno da nam bodo preprosto povedali da se z nadgrajenim Chromiumom lahko gladko jeb*** in naj lepo inštaliramo nekaj starejšega.
Life is as complicated as we make it...

petrus ::

Devolucija spleta gre naprej, najboljše, da kar blokirajo vse česar ni sam papež požegnal.

In strinjam se s tem: "I oppose the Certificate Authority system in wide use today: it is nothing more than a cash-generating cartel that undermines security through fear-mongering; and I refuse to give said system validation by using their certificates."

Sporočilo pred ne https povezavo, bo pomenil 99% padec traffica tem stranem, to bo "a million voices suddenly cried out in terror and were suddenly silenced" trenutek za internet.

Jaz si želim brskalnik, ne kuratorja ali vzgojiteljice!
stati inu obstati

Zgodovina sprememb…

  • spremenil: petrus ()

Invictus ::

Pithlit je izjavil:

Ej... mogoče bojo pa celo eupravo zdaj porihtal...

Sicer bolj verjetno da nam bodo preprosto povedali da se z nadgrajenim Chromiumom lahko gladko jeb*** in naj lepo inštaliramo nekaj starejšega.

Mislim, dsa bo točno tak scenarij...

Naj že plačajo enemu zunanjemu, da zadevo vsaj spravi na trenutne standarde.
"Life is hard; it's even harder when you're stupid."

http://goo.gl/2YuS2x

matijadmin ::

Pithlit je izjavil:

Ej... mogoče bojo pa celo eupravo zdaj porihtal...

Sicer bolj verjetno da nam bodo preprosto povedali da se z nadgrajenim Chromiumom lahko gladko jeb*** in naj lepo inštaliramo nekaj starejšega.


S podpisno komponento je nekaj časa bila tako.
Vrnite nam techno!

steev ::

Ehm, kaj pa namecheap.com, ki ti potrdi Comodo Positive SSL za 8 eur na leto?
:|

DeeJay ::

Maš tud CloudFlare... Dobiš zastonj SSL poleg mnogo drugih uporabnih zadev.

matijadmin ::

737 je izjavil:

Chrome je oglaševalska platforma. Torej spyware, ki uporabniku sledi na (vsaj) šest načinov:

Google Chrome @ Wikipedia


Vohunska programska oprema (angl. spyware) je netočen termin, ki ga za omenjeno programsko opremo odbirajo tisti, ki ne vedo, kaj to je ali tisti, ki sovražijo vse, kar ni skladno z njihovim prepričanjem.

Za razliko od vohunske programske opreme Chrome te reči počne transparentno in v skladu s pogodbo med uporabnikom in razvijalcem (EULA), pri čemer uporabnika s tem seznani v naprej.

V Chromu razen pošiljanja instalacijskega žetona je vse vohunjenje, ki to ni (pravzaprav gre za prostovoljno predajo informacij), moč opcijsko izključiti (če brskalnik preneseš neposredno s strežnikov Googla, kar je najbolj običajen in logičen scenarij).

Resnici na ljubo, to je eden varnejših brskalnikov z odličnim peskovnikom, oz. izolacijo zavihkov in/od sistema. Poleg tega ima še odprtokodnega brata, kar je zelo širokogrudno od razvijalca.
Vrnite nam techno!

Zgodovina sprememb…

petrus ::

EULA ni pravnomočne pogodba, kliknit OK ni enako podpisu.
stati inu obstati

Zgodovina sprememb…

  • spremenil: petrus ()

petrus ::

pravnomočna*

In odprtokodnega brata ima zaradi licence WebKit pogona, ni samo dobrota.
stati inu obstati

petrus ::

Drugi problem, z iste strani kot prej:

"As of today, there is still not a single CA that will issue a wildcard endpoint certificate for free. The absolute cheapest provider will charge you $95 a year for this privilege.

However, that certificate doesn't use the SAN extension, so your *.domain.com certificate won't match domain.com ... whoops. If you want that to work, you need to pay more: around $300 a year. Why?? It costs them nothing to change a field or two in a certificate they issue you.

Now ask yourself, why the charge each year? Outside of extended validation (EV) certificates, these endpoint certificates use the most minimal possible validation to prove domain ownership: put a file in a certain location on your website, or add a string to your DNS zone file.

But once they've validated you and gotten your payment information, why the need to charge you again each year? All they're doing is bumping an arbitrary expiration date, and then asking for more money. The process is entirely automated at this point. You're just their cash cow now. "That's a real nice website you've got there ... be a shame if something were to 'happen' to it. Click here to renew your SSL certificate today!""
stati inu obstati

jukoz ::

Haha, všeč mi je primerjava z reketiranjem =)

Drugače pa ja - zakaj zaupam enemu CAju, drugemu pa ne. Oba preverjata samo to, ali sem jima plačal...

DeeJay ::

hmmm mogoče je pa to samo predpriprava, da bo začel google svoje certifikate izdajat... "Wildcard Certificate only $29.99" :)

link_up ::

kar naj, pajaci. Z veseljem zamenjam brskalnik.
In and Out

Truga ::

Ne razumam zakaj bi hotel zaradi dobre reci menjat brskalnik

boolsheat ::

Mimogrede, Mozilla je nekaj podobnega napovedala že lani:
https://blog.mozilla.org/security/2015/...

Odziv Tim-a Berners-Lee-ja:
http://www.w3.org/DesignIssues/Security...

Še en odziv:
http://cryto.net/~joepie91/blog/2015/05...

matijadmin ::

petrus je izjavil:

EULA ni pravnomočne pogodba, kliknit OK ni enako podpisu.


EULA je pogodba. Če je pravilno sestavljena, je povsem veljavna. Klik pa pri tem ni noben dejavnik. Pogodba lahko določa tudi po katerem pravu se bo reševalo morebitne spore in pred katerim sodiščem. Mimogrede, naš pravni red omogoča celo ustno sklepanje pogodb ... Brez klika in brez podpisa!

Kakor koli, na voljo imaš vse relevantne informacije preden namestiš, oz. vsaj preden začneš programsko opremo uporabljati, torej je predaja lastnih informacij prostovoljna in pregledna.

Pravnomočnost je institut, ki se običajno nanaša na odločbe sodišč in državnih organov. Je neke vrste formalna pravičnost. S pogodbo in njeno morebitno veljavnostjo pa nima nobene veze.
Vrnite nam techno!

Zgodovina sprememb…

petrus ::

Pravnomočno v smislu pravno zavezujoče te, kar EULA, še vedno ni.

To je bolj primerljivo s hišnimi pravili, s klikom ne skleneš pogodbe.

Vsaj po moje, nisem pa odvetnik, samo troll. :)
stati inu obstati

Zgodovina sprememb…

  • spremenil: petrus ()

matijadmin ::

petrus je izjavil:

Pravnomočno v smislu pravno zavezujoče te, kar EULA, še vedno ni.

To je bolj primerljivo s hišnimi pravili, ne s pogodbo katero podpišeš.

Vsaj po moje, nisem pa odvetnik.


Zavezujoča je in je čisto prava pravcata pogodba. Ker nisi odvetnik in streljaš kozle, najbrž tudi ne veš, da vsako krat, ko kupiš kruh v trgovini, skleneš pogodbo. ;)
Vrnite nam techno!

petrus ::

Sem popravil post, da to jasno reflektira, ne pa kot te EULE!

matijadmin: Je bila že kdaj EULA kje predmet obravne pri nam?

So hišna pravila potemtakem tudi pogodba, katero si sklenil ko si jih prebral?
stati inu obstati

Zgodovina sprememb…

  • spremenil: petrus ()

petrus ::

Čemu podjetja sploh pošiljajo okoli anexe če je klik dovolj?
stati inu obstati

Ales ::

matijadmin je izjavil:

petrus je izjavil:

EULA ni pravnomočne pogodba, kliknit OK ni enako podpisu.


EULA je pogodba. Če je pravilno sestavljena, je povsem veljavna.

Če je. In če je pravilno podana. Sicer vsaj v nekaterih delih ali tudi v celoti ni veljavna.

Klik pa pri tem ni noben dejavnik.

Je dejavnik v trenutku, ko pride do potrebe po dokazovanju ali ena od domnevnih strank v pogodbi to sploh je ali ni.

Pogodba lahko določa tudi po katerem pravu se bo reševalo morebitne spore in pred katerim sodiščem. Mimogrede, naš pravni red omogoča celo ustno sklepanje pogodb ... Brez klika in brez podpisa!

Čisto res, a je njihov obstoj težje dokazovati.

Kakor koli, na voljo imaš vse relevantne informacije preden namestiš, oz. vsaj preden začneš programsko opremo uporabljati, torej je predaja lastnih informacij prostovoljna in pregledna.

Načeloma se čisto strinjam in res mi gre na živce folk, ki ne bere niti kaj podpisuje s svinčnikom, kaj šele kake pogodbe morebiti sklepa na daljavo. Ampak... In tukaj je velik ampak... 296-stranski pogoji uporabe, za katere potrebuješ nekajdnevno poglabljanje in po možnosti še poglobljeno pravno analizo, preden jih lahko sploh razumeš, tudi niso ravno ustrezni za storitve, ki se uporabnikom predstavljajo kot "proste za uporabo", "vsakodnevne", itd. Če nič drugega je to na meji zavajanja uporabnikov, če ne tudi čez mejo. IMHO, seveda.

Kogar zanima, Cory Doctorow je imel eno lepo kolumno o tem in še o prihodnosti vsega skupaj v svetu Internet-of-Things:

Cory Doctorow: The Privacy Wars Are About to Get A Whole Lot Worse (Locus Magazine)

mtosev ::

jaz vem, da http ni varen za logine in se ne logiram v noben http website, če nisem na domačem omrežju
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Ales ::

petrus je izjavil:

Čemu podjetja sploh pošiljajo okoli anexe če je klik dovolj?

Termin, ki ga iščeš, je "sklepanje pogodb na daljavo". Še kako so veljavne, če je vse pravilno izpeljano.

Spletne trgovine delujejo na ta način, npr.

Truga ::

V evropi so EULE, ki jih poklikas na kompjutri, vredne natanko nic. Ja, firma, katere EULO krsis, se lahko odloci da ne bo vec sodelovala s tabo, ampak to je natanko vse, kar se lahko zgodi.

Zakoni so se vedno nad temi pogodbami.

xmetallic ::

Nova verzija Chroma že zdej opozarja da stran ni šifrirana. Na vseh HTTP straneh je zgoraj poleg URL-ja klicaj.

Miha 333 ::

Truga je izjavil:

V evropi so EULE, ki jih poklikas na kompjutri, vredne natanko nic. Ja, firma, katere EULO krsis, se lahko odloci da ne bo vec sodelovala s tabo, ampak to je natanko vse, kar se lahko zgodi.

Zakaj pa potem tržni inšpektor oglobi podjetje (in odgovorno osebo), ki nek program uporablja v nasprotju z EULo?

Programska oprema je avtorsko delo in avtor lahko postavi pogoje, pod katerimi lahko to delo uporabljaš. Tako določa zakon (tudi slovenski). Ko klikneš "strinjam se", sprejemaš te pogoje in so zate pravno zavezujoči.

Drugo je seveda, če nihče ne odkrije, da te pogoje kršiš, ampak to je že druga tema.

MrStein ::

Mogoče bi lahko na tej točki nejasnosti razjasnil en od mnogih pravnikov na forumu?
(sicer pa stavim, da je to že bilo predebatirano)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Miha 333 ::

Bolj ali manj vse piše tule in sicer je bistvo v:


21. člen
(2) Če ni s tem zakonom drugače določeno, je uporaba avtorskega dela dopustna le, če je avtor v skladu s tem zakonom in pod pogoji, ki jih je določil, prenesel ustrezno materialno avtorsko pravico.

EULA je oblika določitve teh pogojev s strani avtorja.

Zgodovina sprememb…

  • spremenilo: Miha 333 ()

Truga ::

Miha 333 je izjavil:

Truga je izjavil:

V evropi so EULE, ki jih poklikas na kompjutri, vredne natanko nic. Ja, firma, katere EULO krsis, se lahko odloci da ne bo vec sodelovala s tabo, ampak to je natanko vse, kar se lahko zgodi.

Zakaj pa potem tržni inšpektor oglobi podjetje (in odgovorno osebo), ki nek program uporablja v nasprotju z EULo?

Podjetja niso ljudje, in kot taka nimajo prakticno nobenih pravic. Ne kle mesat end user agreementa in licenc ki veljajo za podjetja.

boolsheat ::

EULA v EU nima bistvene vrednosti, ko kupiš izdelek lahko z njim delaš kar hočeš, software se smatra kot izdelek. Poleg tega je EULA seveda nevelkavna, če je v navzkrižju z zakonom.

Miha 333 ::

Truga je izjavil:

Miha 333 je izjavil:

Truga je izjavil:

V evropi so EULE, ki jih poklikas na kompjutri, vredne natanko nic. Ja, firma, katere EULO krsis, se lahko odloci da ne bo vec sodelovala s tabo, ampak to je natanko vse, kar se lahko zgodi.

Zakaj pa potem tržni inšpektor oglobi podjetje (in odgovorno osebo), ki nek program uporablja v nasprotju z EULo?

Podjetja niso ljudje, in kot taka nimajo prakticno nobenih pravic. Ne kle mesat end user agreementa in licenc ki veljajo za podjetja.

Morda nimajo človekovih pravic, vsekakor pa jih poleg zakonodaje vežejo obligacijska in druga razmerja, saj gre za osebe (pravne sicer). EULA je zavezujoča za uporabnika programa, pa naj bo ta fizična ali pravna oseba. Podlaga za to je v zgoraj citiranem členu ZASP, preberi še enkrat.

boolsheat je izjavil:

EULA v EU nima bistvene vrednosti, ko kupiš izdelek lahko z njim delaš kar hočeš, software se smatra kot izdelek.

Ne.

ZASP
5. člen
...
(2) Za avtorska dela veljajo zlasti:
...
2. pisana dela, kot npr. leposlovna dela, članki, priročniki, študije ter računalniški programi;
...

Zgodovina sprememb…

  • spremenilo: Miha 333 ()

MrStein ::

Evo: iTunesova EULA in DRM na udaru Vikingov

Ni treba še enkrat vse prežvečiti.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

boolsheat ::

EU sodišča so glede tega jasna:
http://www.lexology.com/library/detail....

V EU se ne rabiš obremenjevati z neumnostmi kot je EULA. Druga zadeva so pa avtorske pravice na kar se navezuje tvoj citat...

Miha 333 ::

boolsheat je izjavil:

EU sodišča so glede tega jasna:
http://www.lexology.com/library/detail....

V EU se ne rabiš obremenjevati z neumnostmi kot je EULA.

No, ta sodba pomeni, da je določilo, da se licenca za uporabo programa ne sme prenesti na drugo osebo, nično, to pomeni, da je "preprodaja" "rabljene" programske opreme dovoljena. Ne pa, da je celotna EULA neveljavna. Ta v primeru prenosa pravic (nadaljnje "prodaje" programa) še vedno veže novega uporabnika programa.

Poleg tega je članek zelo enostranski in njegov avtor prihaja do določenih zaključkov, ki po mojem mnenju niso utemeljeni. Dobro je prebrati dejansko sodbo.

boolsheat je izjavil:

Druga zadeva so pa avtorske pravice na kar se navezuje tvoj citat...

Avtorske pravice vključujejo tudi materialne pravice in pravice avtorja, da za uporabo postavi pogoje. Ne bom še enkrat linkal zakona, sem ga že dvakrat, daj ga prosim preberi.

Zgodovina sprememb…

  • spremenilo: Miha 333 ()
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Najdena resna varnostna ranljivost v AJPESovi podpisni komponenti (strani: 1 2 3 4 5 )

Oddelek: Novice / Varnost
20181110 (63664) jukoz
»

Država: Kakšna zasebnost in varnost na internetih, samo plačajte že davke!!! (strani: 1 2 3 4 5 )

Oddelek: Novice / NWO
20185349 (59544) MrStein
»

V letu 2016 bistveno več šifriranega prometa

Oddelek: Novice / Zasebnost
259006 (6876) Lonsarg
»

Nekateri TOR exit nodi dodajo malware v prenesene datoteke

Oddelek: Novice / Varnost
95735 (4752) Mandi
»

Posiljanje osebnih podatkov (imena, priimki, naslov, rojstni podatki, mobitel št., ..

Oddelek: Informacijska varnost
276183 (5201) poweroff

Več podobnih tem