The Register - Kot so pri Googlu napovedali v začetku leta, bo z naslednjo, 68. "stable" različico Chroma, ki bo med nami 23. julija, napočila tudi pomembna sprememba: vsaka spletna stran, ki ne bo imela naslova https z veljavnim TLS certifikatom, bo v tem brskalniku označena z opozorilom "Not secure". Tako opozorilno etiketo bodo dobile tudi morebitne intranetne strani podjetij in zasebnikov.
Https šifriranje sicer ščiti povezavo med brskalnikom in spletno stranjo, ki jo obiskujemo, pri tem pa zagotavlja, da nihče ne more prisluškovati toku naših podatkov ali pa jih celo spreminjati.
Sprememba bo morda pospešila prehod, saj dosedanje raziskave kažejo, da je z njim opremljenih le med 30-50 odstotkov med milijonom najbolj popularnih strani na svetu, številne male in manj obiskane strani pa še vedno vztrajajo pri http. Nedavna raziskava podjetja Ipsos pa je pokazala, da se bi kar 87 % uporabnikov premislilo glede finančne transakcije na spletni strani, na kateri bi se jim prikazalo tovrstno varnostno opozorilo. Nekaj več kot polovica, pa bi v tem primeru raje odšla nakupovat k konkurenci.
Chrome, ki ga uporablja približno 60 % obiskovalcev spleta, najverjetneje ne bo dolgo osamljen, saj mu bodo po napovedih hitro sledili Microsoft (Edge), Apple (Safari) in Mozilla (Firefox).
"Why this is bad, practically speaking A lot of the web consists of archives. Files put in places that no one maintains. They just work. There's no one there to do the work that Google wants all sites to do. And some people have large numbers of domains and sub-domains hosted on all kinds of software Google never thought about. Places where the work required to convert wouldn't be justified by the possible benefit. The reason there's so much diversity is that the web is an open thing, it was never owned."
"It's dishonest Many of the sites they will label as "not secure" don't ask the user for any information. Of course users won't understand that. Many will take the warning seriously and hit the Back button, having no idea why they're doing it. Of course Google knows this. It's the kind of nasty political tactic we expect from corrupt political leaders, not leading tech companies."
In še zaključek:
"Update: A threatening email from Google#
On June 20, 2018, I got an email from Google, as the owner of scripting.com. According to the email I should "migrate to HTTPS to avoid triggering the new warning on your site and to help protect users' data." It's a blog. I don't ask for any user data. Google's not secure message means this: "Google tried to take control of the open web and this site said no.""
Točno to. Stvar je velika neumnost. Imam za seboj že minimalno 30 srednjih/večjih spletnih strani. Od tega jih je 25 predstavitvenih strani, kjer uporabnik vsebino samo konzumira. Kaj mi bo tam ssl? Samo vsakih 90 dni (ne mislim plačevati certov za predstavitvene strani) bom imel veliko nepotrebnega dela, da kolobocije z virtualhosti sploh ne omenjam.
Seveda imamo izgovore. Spletni server iz leta 2005, ki ga z nujnimi stvarmi za port 80 patcham ročno in ne počne ničesar drugega. A zdaj nej kupim nov HW in portam konf, da bom imel SNI podporo za strani, ki sestojijo iz statične vsebine? Useless
Drugače pa bi bilo precej bolje če bi brskalnik preprosto dal tale "Not secure" v primeru obrazca na spletni strani. Tako bi bila opozorilo relevantno, poleg tega bi ga uporabniki bolj opazili. Če bo sedaj opozorilo prisotno na 50% straneh bo to - itak je to normalno.
...mu bodo po napovedih hitro sledili Microsoft (Edge), Apple (Safari) in Mozilla (Firefox).
Na vem od kje je to povzeto, ampak ne drži. Firefox ima to opozorilo že precej dolgo časa. Vsaj pol leta če ne več. Če je http stran vedno da opozorilo "Connection Is Not Secure", pa ne samo to, tudi približno polovica https strani še vedno dobi opozorilo "Parts of this page are not secure (such as images)".
Chrome je kot kaže spet zadnji, kot ponavadi ko se gre za varnost.
Točno to. Stvar je velika neumnost. Imam za seboj že minimalno 30 srednjih/večjih spletnih strani. Od tega jih je 25 predstavitvenih strani, kjer uporabnik vsebino samo konzumira. Kaj mi bo tam ssl? Samo vsakih 90 dni (ne mislim plačevati certov za predstavitvene strani) bom imel veliko nepotrebnega dela, da kolobocije z virtualhosti sploh ne omenjam.
Kaj ti bo? To je garant za to, da bo uporabnik dejansko dobil tvoj content, ne da bi mu kdo injectal reklame, malware, phishing linke itd.
Tako kot nekatere bebave banke, ki imajo glavno stran na http (!) in potem linkajo na https svojega internetnega bancnistva in mislijo, da je vse OK. Seveda bo pameten bad guy lepo prestregel promet na http in link na internetno banko zamenjal s svojim na phishing stran.
SSL je edina pot in google ima tule kar prav, da ga vedno bolj enforca.
Samo vsakih 90 dni (ne mislim plačevati certov za predstavitvene strani) bom imel veliko nepotrebnega dela, da kolobocije z virtualhosti sploh ne omenjam.
vsaka kontrolna plošča ima avtomatsko obnovo certifikatov, z letsencrypta pa loh snameš skripto ki avtomatizira cel proces izdajanja in obnavljanja
ampak ja, je zaje*an če NOČEŠ uporabljat orodij ki so ti na voljo
Točno to. Stvar je velika neumnost. Imam za seboj že minimalno 30 srednjih/večjih spletnih strani. Od tega jih je 25 predstavitvenih strani, kjer uporabnik vsebino samo konzumira. Kaj mi bo tam ssl? Samo vsakih 90 dni (ne mislim plačevati certov za predstavitvene strani) bom imel veliko nepotrebnega dela, da kolobocije z virtualhosti sploh ne omenjam.
Način implementacije je res neumnost, razlage o "vsebina se samo konzumira" pa kažejo na zelo raširjeno temeljno nerazumevanje, kaj vse zasebnost sploh zajema. Ta nameč vključuje tudi zasebnost pred komerkoli tretjim, ki ga bi zanimalo kaj si uporabnik preko omrežja sploh ogleduje.
Veliko vas pač pozablja, da so tudi "podatki o prometu", del zasebnih podatkov uporabnika in jih je kot takšne smiselno varovati pred tretjimi osebami. Če ti, kot upravljalec spletnega mesta in jaz, kot konzument, seveda veva drug za drugega, pa policaju Pepetu in vohunu Vojkotu pač ni potrebno vedeti katere točno strani si ogledujem, če že ne morem pred njimi skriti čigavo spletno mesto obiskujem.
Po pravici povedano se mi z 8.8.8.8 in brskalnikom v tvoji lasti zdi nekoliko dvolično trditi, da ti gre za zasebnost, ko de-facto siliš k uporabi https (ne govorim o tebi osebno, jasno).
Po pravici povedano se mi z 8.8.8.8 in brskalnikom v tvoji lasti zdi nekoliko dvolično trditi, da ti gre za zasebnost, ko de-facto siliš k uporabi https (ne govorim o tebi osebno, jasno).
Ti lahko celo življenje iščeš pravega Škota, ki se bo v nepovezanih stvareh popolnoma strinjal s tabo. Ostali bomo pa vseeno uživali prednosti teh tehnologij.
Fair enough. Sicer, "trust noone" ni optimalno, ampak tudi prav. Za orodja vem, ampak če uporabljaš svoj lasten distro izpred skoraj 15 let, ko si imel voljo vse maintainat, verjemte, da danes skoraj nič out-of-the box ne deluje. Ja vem, enkrat bo treba, ampak starejši kot si, manj je to vabljivo
Hjah, načeloma je trivialno. Ampak načeloma je tudi nekdo v Moskvi zadel trabanta na loteriji, na koncu se pa izkaže da so nekomu ukradli kolo v Leningradu ...
Hjah, načeloma je trivialno. Ampak načeloma je tudi nekdo v Moskvi zadel trabanta na loteriji, na koncu se pa izkaže da so nekomu ukradli kolo v Leningradu ...
Nihče ne pravi, da se ne smeš odločiti, da boš še naprej uporabljal http.
Po pravici povedano se mi z 8.8.8.8 in brskalnikom v tvoji lasti zdi nekoliko dvolično trditi, da ti gre za zasebnost, ko de-facto siliš k uporabi https (ne govorim o tebi osebno, jasno).
Zato sem odgovor začel z "Način implementacije je res neumnost" in ne "to je najboljša stvar od narezanega kruha naprej".
Samo, če je nek argument proti bolj švoh, ni slabo povedati zakaj je švoh. So drugi in močnejši argumenti proti takšnim enostranskim odločitvam multinacionalk, ki furajo zvoje zgodbe.
Žal pa se pojavljajo znaki, da se je tudi Mozilli malo skisalo ...
Jo, ste ubogi. Boste pač "naštudirali" (v resnici je zelo preprosto) kako nastaviti HTTPS ali pa boste preprosto požrli "not secure". Kar se mene tiče, bi uvedel tudi obvezne SSL teste in kaznoval tudi tiste, ki ne dosegajo dovolj visoke stopnje varnosti (npr. ni PFS, podpora SSL3 ali TLS1.0,...).
In bistvo zasebnosti je ravno to - da tretje osebe ne vidijo katero vsebino ti konzumiraš. Zbiranje podatkov je zgolj samo še dodaten poseg v zasebnost.
Zadosti bi bilo "Unsecure", končnemu uporabniku kaj dosti ne pomaga, kaj pa on ve.
Končne uporabnike bomo učinkovito natrenirali, da bodo vse skupaj ignorirali.
Tako, kot smo jih učinkovito natrenirali, da poklikajo vsa potrebna opozorila, da potrdijo neveljavno digitalno potrdilo.
In potem, ko bo to urejeno, bomo "tehnologi" stvar navili še za eno stopnjo (beri: dodali še več opozoril za ignoriranje namesto, da se bi posvetili iskanju rešitev).
Podobno kot na cigaretnih ovitkih. "Kajenje lahko povzroča raka" odsotno prebereš medtem ko si prižigaš tretjo cigareto zapored :)
@AndrejO: imaš popolnoma prav! Enako kot pri digitalnih potrdilih (accept & save). Navadni uporabniki sploh ne znajo prebrati podrobnosti o certifikatu, kaj šele, da bi razumeli kaj pomenijo. Vse kar želijo je, da pridejo do spletne strani, ki so so odprli. Enako velja tudi za GDPR (ali karkoli že je). Kopica opozoril in itak vsi kliknemo Accept, ker nam dol visi za piškotke in podobno navlako.
Hjah, načeloma je trivialno. Ampak načeloma je tudi nekdo v Moskvi zadel trabanta na loteriji, na koncu se pa izkaže da so nekomu ukradli kolo v Leningradu ...
Nihče ne pravi, da se ne smeš odločiti, da boš še naprej uporabljal http.
Čisto sigurno, se ne spoznam na to zadevo (še) ravno :). Sem pa tu gledal (imam pri njih domeno in gostovanje): https://www.neoserv.si/ssl-certifikati/... Za obdobje 1 leta je 20EUR
Jap, prav sem imel, samo izrazil narobe. HTTPS je free, ampak SSL certifikat potrebuješ da dobiš HTTPS, kar pa znese letno plačevanje (30EUR letno). Tako da, i'll skip that. Ne vem ali je smiselno to plačevat za nek portfolio/osebni page
In bistvo zasebnosti je ravno to - da tretje osebe ne vidijo katero vsebino ti konzumiraš. Zbiranje podatkov je zgolj samo še dodaten poseg v zasebnost.
Ni slab, ampak ne želim ravno še 30EUR dati letno za mojo stran. Malo sem gledal free SSL: https://www.sslforfree.com
Tukaj imajo lepo napisan postopek kako sam inštalirat, kar bi tudi rad poskusil sam (vidim da ni komplicirano). Je stran legit? Ali je to bolj tako? Ne vem niti kaj je razlika med tem SSL in onim plačljivim. Če lahko nekdo ki se razume razloži?
Tukaj imajo lepo napisan postopek kako sam inštalirat, kar bi tudi rad poskusil sam (vidim da ni komplicirano). Je stran legit? Ali je to bolj tako? Ne vem niti kaj je razlika med tem SSL in onim plačljivim. Če lahko nekdo ki se razume razloži?
Matthai je dal link že trikrat.
https://letsencrypt.org/ je trenutno eden od glavnih ponudnikov "domain-authenticated" SSL infrastrukture, ki je brezplačna in omogoča avtomatično podaljševanje.
Tukaj imajo lepo napisan postopek kako sam inštalirat, kar bi tudi rad poskusil sam (vidim da ni komplicirano). Je stran legit? Ali je to bolj tako? Ne vem niti kaj je razlika med tem SSL in onim plačljivim. Če lahko nekdo ki se razume razloži?
Matthai je dal link že trikrat.
https://letsencrypt.org/ je trenutno eden od glavnih ponudnikov "domain-authenticated" SSL infrastrukture, ki je brezplačna in omogoča avtomatično podaljševanje.
Ja, vendar pri njihovem Get started, se ne znajdem, tisti link katerega sem jaz dal imajo pa lepo opisan postopek, tudi za vizualna bija kot sem jaz :). Kakorkoli, sem vprašal na neoserv, imam v paketu brezplačen SSL od LetsEncrypt, katerega moram sam inštalirat. Mislim da sedaj ne bo težav, bom kar sam, če pa kaj ne bo jasno pa pišem ;). Sem se pa nekaj novega naučil danes :), hvala za informacije.
In bistvo zasebnosti je ravno to - da tretje osebe ne vidijo katero vsebino ti konzumiraš. Zbiranje podatkov je zgolj samo še dodaten poseg v zasebnost.
Hostname se kljub temu vidi pri HTTPS.
Ja, to je sicer res, ampak v praksi pomeni, da sicer vsak dan gledaš pornografijo na Pornhubu, ne da pa se ugotoviti kateri žanr ti je všeč. Kar je včasih že dovolj dobra zaščita zasebnosti.
