Vlákno názorů k článku Blokování reklamy na úrovni operátora? Opravdu hloupý nápad od PF - Jakmile O2 spustí blokaci reklam, okamžitě v ČR...
-
To je sice teoreticky možné, ale v praxi IMHO nerealizovatelné. Pokud by O2 doporučilo nainstalovat své certifikáty kvůli MITM, tak první, kdo začne řvát, budou bankovní domy a další finanční instituce, které spustí protikampaň a zatlačili by na O2. A když klientům natlačí jednoduché sdělení "instalací CA od O2 váš operátor vidí do účtů a vašich transakcí", tak O2 si neškrtne. Který z klientů bank by chtěl, aby O2 mohlo vidět do jeho účtů?
-
Martin Šoch (neregistrovaný)
Mnoho lidí si instaluje antiviry zdarma, které si též instalují certifikáty.
A banky mlčí a neřvou.
Přitom ty antivirové firmy taky vidí do všeho. Když jdete na pornostránku, tak třeba Avast dokonce vyhodí reklamní pop-up "Cizí lidé můžou vidět co děláte na internetu" s reklamou na jejich VPN :)
-
Tak něco jiného je, když si děláte něco na svém PC a něco jiného, když to děláte na infrastruktuře. Povolit AV nahlížet do HTTPS spojení přes MITM na Vašem PC je obdobné, jako vytisknout výpis z banky, který přišel do Vašeho PC přes HTTS a vyvěsit ho na náměstí.
Banku zajímá pouze přenos dat na "hranici" Vašeho PC, co si pak s daty děláte, to už je jen záležitost uživatele. -
Martin Šoch (neregistrovaný)
Váš názor, na který jsem vám odpovídal zněl: "když O2 doporučí instalaci certifikátu, banky začnou řvát"
Toto tvrzení jsem zpochybnil, protože existuje jiná firma, která certifikát sama nainstaluje a banky neřvou.
Nic víc, nic míň.
Myslím, že jsme se shodli, že pro blokování reklamy v https je instalace něčeho na zařízení uživatele NUTNÁ. Tedy O2 mělo uživatelům povinně tlačit "bezpečnostní" balíček, software, který si každý nainstaluje, a nikdo neřekně ani Ň. To není porušení síťové neutrality.
-
Lol Phirae (neregistrovaný)
existuje jiná firma, která certifikát sama nainstaluje a banky neřvou.
Přečtěte si např. tohle, tohle, pak tohle abyste viděl praktický výsledek, pak dejte si velkou palicí ránu do palice, nasypte si na hlavu kýbl popela a běžte komentovat třeba kvalitu pivní pěny nebo něco jiného, o čem máte aspoň mlhavé tušení, jak funguje.
Na posr*ni, fakt.
-
Ano, musí si doinstalovat cizí CA. Což nemusí být pro útočníka zas tak jednoduché. Moderní OS či browser (pokud nevyužívá key store systému, ale má svůj) vyžaduje interakci, pokud by něco takového importoval zvenku.
A v okamžiku, kdy browsery budou umět využít DNSSEC, tak si útočník nevystačí s případně naimportovanou vlastní CA. -
"Tedy O2 mělo uživatelům povinně tlačit "bezpečnostní" balíček, software, který si každý nainstaluje, a nikdo neřekně ani Ň."
A to já právě rozporuji, že když O2 začne tlačit "security pack" pro své uživatele, tak nikdo by neřekl ani Ň. :-)
Vaše i moje tvrzení jsou čisté hypotézy "coby kdyby". Ale když vidím, jaký humbuk spustilo O2 jen tím, že jen oznámilo, že by to tak chtěli, tak si myslím, že ještě větší humbuk by bylo, kdyby to nejen spustili, ale ještě by se takto chtěli dostat do HTTPS. -
Tak určitě boj proti pedofilii a terorismu je argument, proti kterému občan nemůže diskutovat, protože by ho hned zavřeli jako pedofilního teroristu. :-)
Akorát by to ještě pak měli vysvětlit výrobcům webových prohlížečů, co již implementovali HSTS Preloading, protože pak se tito ctihodní občané nedostanou na stránky našich zákazníků, protože jsme je již dali na HSTS list. :-)
ČLÁNKY DO MAILU