Vlákno názorů k článku HTTPS - bezpečnost jen pro vyvolené? od Michal Kara - Souhlasim, ze s HTTPS jsou problemy... Normalni uzivatel...

Souhlasim, ze s HTTPS jsou problemy... Normalni uzivatel je stezi schopen pochopit jak se klika mysi, natoz aby chapal problematiku zabezpeceni. Je sice hezke, ze pri Man-in-the-middle attacku mu to vyhodi okno s varovanim, ale 99% uzivatelu naprosto nema paru o co jde a okno proste odklikne. Problemy s obrazky na jinem serveru ani nezminuji.

Naprosto souhlasím, je to přímo zoufalé, když chcete vložit do stránky odkaz na externí obrázek, nebo počítadlo.

Pokud zná někdo řašení, jak počítat na HTTPS serveru stránku pomocí toplistu, nebo navrcholu s tím že to nebude otravovat dialogem "strana obsahuje nezabezpečené....." ať ho řekne!

Myslím, že je dobré chránit jenom stránky s citlivými daty, tzn. nikoliv třeba procházení katalogu zboží, ale:

* stránku s registračními údaji uživatele

* stránku pro uzavření objednávky (check-out)

* stránky s informacemi o předchozích objednávkách

Ostatní ne, asi ani stránku s obsahem košíku (i když by možná stálo za úvahu dát uživateli možnost zaškrtnutím checkboxu zapnout šifrování i košíku) protože jinak:

* uživatele otravují dialogy

* stránky HTTPS se neukládají do keše a práce je tak výrazně pomalejší

* bere to spoustu procesorového výkonu na serveru

Když jsou chráněny pouze citlivé stránky, nemusí uživatelům tolik vadit, že odklepávají varovné dialogy, protože jsou upozorněni, že se chystají pracovat s osobními daty. A je většinou zbytečné tyto stránky (které netvoří ani 1 % pageviews serveru) zařazovat do Navrcholu, nebo na ně vkládat počitadla externí obrázky.

Nejhorší je, když jsou v rámcích některé dokumenty zašifrované a některé ne, to je pak uživatel browserem varován dost nepřehledným a matoucím způsobem.

Citlivé stránky se ale chránit musí - a není to vůbec pravidlem.

Mimochodem teď mě pěkně vypekl systém Lupy: Příspěvek musíte potvrdit, tedy vlastně odeslat dvakrát. Ale pozor, když v něm před potvrzením uděláte změnu, zase ho musíte potvrdit dvakrát.

Neuvědomil jsem si to a musel jsem výše publikovaný příspěvek psát dvakrát. :-)

A nebudou uzivateli vyskakovat dialogy vzdy pri prechodu mezi HTTP/HTTPS?

To budou. Ale je to logické, představte si, jak vypadá proces nákupu:

1. Vybíráte zboží. Pohybujete se v oblasti HTTP.

2. Vložíte zboží do košíku. Stále HTTP.

3. Kliknete na "Objednat". Někde to musíte udělat z košíku (Amazon.com), někde z kterékoliv stránky (Buy.com). Teprve v této chvíli se přesunete na HTTPS, odkliknete bezpečnostní dialog, zaregistrujete se, nakonfigurujete dopravní metody, zaplatíte a jdete pryč ze serveru. Přitom odkliknete další bezpečnostní dialog.

Je jasné, kdy jste ve veřejné oblasti, a kdy jste v chráněné oblasti. Explorer vám vpravo dole ukazuje malý visací zámek (já bych mimochodem volil výraznější vizuální zpětnou vazbu s více informacemi).

Je to mimochodem podobné jako v supermarketu, kde vám taky každý vidí do košíku, ale neměl by vám přes rameno při placení sledovat, jakou vytahujete kartu.

Téměř žádný B2C e-shop nemá košík chráněný SSL, stav objednávek ale většina ano, v zahraničí prakticky všechny.

Při registraci u Amazonu je dokonce na tlačítku v registračním formuláři tento nápis:

"Sing in using our secure server"

Tím se snaží předejít zmatení uživatelů.

SSL je důležité, ale protože opravdu významně zatěžuje procesory serveru (jejich propustnost se snižuje na polovinu i méně) a viditelně zpomaluje odezvu serveru (všechny keše po cestě paketu jsou vypnuty, včetně té v browseru), musí se omezit na klíčové formuláře a stránky. Tam ale zase rozhodně patří.

Pozor, existují samozřejmě aplikace, které musí být zašifrovány celé. Nejlepším příkladem je homebanking, ale i různé B2B aplikace, webový přístup k firemnímu mailu ap.

No, to je ale slozity teoreticky problem - HTTPS je cele o tom, ze nekdo (drzitel certifikatu) se ZARUCUJE za obsah CELE zobrazene stranky - je tedy jen v poradku, pokud browser upozorni, ze tenhle predpoklad neplati a na strance jsou i komponenty, za ktere ruci nekdo jiny, nebo za ktere taky treba neruci nikdo. Predstavte si, ze mate na spodu stranky nejprve cizi ikonku - a ten nekdo misto ni najednou zacne zobrazovat podstatne vetsi obrazek obsahujici nejaky text, ktery treba bude doplnovat vas text uvedeny na strance shora, nebo bude vasim klientum neco dalsiho slibovat - proste zmeni vyznam stranky.

Jestlize rucite za obsah stranky, musite rucit za VSECHNY komponenty na strance se nachazejici.

Nicmene, pokud se rozhodnete za cizi obsah rucit, muzete to, pokud je vas server provozovan na rozumnem software a ochotnym spravcem, udelat. Apache, jako nejrozsirenejsi WWW server umoznuje namapovat strom ciziho serveru do sveho vlastniho prostoru tak, ajko by se jednalo o lokalni soubory - jestli tedy JSTE ochoten rucit VLASTNIM slovem *certifikatem) za obsah toho, co prijde z "Na vrcholu" neboodjinud, staci jejich scripty takto namapovat do sveho prostoru posilat je podepsane vasim vlastnim certifikatem. Ja bych to ale rozhodne nedelal. Me je rozhodne me slovo drazsi, nez nejake reklamni pocitani stranek (ktere si navic mohu udelat sam, i bez TopListu). Ja jsem ale znamy paranoik ...

Clanek byl mj. o tom, ze to nevyhodi ani to varovani ...

Pokus je to pekny, nicmene ponekud nefunkcni. Zde zminovane sluzby (Na vrcholu, Toplist, ruzna pocitadla) timto zpusobem osalit nelze, nebot potrebuji hity dostavat primo od uzivatelu. Kdyz jim je bude posilat jen jeden server (napr. Apache s mod_rewrite nebo jakykoliv jiny HTTP server v jakekoliv jine konfiguraci), bude to velice divne a pokud jsou ty skripty udelane chytre, prestanou fungovat samy, jinak je vypne az manualne jejich spravce. Je logicke ze se snazi branit chytrakum co si nasvindluji spoustu hitu z jedne IP adresy.

PSM 1.4 v Mozilla 0.8 lze nastavit nasledujicim zpusobem:

Set Personal Security Manager to show a warning and ask for permission before:

1.Entering a site that supports encryption [Glossary Entry]
2.Leaving a site that supports encryption [Glossary Entry]
3.Viewing a page with an encrypted/unencrypted mix
4.Sending unencrypted information to a site

(Check boxy, ja ted mam zskrtnut jen 3., ted uz si nepamatuju, jestli je to default nebo sem tam neco menil.)

Jde o to místo <img src="http://navrcholu.cz/...&quot;&gt; použít <img src="navrcholu.php">. Skript navrcholu.php (může být napsán samozřejmě v jakémkoliv jazyce) stáhne http://navrcholu.cz/... a opíše to na výstup. Pro správné měření obvykle stačí poslat hlavičku Referer. V PHP to tedy může vypadat nějak takhle:

<?php
$host = "navrcholu.cz";
$fp = fsockopen($host, 80);
fwrite($fp, "GET ... HTTP/1.1\r\n");
fwrite($fp, "Host: $host\r\n");
fwrite($fp, "Referer: $_SERVER[HTTP_REFERER]\r\n");
fwrite($fp, "\r\n");
while (!feof($fp)) { // hlavičky
$line = fgets($fp);
if (eregi("^Content-Type: ", $line)) {
header(trim($line));
} elseif ($line == "\r\n") {
break;
}
}
fpassthru($fp);
fclose($fp);
?>

Nevím, jak přesně funguje Toplist nebo Navrcholu, některé servery (např. Billboard) na dotaz na stránku s počítadlem posílají jenom hlavičku Location: a je nutné stáhnout tento dokument. Ale vždy se to dá nějak zařídit.