2. Fórumok
  3. Infotech
  4. Vigyázz, ez HTTP és nem HTTPS
Keresés

Új hozzászólás Aktív témák

  • #26 bambano titán emvy #24
    Új Válasz #26
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bambano

    titán

    válasz emvy #24 üzenetére

    a kulcsot nem hagyom benne, de vannak olyan környékek, ahol jobb nyitva hagyni, mert legalább nem törik be az ablakot.

    az alapvető nézőpontbeli különbségünk az, hogy te/ti egy idealizált világról beszéltek, ahol az ssl meg a tls implementációk frissek, naprakészek és hibátlanok. én meg azokról a romokról, ami a heartbleed után itt maradt. ráadásul azzal, hogy a heartbleedre hivatkozva mindenki elkezdett saját ssl-t faragni, csak romlott a helyzet. a gugli erőlteti az övét, elhiggyem, hogy nincs benne nsa backdoor? nem hiszem.

    majd éppen csak lecsengett a heartbleed okozta első sokk, gyorsan kiderült még két szakajtónyi bug az openssl-ről, de rögtön utána jött a hír, hogy a böngészőkben tiltsák le a tls/ssl közül az egyiket (nem emlékszem már pontosan és nem találta meg a gugli a filmbámulás közötti reklámszünetben). tehát még szemétdomb az egész.

    az adatfolyamokhoz egyébként nem annyira egyszerű hozzáférni (minden híresztelés ellenére), egyedül a wifi az, ahol a nyers adathoz esélyed van hozzáférni, de ott meg a mac titkosítva van, wpa2, szóval ott sem esik be csak úgy bárki a rendszeredbe. ktv-hez nem tudsz hozzáférni (figyelembe véve, hogy a jelszavak az upstreamen mennek, nem a downstreamen), szóval nem annyira triviális egy mitm. akinek meg az, az egyébként is szétkapja a lomodat, mint foxi a lábtörlőt.

    "Az extra savszeligeny elhanyagolhato": a sávszélesség igényét nem firtattam. akinek baja van vele, fizessen elő nagyobb csomagra, oszt jónapot.

    "A Google sajat meresei szerint a front-end szervereiken a TLS a CPU-terheles kevesebb, mint 1%-at jelenti.": ja, hogy a gugli külön szervert tart a tls kicsomagolására. úgy könnyű...

  • #23 bambano titán hemaka #4
    Új Válasz #23
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    bambano

    titán

    válasz hemaka #4 üzenetére

    "Sima statikus weboldalnak mi a bubanatnak https?": mert már annyira nincs mit csinálni a böngészővel, hogy fújni kell valami marhaságot, hogy hír legyen belőle.

    (#6) emvy: "Azert, hogy biztosan attol kapd az informaciot, akire szamitasz.": és ha kiírja a böngésző, hogy most http-re váltott, akkor tudni fogja, kitől jön az infó? hint: nem. arról meg nem beszélünk, hogy a közelmúlt eseményei alapján a http és a https protokollok biztonsága nagyjából egyforma.

    (#9) dabadab: "Igazából az a kérdés, hogy tulajdonképpen mi szól a http mellett?": nem, az a kérdés, mi szól a http lecserélése mellett. szerintem semmi. "valami minimális processzoridőt megtakarít a titkosítás hiánya": ez kliens oldalon minimálisnak tűnik, de szerveroldalon, ilyen kis helyi blogok, mint pl. a ph! 400 ezer regelt felhasználó és valószínűleg sok párhuzamos néző, már nem kis prociidőről beszélünk. a https ellen szól még az is, hogy kicsit nehezebb hozzá rendesen megfaragni a hálózatot, régebbi oprendszereken nem megy annyira nagyon jól, stb.

    mi szól még a https ellen... pontosan melyik https-ről beszélsz? hint: legutóbbi ssl bug után szétrobbant az ssl és ezen a héten az a menő, ha saját ssl implementációd van. miért is erőlteti a kugli a saját hülyeségét?

Új hozzászólás Aktív témák