Keresés: - [Re:] Vigyázz, ez HTTP és nem HTTPS

Hirdetés

Legfrissebb anyagok

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#26 bambano titán emvy #24

Új Válasz 2014-12-18 23:39:07 #26
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bambano

titán

válasz emvy #24 üzenetére

a kulcsot nem hagyom benne, de vannak olyan környékek, ahol jobb nyitva hagyni, mert legalább nem törik be az ablakot.
az alapvető nézőpontbeli különbségünk az, hogy te/ti egy idealizált világról beszéltek, ahol az ssl meg a tls implementációk frissek, naprakészek és hibátlanok. én meg azokról a romokról, ami a heartbleed után itt maradt. ráadásul azzal, hogy a heartbleedre hivatkozva mindenki elkezdett saját ssl-t faragni, csak romlott a helyzet. a gugli erőlteti az övét, elhiggyem, hogy nincs benne nsa backdoor? nem hiszem.
majd éppen csak lecsengett a heartbleed okozta első sokk, gyorsan kiderült még két szakajtónyi bug az openssl-ről, de rögtön utána jött a hír, hogy a böngészőkben tiltsák le a tls/ssl közül az egyiket (nem emlékszem már pontosan és nem találta meg a gugli a filmbámulás közötti reklámszünetben). tehát még szemétdomb az egész.
az adatfolyamokhoz egyébként nem annyira egyszerű hozzáférni (minden híresztelés ellenére), egyedül a wifi az, ahol a nyers adathoz esélyed van hozzáférni, de ott meg a mac titkosítva van, wpa2, szóval ott sem esik be csak úgy bárki a rendszeredbe. ktv-hez nem tudsz hozzáférni (figyelembe véve, hogy a jelszavak az upstreamen mennek, nem a downstreamen), szóval nem annyira triviális egy mitm. akinek meg az, az egyébként is szétkapja a lomodat, mint foxi a lábtörlőt.
"Az extra savszeligeny elhanyagolhato": a sávszélesség igényét nem firtattam. akinek baja van vele, fizessen elő nagyobb csomagra, oszt jónapot.
"A Google sajat meresei szerint a front-end szervereiken a TLS a CPU-terheles kevesebb, mint 1%-at jelenti.": ja, hogy a gugli külön szervert tart a tls kicsomagolására. úgy könnyű...
#23 bambano titán hemaka #4

Új Válasz 2014-12-18 22:40:00 #23
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bambano

titán

válasz hemaka #4 üzenetére

"Sima statikus weboldalnak mi a bubanatnak https?": mert már annyira nincs mit csinálni a böngészővel, hogy fújni kell valami marhaságot, hogy hír legyen belőle.
(#6) emvy: "Azert, hogy biztosan attol kapd az informaciot, akire szamitasz.": és ha kiírja a böngésző, hogy most http-re váltott, akkor tudni fogja, kitől jön az infó? hint: nem. arról meg nem beszélünk, hogy a közelmúlt eseményei alapján a http és a https protokollok biztonsága nagyjából egyforma.
(#9) dabadab: "Igazából az a kérdés, hogy tulajdonképpen mi szól a http mellett?": nem, az a kérdés, mi szól a http lecserélése mellett. szerintem semmi. "valami minimális processzoridőt megtakarít a titkosítás hiánya": ez kliens oldalon minimálisnak tűnik, de szerveroldalon, ilyen kis helyi blogok, mint pl. a ph! 400 ezer regelt felhasználó és valószínűleg sok párhuzamos néző, már nem kis prociidőről beszélünk. a https ellen szól még az is, hogy kicsit nehezebb hozzá rendesen megfaragni a hálózatot, régebbi oprendszereken nem megy annyira nagyon jól, stb.
mi szól még a https ellen... pontosan melyik https-ről beszélsz? hint: legutóbbi ssl bug után szétrobbant az ssl és ezen a héten az a menő, ha saját ssl implementációd van. miért is erőlteti a kugli a saját hülyeségét?