Czech National Team

Týmové fórum
Právě je úte 25 črc, 2017 06:09

Všechny časy jsou v UTC + 1 hodina




Odeslat nové téma Odpovědět na téma  [ Příspěvků: 11 ] 
Autor Zpráva
 Předmět příspěvku: Zabezpečení webu a fóra pomoci HTTPS
PříspěvekNapsal: úte 24 lis, 2015 20:37 
Offline
10.5263157895 %
10.5263157895 %
Uživatelský avatar

Registrován: stř 25 čer, 2008 15:27
Příspěvky: 76
Bydliště: Louny
Ahoj,
jen dotaz, zda se neplánuje přejít na HTTPS u webu czechnationalteam.cz? Důvod proč přecházet je zřejmý - přihlašovací formulář přes HTTP není vůbec bezpečný. Je snadné někomu odposlechnout heslo a dovedeme si představit ten problém, když daný člověk používá své heslo na více místech. HTTPS by v dnešní době měl být standard.

Nasazení HTTPS je dnes snadné, např díky projektu Let's Encrypt jsou doménové certifikáty zdarma, dokonce i konfigurace serveru provede jejich tool automaticky.
Ceny zde jsou zcela mimo, již brzy budou i další certifikační autority nabízet základní doménové certifikáty zdarma.
Za sebe jednoznačné doporučuji, ideálně s HTTP Strict Transport Security. :smt045

_________________
So sayeth the Wise Alaundo
Notebook ASUS N53SN | Core i7-2630QM | 2x4GB DDR3 1333MHz CL9 RAM | OCZ Vertex 4 120GB (SSD) | nVidia GT 550M 2GB | 1920x1080 FullHD LCD[/size]


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: úte 24 lis, 2015 22:17 
Offline Stats
42.1052631579 %
42.1052631579 %

Registrován: úte 03 úno, 2009 21:23
Příspěvky: 792
Bydliště: Opava
Datum narození: 03 bře 1984
ID CNT statistik: 10156
Proč né, ale ten kdo používá heslo z bankovnictví nebo velmi osobních stránek na běžných webech je idiot. Ten kdo mi chce ukrást moje kreditky hadejte jaké mám heslo na boinc projektech. 45hh

_________________
Obrázek


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: úte 24 lis, 2015 22:46 
Offline Stats
26.3157894737 %
26.3157894737 %

Registrován: ned 19 úno, 2012 03:05
Příspěvky: 238
Datum narození: 19 pro 1989
ID CNT statistik: 134
Ty jo fakt se ty hesla posílaj nešifrovaně, docela síla... 45hh

_________________
Aktuální stav týmových počítačů
IQE: Obrázek
Cimrman: Obrázek
IQE farma: Obrázek
Matfyz farma: Obrázek


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: stř 25 lis, 2015 01:20 
Offline Stats
Admin webu a fóra CNT
Admin webu a fóra CNT
Uživatelský avatar

Registrován: čtv 29 bře, 2007 09:41
Příspěvky: 9336
Bydliště: Brušperk, 48 let
ID CNT statistik: 1
Necroman píše:
Ahoj,
jen dotaz, zda se neplánuje přejít na HTTPS u webu czechnationalteam.cz?
...
Dobrá připomínka 33iii , určitě se plánuje, jen jsem netušil, že někdo poskytuje ty certifikáty zdarma. Někdy před půl rokem jsem se na to koukal a na nic podobného jsem nenarazil.


InHuMan píše:
Ty jo fakt se ty hesla posílaj nešifrovaně, docela síla... 45hh
A co jsi čekal 45hh ?

_________________
Statistiky CNT | Projekty CNT | Distribuované výpočty CNT | SETI CNT | Einstein CNT
.....::::: Proč se mít nejlépe, když se můžu mít čím dál tím stejně :::::.....
Moje skromná statistika tady , tady , tady nebo grafy.
˙ıɔıqɐɹʞ ʌ ǝןɐ 'ıןʇʎd ʌ ǝɔıɾɐz ǝʇɾndnʞǝu ʎpʞıu ˙˙˙


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: stř 25 lis, 2015 07:39 
Offline
10.5263157895 %
10.5263157895 %
Uživatelský avatar

Registrován: stř 25 čer, 2008 15:27
Příspěvky: 76
Bydliště: Louny
Zapomnel jsem na odkaz:
https://letsencrypt.org/
http://www.root.cz/clanky/let-s-encrypt ... -na-https/

Ja si pro svuj blog zaridil certifikat od Comodo pres mistniho resellera, na 3 roky za cca 350 Kc, pohoda :)
https://crt.simplia.cz/

A nakonec motivace:
https://istlsfastyet.com/

_________________
So sayeth the Wise Alaundo
Notebook ASUS N53SN | Core i7-2630QM | 2x4GB DDR3 1333MHz CL9 RAM | OCZ Vertex 4 120GB (SSD) | nVidia GT 550M 2GB | 1920x1080 FullHD LCD[/size]


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: stř 25 lis, 2015 09:11 
Offline Stats
26.3157894737 %
26.3157894737 %

Registrován: ned 19 úno, 2012 03:05
Příspěvky: 238
Datum narození: 19 pro 1989
ID CNT statistik: 134
vkliber píše:
InHuMan píše:
Ty jo fakt se ty hesla posílaj nešifrovaně, docela síla... 45hh
A co jsi čekal 45hh ?

No člověk by předpokládal to HTTPS pro přihlašování nebo alespoň, že se ty hesla posílají jen jako hashe. 45hh

P.S.: Doufám, že ty hesla nejsou uchovávány v plaintextu i na straně serveru... 45hh

_________________
Aktuální stav týmových počítačů
IQE: Obrázek
Cimrman: Obrázek
IQE farma: Obrázek
Matfyz farma: Obrázek


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: stř 25 lis, 2015 11:11 
Offline Stats
Admin webu a fóra CNT
Admin webu a fóra CNT
Uživatelský avatar

Registrován: čtv 29 bře, 2007 09:41
Příspěvky: 9336
Bydliště: Brušperk, 48 let
ID CNT statistik: 1
InHuMan píše:
...
P.S.: Doufám, že ty hesla nejsou uchovávány v plaintextu i na straně serveru... 45hh
To opravdu ne 45hh .

_________________
Statistiky CNT | Projekty CNT | Distribuované výpočty CNT | SETI CNT | Einstein CNT
.....::::: Proč se mít nejlépe, když se můžu mít čím dál tím stejně :::::.....
Moje skromná statistika tady , tady , tady nebo grafy.
˙ıɔıqɐɹʞ ʌ ǝןɐ 'ıןʇʎd ʌ ǝɔıɾɐz ǝʇɾndnʞǝu ʎpʞıu ˙˙˙


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: stř 25 lis, 2015 11:59 
Offline
10.5263157895 %
10.5263157895 %
Uživatelský avatar

Registrován: stř 25 čer, 2008 15:27
Příspěvky: 76
Bydliště: Louny
Jen prihlasovani pomoci HTTPS je nedostatecne.
Pokud jde zbytek komunikace pomoci HTTP, tak lze ukrast SessionID a vydavat se za daneho cloveka. Lze take uzivatele naoko odhlasit a injectnout do stranky odkaz na falesny prihlasovaci formular a tam ukrast jmeno a heslo.
Prave to ted resime v Seznamu - dost stranek je jiz na HTTPS only, ale nektere porad ne a lze se tak napriklad pri odchyceni komunikace na novinky,cz dostat k emailu prihlaseneho uzivatele.

Spravne reseni je HTTPS-only + HTTP Strict Transport Security, krere jednak automaticky presmerovava vsechny HTTP requesty na HTTPS, pokud by se na nejaky ve zdrojacich zapomnelo, a take znemozni v prohlizeci "prokliknout se" v pripade podstrceni neplatneho certifikatu na nezabezpeceny web.

Jak takove spravne nastavene zabezpeceni se muzete podivat treba zde:
https://www.ssllabs.com/ssltest/analyze ... .59.150.39
a jak ne, no skoro vsude jinde :)
https://www.ssllabs.com/ssltest/analyze ... .32&latest

_________________
So sayeth the Wise Alaundo
Notebook ASUS N53SN | Core i7-2630QM | 2x4GB DDR3 1333MHz CL9 RAM | OCZ Vertex 4 120GB (SSD) | nVidia GT 550M 2GB | 1920x1080 FullHD LCD[/size]


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: stř 25 lis, 2015 13:25 
Offline Stats
42.1052631579 %
42.1052631579 %
Uživatelský avatar

Registrován: úte 04 bře, 2008 10:09
Příspěvky: 631
Bydliště: Castle in the city Brušperk 34 let
ID CNT statistik: 2
Nebudu teď řešit fórum, kde se lidé opravdu přihlašují. Stránky http://czechnationalteam.cz/ byť přihlašování umožňují, tak kromě adminů, redaktorů (řekněme +- přesně 6 lidí)přihlášení ostatním lidem nic nezpřístupní, navíc a nemohou zde ani udělat žádnou škodu. Pokud tedy vemu, že uživatel použije unikátní heslo pro přihlášení (přeci nebude používat všude stejné heslo že?) a přihlásí se (kromě výše uvedených 6ti lidí nevím proč by to někdo jiný dělal) je možné, že někde na veřejné síti bez zabezpečení, či na neznámém zařízení se může stát, že jeho unikátní heslo, které útočníkovi k ničemu není, bude zcizeno. Teď jsem řešil certifikát a 4 SANy pro naše služby a opravdu na weby kde nefiguruje x uživatelů s plnohodnotným přihlášením jsem to neřešil a proč by také jo, když každý SAN každá služba stojí prachy, nebudu tady rozebírat renomované certifikační autority (GeoTrust, Thawte,Symantec, RapidSSL atd) nemyslím si, že poskytnutý zadara certifikát by byl jim podobný (nebudu se pouštět ani do debaty). A jsme opět u toho... neříkám, že časem "https" nenasadíme ale nestresoval bych z toho.

P.S vzhledem k pravidlům hostingu, které jsou veřejně dostupné je tato debata o létající rybě, která je zdarma, zcela zbytečná. 45hh neboť aby bylo možné https použít, je nutné kontaktovat hostingového správce a vybrat si z jeho nabídky certifikátů a ty mají ceny zase jinde.

Není to flamewar jen můj pohled. Tak zdar.

_________________
Jak počítá Boban
Kdo je vlastně Boban ?

Obrázek

Článek o Tapatalk


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: čtv 26 lis, 2015 18:47 
Offline
10.5263157895 %
10.5263157895 %
Uživatelský avatar

Registrován: stř 25 čer, 2008 15:27
Příspěvky: 76
Bydliště: Louny
Pokud ma hosting blbe nastavena pravidla, tak to je pak otazka zda je to dobry hosting? :)

Jinak jeden z duvodu, proc ma HTTPS smysl - novy protokol HTTP/2, ktery dokaze vyrazne zrychlit nacitani stranek, funguje pouze nad HTTPS. Podpora v nginxu by mela byt v produkcni kvalite koncem roku. Moderni prohlizece jiz HTTP/2 vsechny umi.
https://http2.akamai.com/

A dalsi duvod, neni to jen o tom ochranit 6 adminu proti ukradeni hesel. Weby na HTTP jsou casto tercem utoku, kdy sitovy prvek pribali ke strance treba vlastni reklamni banner, injectne tracovaci javascript a pod.
Z tohoto duvodu povazuji jako skvely projekt Let's Encrypt. Ten poskytuje i tool, ktery pokud mate vlastni server, si jen pustite a on vam zaridi vytvoreni domenoveho protokolu "pingnutim" proti CA serverum, nainstaluje jej, nastavi redirect pravidla a nakonfiguje TLS podle aktualnich best practices, v idealnim pripade je vse za 15 vterin hotovo.

Doporuji na toto tema nasledujici prednasku:
https://www.youtube.com/watch?v=0JioB7rNpvI

A na tema, jak je certifikat od ktere CA duveryhodny - pokud ma dana CA root v duveryhodnych certifikatech, vsechny domenove certifikaty jsou si potom naprosto rovnocenne (pokud se nejedna o EV cert). Nikdo se nebude zajimat o to, jestli mate certifikat od Thawte, Comodo, RapidSSL nebo Let's Encrypt :)

_________________
So sayeth the Wise Alaundo
Notebook ASUS N53SN | Core i7-2630QM | 2x4GB DDR3 1333MHz CL9 RAM | OCZ Vertex 4 120GB (SSD) | nVidia GT 550M 2GB | 1920x1080 FullHD LCD[/size]


Nahoru
 Profil  
Odpovědět s citací  
PříspěvekNapsal: pon 22 srp, 2016 07:26 
Offline Stats

Registrován: pon 25 črc, 2016 11:56
Příspěvky: 2
Datum narození: 15 dub 1978
ID CNT statistik: 999
Při volbě hostingu bych doporučil zvolit takového poskytovatele, který se o nasazení certifikátu postará. 45cc

_________________
Tvorba webových stránek Zlín


Nahoru
 Profil  
Odpovědět s citací  
Zobrazit příspěvky za předchozí:  Seřadit podle  
Odeslat nové téma Odpovědět na téma  [ Příspěvků: 11 ] 

Všechny časy jsou v UTC + 1 hodina


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník


Nemůžete zakládat nová témata v tomto fóru
Nemůžete odpovídat v tomto fóru
Nemůžete upravovat své příspěvky v tomto fóru
Nemůžete mazat své příspěvky v tomto fóru
Nemůžete přikládat soubory v tomto fóru

Hledat:
Přejít na:  
cron
Založeno na phpBB® Forum Software © phpBB Group
Český překlad – phpBB.cz