Vlákno názorů k článku Michal Špaček: Před připojováním na veřejné Wi-Fi sítě už nevaruju od Michal Kubeček - Aneb co kdyz uzivatel stale stahuje postu pres...

Aneb co kdyz uzivatel stale stahuje postu pres POP3/IMAP (bez TLS)?

Tak je to z bezpečnostního hlediska špatně a je úplně jedno, jestli je na "veřejné wifi", na "neveřejné wifi" nebo třeba doma.

nepozorny uzivatel spechajici za vyrizenim sve potreby odmackne varovani o problematickem certifikatu

Opět je chyba v tom, že to udělal, ne v tom, že je na "veřejné wifi", protože i s "bezpečným připojením" je to úplně stejný problém.

Chyba je typicky ajtacky pohled na svet, ze obycejny uzivatel bude nad podobnymi vecmi premyslet. A kdyz jim do toho reknete, ze pripojovat se na otevrene cizi wifi prece neni zadny problem, tak riziko nasledneho zneuziti se akorat zbytecne zvysuje.

Takže budete lidem vykládat, že musí rozlišovat, k jaké síti se připojí, což stejně nepoznají, takže... Takže co? Takže nemají internet používat vůbec?

Chyba je typicky ajtacky pohled na svet, ze obycejny uzivatel bude nad podobnymi vecmi premyslet.
Ano, chyba je myslet si, že obyčejný uživatel dokáže rozlišit, k jaké síti se připojuje. Pro běžného uživatele je každá síť stejně nebezpečná jako veřejná WiFi.

Chybna je samotna uvaha, ze veskera komunikace se odehrava pouze po HTTPS a tudiz verejne wifi site dnes uz zadnou hrozbu neznamenaji. Pouzivaji se i dalsi protokoly, jejichz zabezpeceni se uz takova pozornost casto nevenuje. Aneb co kdyz uzivatel stale stahuje postu pres POP3/IMAP (bez TLS)? A takhle jde pokracovat treba ruznymi IM protokoly.... ale zatimco u webu se i pomoci ruznych testovacich nastroju da jakz-takz otestovat, ze transport je skutecne zabezpeceny (tzn. pouzivaji se moderni sifrovaci algoritmy, ani u HTTPS nestaci jen to, ze se "nejak" sifruje - podstatne je take "cim"), u dalsich sluzeb tomu tak rozhodne neni... a v praxi casto tyto dalsi sluzby vetsi pozornosti unikaji.

A porad tu jsou utoky, ktere na otevrene verejne wifi hrozi.... pocinaje treba realnym rizikem podvrzeni DNS a presmerovani provozu - nepozorny uzivatel spechajici za vyrizenim sve potreby odmackne varovani o problematickem certifikatu... a problem je na svete. DNS over HTTPS? Opet resi spise jen prohlizec, ale uz ne aplikace okolo (ktere vyuzivaji spise resolver z operacniho systemu). Treba u Androidu je DoH horka novinka verze 13... kolik telefonu s tak novym OS se u lidi realne najde? :-) O dalsich systemech radsi nemluve...

Když někdo nechce přemýšlet nad tím, co dělá, tak na to holt někdy doplatí. Ale to není nic specifického pro IT, ono je totiž nakonec jedno, jestli se to projevuje bezmyšlenkovitým odkliknutím varování prohlížeče nebo vyhozením varování PČR do koše. Princip je pořád stejný.

Pokud někdo používá nezabezpečené protokoly (POP3/IMAP bez TLS), je problém v tom – a má ten problém na každé síti (ve výjimečných případech problém mít nemusí, ale běžný uživatel nedokáže poznat, kdy je to ten případ).

„Odmáčknout varování o problematickém certifikátu“ v prohlížeči naštěstí už nejde – když chce uživatel „odmáčknout“ neplatný certifikát, musí se docela dost snažit, a spousta běžných uživatelů to (doufám) už nezvládne. V jiných programech je to možná snazší, ale to je zase problém těch programů.

stejně jak ty netušíš jak poznat pančovaný benzín do auta, uživatel netuší jak poznat bezpečně nastavené připojení na email. K tomu se váže, že ani dnes velká část emailových klientů nekontroluje správně TLS certifikát u emailu.

Představa, že kdokoliv má plnou znalost a kontrolu nad svým počítačem a tím, kam komunikuje je dost naivní. Uživatel je bude vždy uživatel, ne správce, ne administrátor, ne odborník.

Provozuji si sám IDS/IPS, detailně sleduji a řeším jak která aplikace kam komunikuje a mohu ti říct, že se roztrhl pytel s UDP komunikací (nikoliv QUIC), vlastními protokoly nad nějakým grpc, protobuf, avro s vlastním šifrováním, hashování a kontrolovali. To je minové pole bezpečnostních problémů (zdravím MS Teams).

ale tim z principu zvysuju riziko mozneho prusvihu.

Ne. Tedy aspoň pokud nebudete dělat věci, které by byly nebezpečné i na těch drahých mobilních datech. Já na vaše mlžení nedám a klidně budu ty "první wifi zadarmo, co chytím" používat dál.

Ale zrovnatak muzu riziko natankovani pancovenho benzinu omezit tim, ze si vybiram kde tankuju... a nebudu brat benzin na levne, nejkepe "jezedacke" vesnicke pseudobenzince, ze?
A to same plati u toho, k jake siti sva zarizeni pripojuju. Jisteze, je lakave se pripojit - zvlast pri cenach mobilnich dat u nas - k prvni wifi zadarmo, co chytim... ale tim z principu zvysuju riziko mozneho prusvihu.

"Tak je to z bezpečnostního hlediska špatně a je úplně jedno, jestli je na "veřejné wifi", na "neveřejné wifi" nebo třeba doma"

tyhle bezpecnostni dogmata.... :-/

Tim spis jim nebudu vykladat, ze je naprosto jedno k cemu se pripoji. Protoze to jedno proste neni.