Názory k článku Mobilní aplikace Seznam – zabezpečení neznám

A podepsal jste se jako Starous, nebo jste o sobe napsal "Jsem Michal Spacek a pisu clanek o vasem prohlizeci na Lupu?"

Me by spis zajimalo, jak se vam povedlo seznam kontaktovat, na to ze seznam odesila vsechnu postu v plaintextu jsem se snazil upozornit pred par mesici take, ale byl jsem ignorovan.

Myslím, že právě autorem článku propagovaný způsob reakce na chyby https je dost zcestný. Já bych prostě ve výchozím nastavení zobrazil nějaký jednoduchý dialog "nepodařilo se ověřit identitu serveru, nezadávejte citlivé údaje" s tlačítkem "podrobnosti", dále zobrazil někde třeba vlevo nahoře ikonku zlomeného zámečku a třeba přeškrtl "https" v řádku URL stránky a dál pro uživatele pokračoval stejně, jako by to bylo http. Ve skutečnosti je tohle chování mnohem bezpečnější než ten "vojenský" přístup, který vede jen k tomu, že si uživatelé přidávají pochybné certifikátu k těm důvěryhodným. Samozřejmě vojenský přístup by měl být nastavitelný (ale nikoli výchozí). Důležité je také zobrazovat protokol, od toho bohužel prohlížeče upouští a je to stejně debilní, jako skrývání přípony sexy_japanese_gir­l.jpg.pif ve windows 95+.

Jak na to jsou zahraniční weby, třeba takový Amazon?

> Tlačítko Jasně, vím, co dělám je skryto za odkazem Advanced a mnoho lidí ho tak ani nenajde, a to je dobře.

Neměla by se taková hláška zobrazovat i při načtení stránky přes HTTP (např. http://www.lupa.cz/), které je ještě nebezpečnější než HTTPS se špatným certifikátem (na rozdíl od HTTPS, kde je potřeba aktivní MITM, tady stačí pasivní odposlech)?

No já jenom, že Amazon na svém webu pro neregistrované uživatele používá stále protokol http. Což je dle českých odborníků pro domácí servery neodpustitelný hřích.

Taky nechapu, ze seznam vypousti alfa veze, kde si potom pan Spacek rad smlsne. Zase bych jeho uchylku kolem SSL nezvelicoval. V clanku se nepise kolik aplikace maji jinych der (aplikacnich).
Muze mit radost, ze bude vse pres (trubku) SSL s validnimi certifikaty, ale aplikace muzou byt derave jak reseto na jine urovni.
(skoro se bojim, ze to tak bude, kdyz vidim stavajici stav)
Uff a vsude se pise, jaky maji obrat a tolik lidi :-)
P.

a vis se uz aspon, meloun, proc to (prohlizec) vubec delaji?

Nevim jak Vam, ale pokud zkusim jit na amazon pres https, tak v ramci homepage okamzite prepne na http. Https vidim jen pokud jdu do nastaveni, nebo ve chvili, kdy jdu ke kase. O tom, jak funguje 1-click ani nechci premejslet s ohledem na to, ze pro kindle ani jinak nakupovat nejde. Ale iluze si delat nebudu.

Píše se o mobilním prohlížeči - takže v mobilním zařízení. Pro přístup do IB jsou mobilní aplikace konkrétních bank. Stejně tak vidím, jak uživatel Seznam prohlížeče přistupuje na mobilu do nějaké datové schránky :)

Ať se o problémech mluví, pokud jsou, poslat upozornění vývojářům. Takovýhle svět zachraňující článek s výtečtem obřích potíží s popiskem hlášení při přístupu na stránku nebo s nezobrazením zámečku :D je ale nehodný Lupy.

podpora starttls ovsem nic neresi, vzheldem k tomu, ze se pri mtm da jednoduse stripnout

K tomu testu Email.cz - ještě by nebylo špatné, kdyby server podporoval i Forward Secrecy a zrušil podporu slabé šifry RC4, viz.
https://www.ssllabs.com/ssltest/analyze.html?d=email.seznam.cz

A Firefox u úvodní stránky Amazon pro vytvoření účtu, která už pod https je, vypisuje vykřičník, protože stránka obsahuje nešifrovatelné prvky. Jó, to je ta vyspělá cizina :-)))

Ano samozřejmě, jen jsem na Amazon uplatnil měřítka, jaká by byla na českou stránku :-))

Ono toho PR je v našem mediálním prostoru už příliš. Máme tady akce Amazonu proti Alze, O2 proti UPC a nově zřízený státní internetový bezpečnostní tým, taky kalí vodu, aby získal peníze na svou činnost. A celé je to tak trochu moc okaté. Vše podle hesla, bojte se a plaťte :-)))

Predstava, ze by Seznam dokazal vytvorit kvalitni a bezpecny prohlizec, me prijde jako hodne usmevna, i kdyz spoustu prace za ne odvedl jiz nekdo jiny. Presto Google dela neco podobneho a ma na to tym, ktery ma plne ruce prace. Opravdu Seznam, ktery je vedle Google garazova firma, dokaze neco stejne kvalitniho s udrzitelnou kvalitou po delsi dobu? No tomu nemuze prece verit nikdo, alespon trochu soudny. Jako klient si s tim nebudu radeji zahravat.

Nepodstatných chyb? No to snad ne, v dnešní době, kdy se přes internet řeší řada pro jednotlivce závažných věcí, např. přístup do bankovnictví nebo datových schránek.

A kdo jiný, než IT geek, by měl na problémy upozornit? Snad ne ti uživatelé, kteří o tom nic nevědí a jen chtějí, aby se stránka co nejrychleji načetla? Kdyby se každý držel vašeho pohledu, tak se o problémech nemluví, ani se neřeší. To by to vypadalo.

Myslím, že je podstatné si uvědomit, kdo je cílová skupina Seznamáckého prohlížeče. Nejsou to uživatelé rozumných prohlížečů jako firefox nebo chrome, ale BFU, kteří nyní používají IE se spousty různých "doplňků". Právě absence doplňků a užití webkitu je podle mě důvod, proč to ke svému účelu a své cílové skupině může sloužit dobře a časem třeba i bezpečně.

Meloun. Služby od seznamu nepouzivam.

Místo domény slevomatu bylo možno použít přímo doménu seznamu, která by si zaloužila opravit certifikát a to https://szn.cz :-)

Fascinuje me, ze zrovna takova firma, ktera je ziva z internetu je schopna vydat neco takoveho. Kdyby to byla nejaka garazovka o dvou lidech, tak by to clovek chapal, ale to je jak kdyby Mercedes vyrabel auta, co samovolne vybuchuji.

Článek jsem ani nedočetl, naprosto nepodstatné dloubání a hledání nijak podstatných chyb. Problém je, že autor na to kouká co by geek a nachází věci, co uživatele daného programu naprosto nezajímají. Ti ani nevědí, že nějaké certifikáty existují a co to je a je jedno, jestli se jim zobrazí nějaký text, který stejně uživatel odklikne, nebo ne. Podstatné je, aby to správně načítalo stránky a rychle. Samozřejmě je dobře, že ty nedostatky napravili, ale dělat z toho článek je tedy skutečně hodno Lupy a jen to dokazuje, kterak moc je autor v ulitě IT-geeka mimo realitu běžných uživatelů.

Pro příští článek doporučuji hate změny favicon u Seznam služeb, nebo něco podobně hodnotného.