Chrome už v adresním řádku nebude mít ikonku zámku. Dnes už nemá smysl

Když si klikněte do URL řádku, tak se zobrazí celá

Což je dost otrava.

Klikněte na adresní řádek pravým tlačítkem myši a zaškrtněte volbu "Always show full URLs"

To asi nebudou, stejně jako na první pohled nepochopí spoustu jiných ikon či dokonce názvů funkcí. Ale už si nebudou myslet, že zámek je tam nějaká ochrana či garance. :)

Jo s tim souhlasim. Ja taky nevedel snad 10 let co ma predstavovat ikona Save (Ctrl+S) a nemel sem potrebu to ani nikde zjistovat. Jednoho dne mi to nekdo rekl a jen sem si rek "A jo..." A to patrim ke generaci ktera diskety hojne pouzivala

Tomu nerozumim, co jineho ten zamek reprezentu do dnes, nez ze je spojeni se serverem bezpecne diky sifrovani a domenovy certifikat lze overit autoritou? To Vam prijde nebezpecne? Me to tedy prijde jako ze to symbolizuje presne to co to symbolizovat ma Ze uzivatel vleze na jinou domenu nez ocekava, to souhlasim, to neni fajn, ale urcite to neni problem zamecku

Problém je, že spousta uživatelů si myslí, že to znamená, že jsou tam kde chtěli být, ale to tak není. Čili je to ve výsledku nebezpečné.
A protože má dnes zámeček drtivá většina webů, tak ta ikona nepřináší nic navíc.

Je to přesně tak. Během pár vteřin se dá pořídit certifikát ověřený autoritou i na doménu www.csporitena.cz nebo www.nbank.cz a tvářit se jako oficiální banka. Drobnou odchylku v doméně hodně lidí přehlédne, většina se podívá na zámeček a je spokojená. Toto rybářům nahrává.

Kamo tohle jsou takovy demagogicky kecy. To je jak bezpecaci - to muzete jit po schodech a jen tak z niceho nic spadnout a zabit se - nechodte nikdy po schodech bez helmy. Nebo nikdy nevis, skubnou ti ruce pri 150 na dalnici a zabijes sebe a lidi v protismeru, vsude se musi udelat dvoumetrovy svodidla, zdi a auta jako tank. Kdyz jsem na jiny domene, tak jsem na jiny domene. To je stejny jako kdyz sezeru jed, tak jsem sezral jed a umru. Se zameckem to nema vubec nic spolecnyho...

Faktem je, ze ten zamecek dnes nic podstatneho neprinasi. Od dob kdy je prakticky vse HTTPS a kdy si skupinka lidi "vybojovala" zruseni EV certifikatu, uz moc nema smysl rozlisovat. Prohlizece uz stejne maji spoustu varovani v pripade, ze je provoz na web nahodou nesifrovany.

Souhlasim, ale at nikdo proboha nerika, ze to je nebezpecny. Je to indikace toho, ze je spojeni s webem, ktery mam v radce, naprosto bezpecny a je to indikace naprosto spravna.

Názor byl 1× upraven, naposled 04. 05. 2023 09:10

Ale ono je to pravda. Ten zamek realne znamena "komunikace probiha s webem kteremu patri certifikat a je sifrovana, cili necitelna pro treti stranu". Bohuzel to bezni uzivatele chapou jako "jsem na spravnem webu a vse je bezpecne". A to dve ruzne veci, coz je nekdy obtizne vysvetlit cloveku nepolibenemu IT a bezpecnosti.

Kde jste proboha na tohle prisli? To jste si nekde vycucali z prstu, ze to nekdo chape jako jsem na spravnem webu? Realita je, ze zamek znamena vse je bezpecne na webu na kterem stojim. Vubec to nema nic spolecnyho s tim, jestli jsem na spravnem webu a v zivote jsem neslysel jedinyho FBU, ze by si tohle myslel. Navic to, zda jde FBU na jinou domenu vubec odstraneni zamku nevyresi. Cela argumentace je uplne mimo az na to, ze dnes ma 95 webu platny cert a browser jinak vyvadi, takze je to mozna uz zbytecne. Za me rozhodne neni.

Názor byl 2× upraven, naposled 04. 05. 2023 10:53

Jenže to asi tak 95% uživatelů nechápe a myslí si něco jiného, chápeš?

Nechapu, jednou z cinnosti kterou s kolegy provadime je support a v zivote jsem od FBU neslysel, ze by nekdo zamek chapal jinak, nez ze je spojeni sifrovane...Vymyslite si nejaky bachorky jedna babka na facebooku povidala, ze mana myslela...A tem je to cely uplne u prdele a phishing sezerou zamek nezamek. Ty si nemyslej vubec nic.

Názor byl 1× upraven, naposled 04. 05. 2023 10:57

Ok, spletl jsem se, nechápe to jen 89% uživatelů.
https://research.google/pubs/pub51481/

Jsi retardovany? V pruzkumu se pise, ze 89% respondentu nevedelo, co naprosto presne zamek symbolizuje.Nikde nepadla jedina veta o tom, ze by uzivatele chapali zamek tak, ze jsou na spravne website.The padlock icon guarantees connection security, but is often perceived to indicate the general privacy, security, and trustworthiness of a website.Klasicky jste si to demagogicky po cesku cely prekroutili...

Názor byl 1× upraven, naposled 04. 05. 2023 12:32

Proč si to prostě nepřečteš? Nebo ti to mám vypisovat sem?

Pouc mne

"is often perceived to indicate the general privacy, security, and trustworthiness of a website"
Česky, protože anglicky jste to zjevně nepochopil: "je často považován za indikaci soukromí, bezpečnosti a důvěryhodnosti webové stránky"
Což je přesně to, co píše karel. Snad teď už konečně chápete, když to tu máte i s českým překladem a nebudete si za tím svým nesmyslem pořád stát.

Presne jak jste napsal. Je povazovan za indikaci duveryhodnosti a presne toto ten zamek reprezentuje. Zadne kecy o tom, ze je povazovan za to, ze jsem na spravnem webu, tam nejsou. Takze si dejte vodchod s tou vasi demagogii.

Názor byl 1× upraven, naposled 15. 05. 2023 09:32

Aha, takže to nechápete ani vy, což je nejlepší důkaz toho že je lepší to nemít, když tomu nerozumí ani takovej "profík" jako vy.Tak ještě jednou pro pořádek: ne, zámeček neznamená důvěryhodnost, nemá to s tím nic společného.

Dale se tam pise, ze temer polovina uzivatelu vi presne co zamek je, umi ho pouzit a overit si duveryhodnost website...Ten pruzkum jde v podstate dost proti cely ty vasi argumentaci a to tak, ze velmi mnoho uzivatelu zamek pouziva tak jak byl vymyslen.

Já mám jinou otázku ... proč Chrome odmítá ukládat a vyplňovat formuláře na stránkách se self-signed certifikátem ale klidně to udělá (uloží a následně i použije a vyplní) na nezabezpečeném HTTP protokolu?Jako pochopil bych ještě, že v zájmu bezpečnosti a nějaké konzistence postoje a poliitiky to bude ukládat jen na webu s podepsaným a ověřeným certifikátem, dle něj tedy na "bezpečných stránkách" ale pokud fuguje i na nezabezpečeném HTTP, proč ne na HTTPS (jakémkoliv???) To jako že HTTP je bezpečnější než HTTPS se self-signed, certifikátem???Stejné to je i se samotným HTTP ... pokud vlezu na obyčejný HTTP web, nic kromě toho zámku (jen zobrazená informace) mě nevaruje ale pokud vlezu na HTTPS web se self-signed certifikátem, je z toho obrazovka pomalu evokující nabourání do jaderného reaktoru. A rozhodně bude provoz bezpečnější, minimálně veškerá předávaná data oběma směry budou šifrovaná. Co na tom mění fakt, že certifikát je self-signed? A jaký je "bezpečnostní rozdíl" mezi self-signed certifikátem a takovým Let's Encrypt certifikátem, který si , stejně jako ten self-signed udělám na počkání a na míru aniž to cokoliv vypovídá o "bezpečném ověření třetí stranou"Dává to někomu nějaký smysl? (protože mě teda ne :D)

Názor byl 3× upraven, naposled 04. 05. 2023 01:13

Tak snad je logicky, ze s certifikatem, ktery sis podepsal sam, se muzes tvarit jako nekdo jiny. Muzes si vystavit treba certifikat na domenu google.com nebo jakykoli banking, udelat kopii Gmailu, pustit to ve firme, zmenit si lokalni DNSko a poslat na to vsechny uzivatele firmy, nabrat jejich loginy a pak jim vybrat gmaily nebo ucty. Zatimco autorita ti to bez pristupu k te domene neoveri...Tak asi takovy je rozdil mezi overenym autoritou a samoovereny. Asi jako noc a den.

Já to chápu, samozřejmě. Ale sám jste napsal, že ikona symbolizuje jen bezpečné spojení s daným serverem .. a to se u self-signed certifikátu nemění. Snad vídím, na jaké jsem doméně ... a jestli je server na dopméně mojebambulka.cz podepsaný self-signed, Lets Encrypt nebo VeraSighnem na tom NIC nemění. Ta autorita mi jen říká, že google.com patří OPRAVDU Google Trust Services LLC .. nic víc .. je to jen další část té informace, nic víc.IMHO stále nechápu, jak to souvisí s bezpečností a (ne)ukládáním a vyplňováním formulářů .. sám jste napsal výše "snad vidím na jaké jsem doméně"...

Názor byl 1× upraven, naposled 04. 05. 2023 13:27

Uplne nevim, co tim chcete rici. Jasne, autorita pouze rika, ze ten certifikat je opravdu k dane domene. To je preci pointa celeho toho systemu. Kdyz nebude certifikat overitelny nekterou z duveryhodnych autorit, nebude mit klient duveru, ze komunikuje opravdu s webserverem dane domeny = prohlizec vas vykopne, kdyz mu date vyjimku, zamek bude mit vykricnik s varovanim, ze neni certifikat overitelny a tudiz nemusite byt na webu, ktery mate v radce, ale klidne nekde uplne jinde a mel byste odejit. Me to prijde logicky.To vyplnovani formularu nevim co s tim ma spolecnyho, ale Firefox hesla i tak uklada.

Názor byl 3× upraven, naposled 04. 05. 2023 15:47

"To vyplnovani formularu nevim co s tim ma spolecnyho"
To mi právě není taky jasné a proto jsem to téma nadhodil. Prostě Chrome na dom=ně se self-signed certifikátem neuloží zadané heslo a ani nevyplní formulář .. prostě to nedává smysl. To byla pointa mého dotazu :D

Asi nechce Chrom neco ukladat, kdyz si neni jistej, ze je na spravnem webu...

Pointa byla v tom, že na čistém HTTP to uloží/vyplní. A když mám spojení šifrované tak ne. Tady se prostě Google rozhodl za uživatele určit, co je a není bezpečné a šmahem cokoliv co je self-signed označit za problém ... jak typické pro tuhle "moderní" dobu...Takovéhle věci se dříve řešily "čistou technickou cestou - informací" - prostě kdo tu informaci chtěl tak ji získal (rozklikl si údaje o certifikátu) ale nijak to neomezovalo/neztěžovalo používání (typické upozornění "a opravdu, ale opravdu a na Vaši zodpovědnost si to teda potvrďte kliknutím tady abychom to zobrazili kdyý je to self-signed"). Prostě se normálně předpokládala jistá gramotnost uživatele zatímto dnes se (nejen v IT) stává normou "úplný blbec a snaha jej chránit proti němu samotnému" ... smutné (jen takový filozofický povzdech :D)

Názor byl 2× upraven, naposled 05. 05. 2023 16:58

https://mitmproxy.org/

Malware, ale třeba i antiviry si do systému mohou nainstalovat vlastní kořenové certifikáty, takže mohou napadnout/sledovat šifrovaný provoz. Ty MITM Proxy útoky rozhodně nejsou tak jednoduché, jako když přes HTTP mohl kdokoliv na stejné síti sledovat veškerý provoz, zároveň ale ani HTTPS není zárukou absolutního bezpečí, když se dá obejít.

a

Názor byl 1× upraven, naposled 03. 05. 2023 15:19

To ovšem není po cestě. Nebavím se o situaci kdy je kompromitovaná jedna z komunikujících stran.

Presne, naprosta demagogie. Nekdo tady prezentuje, ze to je bezne mozne. Protom je to bezne naprosto nemozne.

Patrně podléháš dojmu, že samotné použití šifrování zaručuje 100% bezpečnost, ale v praxi to tak nemusí být. Třeba samotné sestavení šifrovaného kanálu je závislé na certifikátech a privátních klíčích a ty jsou postaveny na několika článcích důvěry - že autor prohlížeče dodal certifikáty důvěryhodných autorit, že ty autority mají spolehlivý ověřovací proces, že ty klíče nikdo neukradl, atd. Pokud je v tomhle díra, tak je úplně jedno, že tam máš AES 256.

A proto mame OCSP a certificate transparency log. Ty popsane utoky jsou samozrejme teoreticky mozne, ale v praxi se nevyskytuji, resp. nevzpominam si na zverejneny pripad kdy by byl nektery z techto pripadu zneuzit pro MITM analyzu provozu.Ano, unikle nebo falesne vystavene certifikaty byly zneuzity pro code signing, ale to je trochu jiny pripad.