OH.cz * Aukce 15 let registrované.CZ domény * Premium 2L doména
Zobrazují se odpovědi 1 až 20 z 20

Vyzkoušejte TLS/SSL zabezpečení webu

  1. Zdravím,

    spustili jsme bezplatný https://tls.arodax.com jako alternativu ke známějšímu SSL LABS. Vyzkoušet si můžete jak dobře máte zabezpečený server po stránce kryptografické komunikace.

    Připomínám jenom, že Chrome s červnovou aktualizací bude všechny weby, které neběží na HTTPS, označovat jako nezabezpečené, proto není žádnů důvod otálet nasadit TLS.

    Další bezplatné testy:

    - https://www.ssllabs.com/ssltest
    - https://securityheaders.io

  2. Co se právě děje na Webtrhu?
  3. Tohle je stejne uchylna picovina.

    Reknete mi jedinej duvod proc by mel byt trebas MFA web, atlas motylu, nebo blogysek jedne blondyny na HTTPS? Komu to co prinese?

  4. Přinese minimálně podporu HTTP2, což u atlasu motýlů nebo blogu blogu jedné blondýny, kde mohou být stovky obrázků zrychlí jejich načítání díky lepšímu paralelnímu přenosu dat. V dnešní době neexistuje žádný důvod proč nepoužívat HTTPS.

  5. s dovolením jsem mrkl na váš web, jsem v tom začátečník, avšak hsts preload list jako maličkost by byl dobrá volba, když už to ostatním hodnotíte.

    Server máte ale nějaký ukecaný, avšak aktualizovaný, provozujete na něm ale až příliš moc služeb, to není dobrá strategie, letsencrypt koukám jste aktivně nasadili na vše vč. emailů, copak tam ale dělá ten bitcoin? To vypadá, že máte na jediném serveru všechny vaše hračky. Trochu bych schoval to ftp, kterému ani nevadí, když ho zkouším hrubou silou zdolat.

    Největší fail považuji to, že to vlastně je k ničemu, člověk si nechá otestovat server bez webového serveru na https a dostane F s informací, že ten server je zranitelný a nebezpečný. Zobrazené chybové kódy a stavy jsou takové příliš technické, sám občas nevím co vám na něčem vadí (chyba "security headers" je vynikající).

    Tak nějak mi to připadá jako studenstký projekt, který se rozhodně nemůže stavět vedle těch dospělých odkazovaných webů.

    Edit: HTTP2 není podmíněno TLS a lze jej provozovat i bez něj.

  6. Citace Původně odeslal ARODAX a.s. Zobrazit příspěvek
    Přinese minimálně podporu HTTP2, což u atlasu motýlů nebo blogu blogu jedné blondýny, kde mohou být stovky obrázků zrychlí jejich načítání díky lepšímu paralelnímu přenosu dat. V dnešní době neexistuje žádný důvod proč nepoužívat HTTPS.
    Zbytecna prace navic, ktera nema prakticky uzitek? Bavim se o vynucovani na webech kde neni jediny formular, ci cokoliv.

  7. Citace Původně odeslal gransy Zobrazit příspěvek
    Zbytecna prace navic, ktera nema prakticky uzitek? Bavim se o vynucovani na webech kde neni jediny formular, ci cokoliv.
    doba je zlá, https zajistí, že návštěvníkovi se do prohlížeče dostane přesně to co zamýšlel autor, žádný letišní spam v podobě reklam, žádné nebezpečné či těžící kódy na veřejných wifinách, žádné ddos útoky z js přes stránky, které si útočník modifikovat na nějaké větší bráně. Šifrování je bonus, vedlejší důsledek šifrování je nemožnost změnit obsah načítaného webu.

  8. Citace Původně odeslal TomášX Zobrazit příspěvek
    doba je zlá, https zajistí, že návštěvníkovi se do prohlížeče dostane přesně to co zamýšlel autor, žádný letišní spam v podobě reklam, žádné nebezpečné či těžící kódy na veřejných wifinách, žádné ddos útoky z js přes stránky, které si útočník modifikovat na nějaké větší bráně. Šifrování je bonus, vedlejší důsledek šifrování je nemožnost změnit obsah načítaného webu.
    Oki, dobre, beru.

    Nicmene mi jde o ten trend. Trebas ty novy TLD .app a .dev budou vyzadovat HSTS. Je ltazkou casu, kdy se k tomu pridaj prohlizece, protoze vse uz prece pujde po HTTPS.

    Mno a ted trebas ja mam desitky ruznych malych veci na svych vlastnich sub/domenach s IP restrikcema, nebo pro vyvoj v praxi i bez a najednou musim zacit resit HTTPS ktere je me k nicemu na serveru ktery nepotrebuju zasirat vykonove.

    To je to co se mi nelibi - tlaceni bez moznosti vyberu :(

  9. S tím trendem také moc nesouhlasím, přidělává mi práci :). Dokud někteří "podnikatelé" nezačali využívat nešifrované http ke svému obohacení, ve hře byla pouze anonymita a byla to věcí volby. Dnes pokud nemáš stránku pod https, vystavuješ riziku své návštěvníky a starost o bezpečnost dáváš na jejich rámě, což je vůči nim nefér. Web primárně děláš pro návštěvníky, přeci.

    Https zase není tak velký technický problém, hostingy to začínají nabízet sami v administraci, webové servery začínají sami získávat lestencrypt bez práce administrátora. Není to nic co bychom už spousty let nevěděli a na přípravu máme dostatek času.

    Spotřeba zdrojů na serveru není vysoká a jakákoliv sql dotaz do databáze je dražší. Teď s tím moc neuděláme, leda se přizpůsobíme. Kdysi jsme měli šanci udělat http a weby protokol lépe, ale kdo to mohlo tušit.

  10. Citace Původně odeslal TomášX Zobrazit příspěvek
    S tím trendem také moc nesouhlasím, přidělává mi práci :). Dokud někteří "podnikatelé" nezačali využívat nešifrované http ke svému obohacení, ve hře byla pouze anonymita a byla to věcí volby. Dnes pokud nemáš stránku pod https, vystavuješ riziku své návštěvníky a starost o bezpečnost dáváš na jejich rámě, což je vůči nim nefér. Web primárně děláš pro návštěvníky, přeci.

    Https zase není tak velký technický problém, hostingy to začínají nabízet sami v administraci, webové servery začínají sami získávat lestencrypt bez práce administrátora. Není to nic co bychom už spousty let nevěděli a na přípravu máme dostatek času.

    Spotřeba zdrojů na serveru není vysoká a jakákoliv sql dotaz do databáze je dražší. Teď s tím moc neuděláme, leda se přizpůsobíme. Kdysi jsme měli šanci udělat http a weby protokol lépe, ale kdo to mohlo tušit.
    Jako admin jiste znas situaci - vemu produkt/web sluzbu co me zaujala pro testing .. at uz single instalaci nebo pres docker. Nainstaluju, vyzkousim, smazu :) ja osobne pouzivam trebas dvouznakou domenu pro IP.xx.tld pristup kde IP je posledni cast. Az se prohlizece nauci zcela blokovat a nepoustet na nonHTTPs weby, pak jakykoliv takovyhle testovani/hrani bude velice obtezujici.

    Snad az to nastane bude nekde porad k dispozici “enterprise” mode :D

  11. já nejsem admin, jsem fotograf :).

    Wildcart certifikát a reverzní proxy tvůj problém řeší s nákldy na pár stovek ročně, či pro sebe si udělej vlastní CA a hoď si jí do svého prohlížeče. VPN a Chrome trochu zmlkne na interní síti.

    Pořád tady máme spoustu jiných prohlížečů, na podobné testování klidně můžeš mít extra prohlížeč, extra firewall, pořád to půjde při malé snaze nějak udělat.

  12. Citace Původně odeslal gransy Zobrazit příspěvek
    Tohle je stejne uchylna picovina.

    Reknete mi jedinej duvod proc by mel byt trebas MFA web, atlas motylu, nebo blogysek jedne blondyny na HTTPS? Komu to co prinese?
    Bys mel byt rad, i ty par certifikatu na subregu prodas, ne? :)

    Citace Původně odeslal ARODAX a.s. Zobrazit příspěvek
    Přinese minimálně podporu HTTP2, což u atlasu motýlů nebo blogu blogu jedné blondýny, kde mohou být stovky obrázků zrychlí jejich načítání díky lepšímu paralelnímu přenosu dat. V dnešní době neexistuje žádný důvod proč nepoužívat HTTPS.
    Jenze nepodpora http2 u http je ciste umela prekazka vyrobena umyslne.

    ---------- Příspěvek doplněn 15.03.2018 v 22:10 ----------

    Citace Původně odeslal ARODAX a.s. Zobrazit příspěvek
    spustili jsme bezplatný
    "Nezobrazovat moje výsledky v přehledu výsledků" nefunguje, muj web se v seznamu objevil.

  13. Trošku vám tu všem uniká, že HTTPS má i jiné přednosti než-li bezpečnost.

    Na co se chci ale zeptat já, v čem je lepší tenhle certifikát než třeba bezplatný Lets encrypt? Podotýkám, že Lets Encrypt má díky počtu uživatelů o dost větší důvěryhodnost než mnohá placená řešení.

  14. Citace Původně odeslal AdamH Zobrazit příspěvek
    "Nezobrazovat moje výsledky v přehledu výsledků" nefunguje, muj web se v seznamu objevil.
    Díky za upozornění, opraveno.


    Citace Původně odeslal Tomáš Maňhal Zobrazit příspěvek
    Na co se chci ale zeptat já, v čem je lepší tenhle certifikát než třeba bezplatný Lets encrypt? Podotýkám, že Lets Encrypt má díky počtu uživatelů o dost větší důvěryhodnost než mnohá placená řešení.
    Pokud se ptáte na EV certifikát (tj. certifikát "se zeleným řádkem") tak po technické stránce, dá se říci, není lepší než Let's Encrypt v ničem. Jeho výhoda spočívá především v tom, víte, že certifikační autorita ověřila nejenom doménu ale i společnost a vy víte, web na které jste má vystavený certifikát na tu společnost - které by měl patřit.

    Příklad: https://www.vlada.cz/cz/urad-vlady vidíte, že certifikát skutečně patří Úřadu vlády jako organizaci a vystavila jej osoba, která za něj jedná.

    Nelze to samozřejmě také brát jako 100% záruku bezpečnosti, i zde jsou k dispozici různé možnosti podvodů s nepravými názvy společností a podobně.

  15. Často se zapomíná na jeden velmi důležitý článek po cestě a tím je router doma/u poskytovatele. Nové řady soho routerů se objevují jak na běžícím páse a stejně rychle další ztrácejí podporu. A mnoho uživatelů svůj router ani neaktualizuje... Kdy naposled jste koukali, zda není pro váš router dostupný bezpečnostní update?

    Hacknutý router může pozměnit váš HTTP provoz a přidat do webů reklamy, těžící skripty i horší věci. Tato zařízení se zatím nejčastěji používají k provádění DDoS útoků na další služby, což je strašně trapný útokl, ale doba se pomalu mění...

    Je dobré si občas otevřít https://www.routersecurity.org/bugs.php

  16. v tom případě https je jen záplata ne roztrhané džíny, dalšímu trhání nezabrání a jen chvilku máš dobrý pocit. Nasadit https a zabezpečit web proti mitm jsou trochu rozdílné věci, hsts funguje jen když už jsem na webu byl a nepoužívám anonymní režim, preload list je už trochu vyšší dívčí a nelze ho používat příliš pasivně, key pinning je složitá věc i pro velké firmy, dnssec doma "nikdo" nemá, dane zatím není živé, punycode domény se dají generovat realtime, zabránit člověku, aby neodklikl neplatný certifikát je také čím dál obtížnější.

    V ČR je situace relativně lepší než ve světě, díky všudepřítomnému NATu, tyhle domácí krabičky nejsou atraktivní pro masivní zneužívání, velcí operátoři nepřímo to řeší poměrně nízkou životností jejich routerů, které je nutné často měnit.

    S routery situace není růžová a https tyhle útoky znesnadňuje, ale bohužel stačí jediný web na http a problém je na světě.

  17. Citace Původně odeslal smitka Zobrazit příspěvek
    Často se zapomíná na jeden velmi důležitý článek po cestě a tím je router doma/u poskytovatele. Nové řady soho routerů se objevují jak na běžícím páse a stejně rychle další ztrácejí podporu. A mnoho uživatelů svůj router ani neaktualizuje... Kdy naposled jste koukali, zda není pro váš router dostupný bezpečnostní update?

    Hacknutý router může pozměnit váš HTTP provoz a přidat do webů reklamy, těžící skripty i horší věci. Tato zařízení se zatím nejčastěji používají k provádění DDoS útoků na další služby, což je strašně trapný útokl, ale doba se pomalu mění...

    Je dobré si občas otevřít https://www.routersecurity.org/bugs.php
    Ja napriklad jsem za poslednich 15 let zadny hacknuty router nevidel, ty ano? Vetsinou nakaza byla chybou zamestnance, proste si natahl svinstvo do PC, protoze byl zahadne vypnuty bezplatny AV, byl v lokalni site a zahadnym zpusobem se to rozlezlo na nekolik dalsich PC (chyba administratora).

  18. Už půl roku jsem neviděl žádné moře, nevyschla náhodou? To je absurdní tvrzení.

    Umíš poznat napadený router? Měl bych s tím sám problém, pokud se z venku neprojevuje a nemá změněné soubory na disku, změna nastavení nebo modifikace aplikací v paměti je strašně složitá na detekci i pokud daný router dobře neznáš.

    Podle čísel z cz.nic je každý rok v ČR jednotky tisíc až spodní desítky tisíc napadených routerů (dvakrát ročně určitá čísla je možné zahlédnout na jejich konferencích). Špatně se poté rozlišuje mezi napadeným routerem a nezáplatovanou známou slabinou, bere se to tak, že router je napadený ač ještě být nemusí, při interpretaci statistik to chce brát v úvahu.

    Plošnému napadení českých routerů výrazně brání NAT, není sice velký problém přes NAT se dostat, ale ty útoky s tím nepočítají a zbytečně si to nekomplikují, ve světě se totiž tolik nepoužívá jako u nás.

  19. Tak já jich viděl za poslední rok desítky, ale to je spíše prostředím, kde se pohybuji (páteřní sítě, ISP, firemní sítě). V roce 2016 jsme tu měli Motherfucker a to jsem jich viděl spíše desítky za den než za rok :-)

    Mnoho domácích uživatelů chce veřejnou IP kvůli torrentům, firmy kvůli VPN a na řádné zabezpečení nedbají a lze často najít otevřené administrace s default loginem - sám si občas jen tak pro zábavu vyhledávám v Shodanu. V nejjednodušším případě pak stačí změnit DNS server a je vystaráno. Jak jsem psal, tak útočníci stále nejraději tyto krabičky používají k DDoS - třeba jen jako zdroj pro další amplifikační útoky.

  20. mám na routeru forward dovnitř na na server na port 80, pak ještě nějaké SSL porty, otázka zní spustit (a jaký) na serveru nějaký IP inspekt, který by bloknul případný závadný trafic?

  21. Citace Původně odeslal smitka Zobrazit příspěvek
    Tak já jich viděl za poslední rok desítky, ale to je spíše prostředím, kde se pohybuji (páteřní sítě, ISP, firemní sítě). V roce 2016 jsme tu měli Motherfucker a to jsem jich viděl spíše desítky za den než za rok :-)

    Mnoho domácích uživatelů chce veřejnou IP kvůli torrentům, firmy kvůli VPN a na řádné zabezpečení nedbají a lze často najít otevřené administrace s default loginem - sám si občas jen tak pro zábavu vyhledávám v Shodanu. V nejjednodušším případě pak stačí změnit DNS server a je vystaráno. Jak jsem psal, tak útočníci stále nejraději tyto krabičky používají k DDoS - třeba jen jako zdroj pro další amplifikační útoky.
    Chápu tedy správně, že útočníkovy stačí tedy třeba přes nějaký link zjistit IP adresu a pokud je veřejná tak se sní spojí podobně jako když zadám localhost, pak zadá defalutní heslo, v konfiguraci změní nastavení a to mu stačí pro botnet?

Hostujeme u Server powered by TELE3