Poke #1 Poke #2 Poke #3 Poke #4
Forum Chat

Fórum

Zavedení zabezpečeného připojení pro PJZ

lisakVUK
[1] Vložil lisakVUK dne 05.02.2016 v 11:09:33, Odpovědět
IP hash: b1c1d6ef3ea53c66

Jelikož máme k hostingu možnost vyzkoušet zdarma SSL certifikáty, přecházíme pro test (společně s Pika) na https://. Pokud by to dělalo problémy, lze zrušit.

Jelikož se při přihlašování posílají na server hesla v otevřené (textové) podobě, zabezpečení má smysl.




Pidgi
picture
[2] Vložil Toegdip dne 05.02.2016 v 11:51:52, Odpovědět
IP hash: 19b764108b938916

No,přes BlackBerry se už na pjz nepodívám, hlásí mi to vážné narušení bezpečnosti... super certifikát



lisakVUK
[3] Vložil lisakVUK dne 05.02.2016 v 12:48:04, Odpovědět
IP hash: b1c1d6ef3ea53c66

[2] Toegdip: To je nemilé. Cetrifikáty Let’s Encrypt se rozšiřují, protože jsou zadarmo a snadno dostupné.

Každopádně do doby, než se to doladí, nechám povolený i nezabezpečený přístup.

 

Zpráva byla změněna dne 06.02.2016 v 00:09:55



Aura is...

...with me
[4] Vložil Ash493 dne 06.02.2016 v 09:57:12, Odpovědět
IP hash: 2e0180dcef113e09

Proto občas při přihlášení jsem redirectován na ruskou stránku s jediným buttonem, který mě navrátí na přihlášení?



lisakVUK
[5] Vložil lisakVUK dne 06.02.2016 v 11:04:31, Odpovědět
IP hash: 8ea65fbc4d408103

[4] Ash493: Ne. To souvisí s přechodem na jiný server, kde podle mě občas zablbnou sessions. Přesnou příčinu zatím neznáme. Vypadá to, že se to děje zejména (ne-li výhradně) při prvním přihlášení po převodu na nový hosting. Každopádně stačí kliknout ono tlačítko..



...
[6] Vložil/a anonymní uživatel/ka dne 06.02.2016 v 12:02:04, Odpovědět
IP hash: e1b0478d4ca801ed

[4] Ash493: omg, ja jsem si myslel, ze si jen delas srandu ale podle [5] to fakt dela?! .D



lisakVUK
[7] Vložil lisakVUK dne 06.02.2016 v 12:39:15, Odpovědět
IP hash: 389e86eb6493d881

[6] : ?? A co je na tom tak OMG? Nemyslim, ze tenhle problem je tak zasadni, aby to nejak extra komplikovako lidem na strance zivot.




Pidgi
picture
[8] Vložil Toegdip dne 06.02.2016 v 13:12:57, Odpovědět
IP hash: 1a2cdccddefa7d3b

[7] lisakVUK: no, ono by tohle prostě dělat nemělo... popravdě se nedivím, že mi to v důsledku BlackBerry zablokovalo xD jen pozor na to ať se PJZ nedostane na nějaký blacklist



lisakVUK
[9] Vložil lisakVUK dne 06.02.2016 v 13:32:55, Odpovědět
IP hash: 389e86eb6493d881

[8] Toegdip: Mel jsem za to, ze ti to bloklo certifikat. Coz je uplne jina "story" nez vyse popsany problem, ktery nastaval i pred zavedenim certifikatu. Vzhledem k tomu, ze hostujeme na ruskem serveru (profesionalni hostingova spolecnost Hostland.ru, kde jsme dostali pres znamost velmi vyhodnou nabidku) je hlaseni v rustine v poradku. Kazdopadne to berte jako test, pokud se hosting neosvedci, pristi rok se presuneme zase jinam. Ale zatim to prineslo vic vyhod nez nevyhod (vcetne mene nez polovicni ceny).



...
[10] Vložil/a anonymní uživatel/ka dne 07.02.2016 v 19:04:03, Odpovědět
IP hash: e1b0478d4ca801ed

pika/pjz je hostovano na ruskem serveru? .D hnus...



lisakVUK
[11] Vložil lisakVUK dne 07.02.2016 v 19:22:23, Odpovědět
IP hash: edde04349264d2dc

[10] : Tak v dnesni globalizovane dobe mi neprijde nic neobvykleho vyuzivat i zahranicnich zdroju. V podstate je to jen veci nabidky sluzeb a ceny. Pokud mas proti hostingu neco konkretniho (server je casto nedostupny, ma pomale odezvy atd...) pak je samozrejme na miste to resit, ale jestli je fyzicky v Rusku, Americe nebo Australii je IMHO tak trochu jedno, ne? PJZ neni o politice.



Aura is...

...with me
[12] Vložil Ash493 dne 08.02.2016 v 09:58:12, Odpovědět
IP hash: 2e0180dcef113e09

[6] : Screenul jsem ti to =D

http://i.imgur.com/BnkKxYS.png



lisakVUK
[14] Vložil lisakVUK dne 08.02.2016 v 14:23:17, Odpovědět
IP hash: b1c1d6ef3ea53c66

[12] Ash493: Oficiální vyjádření hostingové společnosti:

"Je to součást systému zavedeného proti "bruteforce" hesel (zkoušení mnoha hesel). Po vytvoření cookie by redirect už neměl probíhat a měla by se otevřít rovnou stránka s loginem."

Domnívám se, že je to navíc vázané na název "login", zkusil jsme přejmenovat na logon (a upravit odkazy) a uvidíme.

Každopádně to není nic závadného...

 

Zpráva byla změněna dne 08.02.2016 v 14:28:09



[15] Vložilo ghormoon dne 08.02.2016 v 20:43:36, Odpovědět
IP hash: 2e96b204c74f7e32

ad SSL, rve to, ze nektere casti webu nejdou po SSL. nezkoumal sem to, tipoval bych obrazky a podobny veci ...



lisakVUK
[16] Vložil lisakVUK dne 08.02.2016 v 22:01:16, Odpovědět
IP hash: 8ea65fbc4d408103

[15] ghormoon: JJ. Bude třeba ještě zrevidovat web a přepsat přinejmenším interní vazby, aby tam v nich nikde nebyl protokol, ale zůstane problém s fórem, kde se linkuje extrení obsah a s avatary.



[17] Vložil pein dne 23.02.2016 v 12:42:13, Odpovědět
IP hash: ef841672c25fd887

Veľmi chválim snahu aplikovať SSL, určite to je dobré krok s ohľadom ako na bezpečnosť tak aj na marketing /Google zohľadňuje už aj to/.

Avšak síce sa web snaží použiť HTTPS, je potrebné ešte doladiť zopár vecí, pretože aspoň mne stále nešifruje. Veľa štastia.



lisakVUK
[18] Vložil lisakVUK dne 23.02.2016 v 16:15:01, Odpovědět
IP hash: b1c1d6ef3ea53c66

[17] pein: Jako vůbec? Co vím, tak to píše, že části stránky jsou nešifrované, což je pravda, neboť je zde linkován obsah přes http. Co se týká odkazů v rámci obsahu webu, tam to lze pořešit, ale odkazy "ven" na fóru stejně jako uživatelské HTML nicky (avatary) zůstanou problém, neboť externí obsah neovlivním. Ale i tak má šifrování smysl, zejména v případě posílání hesel při přihlašování.



John Beak
the Nearly Ultimate One
Trolling je umnění | Design Your Universe
John Beak's Website | PokéSport (VGC)
[19] Vložil John Beak dne 26.02.2016 v 13:52:33, Odpovědět
IP hash: 6a9b985f168657f5

PJZ mi teprv teď přeskočilo na https, ale prohlížeš křičí, že části stránky nejsou šifrované.



lisakVUK
[20] Vložil lisakVUK dne 26.02.2016 v 18:12:12, Odpovědět
IP hash: e4d4d180da2e954e

[19] John Beak: jj. To je pravda a asi to tak vzdy bude (viz vysvetleni vyse).




Pidgi
picture
[21] Vložil Toegdip dne 11.03.2016 v 21:26:17, Odpovědět
IP hash: 19b764108b938916

btw. BlackBerry mě už týden nebo dýl nechce pustit na PJZ, protože má problém s certifikátem...



lisakVUK
[22] Vložil lisakVUK dne 13.03.2016 v 00:18:02, Odpovědět
IP hash: 4fc5f32d1c8a0804

[21] Toegdip: A co když zkusíš http:// místo https://. Zabezpečené připojení není povinné.

Morx má taky BlackBerry a taky se mu stalo, že ho to vyblokovalo, ale zřejmě jen přes https://. Pokud jsem dobře pochopil, jde o to, že to co jinde ukazují jako "warning" - tedy že části stránky jsou nezabezpečené, je na BlackBerry už důvod k odmítnutí zobrazení stránky. BlackBerry nemám a tudíž nemohu vyzkoušet, alepředpokládal bych, že tam bude nějaké nastavení zabezpečení a tam by to mohlo jít nastavit.




Pidgi
picture
[23] Vložil Toegdip dne 13.03.2016 v 11:04:59, Odpovědět
IP hash: 19b764108b938916

[22] lisakVUK: rozdíl mezi http:// a https:// nevnímá BlackBerry jako rozdíl, jde o certifikát a ten je podle něj stále špatně...

Vyjádření mého telefonu:

Velký černý křížek v červeném osmiúhelníku (podle definic nejhorší možná varianta ohrožení)

- certifikát k identifikaci www.pjz.cz nebyl ověřen důvěryhodným zdrojem

- You can't proceed because this website has HTTP Strict Transparent Security enabled

Shrnuto a podtrženo, nepatří vydavatel certifikátu do ověřených nebo ověřitelných zdrojů certifikátů v seznamech BlackBerry a tím pádem mě za současné situace na web nikdy nepustí. V podobných situacích lze přidat výjimku, v tomto případě to ale BlackBerry nedovoluje - možná to ví lépe než já proč a možná není problém jen v certifikátu.



lisakVUK
[24] Vložil lisakVUK dne 13.03.2016 v 12:43:05, Odpovědět
IP hash: c30690e243823948

[23] Toegdip: Certifikaty Let's Encrypt jsou moznosti, jak snadno a zadarmo zabezpecit web. Slouzi pouze k sifrovani spojeni - neoveruji tedy mejitele webu atd... V soucasnosti jsou pomerne siroce podporovane (Microsof, Google, Apple). Pokud by melo problem vice lidi, pak ten certifikat klidne opet stahnu, ale zatim ses ozval jen ty s tim, ze te system vubec nepustil. Rad bych ti pomohl najit reseni, ale asi bych to musel videt na vlastni oci a neco o BlueBerry nastudovat - dosud jsem nemel v ruce. Jinak Morx ma jeden telefon taky BlueBerry a presto mu to fungovalo - i kdyz zaznamenal taky na omezenou dobu problem, pokud si dobre pamatuju, vyresil pristupem pres http:// misto https://. HTTP je nezabezpecene pripojeni - tudiz se zadny certifikat nepouziva, takze neni co overovat. Je ovsem mozne, ze tvuj system zkousi https i v pripade ze zadas jen http, pak by snad melo jit takove chovani v nastaveni zmenit. Muzeme probrat vecer na ICQ, budes-li online.



[25] Vložilo Sanky dne 13.03.2016 v 12:56:04, Odpovědět
IP hash: f741b8d94396424

[23] [24]: Aha, a jéje. Vuku, v jednom bodě jsi nastavil HSTS. Toho se už nezbavíš.

Přestože už není na místě redirect z http:// na https://, posílá web http header Strict-Transport-Security: max-age=31536000;. To znamená že jakmile navštíví prohlížeč stránku po HTTPS, po určitou dobu (konkrétně rok) si "zapamatuje" že na ní nesmí bez zabezpečení, a proto bude i nadále přesměrovávat (u sebe) http na https. Takže to co se děje je že si Toegdipovo Blackberry zapamatovalo HSTS a odmítá se připojit po HTTP.

Druhá věc co se děje je nejspíš to, že BlackBerry má moc stáre root cerfitikáty a nepodporuje tedy Let's Encrypt. Z tohoto tématu, následující systémy nepodporují LE:

  • Blackberry OS 10, 7, & 6
  • Android 2.3.5 (HTC Wildfire S, Stock Browser)
  • Nintendo 3DS
  • Windows XP

To, že je špatný certifikát, by typicky na zařízení šlo obejít (prostě odkliknout), ale opět nastavení HSTS tuto možnost zakazuje - certifikát musí být platný.

V tomto bodě kvůli HSTS rozhodně nepomůže stáhnout certifikát! Stovky prohlížečů si ho pamatují a nepřipojí se pokud tam nebude. Správný krok je co nejdřív vypnout nastavení HSTS (to nikdy nemělo být aktivované naslepo, jedině po měsících svižného běhu...), a na Toegdipově straně vyčistit nějaké cache, aby pro PJZ nemělo HSTS záznam (to, jak se to dělá na Blackberry, si budeš muset zjistit...)

 

Zpráva byla změněna dne 13.03.2016 v 13:01:41




Pidgi
picture
[26] Vložil Toegdip dne 13.03.2016 v 14:42:42, Odpovědět
IP hash: 19b764108b938916

[25] Sanky: Díky za vysvětlení. Až bude HSTS vypnuto, tak si jen vymažu cache v prohlížeči a pak to snad bude běhat. BlackBerry je holt konzerva :)

Doplnění:

No a problém jsem dočasně vyřešil tím, že používám jiný než zabudovaný prohlížeč. Efektivní to není, ale dostanu se na web. Hail to Max Mobile Security Web Browser.

 

Zpráva byla změněna dne 13.03.2016 v 14:46:48



lisakVUK
[27] Vložil lisakVUK dne 13.03.2016 v 23:14:29, Odpovědět
IP hash: 4fc5f32d1c8a0804

[25] Sanky: Díky za vysvětlení. Problém je v tom, že zatím to nevypadá, že bych byl HSTS schopen vypnout. Nemám totiž přístup ke konfiguraci serveru (ta je navíc společná pro všechny weby, které na něm hostují a je tedy nepravděpodobné, že by ji provider kvůli mě měnil). Vlastnosti mohu měnit jen pomocí .htaccess. Existuje možnost nastavit "Strict-Transport-Security max-age=0;", což by mělo HSTS defakto vypnout, ale když to použiju, server tam stejně nacpe původní hodnotu a je tam tedy ve výsledku obojí "max-age=0, max-age=31536000;".

Zatím jsem nevygooglil žádnou funkční možnost jak se toho zbavit. Pokud někdo ví jak na to, rád si nechám poradit. Jinak prpovider hostingu nabízí Let's Encrypt certifikáty k hostované doméně defakto "na klik", žádné možnosti jemnějšího nastavení tam nejsou - prostě buď zavézt nebo zrušit.



Přidat příspěvek

Přezdívka:
Heslo:

Registrace není povinnou podmínkou, v případě, že vyplníš jen přezdívku (bez hesla), uloží se zpráva anonymně. Pro časté přispívání doporučujeme se zaregistrovat a zvolit netriviální heslo - a předejít tak možnosti krádeže identity.


Credist  
Pokémon © Nintendo 1995-2024
Webdesign by Akela Taka 2001-2024
Novinky
Credits Novinky