HTTPS-only pro web a fórum?

Připomínky k hlavní části serveru


Necroman
Příspěvky: 10

Příspěvek#1 » pon 8. led 2018, 16:32

Ahoj,
jen dotaz, plánuje se úprava nastavení web serveru zbranekvalitne.cz, aby vždy vracel HTTPS variantu webovky?
Díval jsem se a HTTPS již funguje, nastavení cipher suites je OK, jde tedy jen o to pro HTTP requesty vrace 301 redirekt, a v budoucnu přidat i HSTS header, aby všechny pokusy o HTTP navigaci browser automaticky přepnul na HTTPS. Nevím, zda http varianta funguje z nějakých historických důvodů, nebo nebyl čas to nastavit?
Díky :)



kubass_hk9
Příspěvky: 293

Příspěvek#2 » pon 8. led 2018, 16:42

taky bych to uvítal... přeci jenom napsat do prohlížeče "z" je podstatně rychlejší, než "https://z" :)



Niaz
Příspěvky: 148

Příspěvek#3 » úte 9. led 2018, 10:45

Nainstalujte si do prohlížeče addon který vynutí https a máte pro problémech. Já ve Firefoxu používám Smart HTTPS.



JardaB
Příspěvky: 828

Příspěvek#4 » úte 9. led 2018, 10:50

muzu se zeptat, k cemu je to dobre? Chapu to u bankovních aplikaci ale u fora?



vgj
Příspěvky: 349

Příspěvek#5 » úte 9. led 2018, 10:56

JardaB: Třeba že se přihlašovací údaje a příspěvky nevyskytují po cestě v otevřeném formátu.



JardaB
Příspěvky: 828

Příspěvek#6 » úte 9. led 2018, 11:02

Jo to je mi jasne ale nejak me to netrápilo. Ale tak proc ne, když to server podporuje.



Necroman
Příspěvky: 10

Příspěvek#7 » úte 9. led 2018, 15:54

HTTPS dává smysl všude, jen namátkové pár důvodů:
- S HTTPS nemůže váš poskytovatel Internetu/škola/zamětsnavatel/rodiče/přítelkyně koukat, na jaké stránky chodíte pomocí Man-In-The-Middle, který lze provést opravdu snadno.
- nelze odposlouchávat vaše přihlašovací údaje. Opravdu MNOHO lidí má stejný login třeba zde a na gmail.com
- S HTTPS nelze do stránky injectovat reklamy, malware, sledovací skripty nebo dnes populární skripty na těžbu kryptoměn.
- certifikát pro doménu lze nyní získat již zdarma a velká řada poskytovatelů webhostingu nabízí HTTPS zapnutí doslova na jedno tlačítko v administraci. Nastavení HTTPS-only je potom stejně snadné.
- weby s přihlašováním bez HTTPS již nyní zobrazují v Chrome ošklivé varování, že přenášená data nejsou soukromá a lze je odposouchávat. Opravdu to nevypadá hezky pro návštěvníky. Firefox pokud vím chystá to samé.

Pár odkazů pro inspiraci:
https://developers.google.com/web/funda ... /why-https
https://www.michalspacek.cz/prednasky/https-ctvrtkon

Uživatelský avatar
MarK
moderátor
Příspěvky: 3277
Kontaktovat uživatele:

Příspěvek#8 » úte 9. led 2018, 18:48

Ahoj, ano certifikát jsem nainstaloval před několika měsíci a spustil https, ale ještě jsem to nepřepnul tak, aby to bylo vynucené. Bohužel jsem narazil na nějaké problémy, které ohromně zpomalovaly načítání stránky přes https (tehdy se mi to nepodařilo vyřešit, musím na to kouknout znovu, jestli už to jde lépe či ne). Zřejmě ale nejdřív provedu přechod na novější phpbb, abych mohl konečně využít novější a rychlejší php verzi.

Jinak samozřejmě souhlas, https je vhodné využívat pokud možno všude na Internetu. Pro běžného uživatele mohu klidně doporučit addon HTTPS Everywhere - v podstatě o něm nevíte (jen jednou jsem zaznamenal větší problém).

Uživatelský avatar
kolombo
Příspěvky: 1242

Příspěvek#9 » úte 16. říj 2018, 08:12

A nešlo by to tedy nastavit tak, aby přístup automaticky směřoval na https verzi, pokud napíšu jen zbranekvalitne.cz ?? Podle mne to stále končí na http verzi :-(



Niaz
Příspěvky: 148

Příspěvek#10 » úte 16. říj 2018, 12:48

Nainstaluj si doplněk do prohlížeče. Buď HTTPS Everywhere nebo Smart HTTPS a budeš mít HTTPS všude, kde ho provozovatel stránek podporuje.

Uživatelský avatar
audis
Příspěvky: 1433

Příspěvek#11 » úte 16. říj 2018, 12:53

Tak jsem to udělal. Děkuji za rady. Furt se učím.

Uživatelský avatar
kolombo
Příspěvky: 1242

Příspěvek#12 » úte 16. říj 2018, 13:30

Obávám se, že právě na tomto webu to nefunguje :-(

A navíc si myslím, že by to měla být funkce webu a nikoliv doplňku prohlížeče ...



aToM
Příspěvky: 124

Příspěvek#13 » úte 16. říj 2018, 13:32

Chrome + Smart HTTPS mi funguje.
A tohle není komerční web, takže jestli je volba HTTPS only s rizikem zakousnutí a nedostupnosti, nebo současný stav, volím současný stav.
Obvykle taky stačí dát si do záložek odkaz s https:// a automatické doplňování adresy tomu dá přednost.



Niaz
Příspěvky: 148

Příspěvek#14 » úte 16. říj 2018, 19:14

kolombo píše:Obávám se, že právě na tomto webu to nefunguje :-(

A navíc si myslím, že by to měla být funkce webu a nikoliv doplňku prohlížeče ...


Pokud sis to nedal do whitelistu, tak to fungovat musí. Používám Firefox a na jednom PC mám HTTPS Everywhere a na druhém Smart HTTPS a obojí funguje bez problému.

Můžeš chtít aby to byla funkce webu, nebo si k větší bezpečnosti pomoci sám. ¯\_(ツ)_/¯

Uživatelský avatar
audis
Příspěvky: 1433

Příspěvek#15 » úte 16. říj 2018, 20:57

Necroman píše:HTTPS dává smysl všude, jen namátkové pár důvodů: ....

A pokud bych chtěl ještě vyšší ochranu před odposloucháváním, tak další level (další krok) je zřídit si VPN?

Zpět na

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti