problémy
Už si nevybavuji co přesně to bylo, ale vím, že nám protokol https někde způsoboval potíže a pro některé úkony bylo nutné odstranit to "s" z adresy.
Toto bude patrně důvod, proč není https výchozí volbou.

re: problemy
Chapu, ze to nemusi byt prechod uplne zadarmo, nicmene viz ty odkazy vyse: https je dnes standard a nutnost.

Casto je problem s certifikatem, ktery je zde tedy vyreseny. Klidne budu https provoz zkouset a pokud narazim nekde na problem tak to nahlasim.

Bylo by ale vhodne to zapnout pro vsechny by default.

TODO (alias Issue tracking)
Nemohu si pomoci, ale musim:
Kdyby se tyto veci evidovaly v nejakem rozumnem Issue tracking systemu nebylo by to ve stavu "nepamatuji se, ale delalo to NEKDE problemy" tj. stav kdy to nikdo nikdy resit nebude, protoze nechce nic rozbit a radeji nez aby to resil tak se to necha hnit do doby nez nejaky browser HTTP zakaze uplne.

Bylo by to ve stavu "je treba vyresit problem XY pri pouziti HTTPS", coz je daleko pristupnejsi k nejakemu brzkemu vyreseni.

Znam to z prace: co si jasne nezdokumentujeme, tak se toci stale dokola a nikam to nevede...

Opet nabizim ze mohu s tim Issue trackingem pomoci to rozjet popr. to i nejak lehce spravovat pokud to bude napr. v Redmine, ktery bezne pouzivam. Ale bylo by fajn kdyby to fungovalo jako soucast projektu ZH, ktera bude pomahat a ne jako nejaka truc akce, ktera jen bude "dokumentovat" nezmenitelne veci :-)

re: TODO (alias Issue tracking)
To souhlasim. Issue tracking je pri vyvoji rozhodne potreba tim spise v IT. Uz jen mit tedy misto kam hlasit pripadne problemy na ktery uzivatel narazi.

Timto se ale nechci cpat do vyvoje ci provozu webu. To je na kazdem provozovateli.

PS: bylo by vhodne na to zalozit jine vlakno, at se pripadne tady ta diskuze neodchyli od puvodniho tematu ohledne https

K čemu https?
Https je sice dnes už, jak říkáš, standard a jeho dostupnost je úplně jinde než před pár lety (hlavně díky lets encrypt a dříve také startSSL). Díky tomu lze použít 1st level certifikát zcela zdarma, což je většinou super... ale, nějak nechápu, k čemu tady na ZH šifrovaný přenos dat. Bojíš se snad man-in-the-middle útoku, že ti útočník ukradne přihlašovací údaje? Píšeš, že zadávání částky v bazaru neprobíhá na zabezpečeném protokolu, ale vždyť ta částka je veřejný údaj... nevím, ale na ZH bych se asi nebál nějakého session hijacking či získání citlivých dát účtu pomocí MitM útoku :D

Nevím, jak funguje web ZH, a případné problémy bych tipoval na nějaké JS skripty, které se tahají z nezabezpečených repozitářů, což prohlížeč nativně blokuje (nejčastější problém), ale myslím, že je tu spousta jiných věcí, které by zasloužily pozornost.

Ještě doplním, že https protokol rozhodně není nutnost. Pokud je reálná hrozba, že případný útočník získá citlivá data nebo přístup k finančním operacím, pak je https protokol prvním opatřením, které je nutné implementovat. Ale jinak je to tak maximálně nice to have a mnohdy zcela zbytečné.

@Behe
A co takhle, když uživatel používá stejné heslo na vícero serverech? Podle toho jak píšeš, bys sám měl vědět, že tak mnoho lidí prostě funguje... a je úplně jedno co i o tom já nebo Ty myslíme ;)

Za mě je to ten nejrelevantnější důvod proč mít ZH na HTTPS.

"někde" to dělá problémy
Já osobně nemám potřebu si pamatovat, kde to dělá problémy, protože to programovat nebudu. Veškeré programování obstarává Zeus a ten má jistě poznamená kde a jaké problémy to způsobovalo.
Zeus ale není ten, který by se tu pravidelně vyjadřoval, tak jsem se vyjádřil já.

Celou pointou mého příspěvku mělo být: https by bylo dávno implementováno, kdyby tento protokol nezpůsoboval problémy, které neumíme (rozuměj Zeus) ani s (free) pomocí zkušenějších webových programátorů odstranit.
Pro tuto informaci je úplně jedno, kde to dělá problémy, podstatné je, že to nefunguje dostatečně na to, abychom to mohli spustit. Proto jsem se dále po přesné specifikaci problémů nepídil...

Medwidek
Jestli člověk používá jedno heslo pro více webů je čistě jeho problém. Nelze přece svoji pohodlnost či neschopnost přenášet na někoho dalšího. Bohatě stačí pokud člověk má jedno univerzální heslo pro weby, na kterých nesděluje žádná citlivá data, což ZH určitě je. Možná je to neuvěřitelné, ale svoji sbírku her nepovažuji za citlivý osobní údaj :)

Pokud člověk nedodržuje alespoň tyto elementární zásady ochrany hesel, pak pochybuji, že mu https pomůže. Bráno z druhé strany - tedy ze strany útočníka - myslíte si, že bude plýtvat energií a čase, aby se dostal k něčí sbírce her? Nemyslím si. Existuje celá řada mnohem spolehlivějších cest, jak získat přístupové údaje k něčemu cennějšímu, než je účet na ZH...

A tady je pár důvodů proč: předpokládejme, že jsem útočník, který má spadeno na určitou osobu. Vím o ní, že má účet na ZH (mimo jiné). Jde mi ale o přístup k jeho emailové schránce a budu předpokládat, že má stejné heslo na její webmail, jako tady na ZH. Ano, pravdou je, že mám celkem slušnou naději, že tomu tak je (jestli však používá další úrovně zabezpečení je v tuto chvíli otázkou) .

Nuže, pustíme se do toho. Nejjednodušší a nejefektivnější je phishing. Odešlu mu tedy email s výzvou aby se přihlásil/změnil heslo/naspal číslo svých spoďárů či pin ke kreditní kartě (lze doplnit cokoli). Někde na netu spustím subdoménu zatrolene-hry.ukradnutivsechno.cz, na kterou bude email odkazovat. Budu doufat, že můj cíl je nepozorný a nevšimne si v adrese té domény "ukradnutivsechno.cz" - v tomto případě by nepomohlo ani HTTPS... možná ani svěcená voda. Faktem ale je, že podobné útoky jsou stále neuvěřitelné úspěšné.

Fajn, Pepa (jak si naši oběť nazveme) není úplnej manták a phishingovou zprávu odhalil. Zkusím se tedy k jeho účtu dostat jinak. Vím kde bydlí a vím, že používá Wi-Fi. Protože nemám fyzický přístup k jeho síti, budu se muset nabořit na jeho Wi-Fi. Běžný uživatel doma asi nebude mít spuštěný radius server nebo podobnou chujovinu, která by mi snažení značně znesnadnila. Sednu si tedy před barák a začnu jeho Wi-Fi odposlouchávat. Jak jsem už psal, Pepa není manták a Wi-Fi má šifrovanou a zabezpečenou. Musím tedy vysedět důlek, abych odposlech dostatečný objem šifrovaných dat, které se následně pokusím dešifrovat. Pokud se mi to podaří, jsem schopen teoreticky zjistit i heslo odeslané na web ZH, protože data netečou přes HTTPS - tedy šifrovaně. Nicméně, k tomu, abych se tímto způsobem k onomu vytouženému heslu dostal, musím ještě podniknout X dalších kroků a integrovat svoje zařízení do sítě oběti Pepy, tak, aby data odesílaná/přijímaná Pepou do internetu tekla právě přes můj počítač a já tak mohl vidět co přesně posílá či přijímá.

Tohle je opravdu hodně zjednodušeně popsáno, jak lze v praxi zneužít absenci HTTPS protokolu. A teď se znovu ptám, bude opravdu někdo investovat tolik času a úsilí, aby získal heslo k účtu na ZH? A podotýkám, že se tady nebavíme o rychlovce na půl dne. Jasně, ta sbírka her a vidina její kontroly útočníka může hodně vybudit, ale stejně...

A když získám heslo, stejně nemám jistotu, že bude fungovat někde jinde, pokud předpokládáme, že k tomu "někde jinde" znám login a není tam implementována vyšší úroveň zabezpečení. Nejsem hacker, ale myslím, že jít někoho vykrást přes ZH asi nebude úplně nejefektivnější cesta :)

Pokud už se tu řeší HTTPS, tak co další věci, je ZH ošetřeno proti brute force útoku tím, že po X neplatných přihlášení zablokuje účet? S pomocí slovníků může být tato metoda také celkem úspěšná a zvládnu to z pohodlí domova. Pokud půjdeme dál, jak je web ZH chráněn proti SQL injection? pokud nedostatečně, jakou používá metodu hashování hesel v DB? Zastaralou MD5, kterou lze pomocí ranbow tables prolomit?..... a takhle můžeme pokračovat dál a dál.

HTTPS je hezké mít, ale není to nutnost, zvláště ne tady na ZH. Pokud tady na tom něco hapruje, tak nevidím důvod to hrotit.

to Behe
Nechci to zabihat do plamenych diskuzi. Mel by sis ale toto tema vice prostudovat. Stejny nazor ma napr. PR policie CR a jsou dost vedle:

https://twitter.com/spazef0rze/status/913694054910713857

Utoku na uzivatele je tisice. https je jeden z mechanismu ochrany dat uzivatelu i serveru.

Co se vsechno muze dit bez https – napr. a berme stranou, jakymi nastroji toho docilim. Internet je divoke misto a opravdu to tak nemozne neni. Utocnik muze cst veskera data od uzivatele i od serveru a stejne tak i manipulovat s obsahem stranky ci pozadavky od uzivatele. Tzn. napr:

- Zjistovat
-- Ktere weby vcetne URL uzivatele navstevuje
-- Jmena, hesla, vsechno co se posila
-- Duverne informace, ktere nemaji byt pro treti stranu videt

- Upravovat obsah
-- Vkladat reklamy (to se opravu casto deje, napr. na free wifi na letistich)
-- Vkladat malware!
-- Upravovat prispevky, informace
-- Unaset spojeni, posilat redirecty atd, atd.


Kdyz to vztahnu primo na ZH, tak co me napada:
- Muzes ziskat heslo ci cookie (a tim ucet ukrast, zablokovat, ...)
-- Stejne heslo pouzit do jinych sluzeb
-- To ze to uzivatel nema delat je vedlejsi. Zkus to vysvetlit sve babicce ;]
-- Toto je dostatecny duvod https zavest

- Navstevnost stranky vyuzit ve svuj prospech
-- Vkladat malware, jakehokoliv charakteru, napr. zavirovat pocitac, pripojit ho do botnetu ci jen tezit v prohlizeci kryptomeny
-- Ziskavat prokliky na reklamy
-- Vyuzit stranku ZH k phishing utokum (ktere si sam zminil)
-- Stranku zhanobit: zobrazovat odkazy ci obrazky s nevhodnou tematikou
-- ...

- Ziskat pristup, zobrazit si zpravy na ZH
-- Ty maji byt duverne, posilaji si je uzivatele mezi sebou a nema je videt nikdo treti
-- Muzes i poslat zpravu za nekoho jineho

- Menit vysi prihozu, shovavat ci zobrazovat aukce
- Svazat ucet s IP adresou
-- Dle GDPR je IP adresa osobni udaj, stejne jako napr. datum narozeni ci rodne cislo
-- GDPR je byrokraticka otrava, nicmene je to treba respektovat a chraneni osobnich udaju neni dobre brat na lehkou vahu


HTTPS je dnes standard i nutnost. At uz mas stranku s vice ci mene duvernymi informacemi, prihlasovanim nebo bez. Veskera data jsou duverna.


EDIT: Upravil jsem odrazky, aby to alespon trochu bylo videt, kdyz se odsazeni nezobrazuje

PS to Behe
Jeste par poznamek k tvym nepresnym poznamkam, ke kterym jsem se prve nevyjadril

- 1st level certifikat
Tento termin jsem nikdy neslysel a ani jsem nic podobneho nenasel. Myslel jsi tim DV certifikat?


- Bohatě stačí pokud člověk má jedno univerzální heslo pro weby, na kterých nesděluje žádná citlivá data, což ZH určitě je.
Jediny spravny zpusob je mit pro kazdy login/sluzbu/ucet vlastni heslo a pouzivat (bezpecne) spravce hesel. To, ze to nekdo nedela, jeste neznamena, ze to "bohate staci".


- Pepa není manták a Wi-Fi má šifrovanou a zabezpečenou. Musím tedy vysedět důlek, abych odposlech dostatečný objem šifrovaných dat, které se následně pokusím dešifrovat.
Tak pokud se jedna o WPA2, tak tedy nevim, jak jinak nez brute-force utokem chces prolomit heslo. A potom nepotrebujes zachytit "dostatečný objem šifrovaných dat", ale pouze zacatek Wi-Fi komunikace (handshake). Ano, existuje nedavno publikovany KRACK, nicmene spousta zarizeni je jiz opravena a Pepa neni "manták" (at uz to znamena cokoliv).

Pokud Pepa pouziva WEP/WPA/WPS, tak je to to same, jako kdyz provozujes web na http a Pepa "manták" je.


- musím ještě podniknout X dalších kroků a integrovat svoje zařízení do sítě oběti Pepy
Pokud uz jsi v LAN siti Pepy, je to uz ve srovnani s probouranim WPA2 celkem trivialni.


Jo a dovolim se zde parafrazovat jeden pekny citat:
"To, ze https neni potreba, protoze nemas potrebu nic skryvat, je stejne, jako kdybys rekl, ze svoboda slova neni dulezita, protoze nemas co rict."

To Zeus
Zeusi, prispeju ti na skoleni [1] ci [2] nebo na provoz zatrolene-hry, kdyz se hecnete a na https to zprovoznite by default pro vsechny.


Mohl by to. mapr. Wolfsen, posunout dale? Diky

[1] https://www.michalspacek.cz/skoleni/https-pro-vyvojare-a-spravce
[2] https://www.michalspacek.cz/skoleni/bezpecnost-php-aplikaci

Paranoia
Není důležité, jak útočník docílí získání dat? Pak tedy může stát oběti za zády a data si psát do deníčku. Nebo ukrást pc a data získat odtud. Důležité to samozřejmě je.

Všechno, co jsi popsal je samozřejmě možné, ale je k tomu potřeba to, co jsem popsal já. U některých věcí ti ani https nepomůže... Bez zachycení přenosu ty data nemáš jak získat. A znovu, pokud útočník opravdu bude o ta data stát, https rozhodně není překážkou.

Teď heslovitě "poznámky k tvým poznámkám o mých nepřesných poznámkách":

1st lvl certifikát - tím je myšlen certifikát základní. Pokud se nepletu, patří sem DV, OV, SAN/UC. Stačí takto, nebo chceš i odkaz? Omlouvám se , že jsem certifikáty přímo nepojmenoval, ale mé označení mi přišlo dostatečné.

Mít na každý web jiné heslo je jednoznačně správně. O tom žádná. Ale má to smysl? Weby, kde v podstatě není co ukrást (pokud nebudu přehnaně paranoidní) asi nemusím mít zabezpečené jako e-bankovnictví. Každý to má nastavené jinak. A znovu, každý je za svoje jednání zodpovědný.

Prolomení Wi-Fi je X způsobů a liší se i v závislosti na použité technologii zabezpečení. Někdy stačí handshake, jindy je třeba mnohem větší objem dat. Konkrétně o zabezpečení Wi-Fi tato debata není.

Integrace samozřejmě není náročná, ale je to další z mnoha kroků MitM útoku.

Netvrdím, že https je zbytečné. Myslím jen, že ZH má spoustu jiných a palčivějších problémů. Stejně tak mi přijde tahle přehnaná paranoia ohledně https zcela mimo. Je to jako člověk, který má deaktivovaný JS v prohlížeči, protože někde četl, že je to nebezpečné. Ano, nebezpečné je i řídit auto a rozhodně by byl bezpečnější obrněný tank.

V teorii je nepřeberné množství zásad, jak se v kyberprostoru chránit, ne vše je v lidských silách a míra rizika, jakou je uživatel ochoten podstoupit je zcela na něm. Patří sem i to, jestli navštívím stránky běžící přes http protokol a přijmu rizika s tím spojená. V případě ZH mi míra rizika ve spojení s https prostě přijde tak malá, že nemá smysl se tím zabývat.

to Behe
Myslim, ze nadale diskutovat je zbytecne. Ty mas svuj nazor a ja zase svuj.

To Zeus
Nerad bych, aby muj puvodni prispevek zapadl.

Moje nabidka plati, domluvim se s kymkoliv s provozovatelu webu pres PM ci mail.

Hotovo
Nevim od kdy, ale vypada to, ze web uz presmeruje na https. Jsem rad ze, to tak dopadlo.

Na ssllabs.com to dostava i vysoke skore, chybi uz jen HSTS hlavicka.

.
.