Gå til innhold

D-dagen for HTTP har kommet

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Sokkalf™

Sokkalf™

Skrevet
Skrevet

SSL-handshake går vel et par-tre ganger frem og tilbake, så man kan nok gange latency med tre. De fleste browsere bruker keep-alive på tilkoblingen, så er den først etablert blir det ikke noe ytterligere forsinkelser på øvrige sideelementer fra samme host. I praksis merker man ikke så mye forskjell, med mindre latency var høy i utgangspunktet. F.eks 5ms på http og 15ms på https - ikke merkbart. 70ms på http og 210ms på https - kan nok merkes.

  • Liker 1
Lenke til kommentar
Tore Rosander

Tore Rosander

Skrevet
Skrevet

Er dere sikker på dette digi? I betaen merkes ikke mixed content som direkte usikker i adressefeltet.

 

"Det skjer at noen nettsteder velger å levere bare enkelte sider over HTTPS, typisk skjemaer hvor potensielt kan bli oppgitt sensitiv informasjon, for eksempel passord.

 

Dette hjelper selvfølgelig lite når Chrome nå skal begynne å flagge alle HTTP-sider som usikre. Siden det er i dag er både enkelt og billig for de fleste å ta i bruk HTTPS, samtidig som at dette har vært en varslet utvikling i ganske mange år, vil nettstedene som nå blir merket som usikre, få et stempel på seg for å være lite opptatt av brukernes sikkerhet og personvern."

Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

SSL-handshake går vel et par-tre ganger frem og tilbake, så man kan nok gange latency med tre. De fleste browsere bruker keep-alive på tilkoblingen, så er den først etablert blir det ikke noe ytterligere forsinkelser på øvrige sideelementer fra samme host. I praksis merker man ikke så mye forskjell, med mindre latency var høy i utgangspunktet. F.eks 5ms på http og 15ms på https - ikke merkbart. 70ms på http og 210ms på https - kan nok merkes.

Derfor man bruker http2. Tls 1.3 hjelper også. Men igjen dette merker bare maskiner ikke brukeren

Lenke til kommentar
Harald Brombach (digi.no)

Harald Brombach (digi.no)

Skrevet
  • Forfatter
Skrevet

Er dere sikker på dette digi? I betaen merkes ikke mixed content som direkte usikker i adressefeltet.

 

Har ikke nevnt mixed content med et ord i saken, så da kan jeg ikke ha bommet på det. :-)

 

Poenget mitt i det du siterer, er at en del aktører tidligere har unnskyldt seg med at de har brukt HTTPS på de stedene der det viktigst - for eksempel har enkelte nettbutikker kun brukt det i betalingsleddet. Dette argumentet fungerer derimot ikke mot "Ikke sikker"-advarselen i Chrome.

  • Liker 1
Lenke til kommentar
hempkins

hempkins

Skrevet
Skrevet

Dette er egentlig en liten tragedie. Det er en uting, og helt unødvendig å kryptere alle mulig aviser og informasjonssider. Hva er poenget? Hvorfor er det viktig at vg.no og digi.no kjøres kryptert? Informasjonen er jo offentlig tilgjengelig? Det skaper unødig kompleksitet, unødige kostnader, og det vanskeliggjør informasjonssikringsarbeid. Informasjonssikring er ikke bare å "stenge alle andre ute". Informasjonssikring er også mulighet til å inspisere trafikk gjennom brannmurer og andre sikkerhetsmekanismer. Vil du plante malware? Ikke noe problem - bare sett opp SSL, så bypass'er du brannmurer og IPS'er. Hvor gjennomtenk er egentlig dette SSL-hysteriet? (Jada, jeg skjønner at det er vanskelig å motstå google og andre giganter, men jeg spør allikevel hva som er poenget?).

 

Hva så om noen kan lese trafikkstrømmen mellom min klient og digi.no? Spiller det noen rolle? I så tilfelle - hvorfor?

  • Liker 3
Lenke til kommentar
Shruggie

Shruggie

Skrevet
Skrevet

Dette er egentlig en liten tragedie. Det er en uting, og helt unødvendig å kryptere alle mulig aviser og informasjonssider. Hva er poenget? Hvorfor er det viktig at vg.no og digi.no kjøres kryptert? Informasjonen er jo offentlig tilgjengelig? Det skaper unødig kompleksitet, unødige kostnader, og det vanskeliggjør informasjonssikringsarbeid. Informasjonssikring er ikke bare å "stenge alle andre ute". Informasjonssikring er også mulighet til å inspisere trafikk gjennom brannmurer og andre sikkerhetsmekanismer. Vil du plante malware? Ikke noe problem - bare sett opp SSL, så bypass'er du brannmurer og IPS'er. Hvor gjennomtenk er egentlig dette SSL-hysteriet? (Jada, jeg skjønner at det er vanskelig å motstå google og andre giganter, men jeg spør allikevel hva som er poenget?).

 

Hva så om noen kan lese trafikkstrømmen mellom min klient og digi.no? Spiller det noen rolle? I så tilfelle - hvorfor?

 

Sukk... Så nok en gang har noen innført en teknologi du personlig ikke trenger. So fucking what?

Hvordan påvirker dette livet ditt?

  • Liker 1
Lenke til kommentar
Vindstille

Vindstille

Skrevet
Skrevet

 

De er tregere ja, men ikke merkbart tregere, snakker forskjell i hastighet som bare maskiner kan oppdage.

Hvor mange ms snakker vi om? Må man ha en ekstra round-trip, eller er det kun noen utregninger som skal foretas?

For å etablere en HTTP forbindelse kreves 1 roundt-trip. Ved HTTPS 3 round-trips for første besøk og 2 round-trips for gjentagende besøk. En typisk nettside, med initcdwd på 15 kbit som er standard i Linux, krever i tillegg 4 rount-trips for å overføre 0,5 mb (og 6 round-trips for å overføre 2 mb).

 

Så hvis du sitter på

- en fiberforbindelse til en server i Norge øker tiden fra 150 ms til 210 ms.

- til en server i USA øker tiden fra 1000 ms til 1400 ms

- fra Norwegian fly med wifi fra 5 sek til 7 sek

 

Så ikke veldig stor forskjell, men langt fra ubetydelig heller.

 

Google har en teknologi kalt quic som de bruker brukt ca fem år mellom Chrome-nettlesere og Google-servere som bare krever setup på 1 round-trip (0 round-trips ved gjentagende besøk), men denne standardiseringen av denne teknologien går utrolig trekt.

Lenke til kommentar
Vindstille

Vindstille

Skrevet
Skrevet

... De fleste browsere bruker keep-alive på tilkoblingen, så er den først etablert blir det ikke noe ytterligere forsinkelser på øvrige sideelementer fra samme host. ...

 

En god del nettsider setter keep-alive til ganske kort f.eks. 5 sekunder, så ofte må forbindelsen etableres på nytt for hvert lenkeklikk.

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Dette er egentlig en liten tragedie. Det er en uting, og helt unødvendig å kryptere alle mulig aviser og informasjonssider. Hva er poenget? Hvorfor er det viktig at vg.no og digi.no kjøres kryptert? Informasjonen er jo offentlig tilgjengelig? Det skaper unødig kompleksitet, unødige kostnader, og det vanskeliggjør informasjonssikringsarbeid. Informasjonssikring er ikke bare å "stenge alle andre ute". Informasjonssikring er også mulighet til å inspisere trafikk gjennom brannmurer og andre sikkerhetsmekanismer. Vil du plante malware? Ikke noe problem - bare sett opp SSL, så bypass'er du brannmurer og IPS'er. Hvor gjennomtenk er egentlig dette SSL-hysteriet? (Jada, jeg skjønner at det er vanskelig å motstå google og andre giganter, men jeg spør allikevel hva som er poenget?).

 

Hva så om noen kan lese trafikkstrømmen mellom min klient og digi.no? Spiller det noen rolle? I så tilfelle - hvorfor?

 

Har du egentlig forstått hvorfor man ønsker http/2 og https. Kryptering er bare en del av hva man ønsker å få til. Verifisering er også en del av hva man ønsker. Når du besøker en nettside skal du være forholdsvis sikker på at det er den siden du har besøkt.

 

Og klart at en hver løsning har fordeler og ulemper, og SSL sikrer ikke nødvendigvis mot malvare om du besøker en infisert nettside. Men der har man ikke særlig sikkerhet i dag heller. Sikkerheten her må løses på et annet nivå.

 

At noen kan lese trafikkstrømmen kan faktisk være svært alvorlig. Det kan brukes til overvåkning, urettmessig arrestasjon osv.

  • Liker 2
Lenke til kommentar
zeebra

zeebra

Skrevet
Skrevet

Vel, nå trenger man ikke nødvendigvis å kryptere innehold fra sider hvor man ikke sender personlig informasjon eller liknende.

 

Å kryptere avisen for å sende denne til leseren, for at leseren skal dekryptere den for å lese denne er egentlig helt unødvendig.

 

Https er vel og bra det, men ingen nødvendighet for alt innehold på internett. For visse typer innehold er https en nødvendighet og en selvfølge.

Lenke til kommentar
Hoaas

Hoaas

Skrevet
Skrevet

Dette er egentlig en liten tragedie. Det er en uting, og helt unødvendig å kryptere alle mulig aviser og informasjonssider. Hva er poenget? Hvorfor er det viktig at vg.no og digi.no kjøres kryptert? Informasjonen er jo offentlig tilgjengelig? Det skaper unødig kompleksitet, unødige kostnader, og det vanskeliggjør informasjonssikringsarbeid. Informasjonssikring er ikke bare å "stenge alle andre ute". Informasjonssikring er også mulighet til å inspisere trafikk gjennom brannmurer og andre sikkerhetsmekanismer. Vil du plante malware? Ikke noe problem - bare sett opp SSL, så bypass'er du brannmurer og IPS'er. Hvor gjennomtenk er egentlig dette SSL-hysteriet? (Jada, jeg skjønner at det er vanskelig å motstå google og andre giganter, men jeg spør allikevel hva som er poenget?).

 

Hva så om noen kan lese trafikkstrømmen mellom min klient og digi.no? Spiller det noen rolle? I så tilfelle - hvorfor?

 

Den kan jo ikke bare bli lest, den kan bli endret. Javascript kan bli injected, nyhetsartikler endret. Er det ikke kryptert så kan du ikke stole på at det kommer fra riktig avsender.

 

https://thenextweb.com/insights/2017/12/11/comcast-continues-to-inject-its-own-code-into-websites-you-visit/

  • Liker 1
Lenke til kommentar
Emigranten

Emigranten

Skrevet
Skrevet

Dette er egentlig en liten tragedie. Det er en uting, og helt unødvendig å kryptere alle mulig aviser og informasjonssider. Hva er poenget? Hvorfor er det viktig at vg.no og digi.no kjøres kryptert? Informasjonen er jo offentlig tilgjengelig? Det skaper unødig kompleksitet, unødige kostnader, og det vanskeliggjør informasjonssikringsarbeid. Informasjonssikring er ikke bare å "stenge alle andre ute". Informasjonssikring er også mulighet til å inspisere trafikk gjennom brannmurer og andre sikkerhetsmekanismer. Vil du plante malware? Ikke noe problem - bare sett opp SSL, så bypass'er du brannmurer og IPS'er. Hvor gjennomtenk er egentlig dette SSL-hysteriet? (Jada, jeg skjønner at det er vanskelig å motstå google og andre giganter, men jeg spør allikevel hva som er poenget?).

 

Hva så om noen kan lese trafikkstrømmen mellom min klient og digi.no? Spiller det noen rolle? I så tilfelle - hvorfor?

 

Problemet er at en man in the middle enkelt kan forandre på data i en ukryptert data strøm. Så istedet for det avisen sender så mottar du en fil med malware. Dette kan man ikke gjøre på en kryptert forbindelse.

  • Liker 1
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...