CDR.cz - Vybráno z IT

Diskuse k SecUpdate: Z vykradených PayPalů je obviňován TeamViewer, ten ale viní uživatele

Priznejme si, ze ten test je pomerne prisny a jako chybu bere uz jen to, kdyz povolujete pristup pres HTTP, ale stejne, F, horsi znamku to asi nedava ... nicmene, CVE-2016-2107 zranitelny neni.

+1
+12
-1
Je komentář přínosný?

"a jako chybu bere uz jen to, kdyz povolujete pristup pres HTTP"

Což je zcela správné. HTTP už mělo dávno skončit v propadlišti dějin. Je ostuda, když ho webserver nepodporuje. Nepřináší to v podstatě žádné náklady navíc a výhody jsou obrovské.

+1
-24
-1
Je komentář přínosný?

Tolik mínusů... Zřejmě zareagovali rádobysprávci webserverů, kteří mají máslo na hlavě a neumí nasadit HTTPS.

+1
-18
-1
Je komentář přínosný?

Nepodporovat HTTPS je skutecne ostuda, ale podporovat HTTP ostuda neni. A zadne naklady navic HTTPS mozna neprinasi pokud mate jeden vlastni server a certifikat od let's encrypt, ale pokud chcete CDN, stavite webhosting nebo potrebujete load-balancing, tak to takova sranda neni. A profesionalni EV certifikat porad stoji celkem dost.

+1
+18
-1
Je komentář přínosný?

Pokod podporuji HTTPS a nepodporuji HTTP tak významně snižuji vektor útoku. (Poznámka pro hnidopichy, HTTP se většinou podporuje všude, jen se hned přehazuje na HTTPS)

Dále, CDN nemusím mít na vlastní doméně. Pokud potřebuji loadbalancing, tak to můžu dělat s s HTTPS. Jak to asi dělá Google nebo Facebook?

EV je jen rozšířený způsob ověření a příslušná poznámka v certifikátu, jinak se od OV nebo DV technicky neliší.

+1
+14
-1
Je komentář přínosný?

Dulezite upozorneni: po upgrade openssl musite restartovat webserver, samo se to neudela (debian) ...

+1
-24
-1
Je komentář přínosný?

Hmmm, a co když heslo pro bezobslužný přístup v TeamVieweru vůbec nemám?

P.S. PayPal účet sice mám, ale nepoužívám jej? Na PayPal účtu mám hotovost NULA. :-)

+1
-16
-1
Je komentář přínosný?

Pro psaní komentářů se, prosím, přihlaste nebo registrujte.