Kérdés, hogy egyáltalán látják-e az ikont, tudják-e, mire való.
A kezdeményezéssel nem értek egyet, csak azt kéne titkosítani, aminél ez szükséges, például bejelentkezésnél, személyes adatok küldésénél. A helyzetet nehezíti, hogy a web még mindig dokumentum-alapú, azaz egy oldal forrása egy adatfolyam, nem pedig n.
Ennél sokkal nagyobb veszély, hogy adataink például a Google Analytics-en keresztül a Google-hez kerülnek, anélkül, hogy tudnánk róla, legyen akár titkosított, akár titkosítatlan az adatforgalom, és ezzel ők azt csinálnak, amit akarnak.
A kezdeményezéssel nem értek egyet, csak azt kéne titkosítani, aminél ez szükséges, például bejelentkezésnél, személyes adatok küldésénél.
A minden kéréssel elküldött munkamenet-azonosítót szerinted nem kell védeni? Honnan tudod szolgáltatóként, hogy egy felhasználó szemszögéből milyen adatforgalom érzékeny? Az nem zavar, ha tetszőleges tartalom injektálható út közben a hozzád érkező válaszba?
Ezeket néhány hete mondtuk el neked, tényleg figyelmen kívül hagyod?
Ne HTML-ben gondolkodj, hanem adatokban – az, hogy hogyan jeleníted meg ezeket az adatfolyamokat, külön-külön, vagy egyben, egy HTML oldalon, az indifferens.
Képzeld el az egészet úgy, mint egy Single Page Applikációt, ami több helyről veszi az adatokat, de egyben jeleníti meg.
Vegyük az oldalt lévő friss blogmarkokat. Minek kéne ennek a tartalmát letitkosítani?
Értem, amit mondasz, és egyet is értek vele, hogy így kellene felépüljön egy oldal, de ez nem jelent megoldást az integritás problémájára. Ha én eltérítem a wifi jeled, és a blogmark sáv linkjeit átírom tetszőleges címre, mielőtt te megkapod, vagy csak cenzúrázom, azzal te is egyetértesz, hogy rossz, nem?
Hiába van titkosítva, ha azt hiszed, hogy én vagyok a router (ARP spoofing). De a wifi hozzáférési pont üzemeltetője, a különböző hálózati szegmenseket üzemeltető szolgáltatók és a tenger alatti kábeleken hallgatózó kormányzatok is mind hozzáférnek a forgalomhoz.
A szándék jó, de kérdés, hogy
Kérdés, hogy egyáltalán
A kezdeményezéssel nem értek egyet, csak azt kéne titkosítani, aminél ez szükséges, például bejelentkezésnél, személyes adatok küldésénél. A helyzetet nehezíti, hogy a web még mindig dokumentum-alapú, azaz egy oldal forrása egy adatfolyam, nem pedig n.
Ennél sokkal nagyobb veszély, hogy adataink például a Google Analytics-en keresztül a Google-hez kerülnek, anélkül, hogy tudnánk róla, legyen akár titkosított, akár titkosítatlan az adatforgalom, és ezzel ők azt csinálnak, amit akarnak.
A kezdeményezéssel nem értek
A minden kéréssel elküldött munkamenet-azonosítót szerinted nem kell védeni? Honnan tudod szolgáltatóként, hogy egy felhasználó szemszögéből milyen adatforgalom érzékeny? Az nem zavar, ha tetszőleges tartalom injektálható út közben a hozzád érkező válaszba?
Ezeket néhány hete mondtuk el neked, tényleg figyelmen kívül hagyod?
Ezért írom mellé, hogy több
Vegyük például a weblabort: lenne mondjuk két adatfolyam, egy a tartalomnak, egy pedig a fejlécnek, ez utóbbi lenne titkosítva.
Ha a fejlécben ír valaki át
Ne HTML-ben gondolkodj, hanem
Képzeld el az egészet úgy, mint egy Single Page Applikációt, ami több helyről veszi az adatokat, de egyben jeleníti meg.
Vegyük az oldalt lévő friss blogmarkokat. Minek kéne ennek a tartalmát letitkosítani?
Értem, amit mondasz, és egyet
A wifi nem titkosított?
Hiába van titkosítva, ha azt
Nem igazán érzem ezeket túl
AP Isolation