30kmhcz
Vzkazy administrátorům => Vzkazy uživatelů administrátorům => Téma založeno: fu 15 Ledna 2016, 11:48:03
-
Je mozno? Kdyz tak pomuzu.
-
záleží na hostingu
-
záleží na hostingu
jestli se nepletu hostuje zde http://vix.cz/#97
SSL je vsude
-
Certifikat se za ziskat zde https://letsencrypt.org (pokud bychom neuvazovali komercni moznosti). Zalezi jeste na hostingu co umoznuje...
-
Certifikat se za ziskat zde https://letsencrypt.org (pokud bychom neuvazovali komercni moznosti). Zalezi jeste na hostingu co umoznuje...
Neni problem si udelat vlastni certifikat a neni treba za nic platit. Ruzne cert. autority stejen stoji zaprd a jeste za to berou prachy.
-
zbeznym dotazem na IP kde bezi 30kmh.cz sem se dobral k 124 domenam na stejne adrese, tudiz sance na https je bud skrze http2 nebo vlastni IP, u IPv6 mozna, u IPv4 s obtizemi - dochazeji.... cesta je snad skrze cloudflare ...
-
zbeznym dotazem na IP kde bezi 30kmh.cz sem se dobral k 124 domenam na stejne adrese, tudiz sance na https je bud skrze http2 nebo vlastni IP, u IPv6 mozna, u IPv4 s obtizemi - dochazeji.... cesta je snad skrze cloudflare ...
Kdyz to hosting nabizi, tak to ma asi poreseno, napr SNI.
-
Certifikat se za ziskat zde https://letsencrypt.org (pokud bychom neuvazovali komercni moznosti). Zalezi jeste na hostingu co umoznuje...
Neni problem si udelat vlastni certifikat a neni treba za nic platit. Ruzne cert. autority stejen stoji zaprd a jeste za to berou prachy.
Ano, vlastni je mozny. Ale pokud neni vydan znamou CA, tak vetsina browseru hazi warningy a adresni radek zcervena, coz nepusobi uplne duveryhodne :)
-
Certifikat se za ziskat zde https://letsencrypt.org (pokud bychom neuvazovali komercni moznosti). Zalezi jeste na hostingu co umoznuje...
Neni problem si udelat vlastni certifikat a neni treba za nic platit. Ruzne cert. autority stejen stoji zaprd a jeste za to berou prachy.
Ano, vlastni je mozny. Ale pokud neni vydan znamou CA, tak vetsina browseru hazi warningy a adresni radek zcervena, coz nepusobi uplne duveryhodne :)
Nepusobi neznamena, ze neni. Alespon urednici budou panikarit. ;)
Stejne pokud se jedna o duveru, ja nevim kdo to provozuje, stjne tak nevim kdo vyda certifikat. Jedina duvera je v tom, ze mi prijde otisk mailem, ten si naimportuji a nebude se klic v prubehu casu menit, krome vymeny.
-
Hosting to může taky mít pořešený nějakym wildcard certifikátem, self-signed certifikátem, nebo nějakou podobnou prasárnou. SNI by bylo ideální, ale to pořád naráží na druhej krok - získání certifikátu. Možnosti jsou v podstatě jen dvě - koupit certifikát od nějaký "well-known" autority, nebo tam dát self-signed. Polovičatý řešení jako CACert nebo LetsEncrypt nepřichází v úvahu, s tim je hroznýho šíbrování a neni to user friendly. Imho stačí self-signed a nějakej bezpečnej způsob sdílení fingerprintu (třeba přes spřátelené weby, apod.)
-
Ono je to jedno, stačilo i unsigned ssl, protože na http stačí jednoduchý sniffer a každý na cestě má moje heslo...
-
Ono je to jedno, stačilo i unsigned ssl, protože na http stačí jednoduchý sniffer a každý na cestě má moje heslo...
Takze co brani nasazeni? Jestli je treba, pomuzu.
-
Panove, diky za podnetnou debatu. Vidim, ssl se pokusim spolu s tapatalk-em realizovat co nejdrive. F.
-
Ono je to jedno, stačilo i unsigned ssl, protože na http stačí jednoduchý sniffer a každý na cestě má moje heslo...
Tohle je tu celkem elegantně vyřešeno pomocí OpenID. Což ovšem samozřejmě nijak neomlouvá absenci šifrování :)
-
Panove, diky za podnetnou debatu. Vidim, ssl se pokusim spolu s tapatalk-em realizovat co nejdrive. F.
Za obojí budu velmi rád, díky. :)
-
Osobne pouzivam https://www.startssl.com/ Maji zdarma certifikaty vazane pouze na e-mail bez dalsiho overovani. Certifikaty sice nejsou hvezdickove, ale vzdycky obsahuji i domenu 2. radu, takze se vygeneruje jeden cert pro www.30kmh.cz, ktery plati i pro 30kmh.cz a hotovo. Jako CA je ve vsech pouzivanych browserech a mobilnich zarizenich.
Implementuje se pres SNI - s lonskym koncem podpory windows XP uz jsou browsery, ktere by SNI nepodporovaly, mrtve.
-
OK. Spolu s SSLkem jsem chtel nasadit par vylepseni a narazim na naprosto hovadsky nastavena prava k ftp. Neudelam s tim nic, vse svadeji na kohosi, kdo neni v dosahu :(
Takze ted resim hosting, nasleduji dalsi ...
-
Vzhledem k citlivosti dat zde uložených bych se přimluvil za nějaký robustnější řešení. Spolehlivej hosting nebo třeba vlastní virtuál - s tím můžu pomoct.
-
Pokud jde o virtual, tak muzu doporucit http://www.time4vps.eu cena moc pekna (zvlast pri placeni na dva roky dopredu), vyber distra, plna kontrola (root, moznost otocit celou virtualku, ssh i pres web pro pripad nouze :) ) a s dostupnosti problem nikdy nebyl.
Edit: typo
-
Hosting nebo virtual, zadny zasadni rozdil v to nevidim,kdyz je udelany dobre, je to co se tyce bezpecnosti srovnatelne. Se soudnim povoleni hosting data vyda a vy se to nedozvite, takze mozna do USA, kde s tim delaji tanecky.
Server pod zadkem nemate(pokud nejste majitel firmy, i tak vas obejdou), stejne tak nemate fyzickou kontrolu nad zarizem(usb, rebooty apod.), proste tech moznosti jak se i do dobre zabezpeceneho serveru(fyzicky/aplikacne) dostat jsou stovky. Nakazene USB klicenky, klavesnice, mysi, HDD - no proste si vyberte, popsanych a dolozenych pripadu, jak zautocit je nepreberne nehlede na koncovem OS.
Stejne tak neupdatovany OS nebo obecne zabugovany sw. Podivejte se kolik updatum ma SMF. V lednu tu byla jeste verze 2.0.9, ted je 2.0.11( vysla 9/2015). Update se tu dela 1x rocne, jak si muzete zjistit.
To neni nadavani adminovi, to je jen souhrn faktu, jsou fora, kde bezi jeste 1x.
Budete delat tydenni udrzbu? Rekl bych, ze k obecne IT urovni uzivatelu co toto forum pouzivaji - je nasazeni JEN SSL(ssh) ten nejzasadnejsi krok (uvidime, jaky nasadi), do ted to uzivatelum nevadilo. ::)
Nehlede na to, ze se loguje kazdy paket, ktery sel A->B pres NIC a jim podobne a je dostupny nekolik mesicu nazpet.
Diskuze o tom, kdo je urednik/pach a vlastne toho moc nevyresilo, neco se udelalo, systemove reseni to nebylo. Kdo je PaCH na foru poznate jak? Ze Vam jde na ruku a buci stejne jako zbytek?
-
To, ze jste paranoidni, neznamena, ze po vas nejdou ;-)
-
Dva clenove hardcore se mi ozvali s nabidkou.
Diky!
S obema to dneska proberu a jeden si vylosuje cerneho petra v podobe tohoto darecku :)
Diky fu za shrnuti, pomerne presne jsi popsal popsal stav. Forum, tak jak ho dneska zname vzniklo na zaklade jednoho telefonatu na jine tema, jen jako okrajovy napad, stylem "No tak to zkusime....". Hosting jsem tehda vybiral podle Google asi 10sec :)
-
Https jede :)
-
Blokovani smiseneho obsahu z 30kmh.cz
kratke info https://support.mozilla.org/cs/kb/blokovani-smiseneho-obsahu-ve-firefoxu
jak zapnout/vypnout - pozor dela to napric vsemi weby
about:config
security.mixed_content.block_display_content: false->true
Typicky se nebudou zobrazovat napr. obrazky(avatary apod.) mimo domenu a poznate to dle
https://support.mozilla.org/cs/kb/jak-poznam-zdali-je-spojeni-se-serverem-zabezpecen
-
Je třeba to řešit? V Mozille mam zelenou, zadna zvlastni nastaveni nemam.