új protokol

                                                  

kevésbé látványos újítás hogy immár titkosított adatkapcsolatot használok. de annak ellenére hogy minden eszköz arra sarkall, hogy ezt tegyem, még mindig nem értem, hogy minek erőltetjük ezt a primkeresős történetet ilyen esetben. valahogy úgy érzem, hogy olyan mintha azt mondanánk, hogy a pohár víz az jó ezért mindenkinek kell innia egy pohárral. függetlenül attól, hogy szomjas-e, vagy hogy egy egész pohárral egyáltalán meg tud inni.
továbbra is tartom azt az álláspontom, hogy az internet nem alkalmas biztonságos üzemelésre. https ide vagy oda. mégpedig azért, mert ilyen primszámok számitásában a jelenlegi otthoni számítási kapacitás az egyedüli gát, és mint ilyen, idővel (vagy akár már most is csak nem otthoni körülmények között) nevetségesen könnyűvé válik a... mi is? más is bele tud hallgatni ebbe a titkosított csatornába?
és akkor el is érkeztünk a másik problémához, ami miatt a hasonlatot hoztam. itt ez a napló, blog, vagy hívjuk ahogy akarjuk. publikus. tehát mondjuk sanyi olvassa, józsi meg azt olvassa amit sanyi olvas, mert hallgatózik a sanyi netkapcsolatán. szóval most már nem tudhatja meg a weboldal tartalmát? de hát amúgyis. mondom hogy publikus. nem megy a fejembe. plusz, a metaadatok nem titkosított csatornán utaznak (ha jól tudom) tehát amit az ember az url-be ir először, az simán lehallgatható, mivel még az ssl handshake előtt van. szóval minek ez az egész? titkolni azt ami amúgy publikus...
oké, a fenti példát folytatva http esetén a gonosz józsinak van lehetősége módosítani az adatfolyamot, azaz lehet hogy sanyi nem is az én blogomat fogja olvasni, hanem egy módosított változatot. https esetén ez azért lényegesen nehezebb elvileg. de biztos ez? például a dns recordok helyességét ki és milyen gyakran ellenőrzi, hogy egy ilyen kis oldalt nem téritett-e el valaki? vagy a sanyi gépén a névfeloldásba nem puszkált-e bele valaki? de ezen túl is felmerül a kérdés, hogy mégis minek? tegyük fel egy man-in-the-middle támadó (józsi) telerakja "kattints ide" reklámmal, meg phishing oldal linkkel. sőt, ebből az oldalból csinál ilyen tartalmat, akkor szerencsétlen sanyi, a lelkes olvasóm majd eltévelyedik, és megadja a bankkártyaadatait, személyes adatait, lábméretét, meg mindent is. amit majd a gonosz józsi felhasznál és ellopja sanyi minden pénzét. csak ott sántikál a történet, hogy senki sem fogja megadni egy blogon a bankkártyaadatait, személyes adatait vagy a lábméretét. na jó, utóbbiban nem vagyok biztos.
szóval el nem tudom képzelni, hogy egy ilyen esetben milyen előnyökkel jár akár az olvasóknak, akár nekem a https kapcsolat. ellenben kényelmetlenséget már most tudom: időről időre meg kell újítani a tanúsítványt, a kapcsolat felépítése a kliens és szerver között egy kicsivel lassabb (initial ssl handshake, és esetleg 301 redirect ha nem rögtön itt kezdi)
és akkor mégis minek csináltam? mert minden rohadt online és offline tool lepontoz, mintha egy ócska tróger lennék, ha nem https kapcsolatot használok. mintha ez valamiféle megvetendő múltszázadi, maradi dolog lenne. sőt, nem csak az ilyen ellenőrző eszközök, de még a böngésző is, az url mellett oda firkálja, hogy "nem biztonságos". csak épp azt nem veszik figyelembe, hogy minek.