Chrome: jak přeskočit hlášku „hodiny jdou napřed“

[Kamil Podlešák]

Nemám čas (čti: náladu) číst podrobně všechny příspěvky, ale vypadá to že se zatím nenašel expert který ví jak v Chrome přeskočit chybu certifikátu, když chybí tlačítko "Přeskočit"

Tedy vězte, že stačí napsat:  thisisunsafe
Napsat == vyťukat na klávesnici, zdánlivě bez jakékoliv odezvy. Prostě idkfa pro Gen-Z :-)

[Reklama]

[Tomas-T]

A na konci ještě enter 
Potvrzuju, že to funguje v aktuální verzi Chrome, Edge i Firefoxu.

[Petr Krčmář]

Tohle není dobrý nápad lidi učit, protože se to naučí používat rutinně a budou z toho jen problémy. Za chvíli tu máme tazatele s další várkou neuvěřitelných dotazů vyplývajících z nestandardního uživatelského chování.

Tyhle nepřeskočitelné obrazovky vznikají, když autor webu nasadil hlavičku HSTS, ve které prohlížeči řekl, že na daném webu musí být v pořádku certifikát a všechny s ním související bezpečnostní prvky. Otáčí se tím logika a autor říká, že bezpečný stav je zavřeno. Tedy pokud se něco rozbije, nepustíme na web uživatele méně zabezpečeným kanálem, jako je to možné bez HSTS. Nelze přepnout na HTTP nebo obejít varování. To je chtěný stav.

Správný postup je tedy to na tom serveru opravit tak, jak to má být a jak autor deklaroval, že to taky bude.

[MalyTomi]

Ano, dame na dom najnovsie bezpecnostne prvky, zabezpecime ho ako pevnost, aby sme nakoniec dali kluc, ktory to vsetko vypne pod rohozku.
Skor by som riesil preco vznikol dany problem a v pripade vyvoja a testovania pouzit nejaky iny prehliadac, kde som si vedomy toho, ze idem so zabezpecenim dole.

[🇺🇦 GPU]

Jsou servery, které dlouho, nebo už vůbec nikdy, nikdo neopraví.

[Reklama]

[Martin Poljak]

Správný postup je tedy to na tom serveru opravit tak, jak to má být a jak autor deklaroval, že to taky bude.

To je krásné, že to je správný postup. Problém je, že k vyřešení problému "nemohu se dostat k tomu, co potřebuji protože to mají špatně nakonfigurované, přitom obsah mi server normálně zašle" je tohle konstatování úplně k ničemu.

[Filip Jirsák]

Skor by som riesil preco vznikol dany problem

Připomněl bych, že žádný problém neexistuje. Jako příklad „problému“ byl uveden web, kde je záměrně nasazen expirovaný certifikát, aby na tom bylo možné testovat chování klientů při expirovaném certifikátu.

To je krásné, že to je správný postup. Problém je, že k vyřešení problému "nemohu se dostat k tomu, co potřebuji protože to mají špatně nakonfigurované, přitom obsah mi server normálně zašle" je tohle konstatování úplně k ničemu.

Jak to víte, že vám to zaslal ten správný server? Že to nepodvrhl útočník? Překvapuje mne, kolik lidí přistupuje k tak důležitým serverům, že se na ně musí za každou cenu hned dostat; a zároveň jim je úplně jedno, kdyby z toho serveru dostali obsah podvržený útočníkem. Mohl byste alespoň naznačit, o jaký případ se může jednat? Když si představím možnosti – banka, e-mail, pracovní věci jako třeba GitHub – tam rozhodně nepolezu přes neplatný certifikát. Nákup na nějakém e-shopu – nakoupím jinde nebo počkám. Shánění informací – zjistím si je jinde. Informace třeba nějakého úřadu – zjistím si je jinde nebo počkám, rozhodně nebudu důvěřovat něčemu za neplatným certifikátem. Co je tedy tak důležité, že to neseženu jinde ani nemůžu počkat, a zároveň tak nedůležité, že mi nebude vadit neplatný certifikát?

[Tomas-T]

Donedávna bylo 80% informací na serverech bez https a nebyl to problém, zabezpečovalo se jen to důležité.
Dnes, kdy se tlačí na zabezpečení úplně všeho (i informace koho má Adel zase za přítele, nebo že Fiala koupil v Německu Nutellu), je na zabezpečených serverech naprostá většina informací.
A mnohé z nich můžou být jedinečné (jinde k dohledání nejsou), ale provozovatele už přestalo bavit se o server starat a řešit obnovu nějakých certifikátů a verze security protokolů, tak ho nechává jen žít vlastním životem. Třeba už i zapomněl, že nějaký server provozuje, částka za provoz se mu z účtu strhává automaticky.

Ano, je správné, že mě browser upozorní, že s certifikátem serveru je nějaký problém, ale není správné, pokud mi ve výchozí konfiguraci zcela zabraňuje se k cílové informaci dostat.

[MalyTomi]

Tomas-T: a zase sme na zaciatku, ze browser od chromu je prisposobeny pre bfu, a v ramci ich bezpecnosti to rovno blokuje. Na rozdiel od doby kedy vladlo http, ma dnes internet kazdy a premyslanie nie je v mode. takze vznikaju tieto inteligentne prehliadace, ktore rozhoduju za uzivatela.
Preto mam (zatial) rad firefox, lebo ma sice upozorni, ale dovoli na vlastne riziko pokracovat.

[Filip Jirsák]

Donedávna bylo 80% informací na serverech bez https a nebyl to problém, zabezpečovalo se jen to důležité.

Kdyby nebyl problém, tak se neřeší HTTPS.

A mnohé z nich můžou být jedinečné (jinde k dohledání nejsou), ale provozovatele už přestalo bavit se o server starat a řešit obnovu nějakých certifikátů a verze security protokolů, tak ho nechává jen žít vlastním životem. Třeba už i zapomněl, že nějaký server provozuje, částka za provoz se mu z účtu strhává automaticky.

To vypadá, jako že vymýšlíte krkolomný případ, který by teoreticky mohl nastat – ale reálně se s něčím takovým nepotkáte.

Ano, je správné, že mě browser upozorní, že s certifikátem serveru je nějaký problém, ale není správné, pokud mi ve výchozí konfiguraci zcela zabraňuje se k cílové informaci dostat.

Je to správné. Protože když tam dáte možnost upozornění přeskočit, všichni ti, kdo vůbec nevědí, o co jde, a dál by jít neměli, to varování přeskočí. Jak je ostatně vidět i v této diskusi.

Zkrátka ti, kteří nedokážou posoudit, jaké nebezpečí se za tím neplatným certifikátem skrývá, nemají mít možnost to upozornění přeskočit. A ti, kteří to posoudit dokážou, tam to tlačítko nepotřebují, protože si to dokáží zařídit jinak.

[Petr Krčmář]

Ano, je správné, že mě browser upozorní, že s certifikátem serveru je nějaký problém, ale není správné, pokud mi ve výchozí konfiguraci zcela zabraňuje se k cílové informaci dostat.

Ve výchozím stavu to prohlížeč právě dovolí. Nedovolí to jen v případě, že mu to autor webu výslovně zakázal a tedy prohlásil, že tady musí být vše podle pravidel a není možné svévolně snížit úroveň zabezpečení. Běžný uživatel netuší, co ta chybová obrazovka znamená a že použitím tlačítka „přeskočit“ se dostává do velmi nebezpečné situace. Přesně k zabránění tohoto vektoru útoku vznikla hlavička HSTS.

[Tomas-T]

A mnohé z nich můžou být jedinečné (jinde k dohledání nejsou), ale provozovatele už přestalo bavit se o server starat a řešit obnovu nějakých certifikátů a verze security protokolů, tak ho nechává jen žít vlastním životem. Třeba už i zapomněl, že nějaký server provozuje, částka za provoz se mu z účtu strhává automaticky.

To vypadá, jako že vymýšlíte krkolomný případ, který by teoreticky mohl nastat – ale reálně se s něčím takovým nepotkáte.

Hmm, tak to trvalo cca hodinu a už jsem to potřeboval - nakonec tedy, jen abych se stejně dozvěděl, že daný web někdo zablokoval. 
https://send.ephemeral.land/

[Filip Jirsák]

Hmm, tak to trvalo cca hodinu a už jsem to potřeboval - nakonec tedy, jen abych se stejně dozvěděl, že daný web někdo zablokoval. 
https://send.ephemeral.land/

Takže kdybyste tam nelezl, nestalo by se vůbec nic.

[Tomas-T]

Takže kdybyste tam nelezl, nestalo by se vůbec nic.

Dostal jsem odkaz na něco, o co jsem měl zájem.
Ale už jsem zjistil, že ta "blokace" (nejspíš opravdu unesené spojení po cestě) je selektivní, z virtuálu v Azure funguje původní web bez problémů - takže k požadovanému obsahu jsem se nakonec dostal.

[Tomas-T]

Aha, tak problém identifikován.
Spojení na tento server ukradl a přesměroval firemní firewall. Při odpojení z firemní VPN už vše fungovalo v pořádku.