Implementeace bezpecnostnich opatreni na foru

[Stanislav.Stipl]

S okamžitou platností pozastavuji odesílání hlavičky Strict-Transport-Security.

Používání šifrované komunikace je samozřejmě správná věc. Ovšem zavedení HSTS a zejména HSTS preloadu je prakticky nevratný krok, který znamená, že na hlavní doméně i všech subdoménách musíme za každých okolností používat https. Lori není zrovna výkonný stroj a v případě zvýšené návštěvnosti máme vážný problém i u obyčejného http. Pokud se má zavést HSTS, musíme na to být nejprve připraveni po všech stránkách.

Zároveň vyzývám Lukáše, aby o takto závažných krocích přinejmenším informoval předem.

[Lukas.Novy]

Lori to utahne v klidu.

[Lukas.Novy]

V klidu zvladneme i 100 r/s. Podle me utahneme i wirespeed (u voleb sem to zkousel).

https://app.loadimpact.com/load-test/b5 ... 299797a9e7

[Lukas.Novy]

This is ApacheBench, Version 2.3 <$Revision: 1663405 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/

Benchmarking static.pirati.cz (be patient)
Completed 1000 requests
Completed 2000 requests
Completed 3000 requests
Completed 4000 requests
Completed 5000 requests
Completed 6000 requests
Completed 7000 requests
Completed 8000 requests
Completed 9000 requests
Completed 10000 requests
Finished 10000 requests


Server Software: nginx
Server Hostname: static.pirati.cz
Server Port: 443
SSL/TLS Protocol: TLSv1,ECDHE-RSA-AES128-SHA,2048,128

Document Path: /test.jpg
Document Length: 0 bytes

Concurrency Level: 100
Time taken for tests: 167.094 seconds
Complete requests: 10000
Failed requests: 0
Total transferred: 2970000 bytes
HTML transferred: 0 bytes
Requests per second: 59.85 [#/sec] (mean)
Time per request: 1670.943 [ms] (mean)
Time per request: 16.709 [ms] (mean, across all concurrent requests)
Transfer rate: 17.36 [Kbytes/sec] received

Connection Times (ms)
min mean[+/-sd] median max
Connect: 519 552 65.6 539 1581
Processing: 201 1109 60.8 1116 1865
Waiting: 188 1108 59.9 1116 1643
Total: 773 1661 81.3 1657 2708

Percentage of the requests served within a certain time (ms)
50% 1657
66% 1668
75% 1676
80% 1682
90% 1696
95% 1704
98% 1720
99% 1982
100% 2708 (longest request)

SSL rozhodne neni to, co by nas mohlo brzdit,

[Petr.Vileta]

SSL rozhodne neni to, co by nas mohlo brzdit,

A ty rozhodně nejsi vedoucí TO, abys o tom mohl rozhodnout.

[Lukas.Novy]

Po konzultaci bylo zavedeno HSTS v omezene mire bez preloadu. Pokud nebudou problemy, verim ze se pohneme ke skutecnemu reseni.

[Stanislav.Stipl]

Je jasné, že trend směřuje k tomu používat šifrování všude. Na druhou stranu zařazení do HSTS preload je prakticky nevratný krok a je potřeba takové kroky dělat s rozvahou.

[Lukas.Novy]

Cimz se v tomt9 pripade mysli konzultace, ja samozrejme nepromyslene kroky necinim;)

[Petr.Bajgar]

Cimz se v tomt9 pripade mysli konzultace, ja samozrejme nepromyslene kroky necinim;)

Jistě Krt-Worm nepromyšlené kroky nečiní a zcela systematicky s námi už šest let hraje hru na kočku a myš. Kdo je kočka a kdo myš určitě nemusím vysvětlovat.

Hlavním bezpečnostním opatřením tohoto fóra a systemů strany obecně proto je omezit možnosti L.Nového dělat si svévolně co se mu v té jeho hackerské šišce zamane. Do té doby budeme jeho rukojmími místo aby on nám poskytoval potřebné služby technického ajištění našeho společného politického snažení.

[Lukas.Novy]

Bug: na mobilnim vzhledu se nezobrazuji obrazky. Neni tam prepis na ipx.pirati.cz, nastaveni CSP nastesti zabranilo moznosti podvadet s podpisy pres tento vzhled. Ouje.

Opraveno bude jak bude cas.

Opraveno a vylepseno tak, ze uz obrazky nepretikaji ven z displaye. Na tenhle hack sem fakt hrdej.