špatná-praxe:http

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Následující verze		 Předchozí verze
špatná-praxe:http [2017/11/28 10:52] – vytvořeno Jakub Klímekšpatná-praxe:http [2020/06/03 07:37] (aktuální) – upraveno mimo DokuWiki 127.0.0.1
Řádek 1: Řádek 1:
-====== Přístup přes nezabezpečený protokol HTTP ======+====== Přístup přes nezabezpečený protokol HTTP či FTP====== 
 +V dnešní době již neexistuje žádný argument pro poskytování obsahu na webu pomocí nezabezpečeného protokolu HTTP či ještě staršího FTP, [[https://www.root.cz/clanky/chrome-a-firefox-tlumi-podporu-ftp-a-planuji-ji-uplne-ukoncit/|které už v prohlížečích ztrácí podporu]]. 
 +Toto přirozeně platí i pro otevřená data, jakožto obsah poskytovaný přes web. 
 +Jelikož se ale jedná o běžnou součást provozu webového serveru, omezíme se na jasné doporučení: Pro svůj web, a tedy i přístup k otevřeným datům použijte protokol HTTPS. 
 +Při jeho implementaci dávejte pozor na [[špatná-praxe:https|nejčastější chyby při implementaci HTTPS]].
  
 +===== Výhody protokolu HTTPS =====
 +  * Uživatel si může být jist, že server je ten, za který se vydává
 +  * Uživatel si může být jist, že data, která stáhne, jsou ta, která vystavil jejich poskytovatel
 +  * Uživatel si může být jist, že to, o která data má zájem, zůstane mezi ním a cílovým serverem (nikdo nebude sledovat jeho chování po cestě)
 +  * Google penalizuje weby nezabezpečené pomocí HTTPS
 +  * Nejnovější protokol [[https://tools.ietf.org/html/rfc7540|HTTP/2]] už nezabezpečenou variantu ani neobsahuje
 +===== Nejčastější mýty podporující nezabezpečený protokol HTTP =====
 +==== Jedná se o otevřená data (případně veřejný web bez přihlašování). Proč tedy obsah šifrovat? ====
 +HTTPS neslouží jen pro šifrování, tedy zajištění toho, že při přenosu dat ze serveru na klienta si jejich obsah nepřečte třetí strana.
 +Slouží i pro ověření, že server je ten, za který se vydává.
 +To už má smysl i v případě otevřených dat a jiného webového obsahu.
 +Klient (uživatel) si může být jist, že data či jiný obsah není podvržen.
 +Další argumenty naleznete na stránce [[https://developers.google.com/web/fundamentals/security/encrypt-in-transit/why-https|Why HTTPS Matters]].
 +==== Zajištění certifikátu a jeho pravidelná obnova jsou drahé ====
 +To je nesmysl.
 +Existuje například certifikační autorita [[https://letsencrypt.org/|Let's Encrypt]], která certifikáty a jejich automatickou obnovu poskytuje v základní verzi zdarma.
 +Její službu používá i tento web.
  • špatná-praxe/http.1511866329.txt.gz
  • Poslední úprava: 2020/06/03 07:36
  • (upraveno mimo DokuWiki)