Hlavní navigace

Názory k článku Vězení za odhalení bezpečnostní chyby, vykrádání fotek na Instagramu a mazání fotek na Flickru

Článek je starý, nové názory již nelze přidávat.

  • 11. 2. 2019 16:14

    BobTheBuilder
    Ne, tohle je s Firefoxem už delší dobu. Řešením je, samozřejmě, použít systémové certifikáty
    per user: security.enter­prise_roots.e­nabled nastvait na true
    pro všechny do patřičného adresáře s Fitrefoxem, do defaults\pref vložit nový .js soubor s 2 řádky:

    /* Allows Firefox reading Windows certificates */
    pref("security­.enterprise_ro­ots.enabled", true);
    Změní se to, že Firefox chce master password hned při startu, což může být trošku otrava.
    Druhá věc je, jestli chcete nechat antivirus dělat MITM (takže neuvidíte/neověříte skutečné certifikáty webů).
    No a nebo, taková provokativní idea pro W10, zahodit antivirus třetí strany a tím tento problém vůbec nenastane.

  • 12. 2. 2019 7:52

    BobTheBuilder

    Já to ještě doplním: průšvih Mozilly je v tom, že ignorují systémové úložiště certifikátů a nemají ani vlastní (např. pro všechny uživatele Firefoxu). Ta výše zmíněná obezlička ve skutečnosti certifikáty dočasně naimportuje (při každém spuštění), ale bez privátních klíčů (pochopitelně, privátní klíče nemusejí být exportovatelné a můžou být chráněné heslem). Takže to má jakýsi smysl u certifikátů certifikačních autorit ve FF, v Thunderbirdu ne, protože tam často jde o certifikáty k e-mailu (a tedy včetně privátních klíčů).
    Tohle, spolu s problematickou až nepoužitelnou centrální správou (Group Policy) znamená, že FF je ve firmách použitelný poněkud nešikovně. Google Chrome ničím z toho netrpí.
    FF používám a mám celkem rád, ale tohle je prostě špatně naprosto od základu.

  • 11. 2. 2019 11:19

    peci1

    Tohle Firefox hodne po**lal. Clovek az nevychazi z uzasu, ze nemaji zadne testovaci stroje s Win a antiviry. Pritom sami musi moc dobre vedet, ze antiviry delaji s prohlizecem psi kusy.

    Problem je o to horsi, ze kdyz si zapnete security.enter­prise_roots.e­nabled, abyste obesli tuhle chybu, uz ho nesmite vypnout: https://bugzilla.mozilla.org/show_bug.cgi?id=1511049 . Mne takhle doma prestala fungovat wikipedie. Resenim muze byt smazat cert9.db z uzivatelskeho profilu (nebo lepe - prejmenovat a zazalohovat). Ale nevim presne, jaka vsechna data v tomhle souboru jsou.

    Kdyz uz jsem o tom premyslel, napadlo me, jak si vlastne tyhle MITM masinky od antiviru poradi s key pinningem a HSTS preload, a reseni je vlastne celkem jednoduche (ale o to prekvapivejsi a nelibi se mi):

    > Most browsers disable pinning for certificate chains with private root certificates to enable various corporate content inspection scanners [https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning]

    Mozna je nacase, aby prohlizece vystavily nejake secure API, ktere by 3rd party programum umoznilo pristup ke klicum vsech navazovanych spojeni. Tj. aby antivir nemohl delat MITM, ale jen koukat, co chodi po siti.