abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 01:55 | Nová verze

    Byla vydána verze 3.6 multiplatformního integrovaného vývojového prostředí (IDE) pro rychlý vývoj aplikaci (RAD) ve Free Pascalu Lazarus (Wikipedie). Přehled novinek v poznámkách k vydání. Využíván je Free Pascal Compiler (FPC) 3.2.2.

    Ladislav Hagara | Komentářů: 5
    dnes 00:33 | Komunita

    Na čem aktuálně pracují vývojáři GNOME a KDE? Pravidelný přehled novinek v Týden v GNOME a Týden v KDE.

    Ladislav Hagara | Komentářů: 1
    včera 15:33 | Nová verze

    Byla vydána nová verze 8.8 multiplatformní digitální pracovní stanice pro práci s audiem (DAW) Ardour. Přehled oprav, vylepšení a novinek v oficiálním oznámení.

    Ladislav Hagara | Komentářů: 1
    včera 14:44 | Nová verze

    Byla vydána nová major verze 11.0.0 nástroje mitmproxy určeného pro vytváření interaktivních MITM proxy pro HTTP a HTTPS komunikaci. Přehled novinek v příspěvku na blogu. Vypíchnuta je plná podpora HTTP/3 a vylepšená podpora DNS.

    Ladislav Hagara | Komentářů: 0
    včera 05:11 | Nová verze

    Richard Hughes na svém blogu představil nejnovější major verzi 2.0.0 nástroje fwupd umožňujícího aktualizovat firmware zařízení na počítačích s Linuxem. Podrobný přehled novinek v poznámkách k vydání. Přehled podporovaných zařízení, nejnovějších firmwarů a zapojených výrobců na stránkách LVFS (Linux Vendor Firmware Service).

    Ladislav Hagara | Komentářů: 0
    4.10. 15:44 | Zajímavý software

    Počítačová hra Kvark (Steam) od studia Perun Creative dospěla do verze 1.0 (𝕏). Běží také na Linuxu.

    Ladislav Hagara | Komentářů: 4
    4.10. 15:22 | Nová verze

    Byla vydána (𝕏) zářijová aktualizace aneb nová verze 1.94 editoru zdrojových kódů Visual Studio Code (Wikipedie). Přehled novinek i s náhledy a animovanými gify v poznámkách k vydání. Ve verzi 1.94 vyjde také VSCodium, tj. komunitní sestavení Visual Studia Code bez telemetrie a licenčních podmínek Microsoftu.

    Ladislav Hagara | Komentářů: 1
    4.10. 11:22 | Pozvánky

    O víkendu 5. a 6. října se koná ne-konference jOpenSpace. Pokud si chcete kouzlo živých přednášek vychutnat společně s námi, sledujte live streamy: sobota a neděle. Začínáme lehce po 9 hodině ranní. Zpracované záznamy jsou obvykle k dispozici do 14 dní na našem YouTube kanále.

    Zdenek H. | Komentářů: 0
    4.10. 11:11 | Humor

    Hodiny s unixovým časem dnes odbily 20 000 dnů. Unixový čas je počet sekund uplynulých od půlnoci 1. ledna 1970. Dnes ve 02:00 to bylo 1 728 000 000 sekund, tj. 20 000 dnů.

    Ladislav Hagara | Komentářů: 1
    4.10. 05:00 | IT novinky

    Notebook NitroPad V56 od společnosti Nitrokey byl oficiálně certifikován pro Qubes OS verze 4. Qubes OS (Wikipedie) je svobodný a otevřený operační systém zaměřený na bezpečnost desktopu.

    Ladislav Hagara | Komentářů: 8
    Rozcestník

    Dotaz: Jak z Firefoxu vymažu certifikáty

    Jardík avatar 27.8.2013 18:40 Jardík | skóre: 40 | blog: jarda_bloguje
    Jak z Firefoxu vymažu certifikáty
    Přečteno: 2109×
    Jak z Firefoxu vymažu všechny bundlované certifikáty, včetně root certifikátů? Ani jedné CA nevěřím. Zkoušel jsem v Preferences - Advanced, View Certificates, v Others jsem vše smazal, v Authorities jsem dal vše 'Delete or Distrust', což smazalo vše, co není build-in a odstranilo Trust bity ze všeho, co build-in je. V Servers jsem vše smazal. Zdálo se, že to funguje, ale teď se mi otevřela jedna stránka přes HTTPS, aniž bych schválil výjimku, kouknul jsem tedy do nastavení a hle, všechny certifikáty tam jsou zpět, trust bity zase nastaveny a v Servers mám stupidní výjimky v nějakým USERNET network pro špehouny od googlu/hotmailu, ... nic jsem určitě neaktualizoval, neměnil. Ve 'Validation' jsem i odškrtnul použítí nějakýho nedůvěryhodnýho protokolu pro kontrolu platnosti certifikátu online. Jako hlupan jsem se dnes nechal sledovat kompromitovanými weby přes HTTPS. Jak se těch certifikátů zbavím? Aniž bych musel vytvářet vlastní balíčky Firefoxu bez obsažených certifikátů. Chci se jich zbavit per-user, né pro všechny uživatele, sestra by se asi zbláznila, kdyby to na každý stránce ukazovalo neplatný certifikát, ať se klidně nechá sledovat, když chce, ale já nechci.
    Věřím v jednoho Boha.

    Řešení dotazu:


    Odpovědi

    28.8.2013 09:11 onno
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Nelze. Jedině sáhnout do zdrojáku a překompilovat si ff. Dle testů, které si dělali uživatelé, nepomůže dokonce ani přeznačení na untrusted root cert. Prohlížeč si je zase potichu re-enabluje. Bezpečnostní mechanismus certifikátů je v prohlížečích záměrně cinknutý.

    Se stim smiř!
    28.8.2013 16:37 Dát smazat | skóre: 6 | blog: druhá kolej
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Tak jsem se před chvilkou dočetl tadyk, že by mělo stačit přejmenovat soubor "nssckbi.dll" nebo odpovídající *.so v linuxu.

    Možná by stačilo zamezit jeho čtení.
    7.9.2013 11:28 pedro
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Ano, vypadá to tak. Certifikáty lze "smazat" v preferencies. Po restartu FF jsou tam zpátky, ovšem jako untrusted. Přesto ten mechanismus cinknutý fakt je. Podařilo se mi dostat FF do stavu, kdy se nemohu dostat na https://kernel.org - untrusted certiicate a žádná možnost udělit výjimku ... nechápu. Kompilace ze zdrojáků je asi opravdu jediná relativně čistá možnost. Ve zdrojákách je soubor s CA, ze kterého lze CA vyházet. Pak se zase stane FF velmi nepohodlným. Pokaždé, když se vleze na nový https server, je třeba klikat na výjimku, což je hodně otravné. Nakonec jsem to vyřešil takto - nechal jsem zabudované CA na pokoji, ať si tam jsou a přidal Certificate Patrol. U naprosté většiny webů je mi úplně fuk, jestli jsem na skutečném nebo podvrženém, respektive nepotřebuji SSL. Příkladem může být kernel.org; je mi fuk, odkud si jádro stáhnu. Důležité je, aby seděl gpg podpis. U těch několika málo webů, kde chci mít rozumnou míru jistoty, že nejsem na webu podvrženém, přichází ke slovu Certificate Patrol. Je mi zcela fuk, jakou CA je certifikát podepsán; důležité je, že je to stále ten stejný. Problémem je první návštěva důležitého webu - tam si mohu autentičnost ověřit buď přes CA nebo to prostě poprvé risknout. Dá se i přes TOR - jít na důležitý web přes TOR přes více různých exit nodů a porovnat hash; pak je celkem vysoká míra jistoty, že jsem na správném webu. Tímto způsobem jsem docílil toho, že na nedůležitých webech, jako třeba hledání na google, mě FF neobtěžuje a na těch důležitých by mě v případě nějakého MTM či jiného útoku upozornila Certificate Patrol
    Gilhad avatar 7.9.2013 11:47 Gilhad | skóre: 20 | blog: gilhadoviny
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Trochu jiny, ale podobny problem jsem vyresil jinak - na "normalni" lozeni po webu mam firefox (s vypnutymi javascripty, s vypnutymi obrazky, bez nainstalovaneho flashe, ...), na lezeni specialni stranky, kde potrebuju javascript, flash, nebo tak, mam seamonkey s nainstalovanyma vsema doplnkama. Navic tyhle dva nespoustim primo, ale prez skript, ktery se prihlasi na jineho uzivatele pro kazdy prohlizec a spusti to pod nim - takze jsou od sebe odriznuti sysatemovymi pravy a nesdili cookies ani nic jineho (a jsou odriznuti i ode me - ja mam pravo jejich adresare cist, oni moje ne. Kdyz neco stahnu, tak si to pak zkopiruju k sobe, ale i kdyby se zblaznili, tak oni si ode me nezkopiruji a neposlou pryc/nesmazou, protoze proste nemaji pravo)

    Cili tvuj pripad bych resil dvema uzivateli - jeden na google a spol, druhy na bezpecny pristup
    7.9.2013 12:39 pedro
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    :-), podobnou metodu používám také, jen trochu v jiných souvislostech. Na proxy mám zaříznuté špehování (google analytics, google ads, facebook, googleplus, navrcholu.cz, twitter a mraky dalších podobných) a takto prohlížím "normální" web. Na Facebook mám extra uživatele v obdobné konfiguraci, jakou popisuješ - FB je kapitola sama pro sebe; není snadné se bez něj obejít. No alespoň FB neví, co dělám jinde. Tedy naivně douám, že mám zaříznuté všechny jejich domény.
    Jendа avatar 7.9.2013 17:26 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Rozšíření jako Ghostery tohle umožňují i v jednom profilu - blokují například Facebook všude na webu kromě stránek Facebooku.
    Jendа avatar 7.9.2013 17:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Pozor na Xka - v rámci X serveru si mohou aplikace posílat eventy. Takže například může Firefox běžící pod jiným uživatelem poslat nějaký příkaz tvému terminálu. Schválně si zkus pod tím jiným uživatelem třeba
    sleep 10; xdotool type id;sleep 1; xdotool key Return
    a pak se rychle přepni do jiného terminálu a chvilku počkej.
    Jardík avatar 7.9.2013 14:27 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Certifikáty lze "smazat" v preferencies. Po restartu FF jsou tam zpátky, ovšem jako untrusted.
    Já s tím smazáním měl právě problém, že certifikáty byly zpět, a byly trusted, nikoliv untrusted. Nevím proč, zkoušel jsem to několikrát. Musel jsem ručně dát "Edit trust" u každé CA.
    Příkladem může být kernel.org; je mi fuk, odkud si jádro stáhnu. Důležité je, aby seděl gpg podpis.
    Ale ten gpg podpis musíš někde vzít a pokud si nejsi jistý správností certifikátu, nevíš, jestli GPG podpis tarbalu není taky podvržený.

    Věřím v jednoho Boha.
    Jendа avatar 7.9.2013 17:28 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Já s tím smazáním měl právě problém, že certifikáty byly zpět, a byly trusted, nikoliv untrusted. Nevím proč, zkoušel jsem to několikrát. Musel jsem ručně dát "Edit trust" u každé CA.
    U mně stejné.

    Nechcete někdo udělat fork Firefoxu, kde budou defaultně povypínané podobné sračky?
    Jardík avatar 10.9.2013 17:52 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Certificate patrol se mi zdá nějak nefunkční, resp. polofunkční. Pokud dám všechny CA na 'untrusted' a smažu vlastní výjimky, tak se nikam nepřipojím, a Certificate Patrol mi nenabídne přidat výjimku, musím ji přidat v Servers ručně, jako když CA patrol není nainstalován. Pokud to ale tak udělám, tak se mi to na server připojí, ukáže to stránku a teprve potom se mě CA patrol ukáže 'Nový certifikát přijat ... Accept-Reject', když dám Reject, tak mi ze Servers výjimku nesmaže, když dám Accept, tak si ho přidá do vlastní záložky. Tedy pokud certifikát nepřijmu, stejně to tu stránku načte, jenom to nahoře ukáže tu lištu. Ale já chci zabránit celému načtení, informace o špatném certifikátu mi je k ničemu, když to stránku načte a klidně jí to pošle GET/POST data, atd.
    Věřím v jednoho Boha.
    28.8.2013 09:37 onno
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    BTW, v linksu je možno zvolit vlastní pem soubor (v menu options) - a do něj si zkopírovat obsah /etc/pki/tls/cert.pem, vyhodit si z toho autority, kterým nevěříš a je to.
    Jendа avatar 28.8.2013 13:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Nejde je odstranit, jde "Edit Trust" a odškrtnout všechno.
    Jardík avatar 28.8.2013 13:54 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    To právě taky nejde. To 'Delete and untrust' maže nezabudované a maže ty trust bity (tj to samé, čeho dosáhnu s Edit Trust) u zabudovaných. Po restartu prohlížeče je vše zpět.
    Věřím v jednoho Boha.
    Jendа avatar 28.8.2013 14:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Povedlo se mi pomocí označení certifikátu (ne autority) The GoDaddyNěco a odškrtnutí checkboxů zařídit, aby AbcLinuxu bylo nedůvěryhodné. I po restartu. FF 17.
    Jardík avatar 28.8.2013 15:31 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Hmm, tak jsem použil 'Edit Trust' a nějak hodinu odškrtával políčka u všech certifikátů a nějakým zázrakem to přežilo restart. Ještě chvílu počkám, jestli to Firefox nějak sám nevrátí nazpět.
    Věřím v jednoho Boha.
    Jardík avatar 28.8.2013 15:34 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    BTW když např. abíčko má certifikát od GoDaddy, GoDaddy může provést man-in-the-middle útok podvržením jiného certifikátu že? Pokud schválím per-server výjimku pro ábíčko a GoDaddy mám jako untrustet, tak stále mají privátní klíč abíčka a mohou to udělat??
    Věřím v jednoho Boha.
    28.8.2013 15:38 Dát smazat | skóre: 6 | blog: druhá kolej
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    To se mi nezdá. IMHO může GoDaddy vystavit sám sobě nebo jinému jiný certifikát na stejnou doménu... to by se ale projevilo změnou fingerprintu - takže jde spíš o to jak se zachová firefox, když se fingerprint změní (imho nijak, ale jsou na to pluginy).
    Jardík avatar 28.8.2013 16:43 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Zkusím formulovat jinak. Vystaví GoDaddy ábíčku certifikát, tj abíčko dostane soukromý a veřejný certifikát od nich, nebo to funguje tak, že si vytvoří svůj certifikát a jen nechají od CA podepsat ten veřejný? V prvním případě mají znalost soukromého a je to tedy hrozba, v druhém ne.
    Věřím v jednoho Boha.
    28.8.2013 16:54 Dát smazat | skóre: 6 | blog: druhá kolej
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Privátní klíč nejde z ruky. Jen se jím podepíše CSR. (Teda necítím se silný v kramflecích... teprv se začínám orientovat. Ale i klíče k "blbým" SMIME certifikátům se u CACertu a Comoda při automatickém generování CSR generují a ukládají do prohlížeče.)
    Jendа avatar 28.8.2013 17:12 Jendа | skóre: 78 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Privátní klíč nejde z ruky. Jen se jím podepíše CSR.
    Přesně tak. Klíč si vygeneruješ u sebe a CA pošleš jenom CSR.

    Existují CA (StartSSL), které ti i vygenerují klíč, ale to snad nikdo soudný nepoužívá.
    Jardík avatar 28.8.2013 17:20 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Ok, já se bál, že by snad právě nějaké CA mohlo třeba vládě dát privátní klíč nějakého jejich zákazníka. I když např. špehouni jako Google jim ten klíč asi předhazují dobrovolně.
    Věřím v jednoho Boha.
    28.8.2013 15:37 potato
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    To mě překvapuje, že funguje, pokud stále platí toto: https://bugzilla.mozilla.org/show_bug.cgi?id=585352
    Řešení 1× (Jardík (tazatel))
    Jardík avatar 28.8.2013 16:53 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    No já jsem v záložce 'Authorities' prostě dal 'Edit trust' a vše odškrtal u všech, je to zdlouhavá práce, pro každý se zobrazí extra dialog. Tlačítko 'Delete or distrust' by mělo dělat asi to samé, problém s ním je, že 'Delete or distrust' mi funguje jen dokud nerestartuju Firefox. HTTPS mi teď "nefunguje", dokud nepřidám výjimku pro daný server. Ale ještě počkám, než si udělám nějaké závěry, aby Firefox třeba náhodně neauktualizoval certifikáty proti serverům mozilly a nenastavil to zpátky. Proč si myslet, že Firefox automaticky stahuje/aktualizuje certifikáty? Protože mi to pořád dává do záložky 'Servers' výjimky z nějakýho 'USERTRUST network' pro hotmail, google, skype, ... naštěstí když u nich dám 'Edit trust', tak mi to ukazuje, že jsou nedůvěryhodné, protože mám nastaveny jejich CA jako nedůvěryhodné. Ale už jen to, že mi je to přidává k výjimkám, mě deptá.
    Věřím v jednoho Boha.
    Jardík avatar 6.9.2013 10:44 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Tak zůstává to teda nastavený, funguje. Akorát by mohl být problém po aktualizaci, že to přidá novou CA a nedá mi to vědět ... musím to pořešit.
    Věřím v jednoho Boha.
    12.9.2013 01:41 jadd | skóre: 34 | blog: Greenhorn
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Máš v Archu něco jako debconf?
    12.9.2013 01:50 jadd | skóre: 34 | blog: Greenhorn
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Aby bylo jasné, pro Firefox
    Jardík avatar 12.9.2013 17:16 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Nemám. Každopádně to potřebuji nastavit per-user, kvůli dalším osobám používajícím ten počítač, nikoliv systémově.
    Věřím v jednoho Boha.
    12.9.2013 18:15 jadd | skóre: 34 | blog: Greenhorn
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Tak to asi budeš muset jen v tom Firefoxu, about:config + cert si prohlížel? Může s tím mít co dočinění Seahorse?
    Jardík avatar 12.9.2013 18:43 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Jinak v /etc/ca-certificates.conf mi stačí zakomentovat všechno, spustit ca-certificates-update a certifikáty jsou pryč ze všech aplikací. Ještě udělám nový firefox profil, jestli to bude taky respektovat (jestli v libnss nebo jak se to jmenuje, nejsou hardcodované). Ale každopádně bych potřeboval něco takovýho per-user, a né jenom ve Firefoxu a nastavovat každou aplikaci zvlášť mi nepřijde reálné, a např. takový akregator mě nenechá nastavit nic a pokud nejsou systémové certifkáty, tak nefunguje pro SSL protože mě nenechá přidat výjimku. Ještě to musím pořešit, všechno by bylo snadnější, kdyby lidi neměli potřebu špehovat.
    Věřím v jednoho Boha.
    Jardík avatar 12.9.2013 21:58 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Hmm, zdá se, že Akregator po smazání certifikátů totálně sní veškerou pamět při pokusu o připojení k https serveru, cca 10M/s.
    Věřím v jednoho Boha.
    Řešení 1× (OldFrog {Ondra Nemecek})
    Jardík avatar 12.9.2013 22:05 Jardík | skóre: 40 | blog: jarda_bloguje
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Takže firefoxí certifikáty jsou built-in v tý nss knihovně, smazání systémových nemá vůbec vliv na firefox, funguje to jen na webkití browsery, který čtou ty systémové.
    Věřím v jednoho Boha.
    12.9.2013 18:44 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Jak z Firefoxu vymažu certifikáty
    Pak věř chlapovi co rodí…
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.