AbcLinuxu:/ Poradna / Linuxová poradna / Firefox 51.0.1 a nedostatečn zabezečené weby

Štítky: copy, error, Firefox, Internet, paste, prohlížeče, web

Dotaz: Firefox 51.0.1 a nedostatečn zabezečené weby

18.2.2017 14:49 lertimir | skóre: 64 | blog: Par_slov
Firefox 51.0.1 a nedostatečn zabezečené weby

Přečteno: 1118×

Odpovědět | Admin

Potřeboval jsem se připojit na web s https, který má starší šifry a Firefox mi dá nejen varování

An error occurred during a connection to aaaaaa.bbb. Peer attempted old style (potentially vulnerable) handshake. Error code: SSL_ERROR_UNSAFE_NEGOTIATION

    Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
    Kontaktujte prosím vlastníky webového serveru a informujte je o tomto problému.

To, co mne překvapilo, že nebyla žádná možnost jak vzít informaci na vědomí a pokračovat na web. Nevíte jak to obejít? Myslím ve firefoxu, samozřejmě copy paste do Konqeroru funguje.

Nástroje: Začni sledovat (1) ?

Odpovědi

18.2.2017 17:13 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

https://brmlab.cz/user/jenda/ssl3

18.2.2017 17:42 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

no já tě chápu. Ale jednodušší je skutečně stránku otevřít v konqueroru. Ale proč to bloknou ve firefoxu tak natvrdo.

18.2.2017 19:58 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

Ale proč to bloknou ve firefoxu tak natvrdo.

Nekompatibilní světonázor (Jste stará rezavá konzerva, která si pořád myslí, že vám mají počítače sloužit a nechápete ten skvělý pokrok.). Stejně jako proč nejde overridnout HSTS, HPKP a OCSP, v nastavení zrušili vypnutí javascriptu a obrázků, zrušili možnost zastavit animaci gifů, a s přechodem na nový formát rozšíření se velmi ztíží věci jako NoScript.

18.2.2017 21:08 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

Jen klid dit už nic neříkám, já sám se v sobe potýkám.

18.2.2017 21:11 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

To nebylo poznat že první věta (i se závorkou) je ironie?

18.2.2017 21:13 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

bylo. moje odpověď také.

18.2.2017 21:42 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

Ale asi nebylo poznat, že to je citace. :-)

18.2.2017 22:48 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

Predpokladam, ze ta stranka sa snazi donutit clienta pouzit SSLv2, alebo SSLv3. Oba protokoly su derave a ich pritomnost na servri znizuje bezpecnost aj TLS. Preto sa postupne odstranuju z kniznic a tym padom, skorsie ci neskorise, aj z browserov. Ked ma pamat neklame, tak FF a Chrome ide cestou to odstranit bez cakania, az budu odstrane z beznych kniznic ... Podla merani je uz len cca 0.3% trafficu cez tieto protokoly ... pokial ma niekto velmi silnu potrebu ist na tak biedne zabeznecenu stranku (e.g. server nebol uz dlhsie updatnuty), tak je zatial moznost znovu povolit SSLv3, lebo pouzit nejaky "proxy", ako napr socat. Ako sa da ocakavat, tak obe moznosti nie su doporucovane ...

20.2.2017 08:54 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

A nebo na tu stránku jít přes HTTP, pokud to umožňuje. Aspoň pak uživatel nemá tu iluzi bezpečnosti.

20.2.2017 15:36 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

presne tak :)

23.2.2017 12:51 Jirka
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Z vaší diskuse vyplývá použití ne zrovna bezpečných verzí protokolů na odmítnuté stránce.

Jenže já se nemůžu cca týden dostat hlavně na stránky Microsoftu, Mozilly a ESETU, kde hledám pomoc s tímto problémem - Win 10, poslední sestavení, se všemi kritickými aktualizacemi. FF ver. 50.0.1.

V případě ESETU se nedostanu např. na stránky servisu:

https://servis.eset.cz/knowledgebase/article/View/338/54/eset-log-collector

A taky se nedostanu na stránky Mozilly:

https://forum.mozilla.cz/viewtopic.php?t=2751

Po restartu Firefoxu 50.0.1 se to u jedné stránky dočasně spravilo a přístup byl možný.

Ted zrovna mi přestala jít i pošta na seznamu, která ještě před chvílí fungovala bez potíží.

Tak nevím. Docela to vadí a od Mozilly je nefér to, že nenapíše příčinu (protokol), zakáže i sama sebe a řekne jen, informujte tvůrce stránek. Jak, když na stránky se nedostanu.

A pokud mi zruší noscript a další rozšíření, tak s mou dosud milovanou Mozillou končím. Místo aby se snažili lišit, snaží se vypadat stejně jako Chrome. Pak si klidně můžu přejít na Chrome a nemusím se s nimi potýkat.

Chci se zeptat, která verze TLS je tedy bezpečná? Má smysl v prohlížeči u HTTPS zakázat ty ostatní protokoly TLS a SSL? ( ted zrovna to dobré zřejmě není, ale obecně.)

Jirka

23.2.2017 13:18 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

V tom případě ale není problém ve Firefoxu, ale v tom, že na vás nejspíš někdo útočí a Firefox vás správně před tím útokem ochrání. Vyzkoušejte, zda to na stejném počítači dělají i jiné prohlížeče, případně zda se stejně chovají i jiné počítače ve stejné síti. Podle toho poznáte, zda je útok veden na prohlížeč, počítač nebo síť.

23.2.2017 13:19 ES
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Tak to asi mate vetsi problem nez jenom nefunkcni FF.

23.2.2017 13:37 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Zkoušel jsem ty dva uvedené weby na Win10 a FF 51.0.1 (nikoliv tedy 50), a vše funguje OK, oba weby jedou přes TLS 1.2 a kromě mírné stížnosti na RSA je to spojení v pohodě.

Takže problém bude někde u vás, nemáte na síti náhodou zastaralou proxy?

Verze TLS jsou bezpečné aktuálně všechny (preferuje se TLS 1.2), verze SSL nejsou bezpečné žádné a mělo by se od nich už dávno ustoupit (sslv2 2011, sslv3 v 2015). TLS 1.0 je tady od 1999, takže náhrada byla hodně dlouho před koncem ssl.

Heron

23.2.2017 13:44 lertimir | skóre: 64 | blog: Par_slov
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Problém je lokální. jednak jsou stránky viditelné v mozile 48 50 i 51. jednak vytvářejí bezpečné weby. eset a mozilla

23.2.2017 14:22 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Docela to vadí a od Mozilly je nefér to,...

Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada. Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ... Mozila vas spravne informuje ze "Error code: SSL_ERROR_UNSAFE_NEGOTIATION".

Pozeral som ako je nastavena stranka servis.eset.cz. Podporuju len bezpecne TLS + bezpecne sifrovacie schemy. Takze v tomto pripade je problem vo vasom PC, alebo vasej sieti. Moznosti je viacej:
- mate zavirovane pc
- mate nainstalovanu nejaku odpocuvaciu applikaciu typu superfish
- niekto na sieti sa vam znazi naburat do pocitaca (uplne staci hacknuty router)
- mate na sieti stare proxy
- mate na pocitaci, alebo v sieti zle nakonfigurovany antivirus

Je uplne jedno, ktora je to moznost, kazda jedna je zla. V najhorsom pripade to moze viest k situacii, ze utocnik ziska citlive udaje z browseru, alebo este viac zaviri vasu masinu.

Doprocujem nejak systematicky prejst jednotlive veci a skusit zuzit problem na konkretne miesto. E.g.:
- FF s cistym profilom (bez pluginov), sa sprava rovnako ?
- chrome na tej istej masine vyhadzuje podobne chyby ? (IE / Konqeror ani netreba skusat, jedno horsie ako druhe)
- mate v systemovom trust store nejaky ca cert, ktory ocividne vypada zly ? (superfish, lenovo, symatec, etc..)
- FF na inej masine v tej istej sieti sa sprava podobne ?
- co ukaze host servis.eset.cz ? (mne vrati 91.228.165.24)
- co ukaze openssl s_client -connect servis.eset.cz:443 -no_ssl2 -no_ssl3 -no_tls1 -no_tls1_1 ?

... podobny problem som riesil nedavno u znamych. Niekto im vybural router a zmenil DNS server. Vdaka tomu bolo vsetko routovane cez utocnikov server ... samozrejme, ze riesili ako vypnu tu hlasku vo FF a nie, ze im niekto odpocuva celu LAN siet ... ludia su prote nepoucitelny.

23.2.2017 18:59 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada.

Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu. Je záhodno, aby se zeptal, jestli jsem se nepřeklepl, nebo aby mě na síťový problém upozornil, ale znemožnit akci je prostě nepřijatelné.

Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ...

O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.

23.2.2017 19:24 Heron | skóre: 53 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu.

Dobře, nejsi 99% a dle tvé wiki jsi si vytvořil prostředek, jak přesně to co chceš dosáhnout. Případně si můžeš přepsat ten prohlížeč tak, aby ti vyhovoval.

O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.

Problém je, že add exception v realitě znamená, že na to bude každej (ok, možná ne úplně každej) klikat jak pominutej a po chvíli ani nebude vnímat, že to tam je. Ostatně tak jak jsme v minulosti viděli třeba i u státní správy, kdy bylo oficiálními místy doporučováno klikat na add exception (afaik u datových schránek) a to, že tam dva roky nebyl platný cert nějak nikomu nevadilo (takže ideální pozvánka pro mitm).

Heron

23.2.2017 22:03 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Ne, v tomto případě ta umělá inteligence správně odhalila útok, zatímco uživatel řeší, jak jí obejít a nacpat tajná data útočníkovi. Pokud nejste 99 % a webovému prohlížeči a jeho zabezpečení perfektně rozumíte, tak vás přece nějaké nastavení pro BFU nezastaví, protože máte prohlížeč nastavený po svém.

chybí tlačítko Add Exception.

To tlačítko tam nechybí. Jak se dočtete výše, kdyby tam bylo, uživatel se na nic neptal, zmáčknul by ho a dostal by se na web podvržený útočníkem. Díky tomu, že tam není, musel se zeptat, a dozvěděl se, že má napadený počítač nebo síť. Ta absence tlačítka tedy zafungovala přesně tak, jak měla.

24.2.2017 11:28 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

chybí tlačítko Add Exception.

Miesate dve veci:

1) ked nie je v poriadku certifikat, alebo sa neda overti, tak uzivatel dostane moznost "add exception". V tom momente sa spojenie degratuje na uroven "ssh", kde sa pri prvom pristupe zapameta certifikat a pri daslom kontroluje. Ak dojde k zmene, tak uzivatel je na to upozorneny. Toto je podla mna vporiadku, lebo vela ludi ma doma zariadenia, na ktorych mozno chce (musi mat) HTTPs, ale zbytocne riesit drahy cert. Takze "ssh" styl autorizacie (e.g. akceptujem pri prvom spojeni) je vporiadku.

2) lertimir-ovi nieco downgradovalo spojenie na sifrovaciu schemu, ktora nie je podrporovana Firefoxom. Takze tam ani nema mat ako "add exception", lebo proste je to uz koniec. Dalo by sa to prirovnat k v vyplakavaniu nad "HTTP 404", alebo "HTTP 500". Tam to je uz tiez konecna a nejake zazracne tlacidlo ten obsah proste nema ako zobrazit ...

btw: v oboch pripadoch nejde o ziadnu umelu inteligenciu. Tu sa nebavime o robotoch, co citaju stranky a kategorizuju ich podla obsahov. Tu sa bavime o transportnej urovni, ktora ma presne dane pravidla co je dobre a co nie ... a ci sa to ludom paci, alebo nepaci, tak bezpecnost nejak zarucena musi byt. Predpokladam, ze vela ludom by sa pacil domaci trezor, ktory sa odomkne pri pohlade na neho, ale uz menej by sa im pacil trezor, ktory sa odomkne ak sa nanho pozrie zlodej ... a toto je presne pripad tu ...

24.2.2017 12:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

V tom prvním případě to ale znamená, že útočníkovi stačí podvrhnout self-signed certifikát – a uživatel si ho s radostí přidá do výjimek.

zbytocne riesit drahy cert

Certifikát je možné mít zadarmo.

Takze "ssh" styl autorizacie (e.g. akceptujem pri prvom spojeni) je vporiadku.

Není, protože uživatel to stejně nikdy nezkontroluje.

27.2.2017 17:24 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

V tom prvním případě to ale znamená, že útočníkovi stačí podvrhnout self-signed certifikát – a uživatel si ho s radostí přidá do výjimek.

Browser musi poukazat na problem, ale nemoze byt ako pestunka. Ked pise "not secure" na spojenie a uzivatel sa aj tak bude snazit pokracovat, tak je to uzivatelova chyba. Tak isto ako vyrobca trezoru moze vysvetlit uzivatelovi, ze nema rozdavat svoj pin kazdemu koho vidi, ale realne nema sancu mu zabranit aby to spravil. Nie je chyba trezoru, ak sa donho zlodej dostane cez vyzradene heslo. Tak presne neni chyba browseru, ak si uzivatel prida certifikat, aj ked mu jasne napise, ze to nie je dobre.

Chrome pise:

Attackers might be trying to steal your information from example.com (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID

Firefox pise:

The owner of example.com has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.

Otvorene poviem, ze chrome ma toto lepsie napisane. Bezny uzivatel strati pozornost tak po 4 - 5 slovach, kde ma chrome "attackers" a tesne "steal". Firefox zacina tak, ze to asi ani neni problem, len nevedia nastavit stranku ... aj ked, potom sa len trosku opravia

Certifikát je možné mít zadarmo.

Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.

Není, protože uživatel to stejně nikdy nezkontroluje.

Vid. prva cast mojej odpovedi ... ked si to nekontroluje je to jeho chyba, kto si to vie skontrolovat, tak moze fungovat aspon ako "ssh".

27.2.2017 19:14 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Tohle srovnání Firefoxu a Chrome je na bugreport (do Firefoxu).

Otázka je, zda uživatel má dostatečné technické znalosti, aby byl schopen zvážit rizika a vůbec pochopit, co se děje. U drtivé většiny uživatelů tomu tak nebude a spoustě adminů a poskytovatelů služeb to ušetří práci s řešením problémů s ukradenými hesly a vykradenými účty.

Pokud jde o admina a certifikát na intranetu, tak si má udělat svou certifikační autoritu a tu si naimportovat, kde potřebuje. Mám takle skriptem generované certifikáty pro lokální testovací domény a krom chvíle nastavování kdysi na začátku to funguje velmi dobře.

Hello world ! Segmentation fault (core dumped)

27.2.2017 19:55 j
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Uz sem mockrat psal ....

1) uzivatele bezpecnost nezajima 2) uzivatel desitky let pouziva http a nikomu to nevadi 3) browser ma i u https drzet hubu a web zobrazit 4) teprve kdyz uzivatel chce bezpecnost resit, mel by mu browser poskytnout nastroje (ty aktualne neexistuji zadne) 5) teprve potom by mel browser upozornovat (na nesrovnalosti) pripadne blokovat (pri naruseni te vyzadane bezpecnosti)

Mimochodem, mam slusnych par let zkusenosti s bezpecnosti ve firemnim sektoru. Zcela bez vyjimek plati, ze cim vic se bezpecnost vymaha po uzivatelich, tim horsi ve skutecnosti je. Konkretne, banka, povinost menit heslo co tyden, pamet 2 roky zpet ... 12+ znaku, kontroly na lepiky pod klavesnici atd atd ... vysledek? Jeden vymyslel a vsichni pouzivali ... jedno heslo, ktere splnovalo pozadavky, a kteremu zmenili co tyden prave cislo tydne v roce (a pripadne ten rok). Tzn stacilo okoukat heslo 1x a bylo mozne jej urcit na libovolny termin dopredu i dozadu. Ale bylo, dle korporatnich pravidel, naprosto bezpecne.

Tohle je exaktne totez. Uzivatel chce aby mu to fungovalo, chce ten web videt. Nezajima ho co si o tom mysli nejakej vul nekde v kotehulkach.

Navic treba varovani kolem selfsign je totalni kravina ze vsech existujicich uhlu pohledu. Selfsign cert je exatkne stejne naprd jako libovolnej cert vydanej libovolnou CA. Naopak, je o rad bezpecnejsi (minimalne) protoze (kdyby to browser umel, jako ze neumi) je mozny ho svazat s danym webem, a priste pripadne resit, jestli se zmenil.

Jeste vetsi sranda je pak to, ze tam kde bezpecnost alespon nejaka* je (DANE a spol) se tomu browsery vyhejbaj jak cert krizi ... procpak asi.

*Porad tu existuje problem, ze se zmeni DNS a roli CA prebira provozovalel DNS, ale kdyz nic jinyho, tak se provozovatel webu o ty zmene dozvi (nebo muze dozvedet), coz v pripade vydani certifikatu nejakou CA nema sanci. Navic DNS stejne uzivatel verit musi, protoze jinak se nikam nepripoji.

27.2.2017 21:42 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Browser musi poukazat na problem, ale nemoze byt ako pestunka.

Kde je ta hranice? Když dostane certifikát podepsaný MD4 nebo mu server nabídne jako jediný protokol SSL2, má dát uživateli na výběr a umožnit pokračovat? To kvůli tomu musí být v dnešním prohlížeči MD4 a SSL2 implementované? A když ten „web“ vůbec nebude podporovat HTTP, tak prohlížeč poukáže na problém, ale když uživatel prohlásí, že chce pokračovat, tak prohlížeč vytiskne požadavek, vloží do obálky a pošle jí poštou? Schválně uvádím absurdity, aby bylo jasné, že uživatel nikdy nemá bezbřehou možnost výběru. Vždycky je omezený tím, co mu prohlížeč nabízí – a zrovna u těch certifikátů a algoritmů je to tak, že by prohlížeč uživateli něco mohl umožnit, protože to implementované má, a druhý den už to implementované nemá. Ostatně, kdyby platilo, že co prohlížeč jednou začne podporovat, musí podporovat už na pořád, budou prohlížeče pořád jenom bobtnat a bobtnat.

Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.

Ten certifikát může vystavit třeba chytrý domácí router, ten se k tomu hodí.

Jinak to, že je zařízení v intranetu, vystavení certifikátu nevadí. To, že nemá DNS záznam v externí zóně je chyba, a doufám, že tenhle nesmysl odejde do věčných lovišť nejpozději s NATem, je to „řešení“ ze stejného těsta. Podporu na spouštění skriptů/binárek pro vystavení certifikátu nepotřebujete. Pokud ta HW konzole serveru, router a podobná krabička umožňuje nahrát privátní klíč a certifikát, tak tam certifikát od Let's Encrypt dostanu. A pokud má to zařízení nějaký certifikát zadrátovaný napevno, aspoň už vím, co příště nekupovat.

ked si to nekontroluje je to jeho chyba

Není. Pokud nějaký bezpečák přistupuje k bezpečnosti způsobem „uživatel si musí zkontrolovat, musí vědět, musí znát“, tak nic neumí. Hodit bezpečnost na neznalého uživatele je snadné, ale žádnou bezpečnost to nezajistí. Systém musí být bezpečný sám o sobě, nemůže spoléhat na to, že uživatel se bude pořád o bezpečnost starat.

24.2.2017 06:57 Kate | skóre: 9
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Jendo, jenže ty se ve chvíli kdy se nedostaneš z FF na web Mozilly, Esetu a podobných asi začneš nejdřív zajímat jestli mají něco s certifikáty a hned potom jestli na tebe třeba tvůj router neprovádí MITM. Což je v tu chvíli celkem možná varianta. Zatímco tazatel už hledá jak to obejít. V tu chvíli jsou veškeré obranné mechanismy prohlížeče k ničemu, protože i kdyby to bylo zastrčené hluboko v about:config, uživatel by si na netu návod našel.

27.2.2017 17:36 j
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

To jiste, nejlepsi je, kdyz si user nainstaluje starou verzi browseru, a zakaze ji aktualizace, protoze ma naprosto v riti nejaky ssl/tls/ a dalsi cypoviny, ale chce aby mu ten web fungoval ...

A to je presne to, co se stane.

2lertimir: Nahod si pale moon (a zrus FF). Pokud ti nebude z nejakyho duvodu vyhovovat vychozi nastaveni, tak si do nej jeste dej palemoon commander. Pribudou ti advanced options. Mno a tam si muzes pozapinat co jen libo (v about config to jde samo taky, ale tohle je precijen privetivejsi).

23.2.2017 22:18 eset
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby

Open ESET > F5 to enter advanced setup> Web and Email > SSL/TLS- disable.

23.2.2017 19:00 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

Jako že než použít protokol, na který je známý nějaký útok (který může vyžadovat MITM, nějaké další podmínky co do přenesených dat a konfigurace serveru atd.), je lepší použít protokol, který je možné odposlechnout úplně triviálně?

27.2.2017 17:48 j
Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby

To je presne nazor soudruhu z mozilly, je prece lepsi se na APcko prihlasovat opentext heslem, nez pouzit sice (teoreticky)* deravou, ale precijen sifru.

*Teoreticky, protoze vetsinou je treba odchytit pomerne dost dat, na coz treba login k nejaky krabce rozhodne nestaci.

Jako bonus je to dokonalej zpusob, jak BFUcka dotlacit k tomu, aby pouzivali prohlizec, se kterym jim to funguje = starej a neaktualizovanej, protoze oni to(at uz cokoli - televize, pracka, lednicka, apcko, router, .... vsechno veci ktery se v domacnostech pouzivaji dokud fyzicky neumrou, coz i s kurvitkama muzou bejt desitky let) chteji pouzivat.

A to vse ve jmenu pseudobezpecnosti, "zajistovane" "autoritami" ... ktere vydaji kdykoli komukoli jakykoli certifikat k cemukoli, coz se pravidelne a setrvale deje. Zato dat provozovatelum webu a jejich uzivatelum realnej nastroj, na slusny zajisteni bezpecnosti, nato nemaji cas, protoze pridavaj kravince jako napriklad https://www.abclinuxu.cz/zpravicky/firefox-test-pilot-rozsiren-o-snooze-tabs-a-pulse zato podstatny veci https://bugzilla.mozilla.org/show_bug.cgi?id=14328 hnijou a hnijou (s DANE a DNSSEC to primo souvisi, protoze je treba implementovat obecnej DNS dotaz). Krasnych 18 let coz?

Založit nové vlákno • Nahoru

Tiskni Sdílej: