Firefox si certificatele digitale

Știm cu toții ce se întâmpla până acum dacă navigam pe un site identificat printr-un certificat digital semnat de un CA necunoscut: Firefox-ul afișa o fereastră de dialog. Și practic toată lumea dădea click „ca maimuța” pe „accept temporarily” (sau, mai rău, pe „accept permanently”).

Așa a fost mulți ani. Până la Firefox 3. Care mi-a făcut o surpriză… plăcută și nu tocmai 🙂

Să explic: predam un curs de network security. Și bazându-mă pe comportamentul descris mai sus, m-am apucat să demonstrez un atac de tip SSL MITM (man-in-the-middle). În general, aproape toată lumea (chiar și studenții de la rețele 😛 ) mușcă momeala, și dau click pe „accept”. Ei bine, de data asta nu mi-a mai mers. Pe calculatoarele din sală era instalat Firefox 3!

Ce face FF3? În loc de acea căsuță de dialog, afișează un mesaj de eroare (oarecum asemănător cu cel de „page not found”). Dacă ții neapărat să accesezi pagina, poți – dar trebuie să creezi manual o excepție. Adică să dai ceva mai multe click-uri, și să ai cât de cât o idee ce faci.

Trecând peste faptul că mi-a stricat demonstrația 😛 , pentru mine acest lucru a reprezentat o surpriză plăcută. Mi se pare absolut normal ca default-ul să fie „ai idee ce faci, poți accesa orice; nu ai idee, te las să vezi doar ce e securizat corect”. Și chiar am lăudat FF3 față de studenți pentru aceasta (comentând totuși de faptul că mulți proprietari de site-uri care folosesc self-signed certs nu vor fi tocmai fericiți }-] )

Ei bine, se pare că așa este – nu toată lumea apreciază evoluția în direcția respectivă. Detaliile le citiți aici – as far as I’m concerned, rămân la ideea mea: direcția FF3 este una bună, și de apreciat. Iar să spui că FF3 este „bad for the web” pentru că oferă security by default mi se pare un pic cam mult…

3 Comments »

  1. AlexJ Said,

    August 25, 2008 @ 22:49

    “(chiar și studenții de la rețele 😛 ) mușcă momeala,” de ce zici asta? :-”

    “Critics say that Firefox 3.0 is putting undue fear and confusion into everyday Web surfers” adica doamne fereste sa fie cineva care sa incerce sa faca bietii useri mai security aware… ca doar browserele care fac totul asa userfrIEndly sunt cele mai securizate..de ce sa dea omul doua clkcuri in plus cand poate sa ignore tot?

    LE: super tare pluginul de Ajax Edit 😛

  2. Life Tester Said,

    August 26, 2008 @ 16:01

    mi se pare o MARE greseala sa pui certificatele self-signed in aceeasi galeta cu cele incorecte/false

    adica X se hotaraste sa folosesca HTTPS ca sa nu transpire datele utilizatorilor dar nu vrea sa arunce banii pe certificate, isi face unul self signed si mocsila il pedepseste: “stupid, foloseste HTTP ca nu-ti da warning-urile alea stupide ca sa-ti sperie utilizatorii plus ca iti mareste userbase-ul daca transpira parolele la terti :-))”

  3. bogd Said,

    August 26, 2008 @ 16:41

    Desi certificatele self-signed sunt mai bune decat un basic-auth, ele chiar SUNT certificate invalide. Cat timp nu poti autentifica sursa certificatului, securitatea pe legatura respectiva este practic egala cu zero. De ce? Din cauza faptului ca legatura devine vulnerabila la atacuri man-in-the-middle.

    De acord – avantajul HTTPS este ca un „oarecare” care iti sniffaie traficul nu va vedea datele in clar. Dar in general acel „oarecare”, daca are acces la traficul dintre tine si webserver, are si posibilitatea de a realiza un atac MITM.

RSS feed for comments on this post · TrackBack URI

Leave a Comment