LINUX.ORG.RU
решено ФорумTalks

Firefox Quantum, будь он проклят! (частично решено)

 


0

1

Уже полчаса потратил, не могу решить проблему:

В локалке стоит сервак с апачем, на котором настроены прокси с кэшем на fonts.googleapis.com (и прочие гуглопомойки типа ajax, fonts.gstatic и пр.). DNS на fonts.googleapis.com (и пр.) отдаёт локальый адрес этого сервака. Разумеется для https сертификат самоподписанный. Всё чудеснейшим образом работает везде, кроме этого нового квантума.

Дык вот, этот сраный квантум теперь, скотина, не даёт сделать исключение для https://fonts.googleapis.com, Высирает такое:

This site uses HTTP Strict Transport Security (HSTS) to specify that Firefox may only connect to it securely. As a result, it is not possible to add an exception for this certificate.

При нажатии Advanced... никаких кнопок Add Exception, только высер про

fonts.googleapis.com uses an invalid security certificate. The certificate is not trusted because it is self-signed. Error code: SEC_ERROR_UNKNOWN_ISSUER

Ну ладно, порылся в говнах фаерфоксовых, может где случайно затесался старый сертификат или упоминание что HSTS на fonts.googleapis.com есть, так ведь нет же - нигде ничего.

Добавил принудительно сертификат через Preferences->Privacy&Security->... Этой твари похер. Сделал новый профиль - похер.

Где надо палочкой потыкать, чтобы квантум сожрал самоподписанный сертификат для fonts.googleapis.com и больше никогда не жужжал?

Ну и вообще - Это чо ваще за херня? Мазилла совсем с дубу рухнула, что-ли? Теперь локальный кэш нельзя людям использовать, что-ли? При этом CNNIC и другие СА спалившиеся на поддельных сертификатах до сих пор в списке доверенных, так что это явно не забота о безопасности пользователей.

В общем, что делать-то? Уж очень не хочется делать CA и заново все сертификаты генерить и подписывать, а потом по всем железкам CA в доверенные запихивать.

Хоть и с CA но таки победил. Правда с CA наткнулся на другую засаду:

Есть в about:config security.cert_pinning.enforcement_level:

  • Pinning disabled
  • Allow User MITM (pinning not enforced if the trust anchor is a user inserted CA, default)
  • Strict. Pinning is always enforced.
  • Enforce test mode.

Соответственно, надо поставить 1, это, кстати дефолтное значение. Зачем я его менял - хрен знает, вроде когда-то пытался заставить фуррифокс орать в том числе и на смену одного «валидного» сертификата на другой, может тогда и поставил Strict.

Однако это никак не отменяет гнидства на предмет self-signed certificates. Фаерфокс всё равно отказывается дать возможность принимать self-signed сертификаты если есть HSTS или HPKP. Разницы между self-signed и Trusted CA signed вообще никакой с точки зрения безопасности - я точно так же могу и CA завести, просто возни больше на совершенно пустом месте, Причём, в отличии от самоподписанного сертификата, теперь при смене сертификатов, в том числе и на подписанные коммерческими CA эта сволочь вообще даже не пикает. На самоподписанный оно хотя бы орало, что сертификат другой. А тут - выпустит CNNIC сертификат для гуглотвиттеров и пейсбукобанков и никто даже не заметит, что сертификат подменили.

ЗЫ: Вся эта херня с «доверенными» сертификаторами должна быть уничтожена на корню. Никто ведь не знает, сколько и каких левых сертификатов эти засранцы на самом деле навыпускали для себя, для спецслужб, для тех кто заплатит и т.п. Способа проверить это у пользователя нет вообще, сертификаторы ни перед кем не отчитываются, и в общем-то ни за что не отвечают. Даже когда их ловят за руку (например CNNIC - доказанный случай) никто и не думает выкидывать их сертификаты из доверенных, «как же, всекитайский государственный сертификатор, как же мы его выкинем?? Ну допустил выдачу левых сертификатов - делов-то, подумаешь.». В общем, протухла вся эта сраная система.

★★★★★

Последнее исправление: Stanson (всего исправлений: 6)

Ответ на: комментарий от entefeed

В 2018 любой браузер юзать - напряжение. Разницы между хромом и фурифоксом вообще никакой. Что то говно, что это говно.

Stanson ★★★★★
() автор топика
Ответ на: комментарий от Stanson

Первый хотя бы не ломает аддоны под корень когда ему вздумается, и не строит из себя белого-пушистого отправляя телеметрию за твоей спиной. И не течет.

entefeed ☆☆☆
()
Последнее исправление: entefeed (всего исправлений: 1)
Ответ на: комментарий от entefeed

Первый хотя бы не ломает аддоны под корень когда ему вздумается,

Ну это, несомненно, плюс. Но всё впереди.

и не строит из себя белого-пушистого отправляя телеметрию за твоей спиной.

Он её открыто отправляет, и даже не даёт urlки вытереть из конфига.

И не течет.

Угу. Просто отжирает сразу всё что может. :)

Stanson ★★★★★
() автор топика

Нормально квантум кушает самоподписанные SSL. А вообще, что мешает перейти на let's encrypt? Даже для локалки он православнее чем самоподписанные.

FluffyPillow
()
Ответ на: комментарий от FluffyPillow

А вообще, что мешает перейти на let's encrypt?

Расскажи, как ты будешь получать SSL сертификат для *.google.com у этого сервиса ? :)

joy4eg ★★★★★
()

Ну можно попробовать для локальной сети свой CA и его скормить лисе. И им уже подписывать сертификаты.

FluffyPillow
()
Ответ на: комментарий от FluffyPillow

Нормально квантум кушает самоподписанные SSL.

Да. Если сайт без HSTS и пр.

А вообще, что мешает перейти на let's encrypt? Даже для локалки он православнее чем самоподписанные.

Щито???

Я вот могу себе и окружающим гарантировать, что ни одна скотина не сопрёт у меня ключ от сертификата. А кто сможет гарантировать, что завтра Let's Encrypt c Verisign и прочими не начнут выдавать левые сертификаты по первой просьбе сотрудников всяких внутренних органов для них и членов их семей и прочих причастных, имеющих желание залезть куда не надо?

Stanson ★★★★★
() автор топика
Ответ на: комментарий от FluffyPillow

Ну можно попробовать для локальной сети свой CA и его скормить лисе. И им уже подписывать сертификаты.

Видимо так и придётся делать. Блин, геморрой на пустом месте. Хотя и невеликий. Но вот что делать, если завтра мазилла не даст добавлять свои CA в список доверенных?

Stanson ★★★★★
() автор топика
Ответ на: комментарий от Stanson

Я вот могу себе и окружающим гарантировать, что ни одна скотина не сопрёт у меня ключ от сертификата.

Вот если бы ты гарантировал, что сам его не отдашь, или отдашь только под давлением, это чего-то стоило бы...

tailgunner ★★★★★
()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от Stanson

Маловероятно, ибо лягут некоторые сайты. Тот же WebMoney использует свой CA для некоторых зон сайта + авторизация по тем же сертификатам их CA.

FluffyPillow
()
Ответ на: комментарий от Stanson

Я вот могу себе и окружающим гарантировать, что ни одна скотина не сопрёт у меня ключ от сертификата.

Хе-хе. Паяльник же.

FluffyPillow
()

Найди директорию с профилем (на about:support написана в поле Profile Directory). Найди там файл SiteSecurityServiceState.txt. Найди в нём упоминание fonts.googleapis.com. Удали строку.

i-rinat ★★★★★
()

А вообще у задачи есть решения даже проще. Достаточно поставить дополнение с переадресацией, забив в него несколько правил. Или поставить дополнение, работающее с проксями, и забить несколько правил в него. Это будет работать даже для сайтов, для которых использование HSTS принудительно по встроенному списку.

i-rinat ★★★★★
()
Ответ на: комментарий от tailgunner

Вот если бы ты гарантировал, что сам его не отдашь, или отдашь только под давлением, это чего-то стоило бы...

Чтобы на меня надавить, нужно как минимум знать, что именно этот ключ есть именно у меня. Пока левый персонаж будет выяснять, а у кого же ключик, на кого надавливать, ключик 100500 раз можно будет shred -uvz например. И хоть усрись потом, отдавать будет нечего. А у летсэнкриптов с верисайнами всё известно, всё на виду.

Stanson ★★★★★
() автор топика
Ответ на: комментарий от FluffyPillow

Маловероятно, ибо лягут некоторые сайты. Тот же WebMoney использует свой CA для некоторых зон сайта + авторизация по тем же сертификатам их CA.

Ну так это не аргумент против, это аргумент за. Чего бы мозилле не обуть на 100500 денег вебмани?

Stanson ★★★★★
() автор топика
Ответ на: комментарий от FluffyPillow

Хе-хе. Паяльник же.

Умные все такие. Сначала надо узнать, куда этот паяльник запихивать. Пока будут узнавать, ключик испарится.

Stanson ★★★★★
() автор топика
Ответ на: комментарий от i-rinat

Найди директорию с профилем (на about:support написана в поле Profile Directory). Найди там файл SiteSecurityServiceState.txt. Найди в нём упоминание fonts.googleapis.com. Удали строку.

Туда и полез в первую очередь. Нету там такой строки. Вообще во всём профиле упоминание о fonts.googleapis.com есть только в cert9.db с какой-то совершенно дебильной таблицей типа

CREATE TABLE nssPublic (id PRIMARY KEY UNIQUE ON CONFLICT ABORT, a0, a1, a2, a3, a10, a11, a12, a80, a81, a82, a83, a84, a85, a86, a87, a88, a89, a8a, a8b, a90, a100, a101, a102, a103, a104, a105, a106, a107, a108, a109, a10a, a10b, a10c, a110, a111, a120, a121, a122, a123, a124, a125, a126, a127, a128, a130, a131, a132, a133, a134, a160, a161, a162, a163, a164, a165, a166, a170, a180, a181, a200, a201, a202, a210, a40000211, a40000212, a300, a301, a302, a400, a401, a402, a403, a404, a405, a406, a480, a481, a482, a500, a501, a502, a503, ace534351, ace534352, ace534353, ace534354, ace534355, ace534356, ace534357, ace534358, ace534364, ace534365, ace534366, ace534367, ace534368, ace536351, ace536352, ace536353, ace536354, ace536355, ace536356, ace536357, ace536358, ace536359, ace53635a, ace53635b, ace53635c, ace53635d, ace53635e, ace53635f, ace536360, ace5363b4, ace5363b5, ad5a0db00, a80000001, ace534369);
CREATE INDEX issuer ON nssPublic (a81);
CREATE INDEX subject ON nssPublic (a101);
CREATE INDEX label ON nssPublic (a3);
CREATE INDEX ckaid ON nssPublic (a102);

Ну точно в мазилле гомосеки. Только гомосек будет создавать таблицу с такими названиями полей.

Но вот в дампе этой базёнки никакого fonts.googleapis.com нету. А в бинарнике оно есть.

Дальше смешнее - сотворил CA, подписал сертификаты, рестартанул апач, добавил CA сертификат в Authorities. Всё чудесно, теперь локальные домены сразу с зелёненьким замочком и ничего не просят. А на сраный fonts.googleapis.com теперь фуррифокс вопит MOZILLA_PKIX_ERROR_KEY_PINNING_FAILURE и даже никакого Advanced... не предлагает. :)

Видимо cert9.db надо ковырять. Оно где-то там сидит.

Stanson ★★★★★
() автор топика
Ответ на: комментарий от i-rinat

А вообще у задачи есть решения даже проще.

куда уж проще-то? Кэширующий прозрачный прокси + запись в локальном DNS. И всё работало х.з. сколько без малейших проблем для любого девайса. В кэше за это время несколько гигабайт скопилось и мгновенно отдавалось.

Достаточно поставить дополнение с переадресацией, забив в него несколько правил. Или поставить дополнение, работающее с проксями, и забить несколько правил в него. Это будет работать даже для сайтов, для которых использование HSTS принудительно по встроенному списку.

А на ипхоны с таблетками всякие тоже дополнения ставить?

Stanson ★★★★★
() автор топика
Ответ на: комментарий от Deleted

Ах какой плохой файрфокс, бедному стансону mitm не даёт сделать! :)

Ну да. Всяким Верисайнам, Геотрастам и прочим Комодо он позволяет, а мне нет. Тут мозилловцам надо либо крестик снять, либо трусы одеть, а то херня полная получается.

Впрочем, на чистом профиле он прекрасно этот MITM (свой CA) кушает и не жужжит. Но удалять профиль тоже не дело - потом всякие аддоны переустанавливать и всё такое.

Stanson ★★★★★
() автор топика
Последнее исправление: Stanson (всего исправлений: 1)

Мазилла совсем с дубу рухнула, что-ли?

Это HTTPS-фашисты с дубу рухнули. И это только начало. А мазилла тут просто впереди планеты всей, они нередко новые технологии запиливают даже раньше гугла.

bodqhrohro_promo
()
Ответ на: комментарий от Stanson

Всяким Верисайнам, Геотрастам и прочим Комодо он позволяет, а мне нет

Именно так оно и работает. Капиталисты старательно пытаются склонить к мысли, что у кого больше бабла, то и прав, а васяну априори нужно доверять меньше. Типа репутация, которой гиганты дорожат, и всё такое, но на деле это ни фига не работает, тот же мэйлру уже столько раз в лужу садился, что ещё лет десять назад казалось — кто этим ещё может пользоваться. А теперь это одна из успешнейших компаний рунета. Бабло отлично заменяет закон о забвении в том числе. С гуглом та же фигня, побомбили от очередного закрытия сервиса или непрошибаемой поддержки и вновь жрут кактус. А блэймить в этом надо — кого бы ты думал? — линуксоидов, у которых дурным тоном считалось нецентрализованно распространять ПО ещё задолго до всяких там маркетов. Те, кто всеми силами стараются показать, что они за свободу — на самом деле враг свободы, такие дела. Свободные люди патчат бинари вместо зависимости от конпеляции исходников, свободные люди взаимодействуют напрямую с разработчиками программ, а не с бездельниками-мейнтейнерами, свободные люди не отравляют другим жизнь GPL-заразой.

bodqhrohro_promo
()
Ответ на: комментарий от bodqhrohro_promo

линуксоидов, у которых дурным тоном считалось нецентрализованно распространять ПО ещё задолго до всяких там маркетов

Ты ваще линуксоидов вживую видел? :)

Свободные люди

Свободные люди не вставляют себе в задницу проприетарные зонды за свистелки и перделки.

Stanson ★★★★★
() автор топика

Никто ведь не знает, сколько и каких левых сертификатов эти засранцы на самом деле навыпускали для себя, для спецслужб, для тех кто заплатит и т.п. Способа проверить это у пользователя нет вообще, сертификаторы ни перед кем не отчитываются, и в общем-то ни за что не отвечают

Google творит очередную дичь...или нет?
Скоро, гугол приде порядок наведе

сертификаты, которые не будут логироваться в Certificate Transparency будут автоматически отвергнуты браузером, с отображением соответствующей ошибки.

TheAnonymous ★★★★★
()

Не ожидал увидеть _незаслуженную_ критику Quantum. Не дают стрелять себе в ногу - жалуются...

В общем, протухла вся эта сраная система.

Ну вперед, выкати решение проблемы доверия незнакомцу без доверенной третьей стороны, давай.

t184256 ★★★★★
()
Ответ на: комментарий от TheAnonymous

Скоро, гугол приде порядок наведе

Ага. Ещё один сборщик телеметрии. Им мало того, что уже понапихали, теперь ещё будут логи писать кто куда по https ходит. Ну ещё и денег наверно за право логироваться в этом Certificate Transparency будут брать.

Говнище с начала и до конца. А порядка не будет. Кто помешает этому «Certificate Transparency» звездеть браузеру на нужном IP что, мол, да, CINNIC выдал сертификат гуглю и лору? А другим не подтверждать этого.

Ваще, конечно, идиотизм. Вские DHT существуют уже 100500 лет. И примерно столько же все эти центры сертификации нахер не нужны, достаточно самоподписанных сертификатов и пары домен-фингерпринт сертификата в DHT.

Stanson ★★★★★
() автор топика
Ответ на: комментарий от Stanson

Вские DHT существуют уже 100500 лет. И примерно столько же все эти центры сертификации нахер не нужны, достаточно самоподписанных сертификатов и пары домен-фингерпринт сертификата в DHT.

Ахаха, продолжай!

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Не ожидал увидеть _незаслуженную_ критику Quantum. Не дают стрелять себе в ногу - жалуются...

Локальные кэширующие прокси для уменьшения тормозов и загрузки канала одним и тем же говном, которое по 100500 раз скачивается через весь инет при открытии каждой новой странички и заодно лишение гуглей одного из способов сбора данных - это теперь «стрелять в ногу»?

Ну вперед, выкати решение проблемы доверия незнакомцу без доверенной третьей стороны, давай.

Во-первых, предлагаемая в ситуации с Trusted CA «третья сторона» в виде официальных коммерческих организаций, которые сделают всё, что прикажут, лишь бы бизнес не потерять, вообще никакого доверия не заслуживает, даже по сравнению с незнакомцем, а во-вторых - DHT кому сделали?

Stanson ★★★★★
() автор топика
Последнее исправление: Stanson (всего исправлений: 1)

Иcпользуй Decentraleyes, специально для такого сделан

anonymous_sama ★★★★★
()
Ответ на: комментарий от t184256

Ахаха, продолжай!

При всей простоте решения - оно в разы лучше этого идиотизма с «Trusted» CA. Здесь хотя бы нет возможности просто сляпать новый сертификат и использовать его чтобы пользователь вообще ничего не заметил, если только он не будет при каждом открытии страницы лазать в долгое путешествие по менюшкам, чтобы посмотреть, а кто же и когда выпустил этот зелёненький замочек.

Stanson ★★★★★
() автор топика
Ответ на: комментарий от Stanson

Локальные кэширующие прокси для уменьшения тормозов и загрузки канала одним и тем же говном, которое по 100500 раз скачивается через весь инет при открытии каждой новой странички и заодно лишение гуглей одного из способов сбора данных - это теперь «стрелять в ногу»?

Это уже лет 18 как «стрелять в ногу».

Во-первых, предлагаемая в ситуации с Trusted CA «третья сторона» в виде официальных коммерческих организаций, которые сделают всё, что прикажут, лишь бы бизнес не потерять, вообще никакого доверия не заслуживает, даже по сравнению с незнакомцем

Это-то ясно, ты не отвлекайся, давай альтернативу. PKI (и принцип работы DHT) знаю и преподаю, всегда рад поговорить с тем, кто думает, что придумал альтернативу.

t184256 ★★★★★
()
Ответ на: комментарий от Stanson

Для защиты от искажения данных задним числом при хранении в логе Certificate Transparency применяется древовидная структура «Дерево Меркла» (Merkle Tree), в которой каждая ветка верифицирует все нижележащие ветки и узлы, благодаря совместному (древовидному) хешированию. Имея конечный хэш пользователь может удостовериться в корректности всей истории операций, а также в корректности прошлых состояний БД (корневой проверочный хэш нового состояния базы вычисляется с учётом прошлого состояния).

TheAnonymous ★★★★★
()
Ответ на: комментарий от Stanson

При всей простоте решения - оно в разы лучше этого идиотизма с «Trusted» CA. Здесь хотя бы нет возможности просто сляпать новый сертификат и использовать его чтобы пользователь вообще ничего не заметил

Раскрой тему. 1) Анонсировал злонамеренный я в твоем DHT фейковый сертификат, дальше что? 2) Перехватил я весь твой трафик как твой провайдер и сэмулировал тебе отдельный личный слабо связанный с общемировым DHT, дальше что?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Это-то ясно, ты не отвлекайся, давай альтернативу.

Берём Distributed Hash Table. Владелец сайта помещает туда пару домен-фингерпринт. После сотни-тысячи подтверждений разными нодами пара становится подтверждённой. Теперь кто угодно может узнать какой фингерпринт должен быть у сертификата интересующего домена. Пару не сотрёшь и не поменяешь на другую задним числом. Можно только выпустить новую, которая опять же должна быть подтверждена кучей нод DHT.

Stanson ★★★★★
() автор топика
Ответ на: комментарий от Stanson

Это уже блокчейн какой-то, а не DHT.

ОК, теперь давай-таки приступим к решению проблемы.

Перехватил я весь твой трафик как твой провайдер и сэмулировал тебе отдельный личный слабо связанный с общемировым DHT, дальше что?

По какому такому стороннему каналу ты общаешься с этим своим изобретением, что оно вдруг начинает спасать от MITM?

t184256 ★★★★★
()
Ответ на: комментарий от t184256

Кеширующие прокси в 21 веке?

крайне рекомендую. Внезапно оказывается что хромой с тормозиллой тормозят чуть меньше.

Особенно, если канал дохленький. Да даже если и не дохленький - пинг до докального сервака 0.1-1мс (от гигабита до WiFi), до fonts.googleapis.com 20мс. 50 запросов - и секунда просрана. И это без учёта данных.

Stanson ★★★★★
() автор топика
Ответ на: комментарий от Stanson

Да можно всё, но это будет гораздо сложнее, чем просто выпустить сертификат втихаря. Теперь этому УЦ надо и с гуглом договориться, и самому гуглу заморочиться, при этом рискуя что ненастоящее дерево может всплыть

TheAnonymous ★★★★★
()
Ответ на: комментарий от t184256

Перехватил я весь твой трафик как твой провайдер и сэмулировал тебе отдельный личный слабо связанный с общемировым DHT, дальше что?

А всякий Let's Encrypt как от этого защищён? Если я провайдер и подменю для всего мира твой сервак - то как все эти TrustedCA помогут? Опять же, если я провайдер, то могу и Certificate Transparency подменить.

По какому такому стороннему каналу ты общаешься с этим своим изобретением, что оно вдруг начинает спасать от MITM?

Оно защищает от MITM клиента, а не сервер. Если вдруг давно известный пользователю сертификат поменялся - то это хотя бы будет заметно пользователю, а не как с TrustedCA.

Stanson ★★★★★
() автор топика
Ответ на: комментарий от TheAnonymous

Да гугл сам себе УЦ, чего там. Ему эта услуга будет обходится гораздо дешевле чем остальным, вот и конкурентное преимущество.

при этом рискуя что ненастоящее дерево может всплыть

Да всем насрать будет. CINNIC всё ещё в Trusted CA? Ну и о чём тогда вообще говорить.

Stanson ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.