Исправление user_id_68054, (текущая версия) :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
правильно реализованная версия — должна чётко ОТЛИЧАТЬ https-показываемый-как-http от настоящего https !
то есть — имея правильно-реальзованный Alt-Svc — мы получае аж целых ТРИ протокола (вместо двух):
а Firefox думал (с точки зрения безопасности) будто https он якобы и есть https.
Исправление user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
правильно реализованная версия — должна чётко ОТЛИЧАТЬ https-показываемый-как-http от настоящего https !
то есть — имея правильно-реальзованный Alt-Svc — мы получае аж целых ТРИ протокола (вместо двух):
а Firefox думал (с точки зрения безопасности) будто https он якобы и есть https. то есть Firefox имел только лишь http и https
Исправление user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
правильно реализованная версия — должна чётко ОТЛИЧАТЬ https-показываемый-как-http от настоящего https !
то есть — имея правильно-реальзованный Alt-Svc — мы получае аж целых ТРИ протокола (вместо двух):
а Firefox думал будто https он и есть https , якобы безразницы какой. то есть Firefox имел только лишь http и https
Исправление user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
правильно реализованная версия — должна чётко ОТЛИЧАТЬ https-показываемый-как-http от настоящего https !
то есть — имея правильно-реальзованный Alt-Svc — мы получае аж целых ТРИ протокола:
а Firefox думал будто https он и есть https , якобы безразницы какой. то есть Firefox имел только лишь http и https
Исправление user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
правильно реализованная версия — должна чётко ОТЛИЧАТЬ https-показываемый-как-http от настоящего https !
то есть — имея правильно-реальзованный Alt-Svc — мы получае аж целых ТРИ протокола:
а Firefox думал будто https он и есть https , якобы безразницы какой. то есть Firefox имел только лишь http и https
Исправление user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
правильно реализованная версия — должна чётко ОТЛИЧАТЬ https-показываемый-как-http от настоящего https !
то есть — имея правильно-реальзованный Alt-Svc — мы получае аж целых ТРИ протокола:
а Firefox думал будто https он и есть https , якобы безразницы какой. то есть Firefox имел только лишь http и https
Исправление user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
правильно реализованная версия — должна чётко ОТЛИЧАТЬ https-показываемый-как-http от настоящего https ! (а Firefox думал будто https он и есть https , якобы безразницы какой)
Исправление user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
правильно реализованная версия — должно чётко ОТЛИЧАТЬ https-показываемый-как-http от настоящего https ! (а Firefox думал будто https он и есть https , якобы безразницы какой)
Исправление user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
правильно реализованная версия — должно чётко ОТЛИЧАТЬ https-показываемый-как-http от настоящего https ! (а Firefox думал будто https он и есть https , безразницы какой)
Исправление user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на неё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)
вообщем можно было подменить https в случае если подменить тоже и http .
разумеется это ошибка реализации :) ..
Исходная версия user_id_68054, :
Судя по всему, уязвимость не в самом протоколе, а в конкретной реализации.
bug-report закрыт от чтения (не знаю что внутри), но когда я смотрел как работает Alt-Svc в Firefox (в изначальной версии v37) — я заметил следущую странность:
если http-версия (которая может быть и подменённой злоумышленником, если MitM) имеет Alt-Svc, и если на наё был хотябы один раз заход..
..то через несколько милисекунд после открытия — можно сделать Javascript-редирект на https-версию (location.assign('https://'+location.host)) .
в этом случае — если https-версия имеет даже хоть невалидный протокол — Firefox всё равно покажет будто бы всё нормально и безопасно, якобы сертификат нормальный! (и Firefox даже инфу о сертификате покажет, по клику на иконку замочка, лол)