Vlákno názorů k článku Mitmproxy: útok na šifrované spojení snadno a rychle od j - Celej tenhle cirkus je ale zalozenej na zcela...

Celej tenhle cirkus je ale zalozenej na zcela nesmyslnym chovani aplikaci.

Kuprikladu web browser rve, kdyz si vleze na web, ktery ma treba selfsigned => uzivatel ma pocit nebezpeci. Pak je neustale presvedcovan, ze kdyz mu sviti ta "zelena" ikona, ze "je to OK". Vubec system "duveryhodnych" autorit je zcela padlej na hlavu.

Podle me by prohlizec mel drzet hubu, a rvat zacit az v okamziku, kdy ja prohlasim o nejakym webu ze ma pouzivat certifikat XYZ (pripadne nejakou atoritu KLM) a pokud to nesedi, at se prohlizec ozve.

=> vlezu na web banky, tam na me vyskoci hlaska (toho webu), ze si mam autorizovat certifikat/au­toritu, oneclick akce + porovnani cisla na webu a v klici.

Soucasti chovani by pak pripadne mohlo byt i to, ze by si pri prvni navsteve apka certifikat ulozila, a priste kontrolovala, jestli to sedi a rvala, pokud ne.

Asi vynalézáš znova kolo, viz DNSSEC + TLSA.

Jiste pouzivas vlastni dns, pochopitelne nikoli forwardujici. A predpokladam, ze to presne stejne pouziva aspon 80% uzivatelu. A samo, zcela bezne to pouziva firefox, ie, chromajzl a dalsi ... aha, ono je dulezitejsi "social api" a dalsi hovadiny (jako trebas ta na kecani).

Mimochodem, pokud mi skleroza slouzi, pozadavek aby FF respektoval SRV je v bugzille jen nejakych 15 let. https://bugzilla.mozilla.org/show_bug.cgi?id=14328

A ty bys chtel aby to umelo dnssec a tlsa? lol lol lol

Ano. Tak si vymysli vlastní nestandardizovanou kokotinu a očekávaj s nadšením její brzkou implementaci v prohlížečích. Já si s dovolením mezitím nainstaluju tohle a budu si certifikáty pro svoje domény ověřovat sám.

A skusal si ten dns validator? Lebo mne to pri kazdej druhej stranke zhodilo FF. Furt to padalo az som to musel odinstalovat.

Jo, tohle se mi podařilo nějak smysluplně nastavit, aby to řvalo jen v okamžiku, kdy se na tom certifikátu něco změní... U googlu mi to zobrazuje jen neotravující lištu, jinde to vyhazuje okýnka...

tj, ale plugin je ti naprd, plugin pouziva 0,000% uzivatelu. Aby melo cokoli jakykoli smysl, musi to umet appka primo.

A pri "vyvoji" ff (kuprikladu) budes s kazdou dalsi verzi resi, ze ti plugin prestal fungovat - treba proto, ze statusbar je nepodporovanej a neperspektivni, pak zas proto, ze API je treba "vylepsit" a tak se 1/2 odstrani ...

A nezabúdaj na Twitter. Ten má nastavené rôzne certifikáty pre nody webov, v jednom čase.