Názory k článku
Chrome přechází na vlastní úložiště certifikátů

A jak to bude na Androidu? Řešilo by to problém s novým certifikátem Let's Encrypt na starších telefonech.

A jedná se jenom o Chrome nebo i Chromium?

jsem zvědavý jak to technicky vyřeší, čím dál méně jsem nadšený z toho, že aplikace má práva se sama aktualizovat, zapisovat do svých souborů a to vše pod právy uživatele.

U firefoxu je třeba problém, že root certifikáty čte z cesty ~/.mozilla/cer­tificates (po zapnutí security.enter­prise_roots.e­nabled), takže je možné, aby uživatel (či jakýkoliv kód pod ním spuštění mohl doplnit nový root certifikát), skvělé.

Z prohlížečů se stává vlastní operační systém bez možnosti jeho oprávnění a schopnosti nějak eliminovat nebo kontrolovat.

Tak jo, ale certifikát autority si i ve Windows může přidat uživatel soukromě, bez nutnosti admin práv. Z tohoto pohledu je jedno, jestli to udělá v systému nebo ve Firefoxu, uživatel potřebuje důvěřovat třeba I.CA, tak si to nastaví.
Spíš ten směr je špatný: co má být v systému pro všechny aplikace se stěhuje do jednotlivých aplikací. Takže teď certifikát (třeba té I.CA) musíte dát do: systému, Firefoxu, Thunderbirdu (mail podepsaný od CZ.NIC), a teď ještě Chrome? Fuj!
A do toho ještě vstoupí antiviry se svými MITM praktikami na kontrolu HTTPS komunikace a uživatel se nestačí divit.

4. 12. 2020, 15:17 editováno autorem komentáře

Ve chvíli kdy si něco může jen tak zapisovat soubory v uživatelově home, je už asi všechno jedno.

To bude rozbitych firemnich siti s internimi CA. Ted uz jen staci, aby prohlizece vyzadovaly max 1y stari certifikatu jako u komercnich a bude vymalovano.

"Naopak správci firemních počítačů používajících privátní certifikační autority budou nově muset přidávat její certifikát kromě systémového úložiště také do úložiště Chrome."

< Mi to v tom Chrome nejde, hlásí to nějakou chybu.
> Musíte použít Edge, tam to funguje normálně.

"Super" zprava pro firmy. Takze misto domenove politiky budu muset vlastni root CA pridavat rucne ?

Uz mne fakt nebavi, jak si google hraje na bezpecnost - aby zamezil unosum reklam ( o ktere stejne uzivatele nestoji), vynuti sifrovani vseho absolutne neduveryhodnymi cert (letsencrypt) menenymi nejlip ob 3 mesice, dns schova do ssl a http a obejde kontrolovanou infrastrukturu, http nacpe do udp, a html prevede na binarni kompilovany srot. Proti firemnim proxy s desifraci jeste nasadi CT via dns (nebo via DoH?).

Zasr..y ms edge (chromium) se pritom aktualizuje bez sifrovani ze serveru google. Holt skoda server cpu, kdyz to neukazuje reklamy uzivateli.

A alternativa ? Co firefox zije z reklam google, uplne kasle na nejake uzivatele.

Nejvyssi cas je rozkulacit, jako kdysi AT&T

No, google se chová naprosto přirozeně, to mě nijak nepřekvapuje (ale netěší).
Co je fenomenální, je jejich marketingová komunikace. To, jak umějí svoje změny prosazovat trpělivě postupně, po krůčcích a skrýt vše za snahu o bezpečnost.

Jo jo, nejlíp se člověk spravedlivě rozhořčí, když nezná fakta.

Ja uz jsem se tedy celkem dlouho nerozhorcil. Mozna tak ve skole. Vetsinou se naseru!

Mne ty dvorni tanecni jazykove nyance proste nejdou pres pysk meho majestatu kdyz se schyluje k pruseru vase velebnosti!

6. 12. 2020, 04:34 editováno autorem komentáře

Chrome má své politiky, které jistě půjde použít. Stačí je jen dát na jakýkoliv AD server, zreplikují se.

Google by mal opraviť chybu, kedy na ich mobilnom Chrome vie ľubovoľná webstranka automaticky bez interakcie používateľa stiahnuť súbor do mobilu a ešte tento stiahnutý subor aj rovno spustiť (len oklamanim hlavičkou, kedy si chrome myslí že sa jedná o PDF, ktorý vždy automaticky otváral),... považujem to za vulnerability vhodnej CVE, za ktorú som Googlu písal už 7x mail, a ani po roku aj pol nič, totálne ignorovanie. Jediné riešenie je zakázať Chrome prístup k suborovemu systému v správci oprávnení Androidu. (čo vám ale znemožní úplne sťahovanie súborov).

4. 12. 2020, 21:22 editováno autorem komentáře

Ve skrytu duše jsem doufal, že třeba Firefox začne používat systémová úložiště certifikátů. A realita je bohužel opačná - Chrome je naopak používat přestal.

Firefoxovy model mi vzdy pirsiel zmysluplnejsi. V pracovnom profile mam naimportovane firemne intranetove CAcky, v sukromnom ale nemaju co hladat.

Ak by browser tahal certifikaty z OS, musel by som 100% doverovat internym CAckam ze nepodpisu co by nemali.

A čo z toho že browser teda tomu neverí keď systém áno,.. na toto je rozumenejšie mať virtuálku alebo kontajner.