13:37
3/5/2014

A raczej tego, w jaki sposób Chrome zarządza listą nieaktualnych certyfikatów (tzw. moduł CRLSet), co powoduje, że przeglądarka nie ostrzeże przed ok. 98% odwołanymi a nieprzeterminowanymi certyfikatami. Zarzuty znajdziecie tutaj (w dolnej części są także podlinkowane odpowiedzi pracowników Google).

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

12 komentarzy

Dodaj komentarz
  1. Powiedzcie mi prosze, laikowi, ktora z przegladarek jest obecnie najbezpieczniejsza?

    • Lynx w piaskownicy na koncie gościa :)

    • Podobno Firefox, w sumie dawno nie słyszałem o jakichś dużych lukach w nim. Nie wiem czy dlatego że ich tam nie ma, czy dlatego że nikt tego nie sprawdza ;P Cóż.

    • @minus1 Oczywiście na maszynie wirtualnej uruchomionej na Linuksie pod QEMU

    • @minus1: lynx… pff.. prawdziwi twardziele używają tylko telnet 80 :-)

    • Używam Pale Moon. Szybszy niż Firefox. Wersja 64bitowa, dostosowana do nowych procesorów, i z tego co widzę w changelogach, bezpieczeństwo jest ważniejsze niż wygląd:)

    • @art prawdziwi twardziele używają tylko telnet 443 ;)

  2. Pomijając fail Chrome’a, bardzo ciekawe i zrozumiałe publikacje! Thx! :)

  3. Szczególnie warto poczytać odpowiedź z Imperial Violet (Adam Langley) https://www.imperialviolet.org/2014/04/29/revocationagain.html
    – szczególnie jeśli chodzi o reguły dodawania CRL-i do CRLSet-a w chrome.

  4. Drogi niebezpieczniku, ten sam artykuł można było napisać w bardziej wyważony sposób: “Niektórzy chcą, żeby Chrome zawierał 300 MB listę CLR. Głupota czy dobry pomysł?”. I zacytować po jednym argumencie każdej strony “Chrome zna tylko ułamek z milionów odwołanych certyfikatów” vs “Absolutna większość odwołań nie ma nic wspólnego z bezpieczeństwem”.
    A tak – przekaz poszedł w świat: Chrome nie jest bezpieczny!

    • Artykuł, drogi Maćku jest bardzo obiektywny. Kontrowersje w tytule nie określają kto ma rację, brak opowiedzenia się po żadnej ze stron w tekście również, link do obszernej analizy z zaznaczeniem, że kontrargumenty do niej znajdują się na dole. To, jaki ktoś wyciągnie wniosek, jest jego prywatną sprawą.

    • 300MB odwołanych certyfikatów to nie jest dużo w dobie terabajtowych dysków. Zresztą i tak przeglądarka wymaga dostępu do internetów, więc dlaczego nie może trzymać odwołanych certów w chmurze Google’a i ją odpytywać “słuchaj stary, czy ten certyfikat jest OK czy be?”???

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: