13:37
3/5/2014
3/5/2014
A raczej tego, w jaki sposób Chrome zarządza listą nieaktualnych certyfikatów (tzw. moduł CRLSet), co powoduje, że przeglądarka nie ostrzeże przed ok. 98% odwołanymi a nieprzeterminowanymi certyfikatami. Zarzuty znajdziecie tutaj (w dolnej części są także podlinkowane odpowiedzi pracowników Google).
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Powiedzcie mi prosze, laikowi, ktora z przegladarek jest obecnie najbezpieczniejsza?
Lynx w piaskownicy na koncie gościa :)
Podobno Firefox, w sumie dawno nie słyszałem o jakichś dużych lukach w nim. Nie wiem czy dlatego że ich tam nie ma, czy dlatego że nikt tego nie sprawdza ;P Cóż.
@minus1 Oczywiście na maszynie wirtualnej uruchomionej na Linuksie pod QEMU
@minus1: lynx… pff.. prawdziwi twardziele używają tylko telnet 80 :-)
Używam Pale Moon. Szybszy niż Firefox. Wersja 64bitowa, dostosowana do nowych procesorów, i z tego co widzę w changelogach, bezpieczeństwo jest ważniejsze niż wygląd:)
@art prawdziwi twardziele używają tylko telnet 443 ;)
Pomijając fail Chrome’a, bardzo ciekawe i zrozumiałe publikacje! Thx! :)
Szczególnie warto poczytać odpowiedź z Imperial Violet (Adam Langley) https://www.imperialviolet.org/2014/04/29/revocationagain.html
– szczególnie jeśli chodzi o reguły dodawania CRL-i do CRLSet-a w chrome.
Drogi niebezpieczniku, ten sam artykuł można było napisać w bardziej wyważony sposób: “Niektórzy chcą, żeby Chrome zawierał 300 MB listę CLR. Głupota czy dobry pomysł?”. I zacytować po jednym argumencie każdej strony “Chrome zna tylko ułamek z milionów odwołanych certyfikatów” vs “Absolutna większość odwołań nie ma nic wspólnego z bezpieczeństwem”.
A tak – przekaz poszedł w świat: Chrome nie jest bezpieczny!
Artykuł, drogi Maćku jest bardzo obiektywny. Kontrowersje w tytule nie określają kto ma rację, brak opowiedzenia się po żadnej ze stron w tekście również, link do obszernej analizy z zaznaczeniem, że kontrargumenty do niej znajdują się na dole. To, jaki ktoś wyciągnie wniosek, jest jego prywatną sprawą.
300MB odwołanych certyfikatów to nie jest dużo w dobie terabajtowych dysków. Zresztą i tak przeglądarka wymaga dostępu do internetów, więc dlaczego nie może trzymać odwołanych certów w chmurze Google’a i ją odpytywać “słuchaj stary, czy ten certyfikat jest OK czy be?”???