13:37
3/5/2014

A raczej tego, w jaki sposób Chrome zarządza listą nieaktualnych certyfikatów (tzw. moduł CRLSet), co powoduje, że przeglądarka nie ostrzeże przed ok. 98% odwołanymi a nieprzeterminowanymi certyfikatami. Zarzuty znajdziecie tutaj (w dolnej części są także podlinkowane odpowiedzi pracowników Google).

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

12 komentarzy

Dodaj komentarz
  1. Powiedzcie mi prosze, laikowi, ktora z przegladarek jest obecnie najbezpieczniejsza?

    • Lynx w piaskownicy na koncie gościa :)

    • Podobno Firefox, w sumie dawno nie słyszałem o jakichś dużych lukach w nim. Nie wiem czy dlatego że ich tam nie ma, czy dlatego że nikt tego nie sprawdza ;P Cóż.

    • @minus1 Oczywiście na maszynie wirtualnej uruchomionej na Linuksie pod QEMU

    • @minus1: lynx… pff.. prawdziwi twardziele używają tylko telnet 80 :-)

    • Używam Pale Moon. Szybszy niż Firefox. Wersja 64bitowa, dostosowana do nowych procesorów, i z tego co widzę w changelogach, bezpieczeństwo jest ważniejsze niż wygląd:)

    • @art prawdziwi twardziele używają tylko telnet 443 ;)

  2. Pomijając fail Chrome’a, bardzo ciekawe i zrozumiałe publikacje! Thx! :)

  3. Szczególnie warto poczytać odpowiedź z Imperial Violet (Adam Langley) https://www.imperialviolet.org/2014/04/29/revocationagain.html
    – szczególnie jeśli chodzi o reguły dodawania CRL-i do CRLSet-a w chrome.

  4. Drogi niebezpieczniku, ten sam artykuł można było napisać w bardziej wyważony sposób: “Niektórzy chcą, żeby Chrome zawierał 300 MB listę CLR. Głupota czy dobry pomysł?”. I zacytować po jednym argumencie każdej strony “Chrome zna tylko ułamek z milionów odwołanych certyfikatów” vs “Absolutna większość odwołań nie ma nic wspólnego z bezpieczeństwem”.
    A tak – przekaz poszedł w świat: Chrome nie jest bezpieczny!

    • Artykuł, drogi Maćku jest bardzo obiektywny. Kontrowersje w tytule nie określają kto ma rację, brak opowiedzenia się po żadnej ze stron w tekście również, link do obszernej analizy z zaznaczeniem, że kontrargumenty do niej znajdują się na dole. To, jaki ktoś wyciągnie wniosek, jest jego prywatną sprawą.

    • 300MB odwołanych certyfikatów to nie jest dużo w dobie terabajtowych dysków. Zresztą i tak przeglądarka wymaga dostępu do internetów, więc dlaczego nie może trzymać odwołanych certów w chmurze Google’a i ją odpytywać “słuchaj stary, czy ten certyfikat jest OK czy be?”???

Odpowiadasz na komentarz Maciek

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: