ugrás a tartalomhoz

lejárt tanúsítványra nem figyelmeztet a böngésző, ha...

mind1 valami név · Jan. 4. (H), 10.11
Röviden: indamailre egy dolphin nevű böngészővel léptem be, pofázott, hogy az asset.pagefair.com/.net (*) lejárt tanúsítványt használ, nem biztonságos.

Kívülről ellenőrizve valóban rég lejárt.
(Kívülről = pl a digicert.com segítségével)

Amit nem értek és nagyon szeretném érteni: a többi böngészők (beleértve chrome, chromium, opera, Firefox, Samsung Internet, ill. ezek desktop változatai) miért nem jelzik, hogy gond van?
Ha egy https: kezdetű oldalon van egy http: ... jpeg, akkor mind jelzi, hogy nem teljes a biztonság.
Erre miért nem jelez senki a Dolphint leszámítva?

* = Nem tudom, ott a .com vagy a .net van, de egyiknek sem jó a tanúsítványa...

update 1: kicsit utánanéztem, a chrome biztosan detektálja a lejárt tanúsítványt, de csak lazán ignorálja a konzol üzenetei alapján (már úgy értem, az oldalt), viszont nem figyelmezteti a usert. Hogy miért... nem igazán értem.
 
1

Nekem sima HTTP-t ír arra az

inf · Jan. 4. (H), 15.19
Nekem sima HTTP-t ír arra az oldalra.
2

Hol???Mert én tcpdump-pal

mind1 valami név · Jan. 4. (H), 15.49
Hol???
Mert én tcpdump-pal néztem, valamint a chrome konzolon és a tcpdumpban is titkosított kommunikációt láttam kizárólag, a pagefair és a kliensem közt, meg a chrome konzol is jelezte a tanúsítvány problémát.

Az csak plusz adalék, hogy akár http, akár https, a letöltött állomány egy 31 bájtos bináris szemét, aminek nagy részét a fájlnév és bináris nullák töltik ki.
Fogalmam nincs, mi lehet ez az egész...
3

Én csak beírtam a böngészőbe

inf · Jan. 5. (K), 05.10
Én csak beírtam a böngészőbe a címet, aztán valami XML-t adott vissza HTTP-vel.
4

Igen, mert maga a szerver

mind1 valami név · Jan. 5. (K), 06.28
Igen, mert maga a szerver megy http-n is.
De amikor megnyitom pl az indamailt, akkor az https-t használ.
De itt nem is az oldal a lényeg (pagefair), hanem az, hogy a legtöbb böngésző miért hagyja szó nélkül a hibás tanúsítványt?

B kérdés, hogy mi van az elvben onnan letöltődő javascripttel, ami gyakorlatilag működésképtelen, mivel nem töltődik le semmi az indamailben megtalált címről (nem tudom fejből a két szkript pontos URL-jét)
Ezek ugyanis lejönnek http-n is, meg a tanúsítványt figyelmen kívül hagyva https-en is, az eredmény egy nagyon rövid bináris szemét.
5

Hát jó, de onnantól, hogy én

inf · Jan. 5. (K), 13.26
Hát jó, de onnantól, hogy én nem tudom reprodukálni a hibát, és más sem, nem igazán tudunk hozzászólni... Esetleg írj az üzemben tartóknak, hogy lejárt a tanúsítvány.
6

Hogy érted, hogy sem te, sem

mind1 valami név · Jan. 5. (K), 13.53
Hogy érted, hogy sem te, sem más?? Ezt nagyon nem értem.
a) Androidra felraksz dolphin browsert, belépsz az indamail-re. Ott virít a figyelmeztetés.
b) Fogsz egy desktopos chrome/chromium/firefox browsert, letiltod az adblock-ot, megnyitod a console-t, belépsz az indamail-re.
Ebben az esetben a konzolon látszik a hibajelzés.

És itt a b) eset a problémás, mert ezek a böngészők nem jelzik a mezei usernek, hogy egy 3rd party javascript hibás oldalról akar betöltődni, csak a js konzolon írják a hibát.
És nem az a gond, hogy a pagefair nem jó, hanem az, hogy eszerint egyetlen más, hibás tanúsítvány miatt sem pofáznak.
Feltételezem, mind ugyanazt a chromium motort használják, de ez csak feltételezés.

Ui: belép=a fiókodba, nem csak megnyitod az oldalt, mert ott nem piszkálja a jelek szerint a pagefairt.
7

Hát úgy, hogy nem rakok fel

inf · Jan. 5. (K), 15.40
Hát úgy, hogy nem rakok fel indamailt, mert annyira nem vagyok motivált ebben. :D
8

Felrakni nem kell... sőt...

mind1 valami név · Jan. 5. (K), 16.40
Felrakni nem kell... sőt... azt se tudtam, hogy van nekik olyanjuk.
De közben találtam valamit, ami indokolhatja a dolgokat: valami blockingthroug.com (vagy ilyesmi) cég, akik a reklámblokkolók ellen harcolnak, felvásárolták a pagefairt.
Ha a pagefair.com-ot megpróbálod megnyitni, átirányít hozzájuk.
Csak úgy fest, ezt az asset... kezdetű szervert elfelejtették úgy, ahogy van, közben meg sok helyen berakják a mérőkódokba vagy mibe.

Persze ez csak a dolognak az érdektelen része. Az érdekes az továbbra is az, hogy a böngésző egy image miatt pofázik, ha http-n jön, nem https-n, ezt meg le se szarja gyakorlatilag.
9

Firefox

Endyl · Jan. 5. (K), 18.35
A firefoxot leszámítva lassan tényleg mind ugyanazt a webkit motort használja :/

Csak firefoxban néztem meg, de ott szerintem azért nincs hibajelzés, mert a hálózati konzol azt írja, hogy biztonsági hiba miatti be sem tölti az arról az url-ről származó tartalmat.
10

Szerintem a mobilos új

mind1 valami név · Jan. 5. (K), 18.50
Szerintem a mobilos új firefox szintén. Hülyeségeiben kísértetiesen hasonlít a chrome-ra :((

Azért nekem kedvem lenne elbeszélgetni a kedves fejlesztőkkel, hogy mégis miért nem jelzik a problémás linkeket az oldalon.
Mert o.k., ez most csak egy mérőkód. De mi van, ha legközelebb egy fontos alkatrész nem tölt be vagy épp valaki meghackeli az adott szervert (dns poisoning ami így eszembe jut) és onnan próbál hibás tanúsítvánnyal letölteni valami szemetet?
Jó, egy átlaguser nem tud mit kezdeni vele, de aki kicsit képben van, annak azért mond valamit.
Plusz az is ciki, hogy az oldal melletti kis lakat ikon is azt jelzi, hogy minden rendben, pedig nem...
11

A lakat jogos, mert nem

Endyl · Jan. 5. (K), 19.10
A lakat jogos, mert nem töltődött be semmi hibás tanúsítvánnyal, vagy tanúsítvány nélkül. Arról sem kapsz villogó értesítést, ha egy js, css, font, kép, stb nem tud valami miatt betöltődni. Ennek az ellenőrzése és kommunikálása az oldal dolga. Ha valami nem biztonságos dolog ténylegesen betöltődik, arról szerintem szólnak a böngészők (lásd http képek).

Egyedül a Firefox for iOS az, ami webkitet használ, mert az apple nem enged mást. A többi firefox böngésző (az androidos is) gecko alapú.
12

Hat nemtom... Azért egy hibás

mind1 valami név · Jan. 6. (Sze), 10.21
Hat nemtom...
Azért egy hibás cert az kicsit más, durvább probléma szerintem, mint az, ha egy fontot nem tud betölteni a lap.

Firefoxban igazad van, de az új bizonyos hülyeségeiben nagyon hasonlít a chrome-ra, androidon.