lejárt tanúsítványra nem figyelmeztet a böngésző, ha...
Röviden: indamailre egy dolphin nevű böngészővel léptem be, pofázott, hogy az asset.pagefair.com/.net (*) lejárt tanúsítványt használ, nem biztonságos.
Kívülről ellenőrizve valóban rég lejárt.
(Kívülről = pl a digicert.com segítségével)
Amit nem értek és nagyon szeretném érteni: a többi böngészők (beleértve chrome, chromium, opera, Firefox, Samsung Internet, ill. ezek desktop változatai) miért nem jelzik, hogy gond van?
Ha egy https: kezdetű oldalon van egy http: ... jpeg, akkor mind jelzi, hogy nem teljes a biztonság.
Erre miért nem jelez senki a Dolphint leszámítva?
* = Nem tudom, ott a .com vagy a .net van, de egyiknek sem jó a tanúsítványa...
update 1: kicsit utánanéztem, a chrome biztosan detektálja a lejárt tanúsítványt, de csak lazán ignorálja a konzol üzenetei alapján (már úgy értem, az oldalt), viszont nem figyelmezteti a usert. Hogy miért... nem igazán értem.
■ Kívülről ellenőrizve valóban rég lejárt.
(Kívülről = pl a digicert.com segítségével)
Amit nem értek és nagyon szeretném érteni: a többi böngészők (beleértve chrome, chromium, opera, Firefox, Samsung Internet, ill. ezek desktop változatai) miért nem jelzik, hogy gond van?
Ha egy https: kezdetű oldalon van egy http: ... jpeg, akkor mind jelzi, hogy nem teljes a biztonság.
Erre miért nem jelez senki a Dolphint leszámítva?
* = Nem tudom, ott a .com vagy a .net van, de egyiknek sem jó a tanúsítványa...
update 1: kicsit utánanéztem, a chrome biztosan detektálja a lejárt tanúsítványt, de csak lazán ignorálja a konzol üzenetei alapján (már úgy értem, az oldalt), viszont nem figyelmezteti a usert. Hogy miért... nem igazán értem.
Nekem sima HTTP-t ír arra az
Hol???Mert én tcpdump-pal
Mert én tcpdump-pal néztem, valamint a chrome konzolon és a tcpdumpban is titkosított kommunikációt láttam kizárólag, a pagefair és a kliensem közt, meg a chrome konzol is jelezte a tanúsítvány problémát.
Az csak plusz adalék, hogy akár http, akár https, a letöltött állomány egy 31 bájtos bináris szemét, aminek nagy részét a fájlnév és bináris nullák töltik ki.
Fogalmam nincs, mi lehet ez az egész...
Én csak beírtam a böngészőbe
Igen, mert maga a szerver
De amikor megnyitom pl az indamailt, akkor az https-t használ.
De itt nem is az oldal a lényeg (pagefair), hanem az, hogy a legtöbb böngésző miért hagyja szó nélkül a hibás tanúsítványt?
B kérdés, hogy mi van az elvben onnan letöltődő javascripttel, ami gyakorlatilag működésképtelen, mivel nem töltődik le semmi az indamailben megtalált címről (nem tudom fejből a két szkript pontos URL-jét)
Ezek ugyanis lejönnek http-n is, meg a tanúsítványt figyelmen kívül hagyva https-en is, az eredmény egy nagyon rövid bináris szemét.
Hát jó, de onnantól, hogy én
Hogy érted, hogy sem te, sem
a) Androidra felraksz dolphin browsert, belépsz az indamail-re. Ott virít a figyelmeztetés.
b) Fogsz egy desktopos chrome/chromium/firefox browsert, letiltod az adblock-ot, megnyitod a console-t, belépsz az indamail-re.
Ebben az esetben a konzolon látszik a hibajelzés.
És itt a b) eset a problémás, mert ezek a böngészők nem jelzik a mezei usernek, hogy egy 3rd party javascript hibás oldalról akar betöltődni, csak a js konzolon írják a hibát.
És nem az a gond, hogy a pagefair nem jó, hanem az, hogy eszerint egyetlen más, hibás tanúsítvány miatt sem pofáznak.
Feltételezem, mind ugyanazt a chromium motort használják, de ez csak feltételezés.
Ui: belép=a fiókodba, nem csak megnyitod az oldalt, mert ott nem piszkálja a jelek szerint a pagefairt.
Hát úgy, hogy nem rakok fel
Felrakni nem kell... sőt...
De közben találtam valamit, ami indokolhatja a dolgokat: valami blockingthroug.com (vagy ilyesmi) cég, akik a reklámblokkolók ellen harcolnak, felvásárolták a pagefairt.
Ha a pagefair.com-ot megpróbálod megnyitni, átirányít hozzájuk.
Csak úgy fest, ezt az asset... kezdetű szervert elfelejtették úgy, ahogy van, közben meg sok helyen berakják a mérőkódokba vagy mibe.
Persze ez csak a dolognak az érdektelen része. Az érdekes az továbbra is az, hogy a böngésző egy image miatt pofázik, ha http-n jön, nem https-n, ezt meg le se szarja gyakorlatilag.
Firefox
Csak firefoxban néztem meg, de ott szerintem azért nincs hibajelzés, mert a hálózati konzol azt írja, hogy biztonsági hiba miatti be sem tölti az arról az url-ről származó tartalmat.
Szerintem a mobilos új
Azért nekem kedvem lenne elbeszélgetni a kedves fejlesztőkkel, hogy mégis miért nem jelzik a problémás linkeket az oldalon.
Mert o.k., ez most csak egy mérőkód. De mi van, ha legközelebb egy fontos alkatrész nem tölt be vagy épp valaki meghackeli az adott szervert (dns poisoning ami így eszembe jut) és onnan próbál hibás tanúsítvánnyal letölteni valami szemetet?
Jó, egy átlaguser nem tud mit kezdeni vele, de aki kicsit képben van, annak azért mond valamit.
Plusz az is ciki, hogy az oldal melletti kis lakat ikon is azt jelzi, hogy minden rendben, pedig nem...
A lakat jogos, mert nem
Egyedül a Firefox for iOS az, ami webkitet használ, mert az apple nem enged mást. A többi firefox böngésző (az androidos is) gecko alapú.
Hat nemtom... Azért egy hibás
Azért egy hibás cert az kicsit más, durvább probléma szerintem, mint az, ha egy fontot nem tud betölteni a lap.
Firefoxban igazad van, de az új bizonyos hülyeségeiben nagyon hasonlít a chrome-ra, androidon.