Полезная информация

Общайтесь со знакомыми и друзьями в нашей группе в Контакте.

№102-06-2013 13:37:13

rasjpro
Участник
 
Группа: Members
Зарегистрирован: 02-06-2013
Сообщений: 22
UA: Opera 12.1

Firefox и интернет-банкинг Альфа-Клик

Обновил Firefox до v21.0  при работе в Альфа-Клик пишет что незащищенное соединение, причём во время авторизации всё в порядке - защищенное соединение.  Calomel SSL Validation также показывает "broken insecure connection".
До этого всё работало как надо. В чём может быть проблема?
Дело точно не в Альфа-Клик поскольку и в Opera и в IE всё работает как надо, т.е. соединение защищенное и при авторизации и во время работы.

Отсутствует

 

№202-06-2013 15:04:46

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

Это глюк FF, на FF 20.0.1 его нет. Оно происходит, если на странице есть хоть какие-то элементы подгружаемые по http, даже если они физически не загружаются (например картинки, которые отключены) и даже если стоит HTTPS-Everywhere (чтобы принудительно заруливать запросы на HTTPS).

Например, если зайти на эту страницу этого форума видно, что соединение также поломано, хотя другие страницы форума по HTTPS в порядке...

Отсутствует

 

№302-06-2013 17:37:10

banbot
Moderator
 
Группа: Moderators
Зарегистрирован: 23-12-2007
Сообщений: 5283
UA: Firefox 24.0

Re: Firefox и интернет-банкинг Альфа-Клик

Zaycoff
Ну вообще-то это не глюк Firefox. Он просто теперь показывает, что не всё содержимое посылается через HTTPS.


Do you feel lucky, punk?

Отсутствует

 

№402-06-2013 19:02:10

rasjpro
Участник
 
Группа: Members
Зарегистрирован: 02-06-2013
Сообщений: 22
UA: Opera 12.1

Re: Firefox и интернет-банкинг Альфа-Клик

Если бы с домена click.alfabank.ru в данном случае  что-то подгружалось через http, то тогда бы и Опера и IE также бы показывали алерты(Опера 100%). В данном случае через них всё чисто, никаких предупреждений безопасности, максимум что может быть это подгрузка данных через http с других доменов, т.е. не с того что обозначен в адресной строке браузера, а в этом случае никаких предупреждений быть и не должно, всё в рамках правил безопасности.

Так что всё же что-то Mozilla напутала. Пусть подправляют. Всегда пользовался Фаэрфоксом по ряду причин, если не исправят уйду на другой браузер, ну по крайней мере пока неисправят точно.

з.ы. Кстати когда Mozilla TLS 1.1 и 1.2 добавят? Вот в Опере я смотрю по TLS 1.2 соединение с тем же Альфа-Кликом.

Отсутствует

 

№502-06-2013 19:35:41

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Rekonq 2.3

Re: Firefox и интернет-банкинг Альфа-Клик

Не могу подтвердить, всё нормально вроде. Проверьтесь на всякий случай на предмет злонамереннных дополнений в FF - вдруг там что-то прицепилось.



з.ы. Кстати когда Mozilla TLS 1.1 и 1.2 добавят? Вот в Опере я смотрю по TLS 1.2 соединение с тем же Альфа-Кликом.

Самому интересно :)

Отсутствует

 

№602-06-2013 20:09:11

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

banbot пишет

Ну вообще-то это не глюк Firefox. Он просто теперь показывает, что не всё содержимое посылается через HTTPS.

Именно что глюк, если что-то подгружается не по HTTPS, то FF и раньше об этом сообщал, а теперь он ругается даже если при помощи HTTPS-Everywhere это было завернуто на HTTPS и даже если это вообще не загружалось (например у меня по дефолту картинки отключены, но если на странице есть такая картинка (которая не загружается и не отображается), то ff всё-равно ругается на неё...

Отсутствует

 

№702-06-2013 21:19:18

MySh
Кактусогрыз
 
Группа: Extensions
Зарегистрирован: 17-12-2006
Сообщений: 4623
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

Zaycoff
А баг на эту тему где-нибудь есть? Я что-то не могу найти.

Отсутствует

 

№802-06-2013 21:39:22

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

MySh пишет

А баг на эту тему где-нибудь есть?

А без понятия, я на английском могу только самые простые предложения составлять, так что баг не описывал.
Но проверяется довольно просто:
1. Ставим RequestPolicy, View Dependencies, HTTPS-Everywhere и HTTPS Finder
2. Заходим на страничку https://forum.mozilla-russia.org/viewto … =59227&p=4
3. Видим, что она поломана (соединение зашифровано лишь частично)
4. Смотрим зависимости (это позволяет сделать View Dependencies в свойства страницы) и видим, что все запросы по HttpS:

скрытый текст

Выделить код

Код:

https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4 (76)    Неизвестно
 forum.mozilla-russia.org (72)    Неизвестно
  html (1)    Неизвестно
   https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4    Неизвестно
  Скрипт (2)    Неизвестно
   https://forum.mozilla-russia.org/post.server.php?xajaxjs=xajaxjs    Неизвестно
   https://forum.mozilla-russia.org/scripts.js?9    Неизвестно
  Таблица стилей (3)    Неизвестно
   https://forum.mozilla-russia.org/style/Moz-infinity.css    Неизвестно
   https://forum.mozilla-russia.org/style/imports/base.css    Неизвестно
   https://forum.mozilla-russia.org/style/imports/Moz-infinity_cs.css    Неизвестно
  Изображение (66)    Неизвестно
   https://forum.mozilla-russia.org/style/img/Moz-infinity/pun_Moz-infinity_forum_logo.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/firefox35.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/wink.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/smile.png    Неизвестно
   https://forum.mozilla-russia.org/img/avatars/45414.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/seamonkey.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/firefox.png    Неизвестно
   https://forum.mozilla-russia.org/img/avatars/61378.jpg    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/chrome.png    Неизвестно
   https://forum.mozilla-russia.org/img/avatars/67120.gif    Неизвестно
   https://forum.mozilla-russia.org/img/avatars/27744.jpg    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/nightly.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/angel.gif    Неизвестно
   https://forum.mozilla-russia.org/uploaded/ramniam.PNG    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/sick.gif    Неизвестно
   https://forum.mozilla-russia.org/img/avatars/14094.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/roll.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/neutral.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/sad.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/big_smile.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/yikes.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/hmm.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/tongue.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/lol.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/mad.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/cool.png    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/blush.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/usch.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/angry.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/music.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/cry.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/whistle.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/beer.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/rock.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/tongue2.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/zzz.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/iron.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/dumb.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/puss.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/heart.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/couple.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/whiteflag.gif    Неизвестно
   https://forum.mozilla-russia.org/img/smilies/offtopic.gif    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/thunderbird.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/mozilla.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/fennec.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/sunbird.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/songbird.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/camino.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/bugzilla.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/nvu.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/k-meleon.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/flock.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/aurora.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/ie7.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/opera.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/chromium.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/safari.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/netscape.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/sunrise.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/konqueror.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/arora.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/windows.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/linux.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/macos.png    Неизвестно
   https://forum.mozilla-russia.org/img/browsers/android.png    Неизвестно
 informenter (1)    Неизвестно
  Изображение (1)    Неизвестно
   chrome://informenter/skin/marker.png    Неизвестно
 data (2)    Неизвестно
  Фон (1)    Неизвестно
   data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABAAAAAQCAYAAAAf8/9hAAAAAXNSR0IArs4c6QAAAAZiS0dEAP8A/wD/oL2nkwAAAAlwSFlzAAALEwAACxMBAJqcGAAAAAd0SU1FB9gMFRANL5LXnioAAAJWSURBVDjLnZI/ixtXFMV/972ZNzPSrmTtalexlsWBGMfEYOzaVciXyKdIkW/hFKnS22WafIDUxk0g2AQSgm0csIPWK42ktaSRNPP+pRBK5SLOqS7cew7ccw4xxrPJ+8XdHx4+7AE8e3Cj++zLm71fvrqT8x+QAK35dJr2n/x89urTa+eDm/cS+eI2y3eT+Lx/bt8u1vNqfDH++teXdk/6ThAfUUBIgL9ku75z/8WL7LOlhXIGJ0Pyw75wMcnGv//xSQ2DH4ddu9k01dXWsWzcofhYaiiViLjiWi9UWQa1gzcjWF7hgfzzW5ydnXB62JLjg0PTLfJertNepnQSIA+gE4Cs03UuNYYQYP4e5jPogmSG9vA6rrjC+0AxN2i5Qk0DpXVJhCQB0EVRrzqdFgB1DZfvCDHixiV2NqO6LHHKIKnQMoaWbFBgIrQVgIXaDc+JCHgP5QRZr4jzGWFbo6yncRYviiiQKUhBRch3Lyix4bgPWsAkcDkmZAV2OiE0DaI1WoEShRKF3sWnmt01pFBnJydEpZDEwHSGt47lYsls43AIXjTWV9R1Qx0DGahqLyAhbqrj0/ib0nRzXNoyCo0Kkor2llV0eKOwdUMg4pSQA7JPQXvnJv1B+GlwOvrGlaXB6fV2lb5t6qOtike56DSJgYDGBQcOAsQAfueBMeHR48fhadb1j/58HWARdt6yBv7+/vpBe2o5OogxlcaKdt5aKCNsk309W0WxKQjmQ33/9mJVAdWHdmo/tNvtRZIkfCz+ZQwGg6rT6Zj/LTAajTbD4bD5WIF/AAseEisPFO8uAAAAAElFTkSuQmCC    Неизвестно
  Изображение (1)    Неизвестно
   data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7    Неизвестно
 mc.yandex.ru (1)    Неизвестно
  Скрипт (1)    Неизвестно
   https://mc.yandex.ru/resource/watch.js    Неизвестно


Но зато на той странице есть картинка http://forum.mozilla-russia.org/uploaded/ramniam.PNG, исходно она вставлена по HTTP, но HTTPS-Everywhere её переделал на HTTPS, но лисе на это по барабану.
Притом, хочу заметить, сама картинка у меня не отображаются (стоит ILO), так что физически она не загружается, но соединение всё-равно поломано.

Вывод: глючит или лиса или HTTPS-Everywhere, или я где-то тупанул :dumb:

Отредактировано Zaycoff (02-06-2013 21:44:04)

Отсутствует

 

№902-06-2013 21:52:19

MySh
Кактусогрыз
 
Группа: Extensions
Зарегистрирован: 17-12-2006
Сообщений: 4623
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

Zaycoff

видим, что все запросы по HttpS

У Request Policy есть свой журнал запросов, из него видно, что запрос идёт два раза — первый по http, второй по https. Видимо, поскольку это один и тот же файл, View Dependencies его не показывает.
В общем, чтобы сказать наверняка, надо где-то посередине трафик слушать.

Отсутствует

 

№1002-06-2013 22:16:12

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

MySh пишет

Request Policy есть свой журнал запросов

Так картинки-то у меня отключены! С его там запрос? Похоже Request Policy просто отрисовывает ссылки на ресурсы независимо от того, загружаются они или нет - специально адблоком заблокировал эту картинку и по http:// и по https://, а Request Policy всё-рано нарисовал оба запроса в журнале... :/

Отсутствует

 

№1102-06-2013 22:31:30

banbot
Moderator
 
Группа: Moderators
Зарегистрирован: 23-12-2007
Сообщений: 5283
UA: Firefox 24.0

Re: Firefox и интернет-банкинг Альфа-Клик

rasjpro

Всегда пользовался Фаэрфоксом по ряду причин, если не исправят уйду на другой браузер, ну по крайней мере пока неисправят точно.

Вы собираетесь уйти с браузера потому что там замочек не показывается? Очень мило.

Кстати когда Mozilla TLS 1.1 и 1.2 добавят?

Если очень нужно включить 1.1 - https://twitter.com/unghost/status/329329815633145856

Добавлено 02-06-2013 22:36:23

Если бы с домена click.alfabank.ru в данном случае  что-то подгружалось через http, то тогда бы и Опера и IE также бы показывали алерты(Опера 100%). В данном случае через них всё чисто, никаких предупреждений безопасности, максимум что может быть это подгрузка данных через http с других доменов, т.е. не с того что обозначен в адресной строке браузера, а в этом случае никаких предупреждений быть и не должно, всё в рамках правил безопасности.

В Chrome проверяли?

Отредактировано banbot (02-06-2013 22:36:23)


Do you feel lucky, punk?

Отсутствует

 

№1202-06-2013 23:04:02

MySh
Кактусогрыз
 
Группа: Extensions
Зарегистрирован: 17-12-2006
Сообщений: 4623
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

Zaycoff

С его там запрос? Похоже Request Policy просто отрисовывает ссылки на ресурсы независимо от того, загружаются они или нет - специально адблоком заблокировал эту картинку и по http:// и по https://, а Request Policy всё-рано нарисовал оба запроса в журнале... :/

Не факт. Возможно, http-запрос действительно идёт, по крайней мере, в сторону сервера, а значит, безопасность под угрозой, о чём Firefox с Request Policy и предупреждает. А может быть и нет. Точно узнать можно только прослушивая трафик. Или ковыряя внутренности броузера и расширений, но тут точно без помощи экспертов не обойтись.

banbot

:offtopic:

Вы собираетесь уйти с броузера потому что там замочек не показывается? Очень мило.

Может, это просто последняя капля уже. Многих обновления достали.

Отсутствует

 

№1303-06-2013 00:01:31

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

MySh пишет

Возможно, http-запрос действительно идёт, по крайней мере, в сторону сервера

Фиг его знает, но вот что выдаёт снифер (LiveHTTPHeaders) при загрузке той страницы:

скрытый текст

Выделить код

Код:

https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4
https://forum.mozilla-russia.org/scripts.js?9
https://forum.mozilla-russia.org/style/Moz-infinity.css
https://forum.mozilla-russia.org/post.server.php?xajaxjs=xajaxjs
https://forum.mozilla-russia.org/style/imports/base.css
https://forum.mozilla-russia.org/style/imports/Moz-infinity_cs.css

#request# GET https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4
GET /viewtopic.php?id=59227&p=4
#request# GET https://forum.mozilla-russia.org/post.server.php?xajaxjs=xajaxjs
#request# GET https://forum.mozilla-russia.org/scripts.js?9
#request# GET https://forum.mozilla-russia.org/style/Moz-infinity.css
GET /scripts.js?9
GET /style/Moz-infinity.css
#request# GET https://forum.mozilla-russia.org/style/imports/base.css
#request# GET https://forum.mozilla-russia.org/style/imports/Moz-infinity_cs.css
GET /post.server.php?xajaxjs=xajaxjs
GET /style/imports/base.css
GET /style/imports/Moz-infinity_cs.css


Потом отдельно даю команду загрузить эту несчастную картинку:
скрытый текст

Выделить код

Код:

https://forum.mozilla-russia.org/uploaded/ramniam.PNG

GET /uploaded/ramniam.PNG HTTP/1.1
Host: forum.mozilla-russia.org
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20100101 Firefox/21.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4
Cookie: punbb_cookie=xxxxxx тут моя кука xxxxxx
DNT: 1
Connection: keep-alive

HTTP/1.1 200 OK
Server: nginx
Date: Sun, 02 Jun 2013 19:50:46 GMT
Content-Type: image/png
Content-Length: 18453
Connection: keep-alive
Last-Modified: Sat, 01 Jun 2013 13:20:29 GMT
Accept-Ranges: bytes

#request# GET https://forum.mozilla-russia.org/uploaded/ramniam.PNG
GET /uploaded/ramniam.PNG


И запросов через HTTP там нигде нет... в общем что-то в очередной раз поломали, то ли в дополнениях, то ли в лисе...

Даже складывается такое впечатление, что FF делает вывод о безопасности соединение до того, как дополнения закончат парсить страницу, т.е. раз в ней есть ссылки на http ресурсы - значит она кривая, а то, что эти ресурсы не загружаются или исправляются на https по барабану...

Отсутствует

 

№1403-06-2013 11:42:18

rasjpro
Участник
 
Группа: Members
Зарегистрирован: 02-06-2013
Сообщений: 22
UA: Opera 12.1

Re: Firefox и интернет-банкинг Альфа-Клик

sentaus пишет

Проверьтесь на всякий случай на предмет злонамереннных дополнений в FF - вдруг там что-то прицепилось.

Нет не прицепилось :) только 3 штуки и все нужны. Из плагинов только Flash Player.

banbot пишет

Вы собираетесь уйти с браузера потому что там замочек не показывается? Очень мило.

А вы считаете если что-то не в порядке с SSL-соединением то это не повод? Тем более я обозначил для какого сайта, думаю всё должно быть понятно.

banbot пишет

Если очень нужно включить 1.1 - https://twitter.com/unghost/status/329329815633145856

:) 1.1 мало, надо бы 1.2 Да и не горю я желанием по какому-то там твиту что-то исправлять самостоятельно в настройках. Если не включена в релизе значит что-то там ещё не доработано! :)
И вообще я не зря про TLS 1.1, 1.2  упомянул,  это тоже повод и довольно серьёзный у протоколов ниже чем TLS 1.2 обнаружено очень много потенциальных уязвимостей(естественно чем меньше версия тем их больше).

Отредактировано rasjpro (03-06-2013 11:55:11)

Отсутствует

 

№1503-06-2013 16:13:22

banbot
Moderator
 
Группа: Moderators
Зарегистрирован: 23-12-2007
Сообщений: 5283
UA: Firefox 24.0

Re: Firefox и интернет-банкинг Альфа-Клик

rasjpro

А вы считаете если что-то не в порядке с SSL-соединением то это не повод? Тем более я обозначил для какого сайта, думаю всё должно быть понятно.

То есть если IE и Opera не предупреждают что на защищённую страницу попадают незащищённые данные, а Firefox - предупреждает, то это вина Firefox? Интересно девки пляшут. Кстати, вы так и не ответили, что показывает Chrome.

:) 1.1 мало, надо бы 1.2 Да и не горю я желанием по какому-то там твиту что-то исправлять самостоятельно в настройках. Если не включена в релизе значит что-то там ещё не доработано! :)
И вообще я не зря про TLS 1.1, 1.2  упомянул,  это тоже повод и довольно серьёзный у протоколов ниже чем TLS 1.2 обнаружено очень много потенциальных уязвимостей(естественно чем меньше версия тем их больше).

Это мой твит. Но вообще да, это ещё не доработано.
Вас кстати не смущает, что ни один из десктопных браузеров не включил по умолчанию TLS 1.2, и только Chrome включил по умолчанию 1.1? Может там что-то недоработано, если по умолчанию галка снята. Или вы думаете, что разработчики IE, Opera и Safari настолько ничего не понимают в безопасности? Реальных уязвимостей в TLS 1.0 пока никем не найдено и поводов для паники нет.
Если вам так нужен TLS 1.2 то купите себе Ipad или дождитесь Chrome 31


Do you feel lucky, punk?

Отсутствует

 

№1603-06-2013 17:01:58

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Chrome 27.0

Re: Firefox и интернет-банкинг Альфа-Клик

Реальных уязвимостей в TLS 1.0 пока никем не найдено

Вообще-то найдено аж две вполне практические, но обе костылями условно исправлены. Даже две с половиной. А одна из них (padding-оракул по таймингам) актуальна даже для TLS 1.2, если используется блочный шифр в режиме CBC.

Добавлено 03-06-2013 17:12:04
А я тоже воспроизвёл проблему. favicon почему-то иногда по http грузится, а не по https.

Отредактировано sentaus (03-06-2013 17:12:04)

Отсутствует

 

№1703-06-2013 18:01:02

banbot
Moderator
 
Группа: Moderators
Зарегистрирован: 23-12-2007
Сообщений: 5283
UA: Firefox 24.0

Re: Firefox и интернет-банкинг Альфа-Клик

sentaus

Вообще-то найдено аж две вполне практические, но обе костылями условно исправлены. Даже две с половиной. А одна из них (padding-оракул по таймингам) актуальна даже для TLS 1.2, если используется блочный шифр в режиме CBC.

Когда они будут представлять реальную угрозу, тогда и будем волноваться.


Do you feel lucky, punk?

Отсутствует

 

№1803-06-2013 18:48:01

sentaus
Участник
 
Группа: Members
Зарегистрирован: 03-06-2005
Сообщений: 759
UA: Chrome 27.0

Re: Firefox и интернет-банкинг Альфа-Клик

Когда они будут представлять реальную угрозу, тогда и будем волноваться.

Тогда 2009 году надо было валидол пить, а 2011-2012 под капельницей лежать :)
Больше всего напрягало то, что эти криптографические уязвимости были известны уже несколько лет, а вопрос был только в возможности их практической эксплуатации. И вот пока не показали публично, как зашифрованную куку вытащить, никто и не чесался.

Отредактировано sentaus (03-06-2013 18:53:07)

Отсутствует

 

№1903-06-2013 19:10:33

rasjpro
Участник
 
Группа: Members
Зарегистрирован: 02-06-2013
Сообщений: 22
UA: Opera 12.1

Re: Firefox и интернет-банкинг Альфа-Клик

banbot пишет

То есть если IE и Opera не предупреждают что на защищённую страницу попадают незащищённые данные, а Firefox - предупреждает, то это вина Firefox?

Opera всегда предупреждает даже больше чем любой другой браузер. В данном случае, для обозначенного сайта никаких предупреждений с её стороны нет. Значит никаких данных через обычный http c домена в адресной строке не идёт. Что там и как там грузит фаэрфокс я фиг его знаю.

banbot пишет

Реальных уязвимостей в TLS 1.0 пока никем не найдено и поводов для паники нет.

Поводов для паники не было изначально :) А вот задуматься о том чтобы использовать наиболее безопасный протокол, на который рекомендуют переходить уже давно все известные специалисты по безопасности (а не те что читают википедию :)) давно пора. Используете же вот вы самую последнюю версию браузера. Почему? :) Ну вот ответив себе на этот вопрос проведите аналогию с версиями протокола SSL/TLS. Приводить кучу ссылок описания уязвимостей старых TLS 1.0 и уже даже TLS 1.1 нет времени.

banbot пишет

Если вам так нужен TLS 1.2 то купите себе Ipad или дождитесь Chrome 31

Есть в Опере и IE. Галку поставить не так сложно. Ничего дожидаться не надо.

Отсутствует

 

№2003-06-2013 19:51:56

rasjpro
Участник
 
Группа: Members
Зарегистрирован: 02-06-2013
Сообщений: 22
UA: Opera 12.1

Re: Firefox и интернет-банкинг Альфа-Клик

Ну вот я был прав, что-то разработчики Mozilla понапутали в версии 21.0.
Специально поставил предыдущую вкерсию 20.0.1, в ней как и до этого было всё нормально(собственно как и должно быть), никаких алертов о частичном шифровании нет, т.е. безопасное соединение. Также как показыввет последняя версия Оперы и IE.
Так что сам контент сайта не поменялся и не поменялись способы загрузки, а значит в новой версии Firefoх 21.0 реализация SSL-TLS что-то подглючивает :) . Надо бы им исправить!

Отсутствует

 

№2104-06-2013 00:50:44

littleleshy
________
 
Группа: Members
Откуда: Москва
Зарегистрирован: 13-12-2008
Сообщений: 2504
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

rasjpro
А Вам не могло придти в голову, что, допустим, в прошлой версии была дыра в безопасности, из-за которой браузер думал, что всё хорошо и все данные идут через зашифрованный канал, а в текущей версии проверка делается более надёжно?

Это как если антивирус обновил базы, и стал говорить, что на компьютере вирус, это разве значит, что нужно откатиться на прошлую версию баз, с которыми антивирус говорит, что всё хорошо?

Отсутствует

 

№2204-06-2013 01:52:26

Zaycoff
Участник
 
Группа: Extensions
Зарегистрирован: 18-02-2012
Сообщений: 1411
UA: Firefox 21.0

Re: Firefox и интернет-банкинг Альфа-Клик

в прошлой версии была дыра в безопасности, из-за которой браузер думал, что всё хорошо и все данные идут через зашифрованный канал, а в текущей версии проверка делается более надёжно

Это явно не так, в [firefox] 17.0.6 ESR всё нормально, а вот в FF >= 21 соединения поломанные... значит что-то поломали в новых версиях лисы.

Отсутствует

 

№2304-06-2013 01:56:37

banbot
Moderator
 
Группа: Moderators
Зарегистрирован: 23-12-2007
Сообщений: 5283
UA: Firefox 24.0

Re: Firefox и интернет-банкинг Альфа-Клик

rasjpro

Opera всегда предупреждает даже больше чем любой другой браузер. В данном случае, для обозначенного сайта никаких предупреждений с её стороны нет. Значит никаких данных через обычный http c домена в адресной строке не идёт. Что там и как там грузит фаэрфокс я фиг его знаю.

Если вы считаете Opera эталоном непогрешимости, предлагаю вам оставаться на ней до упора.

Поводов для паники не было изначально :) А вот задуматься о том чтобы использовать наиболее безопасный протокол, на который рекомендуют переходить уже давно все известные специалисты по безопасности (а не те что читают википедию :)) давно пора. Используете же вот вы самую последнюю версию браузера. Почему? :) Ну вот ответив себе на этот вопрос проведите аналогию с версиями протокола SSL/TLS. Приводить кучу ссылок описания уязвимостей старых TLS 1.0 и уже даже TLS 1.1 нет времени.

Ссылки на наиболее известных специалистов по безопасности будут? Если TLS 1.0 реально сломали приведите ссылки на публикации.
Если их нет, то слив засчитан.

Есть в Опере и IE. Галку поставить не так сложно. Ничего дожидаться не надо.

А выше вы писали:

Если не включена в релизе значит что-то там ещё не доработано! :)

У вас от противоречящих друг другу заявлений когнити́вный диссона́нс не возникает?

Добавлено 04-06-2013 01:57:48
Zaycoff

Это явно не так, в [firefox] 17.0.6 ESR всё нормально, а вот в FF >= 21 соединения поломанные... значит что-то поломали в новых версиях лисы.

Пишите багрепорт. От тихих страданий на форуме пользы нет.

Отредактировано banbot (04-06-2013 01:57:48)


Do you feel lucky, punk?

Отсутствует

 

№2404-06-2013 20:29:13

rasjpro
Участник
 
Группа: Members
Зарегистрирован: 02-06-2013
Сообщений: 22
UA: Opera 12.1

Re: Firefox и интернет-банкинг Альфа-Клик

banbot
Если ты здесь модератор не надо бузить ладно? Не был бы ты модератор с возможностями забанить там и лишний раз вы****  перед форумчагами я бы тебя послал уже сам знаешь куда.

Думал есть здесь на русском форуме спецы у которых и связь с разрабами налажена, при случае и сообщить смогут что надо и куда надо.
Ладно, вопрос закрыт. В который раз замечаю что на некоторых форумах пасутся одни интерфейсоюзеры и addon-юзеры:), за редким исключением Zaycoff ;)
Серъезные вопросы обсуждать бесполезно.

Отсутствует

 

Board footer

Powered by PunBB
Modified by Mozilla Russia
Copyright © 2004–2020 Mozilla Russia GitHub mark
Язык отображения форума: [Русский] [English]