Gregory's Server@ytvwld „Kleinigkeiten“ ist subjektiv… ich bin letztens fast vom Stuhl gefallen als ich gelesen hab, dass Firefox kein Certificate Transparency erfordert. Ich dachte das machen alle Browser. Das spricht für mich nicht dafür, dass Sicherheit da ernstgenommen ist.
|
4 comments
 @mxey @ytvwld theoretisch ja, da müsstest du auch aber erstmal TLS jandhsakes von Firefox erkennen und du musst ja trotzdem valide Zertifikate haben, eins von einer CA die du irgendwie überzeugt hast es nicht zu loggen (ist optional) und ein anderes. Das ist schön Aufwand. Also i mean, all for it, sollte endlich mal implementiert werden, aber ist jetzt auch kein großes Sicherheitsproblem. @rugk natürlich ist es Aufwand, aber dann könntest du auch sagen es bringt generell wenig dass Browser CT erzwingen. TLS-Handshakes von Firefox erkennen sollte jedenfalls nicht so schwierig sein, außerdem müsste man den Angriff sowieso targeten. Ja, es ist kein großes praktisches Problem, ich fand es nur symbolisch. |
@mxey @ytvwld naja es sind Implementierungsprioritäten und Kapazitäten. Und was user nicht direkt sehen naja. Das ist auch nicht so leicht zu implementieren, https://github.com/iNPUTmice/Conversations/issues/4068#issuecomment-1788093553 und links dort erklären teilweise die Fallstricke weswegen das bspw viele Android Apps auch nicht implementiert haben.
Bzw ja das feature fehlt mir auch aber da chrome das ja erzwingt sind sind eh alle im CT log. Also der persönliche Sicherheitsgewinn hmm.
Vgl. https://bugzilla.mozilla.org/show_bug.cgi?id=1281469 und https://wiki.mozilla.org/PKI:CT
@mxey @ytvwld naja es sind Implementierungsprioritäten und Kapazitäten. Und was user nicht direkt sehen naja. Das ist auch nicht so leicht zu implementieren, https://github.com/iNPUTmice/Conversations/issues/4068#issuecomment-1788093553 und links dort erklären teilweise die Fallstricke weswegen das bspw viele Android Apps auch nicht implementiert haben.