Email or username:

Password:

Forgot your password?
marudo(r)'s posts Post Back to profile
Top-level
rugk

@mxey @ytvwld naja es sind Implementierungsprioritäten und Kapazitäten. Und was user nicht direkt sehen naja. Das ist auch nicht so leicht zu implementieren, github.com/iNPUTmice/Conversat und links dort erklären teilweise die Fallstricke weswegen das bspw viele Android Apps auch nicht implementiert haben.

Bzw ja das feature fehlt mir auch aber da chrome das ja erzwingt sind sind eh alle im CT log. Also der persönliche Sicherheitsgewinn hmm.

Vgl. bugzilla.mozilla.org/show_bug. und wiki.mozilla.org/PKI:CT

14 Dec 2023 at 10:46 | Wall-to-wall | Open on chaos.social
3 comments
mxey

@rugk @ytvwld Dass Chrome das erzwingt heißt nicht, dass ich nicht dann nem Firefox-User ein Zertifikat unterschieben kann was ich nicht geloggt habe.

14 Dec 2023 at 10:53 | Open on hachyderm.io
rugk

@mxey @ytvwld theoretisch ja, da müsstest du auch aber erstmal TLS jandhsakes von Firefox erkennen und du musst ja trotzdem valide Zertifikate haben, eins von einer CA die du irgendwie überzeugt hast es nicht zu loggen (ist optional) und ein anderes. Das ist schön Aufwand.

Also i mean, all for it, sollte endlich mal implementiert werden, aber ist jetzt auch kein großes Sicherheitsproblem.

14 Dec 2023 at 10:58 | Open on chaos.social
mxey

@rugk natürlich ist es Aufwand, aber dann könntest du auch sagen es bringt generell wenig dass Browser CT erzwingen.

TLS-Handshakes von Firefox erkennen sollte jedenfalls nicht so schwierig sein, außerdem müsste man den Angriff sowieso targeten.

Ja, es ist kein großes praktisches Problem, ich fand es nur symbolisch.

14 Dec 2023 at 11:43 | Open on hachyderm.io
Go Up