Email or username:

Password:

Forgot your password?
marudo(r)'s posts Post Back to profile
Top-level
mxey

@rugk @ytvwld Dass Chrome das erzwingt heißt nicht, dass ich nicht dann nem Firefox-User ein Zertifikat unterschieben kann was ich nicht geloggt habe.

14 Dec 2023 at 10:53 | Wall-to-wall | Open on hachyderm.io
2 comments
rugk

@mxey @ytvwld theoretisch ja, da müsstest du auch aber erstmal TLS jandhsakes von Firefox erkennen und du musst ja trotzdem valide Zertifikate haben, eins von einer CA die du irgendwie überzeugt hast es nicht zu loggen (ist optional) und ein anderes. Das ist schön Aufwand.

Also i mean, all for it, sollte endlich mal implementiert werden, aber ist jetzt auch kein großes Sicherheitsproblem.

14 Dec 2023 at 10:58 | Open on chaos.social
mxey

@rugk natürlich ist es Aufwand, aber dann könntest du auch sagen es bringt generell wenig dass Browser CT erzwingen.

TLS-Handshakes von Firefox erkennen sollte jedenfalls nicht so schwierig sein, außerdem müsste man den Angriff sowieso targeten.

Ja, es ist kein großes praktisches Problem, ich fand es nur symbolisch.

14 Dec 2023 at 11:43 | Open on hachyderm.io
Go Up