Комментарии 13
Приятно, что разработчики Firefox предусматривают различные варианты настройки интерфейса и не принуждают всех использовать унифицированный единообразный UI.Скорее, временно поддерживают старый интерфейс.
Общая практика такова, что указанные в статье настройки когда-нибудь могут перестать работать.
В любом случае, не смотрел на значок, и не буду смотреть, он ничего никогда и не гарантировал.
Дизайнеры браузеров убрали этот индикатор, чтобы оптимизировать интерфейс браузера, поскольку длинная адресная строка не помещается на экраны мобильных устройств.
ДИЗАЙНЕРЫ и безопасность несовместимы. После появления letsencrypt ходили новости про фишинговые домены paypal с валидными tls сертификатами и прользователям предлагалось проверять наличие EV на правильную компанию в адресной строке и этого в большинстве случаев было достаточно, а теперь ДИЗАЙНЕРЫ все свели на нет. Ну что-ж ждем новую волну фишинга.
При чём тут ДИЗАЙНЕРЫ, если даже ТЕХНАРИ не в силах по этому значку понять, выдан ли сертификат платёжной системе Stripe или же её «однофамильцу», зарегистрированному в другом штате?
Чтобы не попасться на фишинг, ТЕХНАРЮ необходимо в любом случае прогуляться в подробности. И это мы говорим о ТЕХНАРЯХ, а большинство пользователей вообще не полезет смотреть, то ли сертификат выдан российской VKONTAKTE LLC, то ли американскому двойнику, зареганному злоумышленником. Зелёная плашечка же есть.
Именно поэтому Extended Validation Certificates are (Really, Really) Dead
Чтобы не попасться на фишинг, ТЕХНАРЮ необходимо в любом случае прогуляться в подробности. И это мы говорим о ТЕХНАРЯХ, а большинство пользователей вообще не полезет смотреть, то ли сертификат выдан российской VKONTAKTE LLC, то ли американскому двойнику, зареганному злоумышленником. Зелёная плашечка же есть.
Именно поэтому Extended Validation Certificates are (Really, Really) Dead
Теперь осталось перестать материться на самоподписанные сертификаты, а считать их работающими на уровне 'http', и проблема решена.
Ну тогда ещё и перестать ругаться на сертификаты, которые к хосту не подходят.
И митм наконец то заработает.
И митм наконец то заработает.
HSTS, etc, ваш друг. Чем mitm с самоподписанным сертификатом отличается от mitm с http downgrade? и там и там полностью незащищённый канал от mitm'а.
HTTP downgrade будет работать только, если пользователь перешёл по ссылке, использующей протокол http, а не https.
А позволение такого mitm'a для https может привести, например, к угону кук с сайта, не рассчитающего на незащищённую работу.
А позволение такого mitm'a для https может привести, например, к угону кук с сайта, не рассчитающего на незащищённую работу.
Как по мне, новые изменения логичные. Нет никакого смысла привлекать внимание пользователя к корректному сертификату. Его наличие говорит лишь об отсутствии проблем с соединением — и только. Индикация «повышенной безопасности» только вводит в заблуждение.
Если есть проблема (сертификат не подходит, самоподписан, соединение открытое), к этому надо привлекать внимание, так как здесь требуются действия или изменение поведения пользователя.
Если есть проблема (сертификат не подходит, самоподписан, соединение открытое), к этому надо привлекать внимание, так как здесь требуются действия или изменение поведения пользователя.
Да уймитесь вы уже. Ваш бизнес по торговле воздуха разрушен. Letsencrypt вас всех съел. Про EV забудут через год
> EV-сертификаты
> Это поле тоже можно вернуть обратно.
> Снова зайти в about:config.
> Теперь найти параметр security.identityblock.show_extended_validation.
> Установить его значение на true.
Больше не работает, убрали совсем.
> Это поле тоже можно вернуть обратно.
> Снова зайти в about:config.
> Теперь найти параметр security.identityblock.show_extended_validation.
> Установить его значение на true.
Больше не работает, убрали совсем.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как вернуть зелёный индикатор TLS в новом Firefox 70?