Проблема неполноты SSL на сайте www.pgpru.com и petname для Firefox – [решено]
Большинство серьёзных проектов используют SSL-хостинг, а для сохранения доступа к аккаунту через сеть tor он просто необходим, иначе его просто угонят с исходящего узла.
Впрочем и без сети tor пароль в открытом виде проходит через кучу узлов, а значит через кого попало.
К счастью, pgpru.com перешёл на такой защищённый хостинг, хотя это затратно и тяжело для небольшого некоммерческого проекта.
Но по понятным причинам (например для компенсации тех же затрат на хостинг) на сайте крутятся баннеры, Но эти же баннеры не дают покоя в том смысле, что даже если их полностью
заблокировать, браузер будет получать смешанный контент, как защищённый так и нет (http + https).
При этом он не будет его подробно различать по степени защищённости, а просто посчитает не всю страницу защищённый, выведет битый значёк SSL и предупреждение "Broken https".
Злоумышленник, находящийся посредине, может произвольно менять соотношение между защищённым и незащищённым контентом, оставаясь незамеченным (если не разбирать полученный браузером исходный код страницы), например модифицировав отдаваемую страницу так что поле ввода пароля пойдёт через простой http, а декоративные элементы страницы отдавать через https.
Пользователь конечно может заблокировать http://www.pgpru.com и разрешить только https://www.pgpru.com, чтобы избавиться от возможной подмены, но это неполноценное решение, так как всё равно получим битую страницу и видимость защиты.
Кстати существует простой плагин к Firefox – petname. Вот какую задачу он решает.
Пусть мы не доверяем центрам сертификации, пусть корневой сертификат будет похищен, пусть даже центр сертификации сдаст свои ключи полиции, чтобы она могла организовать подставной сайт, чтобы отслеживать соединения пользователя (полиция – это самый опасный злоумышленник :-) ). Но если не похищен сертификат самого сайта, то браузер будет показывать правильное соединение для другого (подставного) сайта, заверенное корневым сертификатом, хотя отпечаток сертификата сайта и будет отображаться другой.
Другая проблема – если пользоваться самоподписанными сертификатами, а также что один корневой сертификат может быть использован для подписи сертификата другого сайта, если раздатчик сертификатов это позволяет по неосторожности или по умыслу.
Заметить это трудно, Не сверять же каждый раз отпечатки по бумажке. Для в этого в плагине petname проблема решена самым простым и изящным способом: каждому посещённому SSL-сайту при первом заходе прелагается сопоставить его хэш-отпечаток с некоторым кратким названием-кличкой. Если при последующем заходе [кличка]-[url]-[отпечаток сертификата] совпадут -получим
зелёный значок, иначе предупреждение о смене сертификата, но и подмену url можно заметить по не той "кличке" рядом с адресной строкой.
Клички сайтов и хэши сертификатов (сверяется и md5 и sha) хранятся в закладках, так что ими легко обмениваться.
А вот с https://www.pgpru.com это не работает из-за тех же баннеров. Получаем статус untrusted.
Решение может быть в том, чтобы пропускать все баннеры через https://, такое можно теоретически сделать на отдельном сервере, но решать такую задачу на виртуальном хостинге это конечно изврат. С другой стороны, SSL тоже должен быть полноценным, а не для показухи.
Какие мнения?
комментариев: 11558 документов: 1036 редакций: 4118
Вариант – отказаться от HotLog'а и поставить какую-то свою систему статистики (например, CNStats) и баннеры продавать напрямую, с оплатой за время размещения.
А вообще, SATtva, посмотрите на Sape, например. Возможно, это даст большую прибыль.
И ещё, до кучи: Вы некрасиво поступаете, продавая рекламу (/Проект/Реклама/Dmitriy) с неиндексируемых страниц.
комментариев: 11558 документов: 1036 редакций: 4118
Некрасиво — высказывать обвинения и ставить под сомнение порядочность и репутацию человека, не имея представления о сути вопроса (воистину, суждения выносят, меряя по себе). У меня такое вообще в голове не укладывается. Страница запрещена к индексированию по просьбе рекламодателя, потому что её содержимое инклюдится на главную! Какое вообще это имеет отношение к предмету данного топика?
комментариев: 11558 документов: 1036 редакций: 4118
Если вернуться к изначально поставленному вопросу unknown'а, у кого-нибудь есть на примете такие расширения к Firefox, которые умеют фильтровать по регулярным выражениям?
комментариев: 9796 документов: 488 редакций: 5664
А страница разве не будет отображаться битой, если в ней смешанный контент, пусть даже и заблокированный?
комментариев: 11558 документов: 1036 редакций: 4118
Оценку о "битости" выносит ведь сам браузер по итогу загруженного документа. Adblock показал свою работоспособность. Вот каких правил достаточно для устранения смешанного контента (в настройках нужно включить Remove ads):
Проблему считаем закрытой?
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 271 документов: 13 редакций: 4
Не нашёл специальной темы про petname. Вопрос в общем-то пустяковый, решил не стоит открывать новую тему.
Firefox 3.0.5, Petname Tool 1.6.
Заходим на сайт с SSL (для примера – https://www.verisign.com/ ), добавляем кличку. Идём в настройки apache, поднимаем локально сайт с SSL. В Ubuntu :-] по умолчанию для тестирования используется самоподписанный сертификат, выданный "ubuntu" для домена "ubuntu". Добавляем в /etc/hosts строку
127.0.0.1 www.verisign.com
При необходимости вносим www.verisign.com в список исключений для использования прокси броузером. Набираем в адресной строке https://www.verisign.com/ Получаем предупреждения от броузера: "самоподписанный, выдан неизвестным CA, выдан для другого домена", petname показывает вопросики – правильно, на сайт мы ещё не попали. Добавляем исключение, оказываемся в корне нашего веб-сервера, petname показывает ранее установленную кличку.
После проверки осмотрелся внимательнее на страничке расширения, там есть комментарий от 9 января, в котором говорится, что после обновления сертификата кличка не сбросилась.
Может быть, оно проверяет только адрес (защита от похожих урлов)? Либо баг?
комментариев: 9796 документов: 488 редакций: 5664
По идее он должен сравнивать опечаток хэша сертификата для конкретного имени сайта в SSL-сеансе. Самоподписанный или нет – это его не волнует.
В теории: идём на verisign, добавляем кличку, petname запоминает отпечаток. Поднимаем локально для тестирования сервер с SSL, настраиваем возможность обращаться к нему по адресу www.verisign.com. Заходим, petname видит, что отпечаток сертификата другой и не показывает кличку.
А на самом деле, если проделать это, petname всё равно отображает кличку.
И там есть комментарий от человека, который сменил сертификат на своём сайте. Он ожидал, что petname увидит другой сертификат и будет считать сайт неизвестным. А оно продолжило показывать присвоенное раньше имя.
комментариев: 11558 документов: 1036 редакций: 4118
Сейчас проверил с третьим: новый сайт, которому дана кличка, внесён в панель закладок petname, но поле описания оставлено пустым. Получается, на соответствие проверяется только доменное имя. От фишеров это может и спасёт, но не от скрытной смены сертификата.