Обновил Firefox до v21.0 при работе в Альфа-Клик пишет что незащищенное соединение, причём во время авторизации всё в порядке - защищенное соединение. Calomel SSL Validation также показывает "broken insecure connection".
До этого всё работало как надо. В чём может быть проблема?
Дело точно не в Альфа-Клик поскольку и в Opera и в IE всё работает как надо, т.е. соединение защищенное и при авторизации и во время работы.
Это глюк FF, на FF 20.0.1 его нет. Оно происходит, если на странице есть хоть какие-то элементы подгружаемые по http, даже если они физически не загружаются (например картинки, которые отключены) и даже если стоит HTTPS-Everywhere (чтобы принудительно заруливать запросы на HTTPS).
Например, если зайти на эту страницу этого форума видно, что соединение также поломано, хотя другие страницы форума по HTTPS в порядке...
Zaycoff
Ну вообще-то это не глюк Firefox. Он просто теперь показывает, что не всё содержимое посылается через HTTPS.
Если бы с домена click.alfabank.ru в данном случае что-то подгружалось через http, то тогда бы и Опера и IE также бы показывали алерты(Опера 100%). В данном случае через них всё чисто, никаких предупреждений безопасности, максимум что может быть это подгрузка данных через http с других доменов, т.е. не с того что обозначен в адресной строке браузера, а в этом случае никаких предупреждений быть и не должно, всё в рамках правил безопасности.
Так что всё же что-то Mozilla напутала. Пусть подправляют. Всегда пользовался Фаэрфоксом по ряду причин, если не исправят уйду на другой браузер, ну по крайней мере пока неисправят точно.
з.ы. Кстати когда Mozilla TLS 1.1 и 1.2 добавят? Вот в Опере я смотрю по TLS 1.2 соединение с тем же Альфа-Кликом.
Не могу подтвердить, всё нормально вроде. Проверьтесь на всякий случай на предмет злонамереннных дополнений в FF - вдруг там что-то прицепилось.
з.ы. Кстати когда Mozilla TLS 1.1 и 1.2 добавят? Вот в Опере я смотрю по TLS 1.2 соединение с тем же Альфа-Кликом.
Самому интересно 
Ну вообще-то это не глюк Firefox. Он просто теперь показывает, что не всё содержимое посылается через HTTPS.
Именно что глюк, если что-то подгружается не по HTTPS, то FF и раньше об этом сообщал, а теперь он ругается даже если при помощи HTTPS-Everywhere это было завернуто на HTTPS и даже если это вообще не загружалось (например у меня по дефолту картинки отключены, но если на странице есть такая картинка (которая не загружается и не отображается), то ff всё-равно ругается на неё...
Zaycoff
А баг на эту тему где-нибудь есть? Я что-то не могу найти.
А баг на эту тему где-нибудь есть?
А без понятия, я на английском могу только самые простые предложения составлять, так что баг не описывал.
Но проверяется довольно просто:
1. Ставим RequestPolicy, View Dependencies, HTTPS-Everywhere и HTTPS Finder
2. Заходим на страничку https://forum.mozilla-russia.org/viewto … =59227&p=4
3. Видим, что она поломана (соединение зашифровано лишь частично)
4. Смотрим зависимости (это позволяет сделать View Dependencies в свойства страницы) и видим, что все запросы по HttpS:
Код:
https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4 (76) Неизвестно forum.mozilla-russia.org (72) Неизвестно html (1) Неизвестно https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4 Неизвестно Скрипт (2) Неизвестно https://forum.mozilla-russia.org/post.server.php?xajaxjs=xajaxjs Неизвестно https://forum.mozilla-russia.org/scripts.js?9 Неизвестно Таблица стилей (3) Неизвестно https://forum.mozilla-russia.org/style/Moz-infinity.css Неизвестно https://forum.mozilla-russia.org/style/imports/base.css Неизвестно https://forum.mozilla-russia.org/style/imports/Moz-infinity_cs.css Неизвестно Изображение (66) Неизвестно https://forum.mozilla-russia.org/style/img/Moz-infinity/pun_Moz-infinity_forum_logo.png Неизвестно https://forum.mozilla-russia.org/img/browsers/firefox35.png Неизвестно https://forum.mozilla-russia.org/img/smilies/wink.png Неизвестно https://forum.mozilla-russia.org/img/smilies/smile.png Неизвестно https://forum.mozilla-russia.org/img/avatars/45414.png Неизвестно https://forum.mozilla-russia.org/img/browsers/seamonkey.png Неизвестно https://forum.mozilla-russia.org/img/browsers/firefox.png Неизвестно https://forum.mozilla-russia.org/img/avatars/61378.jpg Неизвестно https://forum.mozilla-russia.org/img/browsers/chrome.png Неизвестно https://forum.mozilla-russia.org/img/avatars/67120.gif Неизвестно https://forum.mozilla-russia.org/img/avatars/27744.jpg Неизвестно https://forum.mozilla-russia.org/img/browsers/nightly.png Неизвестно https://forum.mozilla-russia.org/img/smilies/angel.gif Неизвестно https://forum.mozilla-russia.org/uploaded/ramniam.PNG Неизвестно https://forum.mozilla-russia.org/img/smilies/sick.gif Неизвестно https://forum.mozilla-russia.org/img/avatars/14094.png Неизвестно https://forum.mozilla-russia.org/img/smilies/roll.png Неизвестно https://forum.mozilla-russia.org/img/smilies/neutral.png Неизвестно https://forum.mozilla-russia.org/img/smilies/sad.png Неизвестно https://forum.mozilla-russia.org/img/smilies/big_smile.png Неизвестно https://forum.mozilla-russia.org/img/smilies/yikes.png Неизвестно https://forum.mozilla-russia.org/img/smilies/hmm.png Неизвестно https://forum.mozilla-russia.org/img/smilies/tongue.png Неизвестно https://forum.mozilla-russia.org/img/smilies/lol.png Неизвестно https://forum.mozilla-russia.org/img/smilies/mad.png Неизвестно https://forum.mozilla-russia.org/img/smilies/cool.png Неизвестно https://forum.mozilla-russia.org/img/smilies/blush.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/usch.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/angry.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/music.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/cry.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/whistle.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/beer.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/rock.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/tongue2.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/zzz.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/iron.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/dumb.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/puss.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/heart.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/couple.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/whiteflag.gif Неизвестно https://forum.mozilla-russia.org/img/smilies/offtopic.gif Неизвестно https://forum.mozilla-russia.org/img/browsers/thunderbird.png Неизвестно https://forum.mozilla-russia.org/img/browsers/mozilla.png Неизвестно https://forum.mozilla-russia.org/img/browsers/fennec.png Неизвестно https://forum.mozilla-russia.org/img/browsers/sunbird.png Неизвестно https://forum.mozilla-russia.org/img/browsers/songbird.png Неизвестно https://forum.mozilla-russia.org/img/browsers/camino.png Неизвестно https://forum.mozilla-russia.org/img/browsers/bugzilla.png Неизвестно https://forum.mozilla-russia.org/img/browsers/nvu.png Неизвестно https://forum.mozilla-russia.org/img/browsers/k-meleon.png Неизвестно https://forum.mozilla-russia.org/img/browsers/flock.png Неизвестно https://forum.mozilla-russia.org/img/browsers/aurora.png Неизвестно https://forum.mozilla-russia.org/img/browsers/ie7.png Неизвестно https://forum.mozilla-russia.org/img/browsers/opera.png Неизвестно https://forum.mozilla-russia.org/img/browsers/chromium.png Неизвестно https://forum.mozilla-russia.org/img/browsers/safari.png Неизвестно https://forum.mozilla-russia.org/img/browsers/netscape.png Неизвестно https://forum.mozilla-russia.org/img/browsers/sunrise.png Неизвестно https://forum.mozilla-russia.org/img/browsers/konqueror.png Неизвестно https://forum.mozilla-russia.org/img/browsers/arora.png Неизвестно https://forum.mozilla-russia.org/img/browsers/windows.png Неизвестно https://forum.mozilla-russia.org/img/browsers/linux.png Неизвестно https://forum.mozilla-russia.org/img/browsers/macos.png Неизвестно https://forum.mozilla-russia.org/img/browsers/android.png Неизвестно informenter (1) Неизвестно Изображение (1) Неизвестно chrome://informenter/skin/marker.png Неизвестно data (2) Неизвестно Фон (1) Неизвестно data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAABAAAAAQCAYAAAAf8/9hAAAAAXNSR0IArs4c6QAAAAZiS0dEAP8A/wD/oL2nkwAAAAlwSFlzAAALEwAACxMBAJqcGAAAAAd0SU1FB9gMFRANL5LXnioAAAJWSURBVDjLnZI/ixtXFMV/972ZNzPSrmTtalexlsWBGMfEYOzaVciXyKdIkW/hFKnS22WafIDUxk0g2AQSgm0csIPWK42ktaSRNPP+pRBK5SLOqS7cew7ccw4xxrPJ+8XdHx4+7AE8e3Cj++zLm71fvrqT8x+QAK35dJr2n/x89urTa+eDm/cS+eI2y3eT+Lx/bt8u1vNqfDH++teXdk/6ThAfUUBIgL9ku75z/8WL7LOlhXIGJ0Pyw75wMcnGv//xSQ2DH4ddu9k01dXWsWzcofhYaiiViLjiWi9UWQa1gzcjWF7hgfzzW5ydnXB62JLjg0PTLfJertNepnQSIA+gE4Cs03UuNYYQYP4e5jPogmSG9vA6rrjC+0AxN2i5Qk0DpXVJhCQB0EVRrzqdFgB1DZfvCDHixiV2NqO6LHHKIKnQMoaWbFBgIrQVgIXaDc+JCHgP5QRZr4jzGWFbo6yncRYviiiQKUhBRch3Lyix4bgPWsAkcDkmZAV2OiE0DaI1WoEShRKF3sWnmt01pFBnJydEpZDEwHSGt47lYsls43AIXjTWV9R1Qx0DGahqLyAhbqrj0/ib0nRzXNoyCo0Kkor2llV0eKOwdUMg4pSQA7JPQXvnJv1B+GlwOvrGlaXB6fV2lb5t6qOtike56DSJgYDGBQcOAsQAfueBMeHR48fhadb1j/58HWARdt6yBv7+/vpBe2o5OogxlcaKdt5aKCNsk309W0WxKQjmQ33/9mJVAdWHdmo/tNvtRZIkfCz+ZQwGg6rT6Zj/LTAajTbD4bD5WIF/AAseEisPFO8uAAAAAElFTkSuQmCC Неизвестно Изображение (1) Неизвестно data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7 Неизвестно mc.yandex.ru (1) Неизвестно Скрипт (1) Неизвестно https://mc.yandex.ru/resource/watch.js Неизвестно
Но зато на той странице есть картинка http://forum.mozilla-russia.org/uploaded/ramniam.PNG, исходно она вставлена по HTTP, но HTTPS-Everywhere её переделал на HTTPS, но лисе на это по барабану.
Притом, хочу заметить, сама картинка у меня не отображаются (стоит ILO), так что физически она не загружается, но соединение всё-равно поломано.
Вывод: глючит или лиса или HTTPS-Everywhere, или я где-то тупанул 
Zaycoff
видим, что все запросы по HttpS
У Request Policy есть свой журнал запросов, из него видно, что запрос идёт два раза — первый по http, второй по https. Видимо, поскольку это один и тот же файл, View Dependencies его не показывает.
В общем, чтобы сказать наверняка, надо где-то посередине трафик слушать.
Request Policy есть свой журнал запросов
Так картинки-то у меня отключены! С его там запрос? Похоже Request Policy просто отрисовывает ссылки на ресурсы независимо от того, загружаются они или нет - специально адблоком заблокировал эту картинку и по http:// и по https://, а Request Policy всё-рано нарисовал оба запроса в журнале... 
rasjpro
Всегда пользовался Фаэрфоксом по ряду причин, если не исправят уйду на другой браузер, ну по крайней мере пока неисправят точно.
Вы собираетесь уйти с браузера потому что там замочек не показывается? Очень мило.
Кстати когда Mozilla TLS 1.1 и 1.2 добавят?
Если очень нужно включить 1.1 - https://twitter.com/unghost/status/329329815633145856
02-06-2013 22:36:23
Если бы с домена click.alfabank.ru в данном случае что-то подгружалось через http, то тогда бы и Опера и IE также бы показывали алерты(Опера 100%). В данном случае через них всё чисто, никаких предупреждений безопасности, максимум что может быть это подгрузка данных через http с других доменов, т.е. не с того что обозначен в адресной строке браузера, а в этом случае никаких предупреждений быть и не должно, всё в рамках правил безопасности.
В Chrome проверяли?
Zaycoff
С его там запрос? Похоже Request Policy просто отрисовывает ссылки на ресурсы независимо от того, загружаются они или нет - специально адблоком заблокировал эту картинку и по http:// и по https://, а Request Policy всё-рано нарисовал оба запроса в журнале...
Не факт. Возможно, http-запрос действительно идёт, по крайней мере, в сторону сервера, а значит, безопасность под угрозой, о чём Firefox с Request Policy и предупреждает. А может быть и нет. Точно узнать можно только прослушивая трафик. Или ковыряя внутренности броузера и расширений, но тут точно без помощи экспертов не обойтись.
banbot
Вы собираетесь уйти с броузера потому что там замочек не показывается? Очень мило.
Может, это просто последняя капля уже. Многих обновления достали.
Возможно, http-запрос действительно идёт, по крайней мере, в сторону сервера
Фиг его знает, но вот что выдаёт снифер (LiveHTTPHeaders) при загрузке той страницы:
Код:
https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4 https://forum.mozilla-russia.org/scripts.js?9 https://forum.mozilla-russia.org/style/Moz-infinity.css https://forum.mozilla-russia.org/post.server.php?xajaxjs=xajaxjs https://forum.mozilla-russia.org/style/imports/base.css https://forum.mozilla-russia.org/style/imports/Moz-infinity_cs.css #request# GET https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4 GET /viewtopic.php?id=59227&p=4 #request# GET https://forum.mozilla-russia.org/post.server.php?xajaxjs=xajaxjs #request# GET https://forum.mozilla-russia.org/scripts.js?9 #request# GET https://forum.mozilla-russia.org/style/Moz-infinity.css GET /scripts.js?9 GET /style/Moz-infinity.css #request# GET https://forum.mozilla-russia.org/style/imports/base.css #request# GET https://forum.mozilla-russia.org/style/imports/Moz-infinity_cs.css GET /post.server.php?xajaxjs=xajaxjs GET /style/imports/base.css GET /style/imports/Moz-infinity_cs.css
Потом отдельно даю команду загрузить эту несчастную картинку:
Код:
https://forum.mozilla-russia.org/uploaded/ramniam.PNG GET /uploaded/ramniam.PNG HTTP/1.1 Host: forum.mozilla-russia.org User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20100101 Firefox/21.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: https://forum.mozilla-russia.org/viewtopic.php?id=59227&p=4 Cookie: punbb_cookie=xxxxxx тут моя кука xxxxxx DNT: 1 Connection: keep-alive HTTP/1.1 200 OK Server: nginx Date: Sun, 02 Jun 2013 19:50:46 GMT Content-Type: image/png Content-Length: 18453 Connection: keep-alive Last-Modified: Sat, 01 Jun 2013 13:20:29 GMT Accept-Ranges: bytes #request# GET https://forum.mozilla-russia.org/uploaded/ramniam.PNG GET /uploaded/ramniam.PNG
И запросов через HTTP там нигде нет... в общем что-то в очередной раз поломали, то ли в дополнениях, то ли в лисе...
Даже складывается такое впечатление, что FF делает вывод о безопасности соединение до того, как дополнения закончат парсить страницу, т.е. раз в ней есть ссылки на http ресурсы - значит она кривая, а то, что эти ресурсы не загружаются или исправляются на https по барабану...
Проверьтесь на всякий случай на предмет злонамереннных дополнений в FF - вдруг там что-то прицепилось.
Нет не прицепилось только 3 штуки и все нужны. Из плагинов только Flash Player.
Вы собираетесь уйти с браузера потому что там замочек не показывается? Очень мило.
А вы считаете если что-то не в порядке с SSL-соединением то это не повод? Тем более я обозначил для какого сайта, думаю всё должно быть понятно.
Если очень нужно включить 1.1 - https://twitter.com/unghost/status/329329815633145856
1.1 мало, надо бы 1.2 Да и не горю я желанием по какому-то там твиту что-то исправлять самостоятельно в настройках. Если не включена в релизе значит что-то там ещё не доработано!
И вообще я не зря про TLS 1.1, 1.2 упомянул, это тоже повод и довольно серьёзный у протоколов ниже чем TLS 1.2 обнаружено очень много потенциальных уязвимостей(естественно чем меньше версия тем их больше).
rasjpro
А вы считаете если что-то не в порядке с SSL-соединением то это не повод? Тем более я обозначил для какого сайта, думаю всё должно быть понятно.
То есть если IE и Opera не предупреждают что на защищённую страницу попадают незащищённые данные, а Firefox - предупреждает, то это вина Firefox? Интересно девки пляшут. Кстати, вы так и не ответили, что показывает Chrome.
И вообще я не зря про TLS 1.1, 1.2 упомянул, это тоже повод и довольно серьёзный у протоколов ниже чем TLS 1.2 обнаружено очень много потенциальных уязвимостей(естественно чем меньше версия тем их больше).
Это мой твит. Но вообще да, это ещё не доработано.
Вас кстати не смущает, что ни один из десктопных браузеров не включил по умолчанию TLS 1.2, и только Chrome включил по умолчанию 1.1? Может там что-то недоработано, если по умолчанию галка снята. Или вы думаете, что разработчики IE, Opera и Safari настолько ничего не понимают в безопасности? Реальных уязвимостей в TLS 1.0 пока никем не найдено и поводов для паники нет.
Если вам так нужен TLS 1.2 то купите себе Ipad или дождитесь Chrome 31
Реальных уязвимостей в TLS 1.0 пока никем не найдено
Вообще-то найдено аж две вполне практические, но обе костылями условно исправлены. Даже две с половиной. А одна из них (padding-оракул по таймингам) актуальна даже для TLS 1.2, если используется блочный шифр в режиме CBC.
03-06-2013 17:12:04
А я тоже воспроизвёл проблему. favicon почему-то иногда по http грузится, а не по https.
sentaus
Вообще-то найдено аж две вполне практические, но обе костылями условно исправлены. Даже две с половиной. А одна из них (padding-оракул по таймингам) актуальна даже для TLS 1.2, если используется блочный шифр в режиме CBC.
Когда они будут представлять реальную угрозу, тогда и будем волноваться.
Когда они будут представлять реальную угрозу, тогда и будем волноваться.
Тогда 2009 году надо было валидол пить, а 2011-2012 под капельницей лежать
Больше всего напрягало то, что эти криптографические уязвимости были известны уже несколько лет, а вопрос был только в возможности их практической эксплуатации. И вот пока не показали публично, как зашифрованную куку вытащить, никто и не чесался.
То есть если IE и Opera не предупреждают что на защищённую страницу попадают незащищённые данные, а Firefox - предупреждает, то это вина Firefox?
Opera всегда предупреждает даже больше чем любой другой браузер. В данном случае, для обозначенного сайта никаких предупреждений с её стороны нет. Значит никаких данных через обычный http c домена в адресной строке не идёт. Что там и как там грузит фаэрфокс я фиг его знаю.
Реальных уязвимостей в TLS 1.0 пока никем не найдено и поводов для паники нет.
Поводов для паники не было изначально А вот задуматься о том чтобы использовать наиболее безопасный протокол, на который рекомендуют переходить уже давно все известные специалисты по безопасности (а не те что читают википедию ) давно пора. Используете же вот вы самую последнюю версию браузера. Почему? Ну вот ответив себе на этот вопрос проведите аналогию с версиями протокола SSL/TLS. Приводить кучу ссылок описания уязвимостей старых TLS 1.0 и уже даже TLS 1.1 нет времени.
Если вам так нужен TLS 1.2 то купите себе Ipad или дождитесь Chrome 31
Есть в Опере и IE. Галку поставить не так сложно. Ничего дожидаться не надо.
Ну вот я был прав, что-то разработчики Mozilla понапутали в версии 21.0.
Специально поставил предыдущую вкерсию 20.0.1, в ней как и до этого было всё нормально(собственно как и должно быть), никаких алертов о частичном шифровании нет, т.е. безопасное соединение. Также как показыввет последняя версия Оперы и IE.
Так что сам контент сайта не поменялся и не поменялись способы загрузки, а значит в новой версии Firefoх 21.0 реализация SSL-TLS что-то подглючивает . Надо бы им исправить!
rasjpro
А Вам не могло придти в голову, что, допустим, в прошлой версии была дыра в безопасности, из-за которой браузер думал, что всё хорошо и все данные идут через зашифрованный канал, а в текущей версии проверка делается более надёжно?
Это как если антивирус обновил базы, и стал говорить, что на компьютере вирус, это разве значит, что нужно откатиться на прошлую версию баз, с которыми антивирус говорит, что всё хорошо?
в прошлой версии была дыра в безопасности, из-за которой браузер думал, что всё хорошо и все данные идут через зашифрованный канал, а в текущей версии проверка делается более надёжно
Это явно не так, в ![[firefox]](img/browsers/firefox.png "firefox")
17.0.6 ESR всё нормально, а вот в FF >= 21 соединения поломанные... значит что-то поломали в новых версиях лисы.
rasjpro
Opera всегда предупреждает даже больше чем любой другой браузер. В данном случае, для обозначенного сайта никаких предупреждений с её стороны нет. Значит никаких данных через обычный http c домена в адресной строке не идёт. Что там и как там грузит фаэрфокс я фиг его знаю.
Если вы считаете Opera эталоном непогрешимости, предлагаю вам оставаться на ней до упора.
Поводов для паники не было изначально
Ссылки на наиболее известных специалистов по безопасности будут? Если TLS 1.0 реально сломали приведите ссылки на публикации.
Если их нет, то слив засчитан.
Есть в Опере и IE. Галку поставить не так сложно. Ничего дожидаться не надо.
А выше вы писали:
Если не включена в релизе значит что-то там ещё не доработано!
У вас от противоречящих друг другу заявлений когнити́вный диссона́нс не возникает?
04-06-2013 01:57:48
Zaycoff
Это явно не так, в
Пишите багрепорт. От тихих страданий на форуме пользы нет.
banbot
Если ты здесь модератор не надо бузить ладно? Не был бы ты модератор с возможностями забанить там и лишний раз вы**** перед форумчагами я бы тебя послал уже сам знаешь куда.
Думал есть здесь на русском форуме спецы у которых и связь с разрабами налажена, при случае и сообщить смогут что надо и куда надо.
Ладно, вопрос закрыт. В который раз замечаю что на некоторых форумах пасутся одни интерфейсоюзеры и addon-юзеры, за редким исключением Zaycoff 
Серъезные вопросы обсуждать бесполезно.