Назойливая секьюрити в фуррифоксе
Failing secure connection establishment on any warnings or errors
(per Section 8.4 ("Errors in Secure Transport Establishment")) should
be done with "no user recourse". This means that the user should not
be presented with a dialog giving her the option to proceed. Rather,
it should be treated similarly to a server error where there is
nothing further the user can do with respect to interacting with the
target web application, other than wait and retry.
Essentially, "any warnings or errors" means anything that would cause
the UA implementation to announce to the user that something is not
entirely correct with the connection establishment.
Not doing this, i.e., allowing user recourse such as "clicking
through warning/error dialogs", is a recipe for a man-in-the-middle
attack. If a web application issues an HSTS Policy, then it is
implicitly opting into the "no user recourse" approach, whereby all
certificate errors or warnings cause a connection termination, with
no chance to "fool" users into making the wrong decision and
compromising themselves.
Собсно, началось все с того, что файрфокс отказался заходить на ютуб со словами про hsts, при этом привычной кнопки "add exception" не показывается Я некоторое время потыкался, подключился через свой прокси и нормально зашел. Покумекал, пошел искать. Вышел на пару возмущенных воплей пользователей, что им не показывается эта кнопка, а их тыкают сюда.
Собственно, они, блять, совсем охуели?
Во-1ых, я не до сих пор не могу посмотреть, что там хотел сказать мне мой провайдер.
Во-2ых, блять, как ходить на сайты в паблик вайфаях ? Я на это уже напарывался на своем планшете, что приходилось тыкаться в несколько браузеров, пока один соглашался меня пустить на страницу авторизации.
Соответственно, вопросы
- Какой пидар писал этот RFC ?
- Какой пидар в mozilla принял этот RFC к воплощению as is?
- Почему эти пидары не были признаны пидарами?
- Есть ли способ это обойти?