Failing secure connection establishment on any warnings or errors (per Section 8.4 ("Errors in Secure Transport Establishment")) should
( Read more... )
> глубже закопали возможность включить прослушивание и воровство паролей и прочей инфы.
Давайте вы не будете делать мне смешно. Во-1ых, 2 распространненых юз-кейза, в которых критически умирает функциональность, налицо. Возможно, для вас лично это неважно, но это вам повезло.
Во-2ых, hstc от воровства паролей методом создания подложных сайтов не защищает совсем.
В-3их, я копался в кишках браузера. Штатной возможности отключить это г-но нет. В нештатных я не разбираюсь.
В результате проблема налицо: профита от новой "фичи" нет, а вред объективен.
1 юскейс только один: банковский сайт. это сайт банка, это не ютуб включает hsts.
2 да ну?
3. везде есть. в хроме это сверхглубоко в кишках (net-internals) где можно сбросить все виденные или данный виденный hsts хедер
вред объективен человеку который знает что делает - то есть как я и сказал её тупо убрали глубже, раздражая людей вроде нас. но даже мы тупо прокликиваем херовые сертификаты а это всегда слив минимум паролей от сайта. кроме форумов где оно просто протухло, но там и hsts не нужен.
Comments 22
Только что зашёл на тытуб с актуальной версии файрфокса.
Reply
Reply
Reply
Это классический пример security theater: под предлогом борьбы с угрозами создаются бессмысленные неудобства без какого-либо профита.
Reply
кому сильно надо, скрутит обратно в кишках браузера
Reply
Давайте вы не будете делать мне смешно.
Во-1ых, 2 распространненых юз-кейза, в которых критически умирает функциональность, налицо. Возможно, для вас лично это неважно, но это вам повезло.
Во-2ых, hstc от воровства паролей методом создания подложных сайтов не защищает совсем.
В-3их, я копался в кишках браузера. Штатной возможности отключить это г-но нет. В нештатных я не разбираюсь.
В результате проблема налицо: профита от новой "фичи" нет, а вред объективен.
Reply
2 да ну?
3. везде есть. в хроме это сверхглубоко в кишках (net-internals) где можно сбросить все виденные или данный виденный hsts хедер
вред объективен человеку который знает что делает - то есть как я и сказал её тупо убрали глубже, раздражая людей вроде нас.
но даже мы тупо прокликиваем херовые сертификаты а это всегда слив минимум паролей от сайта. кроме форумов где оно просто протухло, но там и hsts не нужен.
Reply
ну да.
Сбросить виденные. У меня такое впечатление, что в фоксе по крайней мере часть забили в дистрибуцию. Потому что сбивать я это сбивал.
И нет, лично я ничего не проклинаю, ибо банки давно делают двухэтапную авторизацию и угон пароля сам по себе дает мало.
Короче, идите в баню с вашим security theater.
Reply
Leave a comment