Notizie: puoi sempre seguire i nostri aggiornamenti su Twitter (@MozillaItalia) e Facebook (/MozillaItalia)

Autore Topic: security.ssl.errorReporting.enabled  (Letto 960 volte)

0 Utenti e 1 Visitatore stanno visualizzando questo topic.

Offline 23Andrea

  • Post: 452
security.ssl.errorReporting.enabled
« il: 07 Febbraio 2020 17:01:02 »
Ciao.

Codice: [Seleziona]
security.ssl.errorReporting.enabled
sembrerebbe la preferenza per abilitare o disabilitare la funzione SSL Error Reporting.
Ma in questa pagina

https://firefox-source-docs.mozilla.org/browser/base/sslerrorreport/preferences.html

c'è un passaggio un po' ambiguo:

“security.ssl.errorReporting.enabled”
Should the SSL Error Reporting UI be shown on TLS error pages?

Come se la preferenza abilitasse solo la visualizzazione degli errori nell'interfaccia grafica.
O sbaglio?

Offline Iceberg

  • Moderatore
  • Post: 9181
Re:security.ssl.errorReporting.enabled
« Risposta #1 il: 07 Febbraio 2020 20:51:42 »
Non sbagli.

Quel parametro va considerato in combinazione con quest'altro:
Codice: [Seleziona]
security.ssl.errorReporting.automaticQuesto imposta se inviare il Reporting in automatico o no.
L'altro, se false true, forza la visualizzazione dell'avviso, che verrà mostrato sia con "automatic" true che false [overridden].

Il parametro in mezzo security.ssl.errorReporting.url specifica a chi mandare il reporting. Se sei interessato allo "smantellamento" modificherei anche questo con un bel "nulla".
« Ultima modifica: 08 Febbraio 2020 17:07:38 da Iceberg »

Offline 23Andrea

  • Post: 452
Re:security.ssl.errorReporting.enabled
« Risposta #2 il: 08 Febbraio 2020 16:15:50 »
...
L'altro, se false, forza la visualizzazione dell'avviso, che verrà mostrato sia con "automatic" true che false [overridden].
...

 :?:

Forse, per forzare la visualizzazione, deve essere "true".

Offline Iceberg

  • Moderatore
  • Post: 9181
Re:security.ssl.errorReporting.enabled
« Risposta #3 il: 08 Febbraio 2020 17:06:59 »
Sì, dovevo, e intendevo, scrivere true.  :roll:
Una tabella con le quattro combinazioni. Per avere un comportamento sicuro utilizzerei la prima o la quarta combinazione, forse la seconda, non la terza.

security.ssl.errorReporting.enabled = true
security.ssl.errorReporting.automatic = false
Non inviare l'errore in automatico, chiedere all'utente.
L'impostazione più solida per avere l'avviso.

security.ssl.errorReporting.enabled = true
security.ssl.errorReporting.automatic = true
Non inviare l'errore in automatico, chiedere all'utente.
La prima impostazione prevale sulla seconda.

security.ssl.errorReporting.enabled = false
security.ssl.errorReporting.automatic = false
Il più dubbio, non avvisare l'utente e non inviare in automatico si contraddicono. ll fatto che la prima sopravanza la seconda dovrebbe voler dire inviare in automatico malgrado il secondo false.

security.ssl.errorReporting.enabled = false
security.ssl.errorReporting.automatic = true
Inviare l'errore in automatico senza interazione dell'utente.

Offline 23Andrea

  • Post: 452
Re:security.ssl.errorReporting.enabled
« Risposta #4 il: 08 Febbraio 2020 20:49:58 »
Grazie.

Offline 23Andrea

  • Post: 452
Re:security.ssl.errorReporting.enabled
« Risposta #5 il: 11 Dicembre 2021 21:32:18 »
Ciao.
Nella nuova versione ESR (91.3) non sono più presenti queste tre preferenze, che invece esistono di default nella versione 78:

Codice: [Seleziona]
security.ssl.errorReporting.automatic false
security.ssl.errorReporting.enabled false
security.ssl.errorReporting.url https://incoming.telemetry.mozilla.org/submit/sslreports/

Inoltre, il link del documento nel mio post di apertura, che era l'unica documentazione ufficiale delle preferenze, non è più funzionante.
Sapete se c'è stato qualche cambiamento nella funzionalità "SSL Error Reporting"?
Dove trovare uno straccio di documentazione?
Grazie.

Offline Iceberg

  • Moderatore
  • Post: 9181
Re:security.ssl.errorReporting.enabled
« Risposta #6 il: 11 Dicembre 2021 22:15:31 »
Quella pagina è stata messa qui:
https://firefox-source-docs.mozilla.org/main/65.0/browser/base/sslerrorreport/preferences.html

Non ho trovato nessun accenno a questa modifica.

La preferenze potrebbero essere state rinominate, mi sembra improbabile; oppure accorpate con altre (tipo crash report); oppure eliminate e gestite dal file policies.json, forse la più probabile.
L'aggiornamento di questa pagina sembra recente e la preferenza enable/disable c'è:
https://github.com/mozilla/policy-templates/blob/master/README.md#preferences


Offline 23Andrea

  • Post: 452
Re:security.ssl.errorReporting.enabled
« Risposta #7 il: 12 Dicembre 2021 14:00:38 »
La preferenze potrebbero essere state rinominate

...per esempio in queste due (nuove, assenti in Firefox 78):

Codice: [Seleziona]
security.xfocsp.errorReporting.automatic false
security.xfocsp.errorReporting.enabled true

Ma, anche qui, nessuna documentazione  :(

Offline Iceberg

  • Moderatore
  • Post: 9181
Re:security.ssl.errorReporting.enabled
« Risposta #8 il: 12 Dicembre 2021 14:32:22 »
Sono relative agli errori CSP XFO, che vogliono dire Content-Security-Policy e X-Frame-Options.
Queste due preferenze sono state introdotte con Firefox 84.

Qualche relazione con le preferenze oggetto di questa discussione? Non lo so.
Le informazioni sopra le ho trovate in questa pagina, in russo:
https://habr.com/ru/post/424019/
Messaggio del 20.03.2021 ore 17:25.



Offline 23Andrea

  • Post: 452
Re:security.ssl.errorReporting.enabled
« Risposta #9 il: 12 Dicembre 2021 17:25:28 »
... in russo

Però!...:fischio:...comodo: una cosina alla portata di tutti!

Comunque, grazie, Iceberg.

Offline 23Andrea

  • Post: 452
Re:security.ssl.errorReporting.enabled
« Risposta #10 il: 19 Dicembre 2021 15:26:59 »
Probabilmente le preferenze

security.ssl.errorReporting....

sono sparite perchè la funzionalità che supportavano, HTTP Public Key Pinning (HPKP), e' deprecata:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning

0 Utenti e 1 Visitatore stanno visualizzando questo topic.