Topic: security.ssl.errorReporting.enabled

[23Andrea]

Ciao.

Codice: [Seleziona]

security.ssl.errorReporting.enabled
sembrerebbe la preferenza per abilitare o disabilitare la funzione SSL Error Reporting.
Ma in questa pagina

https://firefox-source-docs.mozilla.org/browser/base/sslerrorreport/preferences.html

c'è un passaggio un po' ambiguo:

“security.ssl.errorReporting.enabled”
Should the SSL Error Reporting UI be shown on TLS error pages?

Come se la preferenza abilitasse solo la visualizzazione degli errori nell'interfaccia grafica.
O sbaglio?

[Iceberg]

Non sbagli.

Quel parametro va considerato in combinazione con quest'altro:

Codice: [Seleziona]

security.ssl.errorReporting.automaticQuesto imposta se inviare il Reporting in automatico o no.
L'altro, se false true, forza la visualizzazione dell'avviso, che verrà mostrato sia con "automatic" true che false [overridden].

Il parametro in mezzo security.ssl.errorReporting.url specifica a chi mandare il reporting. Se sei interessato allo "smantellamento" modificherei anche questo con un bel "nulla".

[23Andrea]

...
L'altro, se false, forza la visualizzazione dell'avviso, che verrà mostrato sia con "automatic" true che false [overridden].
...

 

Forse, per forzare la visualizzazione, deve essere "true".

[Iceberg]

Sì, dovevo, e intendevo, scrivere true. 
Una tabella con le quattro combinazioni. Per avere un comportamento sicuro utilizzerei la prima o la quarta combinazione, forse la seconda, non la terza.

security.ssl.errorReporting.enabled = true
security.ssl.errorReporting.automatic = false
Non inviare l'errore in automatico, chiedere all'utente.
L'impostazione più solida per avere l'avviso.

security.ssl.errorReporting.enabled = true
security.ssl.errorReporting.automatic = true
Non inviare l'errore in automatico, chiedere all'utente.
La prima impostazione prevale sulla seconda.

security.ssl.errorReporting.enabled = false
security.ssl.errorReporting.automatic = false
Il più dubbio, non avvisare l'utente e non inviare in automatico si contraddicono. ll fatto che la prima sopravanza la seconda dovrebbe voler dire inviare in automatico malgrado il secondo false.

security.ssl.errorReporting.enabled = false
security.ssl.errorReporting.automatic = true
Inviare l'errore in automatico senza interazione dell'utente.

[23Andrea]

Grazie.

[23Andrea]

Ciao.
Nella nuova versione ESR (91.3) non sono più presenti queste tre preferenze, che invece esistono di default nella versione 78:

Codice: [Seleziona]

security.ssl.errorReporting.automatic false
security.ssl.errorReporting.enabled false
security.ssl.errorReporting.url https://incoming.telemetry.mozilla.org/submit/sslreports/
Inoltre, il link del documento nel mio post di apertura, che era l'unica documentazione ufficiale delle preferenze, non è più funzionante.
Sapete se c'è stato qualche cambiamento nella funzionalità "SSL Error Reporting"?
Dove trovare uno straccio di documentazione?
Grazie.

[Iceberg]

Quella pagina è stata messa qui:
https://firefox-source-docs.mozilla.org/main/65.0/browser/base/sslerrorreport/preferences.html

Non ho trovato nessun accenno a questa modifica.

La preferenze potrebbero essere state rinominate, mi sembra improbabile; oppure accorpate con altre (tipo crash report); oppure eliminate e gestite dal file policies.json, forse la più probabile.
L'aggiornamento di questa pagina sembra recente e la preferenza enable/disable c'è:
https://github.com/mozilla/policy-templates/blob/master/README.md#preferences

[23Andrea]

La preferenze potrebbero essere state rinominate

...per esempio in queste due (nuove, assenti in Firefox 78):

Codice: [Seleziona]

security.xfocsp.errorReporting.automatic false
security.xfocsp.errorReporting.enabled true
Ma, anche qui, nessuna documentazione 

[Iceberg]

Sono relative agli errori CSP XFO, che vogliono dire Content-Security-Policy e X-Frame-Options.
Queste due preferenze sono state introdotte con Firefox 84.

Qualche relazione con le preferenze oggetto di questa discussione? Non lo so.
Le informazioni sopra le ho trovate in questa pagina, in russo:
https://habr.com/ru/post/424019/
Messaggio del 20.03.2021 ore 17:25.

[23Andrea]

... in russo

Però!......comodo: una cosina alla portata di tutti!

Comunque, grazie, Iceberg.

[23Andrea]

Probabilmente le preferenze

security.ssl.errorReporting....

sono sparite perchè la funzionalità che supportavano, HTTP Public Key Pinning (HPKP), e' deprecata:

https://developer.mozilla.org/en-US/docs/Web/HTTP/Public_Key_Pinning