Topic: Gestione certificati

[23Andrea]

Questa cosa Iceberg non mi sembra una genialata: se svuoto e rendo quel file in sola lettura? Controindicazioni?

SiteSecurityServiceState.txt è la cache della funzionalità HSTS.
Se la elimini o la metti in sola lettura, impedisci al browser di sfruttare quella funzione di sicurezza:

https://nakedsecurity.sophos.com/2015/02/02/anatomy-of-a-browser-dilemma-how-hsts-supercookies-make-you-choose-between-privacy-or-security/

[Iceberg]

Non credo.
Quei dati sono salvati sul file solo come promemoria o perché sono diventati troppi. Il file serve per mantenerli tra una sessione e l'altra. Durante la navigazione vengono tenuti nella memoria ram e lì letti e scritti.

Prova poco tecnica ma significativa.
Chiudere Firefox, svuotare il file, salvarlo mantenendolo in lettura e scrittura, riaprire Firefox, navigare, controllare il file: è vuoto, chiudere, controllare il file: contiene molti dati che vengono scritti tutti insieme alla fine come promemoria.

Oppure, più semplice.
Impostare la cancellazione automatica delle preferenze dei siti web alla chiusura. Il file, pur essendo in lettura e scrittura, non conterrà mai alcun dato ma non avete disattivato la funzione, i dati della funzione sono nella ram. Altrimenti sarebbe uno spreco di tempo, è solo una riga per sito, in ram la trovi subito ma il tempo di cercare e leggere il dato da un file è lungo, si fa prima a richiederlo di nuovo.

Impostare il file in sola lettura consente di non salvare questi dati in modo permanente ma salvare altri dati relativi ai siti, come per esempio zoom personallizzati.

Altri browser, questo, hanno l'opzione per disaccoppiare i dati SiteSecurityServiceState da quelli delle prefernze per sito degli utenti. Funzione introdotta per evitare la poco elegante, ma funzionale, sola lettura.

[23Andrea]

... Il file serve per mantenerli tra una sessione e l'altra...

Per quel (poco) che ho capito io, è proprio questo il problema degli attacchi SSL-stripping.
E' la prima connessione della sessione ad essere pericolosa, se non è specificato il protocollo https nell'indirizzo.
Quindi il browser utilizza l'elenco in SiteSecurityServiceState.txt per forzare la connessione protetta anche se il link cliccato o l'indirizzo digitato non lo contengono.
Non saprei proprio per quale altra ragione dovrebbe essere necessario salvare questi dati a fine sessione.
Ammetto di avere le idee piuttosto confuse...

[Winfox]

Forse l'addon Https Everywhere è tra i consigliati per quel motivo?
E visto che è sviluppato da EFF motivo in più per installarlo: anzi, dovrebbe essere una funzionalità del programma.

[next]

anzi, dovrebbe essere una funzionalità del programma.

è possibile attivare https-only in
menù > impostazioni > privacy e sicurezza
nella sezione Modalità solo https

(non ricordo a partire da quale versione però, c'è comunque già sulla mia 91 ESR)

[Winfox]

Vero Next, mi ero dimenticato che era stata introdotta da una certa versione (non lo ricordo nemmeno io  )

[Winfox]

Torno sull'argomento: quelli sono i certificati che vengono salvati quando si inseriscono le eccezioni?
Io ho azzerato il file che mi ha indicato Iceberg, per cui non posso verificare, ma a spanne mi sembrava che i 2 contenuti non fossero uguali.
Qualcuno ha voglia di verificare?

[23Andrea]

Nel mio Firefox, i domini visualizzati in
about:preferences#privacy > Gestione certificati > Server
corrispondono alle eccezioni inserite quando si visualizza una pagina di "connessione non affidabile" e si forza la connessione da "Avanzate".
I dati visualizzati corrispondono a quelli memorizzati nel file cert_override.txt della directory del profilo.

P.S.: credo che ci sia da preoccuparsi solo se le eccezioni si aggiungono automaticamente; personalmente non ho mai osservato niente del genere.

[Winfox]

Grazie del riscontro.
Ti chiedo troppo di verificare la differenza tra quelli inseriti in modo temporaneo da quelli inseriti in modo permanente?
Se ne hai.

[23Andrea]

...quelli inseriti in modo temporaneo da quelli inseriti in modo permanente...

Scusa, ma temo di non capire.
In cosa consiste la differenza?
Come si distinguono i primi dai secondi?
Non sono molto preparato su questo argomento 

[Winfox]

Se si distinguono nel file non credo.
La differenza esiste nel momento che devi proseguire inserendo il certificato: in quel preciso istante ti chiede se inserirlo in maniera definitiva oppure no.

Dato che esiste la domanda immagino esista anche una risposta.
Se li avessi salvati in entrambi i modi forse avresti trovato una differenza.

[23Andrea]

Ho provato questo:

https://blog.bit4id.com/

Viene visualizzata la schermata:

Attenzione: potenziale rischio per la sicurezza > Avanzate... > Accetta il rischio e continua

Viene creato il file cert_override.txt:

Codice: [Seleziona]

# PSM Certificate Override Settings file
# This is a generated file!  Do not edit.
blog.bit4id.com:443 OID.2.16.840.1.101.3.4.2.1 F3:34:69:54:B9:59:08:F3:9B:60:58:9C:...
In about:preferences#privacy > Mostra certificati... > Server  leggo:

Codice: [Seleziona]

Nome certificato    Server                Durata             Termina il
-----------------------------------------------------------------------------------
blog.bit4id.com
blog.bit4id.com     blog.bit4id.com:443   Permanente         martedì 4 gennaio 2022

[Winfox]

Di nuovo grazie.
Che poi il fatto che sia salvato in modo permanente lo dice anche, e che alla mia età la memoria gioca brutti scherzi 

[23Andrea]

alla mia età la memoria gioca brutti scherzi

Anche a me