[FireFox] et sécurité (Résolu)

[dmganges]

Bonjour,

Une question simple, je crois :

Sur une Gentoo en LiveCD j'utilise FireFox pour accéder à ma banque.
Depuis peu le site de ma banque n'est plus reconnu et je dois confirmer à chaque fois la connexion.

Oui chaque fois puisque je suis en LiveCD et donc le fichier des sites autorisés n'est pas modifié.

Je vais donc refaire mon LiveCD.

J'aimerai voir ce fichier des sites, d'abord par curiosité, et aussi pour faire la modif à la mimine.
J'aime bien la mimine

Pouvez vous me dire le path de ce fichier.

D'avance MERCI

[xaviermiller]

quelque part dans ~/.firefox ou ~/.mozilla
_________________
Kind regards,
Xavier Miller

[dmganges]

MERCI XavierMiller,

ça semble être sous :
/home1/root/.mozilla/firefox/7v3l94m7.default

-rw------- 1 root root 65536 2007-10-25 07:12 cert8.db
ou au pire :
-rw------- 1 root root 16384 2007-10-25 07:12 key3.db

Impossibles à modifier avec un éditeur.

Ce qui est gênant dans la mesure où dans FireFox->Préférences->Sécurité on trouve :

- Vérrifier en interrogeant Google = je n'y tiens pas
- Vérifier en utilisant une liste téléchargée = Mais là aucune info pour éventuellement retélécharger cette liste... ni y faire des MàJ, enfin sauf erreur de ma part...

Bon dans mon cas ce n'est pas très grave, j'ai toujours le moyen d'accepter le site au moment de la demande, puis copier l'arborescence firefox sur mon CD...

M'enfin...
Merci

[truc]

"Vérifier en utilisant google ou une liste pré-téléchargée"?

Mais c'est quoi au juste cette vérif? Je ne me souviens pas avoir déjà vu ce genre de message?
_________________
The End of the Internet!

[xaviermiller]

Hello,

Ces fichiers "db" sont au format SQLite, il existe des interfaces graphiques pour les éditer... dont "obviously" firefox
_________________
Kind regards,
Xavier Miller

[dmganges]

Bonjour,

Ben je ne m'en était pas occupé moi non plus à l'install de FireFox.

J'avais laissé l'option par défaut "Vérifier à partir d'une liste téléchargée" plutôt que vérif par Google...
Enfin j'imagine que c'est là que ça se passe, car je ne vois pas où ailleurs...

Donc pendant plus d'un an pas de pb, j'accédais au site de ma banque sans pb et sans à avoir à confirmer quoi que ce soit à partir de l'URL : https://www.caisse-epargne.fr/pauth.aspx?nodeid=1078&sc=0

Maintenant avec l'URL : www.caisse-epargne.fr
J'ouvre : http://www.caisse-epargne.fr/index.aspx
et si je clique sur Accédez à vos comptes, en haut à gauche, Là j'ai une demande de vérification !

Depuis un mois environ, FireFox me demande de confirmer ma connexion au site.

ça se présente sous la forme d'une fenêtre avec :
- Impossible de vérifier l'identité de www.caisse-epargne.fr comme un site de confiance
- - ACCEPTER : Définitivement - Pour la session - NE PAS Accepter
- - EXAMINER LE CERTIFICAT => Ouvre une deuxième fenêtre avec :
- - - -N° de série
- - - -Dates de validité
- - - -Empreintes numériques SHA1 et MD5

l'URL de ma banque n'a pas changé.

Il semble donc que dans cette "base de donnée téléchargée", il y ait également des dates butoir de validation... Pourtant celle affichée dans le certificat va jusqu'en 2010 !
Ou bien ma banque a fait une modif qui fait que la vérif de Firefox soupçonne un site peu sur...

Je cherche plus à comprendre qu'à modifier, car au fond ce n'est pas très lourd !

Déja MERCI Truc de t'intéresser à ce pb !
Tu peux essayer de cliquer sur "Accédez à vos compte" du site http://www.caisse-epargne.fr/index.aspx
pour voir si on a la même chose...
Ceci dit seulement si tu as du temps libre
Au fait, je suis en FireFox 2.0.0.6

[truc]

ok, pour la vérif des certifs, c'est juste que je ne me souviens pas avoir croisé l'option vérifier avec google

Ceci étant dit, je n'ai pas ce «problème» en cliquant sur accepter (et ce n'est pas ma banque). Par contre je vois que le certificat date du 9 avril 2009, ça fait un mois environ que ça te fait ça nan?

Sinon, j'utilise Firefox 3.0.10

Et enfin, les fichiers .db sont effectivement des fichiers sqlite, je pense qu'il est préférable de les éditer avec firefox, car l'ajout d'une entrée dans une table s'accompagne peut-être d'un ajout dans une autre table, et si tu ne sais pas exactement quoi faire, j'imagine que le faire manuellement peut créer des problèmes (mais tu peux toujours visiter les fichiers avec sqlite3 )
_________________
The End of the Internet!

[boozo]

'alute

je peux te confimer ce comportement qui m'a bien pourri la vie sur pas mal d'applications métier

En fait, nos investigations avec l'équipe sécurité au taf semble converger vers une modification du protocole de vérification du tiers de confiance (un certificat de médiateur intermédiaire complémentaire est "mangé" par la nivagateur automatiquement ) - voire un bug littéralement. Par ailleurs, certains parametres SSL utilisés pour la génération des certificats émis par les tiers de confiances n'étaient pas par habitude généré avec, ni même paramétré pour la prise en compte via les serveurs web - enfin en tout cas c'était au moins le cas pour les notres .

Celà s'est surtout manifesté avec l'arrivée de FF-3.x, sans qu'on ne puisse vraiment l'incriminer directement par rapport à une évolution d'openssl par manque de temps.

Bref, on a réglé le pb pour les FF-3.x (et les clients Opéra et Safari/Camino qui souffraient du même mal) mais il reste présent avec les versions <=FF-3.x cad la tienne.
N'étant plus supporté upstream... on a décider de lacher l'affaire car la quasi majorité des clients de ce type sous win$ ont déjà tous migrés vers la v3 depuis belle lurette... reste donc que les afficionnados (*nix like us) et des devs qui testent encore avec ces versions et qui se colle la dessus

Vu que je ne suis pas très en forme aujourd'hui et encore moins clair... des tu trouvera des infos ici si besoin ; notamment là mais pour le côté serveur

Espérant que cela t'aide
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "

[dmganges]

Bonjour,

Ben je ne pensais pas soulever un aussi gros lièvre avec cette petite question.

Merci à tous pour vos réponses.
MERCI boozo, je mets le lien du CRU en favoris, ça peut servir...

Donc perso je vais opter pour la solution la plus simple :
Vu que cet environnement ne me sert qu'à accéder à ma banque, je vais accepter définitivement la connexion sans vérification du certificat et refaire l'environnement.
Ma parano de la sécurité n'en devrait pas être très affectée, vu que l'environnement (sur disque au format CD) n'est absolument pas falsifiable...

Donc pour moi c'est résolu.
Encore MERCI

[boozo]

Si tu as un peu de temps en parallèle, je veux bien compléter des tests la-dessus

J'm'explique : là par exemple en ff-2.0.0.19 / openssl-0.9.8k, je n'ai pas reproduit le pb avec l'autorité KEYNECTIS qui certifie la CE et qui est bien présente dans la liste des tiers de confiances mais je n'ai plus en tête d'autres url qui déclenchent encore ce comportement. Donc dans certains cas ça marche mais pas dans d'autres et j'ai donc du mal à identifier les cas.

A l'occasion, et sans accepter manuellement le CA peux-tu vérifier en te refaisant un LCD avec FF-3 et me dire ?
merci
_________________
" Un psychotique, c'est quelqu'un qui croit dur comme fer que 2 et 2 font 5, et qui en est pleinement satisfait.
Un névrosé, c'est quelqu'un qui sait pertinemment que 2 et 2 font 4, et ça le rend malade ! "

[dmganges]

Si je peux être utile, ça sera avec plaisir.

Exceptionnellement ce long week-end de l'ascension je n'aurai pas le temps.
Si non du temps j'en ai en pagaille vu que je suis retraité.

Donc je fais çà la semaine prochaine, lundi ou mardi, de toutes façons je te tiens au courant

[dmganges]

@boozo

Chose promise...

Firefox 3.0.10 dans :
- Gentoo 2.6.25 + KDE 3.5 = OK
- Gentoo 2.6.22 + WM = OK
- Mandriva 2008 (2.6.22) + KDE 3.5 = OK

Ce qui corrobore la remarque de truc (certificat du 9.4.2009 au 9.4.2010).

Du coup je reste en 3.0.10, je voulais le faire depuis longtemps, mais je repoussais toujours aux calanques grecques...
Donc merci boozo de m'avoir booster

Et, MERCI à tous