Chrome: jak přeskočit hlášku „hodiny jdou napřed“

[Petr Krčmář]

Takže jste se stal terčem útoku MitM a ten blok vás před ním správně ochránil. Vy jste ho ale násilím překonal a tím jste se vystavil riziku předání citlivých údajů útočníkovi.

Přesně před tím ta ochrana chrání a právě proto se nemá překonávat, ale má se hledat příčina.

[Reklama]

[Tomas-T]

Samotnou identifikaci browseru za citlivý údaj nepovažuju.
A samozřejmě předávání jakýchkoliv citlivých údajů (např. přihlašovací údaje) na stránce, která má z ničeho nic nesprávný certifikát, by byla čistě jen moje blbost - což v tomhle uvedeném případě nehrozilo, žádné citlivé údaje se tam nikde nevyplňují.
Jen prostě nemám rád, když se ke mě browser chová jako k BFU a sám si rozhoduje, co je pro mě dobré a co ne.
A firemní firewall, který místo aby mi zobrazil stránku "Tato stránka je blokována firemní politikou", tak mě přesměruje na web, který má nedůvěryhodný certifikát a zároveň HSTS - to je už jen k pláči.

[MalyTomi]

pouzivas browser pre bfu a stazujes sa, ze sa sprava ako keby si bol bfu. Ako som pisal, chrome je pre ludi, ktori zapnu pocitac, spustia browser a o bezpecnosti a o tom, ako funguje internet nemaju ani sajnu.

[Filip Jirsák]

Samotnou identifikaci browseru za citlivý údaj nepovažuju.
A samozřejmě předávání jakýchkoliv citlivých údajů (např. přihlašovací údaje) na stránce, která má z ničeho nic nesprávný certifikát, by byla čistě jen moje blbost - což v tomhle uvedeném případě nehrozilo, žádné citlivé údaje se tam nikde nevyplňují.
Jen prostě nemám rád, když se ke mě browser chová jako k BFU a sám si rozhoduje, co je pro mě dobré a co ne.
A firemní firewall, který místo aby mi zobrazil stránku "Tato stránka je blokována firemní politikou", tak mě přesměruje na web, který má nedůvěryhodný certifikát a zároveň HSTS - to je už jen k pláči.

Je hezké, jak vždycky někdo popisuje, že přece ví, co dělá, když se navzdory prohlížeči chce dostat na web se špatným certifikátem. Pak se ukáže, že ho před tím prohlížeč varoval oprávněně a že šlo opravdu o MitM útok, a dotyčný zase tvrdí, že přece ví, co dělá, a určitě by tam nezadával jakékoli citlivé údaje. Já si myslím, že kdyby ten web vypadal věrohodně, tak za chvilku zapomenete, že tam byl neplatný certifikát, a citlivé údaje tam bez problémů zadáte.

Zatím to ale vypadá, že váš prohlížeč se k vám chová správně. A že je opravdu potřeba, aby prohlížeče postupně odstraňovaly tu možnost přeskočit varování i tam, kde zatím je. Protože ani uživatelé, kteří se nepovažují za BFU, tu situaci zjevně neumí vyhodnotit správně.

[Tomas-T]

pouzivas browser pre bfu a stazujes sa, ze sa sprava ako keby si bol bfu. Ako som pisal, chrome je pre ludi, ktori zapnu pocitac, spustia browser a o bezpecnosti a o tom, ako funguje internet nemaju ani sajnu.

Snad jen upřesním, že nepoužívám Chrome ale Edge - potřebuji ho z pracovních důvodů pro vývoj a přeskakovat pak pro běžnou činnost na něco jiného už nechci. Jinak samozřejmě pro občasnou kontrolu funkčnosti i vzhledu mám na na PC i Chrome, Firefox a Operu.
Asi bych to uzavřel, že tenhle konkrétní problém způsobil hodně nestandardně zkonfigurovaný firemní firewall, který mi chtěl říct, že mi zakázal přístup ke konkrétní stránce a zároveň tu varovnou stránku zabezpečil tak, že mi k ní browser odmítl povolit přístup.
Jestli to lze považovat za MITM útok, tak bych to měl asi nahlásit firemnímu security oddělení.

[Reklama]

[Filip Jirsák]

Jestli to lze považovat za MITM útok, tak bych to měl asi nahlásit firemnímu security oddělení.

Chtěl jste se dostat na nějaký web, ale někdo uprostřed vám místo toho podstrčil něco jiného. To je samozřejmě ukázkový MitM útok.

Něco jiného je, že MitM útok je dnes oblíbený nástroj firemních bezpečnostních řešení. (Která tím obvykle bezpečnost založenou na certifikátech snižují, protože certifikáty nevalidují tak pečlivě, jako prohlížeče, pokud vůbec. Máslo na hlavě ovšem mají ii tvůrci prohlížečů, kteří neposkytují bezpečnostním nástrojům možnost napíchnout se na dešifrovaná data – a když tvůrci těch bezpečnostních řešení usoudí, že ta dešifrovaná data potřebují, zařídí se prostě po svém a založí bezpečnost na těch MitM útocích.) Jestli to hlásit či nehlásit firemnímu bezpečnostnímu oddělení je na vás – pokud to řešení není popsáno někde fe firemních dokumentech, správně by se to hlásit mělo, protože to MitM útok je.

[MalyTomi]

Ak to robi firemny firewall, tak by som urcite nahlasil, nech tam podstrcia aspon certifikat, ktory je v ramci domeny pokladany za doveryhodny.

[ArnoldBorice]

To je vlákno :-) Sice je to poučné (co vše se člověk nedozví, děkuji), ale stále nechápu ten tah na BRANKU. Stále se tu peskuje vrátný, který nepustil dovnitř auto pana ředitele, protože za volantem je někdo, koho nikdy ještě neviděl. A přitom by měl dostat pochvalu za obezřetnost.

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Nemám čas (čti: náladu) číst podrobně všechny příspěvky, ale vypadá to že se zatím nenašel expert který ví jak v Chrome přeskočit chybu certifikátu, když chybí tlačítko "Přeskočit"

Nápodobně

Tedy vězte, že stačí napsat:  thisisunsafe
Napsat == vyťukat na klávesnici, zdánlivě bez jakékoliv odezvy. Prostě idkfa pro Gen-Z :-)

Bohužel se nic nestane. i  s entrem . Zkoušeno víckrát
Ta poslední věta  zní jak nějaký argot...


Další:
> HSTS. To je dobrá  poznámka,  ale uživatel by měl mít konečný slovo, jinak je takový software k ničemu.  A k ničemu na druhou, když prohlížeč ani nenapíše, na základě čeho tedy trucuje otevřít stránku . Ani slovo o HSTS, pokud to tím skutečně je., nebo jiné vysvětlení.

 Pořád  je to stejné (nepochopení), kvůli které by tu nemusely být Jirsákovy Monology a diskuse o smyslu HTTPS
1. jdu na stránku s vědomím, že může být spojení unesené
2. Je to čistě umělé omezení (curl -k to otevře, starší verze taky přes Pokračovat)
3. Já chci mít kontrolu v prohlížeči nad jeho chováním
4. Je to nějak nahouby řešené v chromu: chybná hláška když hodiny moje jdou dobře, thisisunsafe nefunguje. Přitom podobná

Nepomohlo ani chrome://net-internals/#hsts
https://www.techrepublic.com/article/taming-your-browser-how-to-resolve-the-hsts-site-roadblock-in-chrome/

> všeljaké drbání ohejbákem jako otevření přes curl lokální proxy, stahování a otevírání...:
Tohle jsou rady k ničemu, to si to mohu otevřít v té staré verzi chrome, kde tahle chyba (zmizelé Pokračovat)není. Nějaké šachování přes curl bude k ničemu, když půjde o "trzv.progresivní" stránku, která bez javascriptu se načte jako animované šedé čtverečky

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

Pod čarou:
prohlížeč mám plný těchto rozšíření: ["uBlock Origin"] tečka.
Pokud by chromium Opravdu se nechalo rozhodit špatným, časem selhat po nemožnosti ověřit čas, pak je asi něco špatně vymyšlené. Nebo pokud po chybě vydedukuje, že uživatel má špatně čas.
Řečnická otázka: Proč tam tedy není formulář pro čestné prohlášení, že mi hodiny jdou správně?
Opravdu už mě nanapadá proč po stopadesáty vysvětlovat, že  funkčnost webu by neměla záviset na lokální čase uživatele  s poznámkou, že to maximálně nemůže zaručit platnost certifikátu - a to já právě chci dát- když webmaster zaspí. Takže ani to neomezuje funkčnost, jenom to nedokáže zaručit integritu a pravost webu  - a to já strpím pro ten jeden konkrétní  neudržovaný webík, na který se chci pasivně podívat s vědomím, že dokonce hacker vynaložil úsilí, aby dostal k expirovanému certifikátu a použil ho.
Řečnická otázka: proč by měl prohlížeč Chromium pingávat nějak na servery google?  maximálně vydavatel certifikátu a různé OCSP nebo revokační seznamy ,které jsou součástí atributů certifikátů nebo v úložišti certifikátu browseru. Pokud vím, tak pro lets encrypt to je r3.lencr.org, žádný google

Já přeci nejsem vinen, pokud by mi hodiny šly napřed. Tím spíš když jdou správně. Je právo mít na počítači nastavený libovolný čas. Přece nebudu jak šašek kvůli chybě někoho druhého  přepínat systémový čas mezi aktuálním časem, časem pro neudržený web 1 a rozhašený web2 kvůli tomu, že webmaster zaspal nebo že chrome(až nové verzi detekoval problém s certifikátem

[Martin Poljak]

To je krásné, že to je správný postup. Problém je, že k vyřešení problému "nemohu se dostat k tomu, co potřebuji protože to mají špatně nakonfigurované, přitom obsah mi server normálně zašle" je tohle konstatování úplně k ničemu.

Jak to víte, že vám to zaslal ten správný server? Že to nepodvrhl útočník?

Nevím a dost často je mi to úplně jedno. Když si potřebuju přečíst o chovu jednoho druhu vzácných strašilek, je mi úplně jedno, jestli to jde ze serveru Franty chovatele nebo Johna crackera. Fakt překvapení, ale to byste nesměl být vy.

Shánění informací – zjistím si je jinde. [...] . Co je tedy tak důležité, že to neseženu jinde ani nemůžu počkat, a zároveň tak nedůležité, že mi nebude vadit neplatný certifikát?

Cokoliv, co neseženete jinde. A že je takového obsahu dost a dost. Že jste na žádný takový nenarazil vy je váš problém. Ale lidé, co se zabývají čímkoliv exotičtějším a nebydlí zrovna vedle státní vědecké knihovny moc dobře ví, o čem mluvím.

[Tonda]

Chrome je prohlížeč pro BFU. Srovnej si hodiny nebo použij prohlížeč, který tuhle kontrolu nedělá. A bylo jasně demonstrováno, že ty hodiny máš blbě, protože nikomu jinýmu to tohle nedělá.

[Martin Poljak]

To je vlákno :-) Sice je to poučné (co vše se člověk nedozví, děkuji), ale stále nechápu ten tah na BRANKU. Stále se tu peskuje vrátný, který nepustil dovnitř auto pana ředitele, protože za volantem je někdo, koho nikdy ještě neviděl. A přitom by měl dostat pochvalu za obezřetnost.

Problém je, že ten vrátný to dělá ať chci nebo ne. A je to občas dost otravné.

[Martin Poljak]

Chrome je prohlížeč pro BFU. Srovnej si hodiny nebo použij prohlížeč, který tuhle kontrolu nedělá.

To je třeba který? Já jen abych věděl...

[Tonda]

To je třeba který? Já jen abych věděl...

Netuším, nemám potřebu mít rozštelované hodiny, takže je mi to jedno. Rozšteluj si hodiny a zkoušej.