Régóta szerettem volna addont írni a Firefox alá, de eddig nem volt rá akkora szükségesm, hogy neki is álljak. De nemrég a BalaBit-nél kaptam egy feladatot, hogy a böngésző cert ellenőrzését kiüssük, s testhez állónak láttam a feladatot, és bevállaltam. Sikerült is! :)A megoldás johnath MitM Me (SSL Error Bypass) 1.21 addonjában láttam. Egy probléma volt vele, hogy csak Firefox 3.0.x verziót támogatott. A verzió ellenőrzés kiütésével megpróbáltam kiküszöbölni az ellenőrzést, de nem segített. Így kicsit jobban utána kellett járni a kérdésnek, de megszületett az 1.31-es MitM Me, ami a következő változásokat hozta a rendszerbe:
- az említett 3.x-es támogatás
- több beállítási lehetőség (about:config-ból)
- extensions.mitmme@johnathan.nightingale.add_temporary_exceptions (módosítva)
az alapértelmezett érték True lett
- extensions.mitmme@johnathan.nightingale.enabled (új)
ki/be lehet kapcsolni a MitM Me-t anélkül, hogy az Addon listában letiltsuk
- extensions.mitmme@johnathan.nightingale.silent_mode (új)
A cert-hiba teljes elfedése, így nem jelenik meg semmilyen hibaüzenet
Még megoldandó feladat az, hogy legyen az addonnak rendes beállító felülete, azaz hogy ne az about:config-ban kelljen túrni, ill. hogy a CA Cert-el kapcsolatos ütközéseket is kezelje, mert ez sok fejfájást okoz a tesztelés során.
Jelenleg még nem elérhető a Mozilla Addons oldalán keresztül, de a Google-os oldalamról letölthető: http://sites.google.com/site/andrastim/fajlok
A letöltött fájlt csomagold ki, majd az xpi kiterjesztésű addon-t húzd bele a böngészőbe és indul is a telepítés.
Remélem sikerült megint valami hasznosat alkotni. :)
3 megjegyzés:
Küldtem egy hozzászólást az addon ereseti fejlesztőjének (nem találtam e-mail címet), remélem fog majd válaszolni.
https://addons.mozilla.org/en-US/firefox/reviews/display/6843
Nagyon kívülállóként kérdezem, hogy ez miért jó, hogy nem a beépített tanúsítvány ellenőrző kerül használatra?
Jó a kérdés! Ez a kiegészítő egy hétkönapi munkaállomáson kártékony hatássokkal járhat (ha bekapcsoljuk a silent módot), mert nem kapunk értesítést arról, hogy a kiszolgáló nem a megfeleő tanusítványt szolgálta ki nekünk, azaz akár lehet, hogy bűncselekménynek vagyunk áldozatai. Viszont egy speciális környezetben, ahol pl. nap mint nap új tesztrendszereket telepítünk, ott egy idő után nyűgös a folytonos Cert hiba miatti kattogtatás.
Persze egyszerű megoldás lenne, ha felvennénk azt a CA certet amivel generáljuk a kulcsokat, de a mi esetünkben (ill. az eredeti Addon felhasználóinak esettanulmányai alapján az ő esetükben is) a CA certek is mindig újak, így ez nem nyújtana megoldást.
Egyébként ez az addon nem lecseréli a PKI-t a Firefox-ban, hanem csak kvázi kikapcsolja azt, vagy silent mód nélkül "1 kattintásosra" egyszerűsíti a kivétel hozzáadását.
Megjegyzés küldése