История с левыми сертификатами затронет не только Google

Перепечатано с BugTraq:

История, конечно, замечательная. Голландский CA (авторизационный центр сертификатов, сертификат которого заверяют другие сертификаты низшего порядка) DigiNotar (прикупленный в июне Vasco Data Security International) в июле этого года выдал неизвестно кому новый SSL-сертификат для домена google.com. Всплыл он только в минувшее воскресенье, и, по словам Google, атакующая схема, включающая этот сертификат, была направлена против иранских пользователей. Google работает с совершенном другим CA, информация о котором прошита в Chrome, так что пользователи Chrome все равно получали соответствующуу предупреждение.

Кроме того, расследование показало, что тогда же атакующие получили сертификаты для еще «нескольких дюжен» сайтов — и им уже никакой Chrome не поможет.

В понедельник все левые сертификаты были отозваны, а Google, Mozilla и Microsoft дружно вычеркнули (или вот-вот вычеркнут) DigiNotar из списка корневых CA в своих браузерах. А это означает отдельный очень большой подарок для всех тех сайтов, кто имел неосторожность купить у DigiNotar свой сертификат. Vasco в своем заявлении говорит о том, что рассматриваются разные варианты — от перевыпуска этих сертификатов у других CA до убеждения производителей браузеров вернуть к ним доверие (три ха-ха).

А теперь немного от себя 😉 Кто еще не понял — все броузеры имеют хранилище сертификатов цетров (CA), и если какой либо сайт имеет сертификат для своего домена, подписанный ими — тогда броузер автоматом считает такой сайт доверенным для пользователя. А значит — получает  поблажки в плане отключения разных security опций. Правда, я не совсем понял из новости — если был для домена google.com, то и мог работать только когда пользователь заходил на google.com. Разве что, если бы писали про домен gooogle.com какой нибудь, тогда было бы более понятно, зачем что и кому это надо.

Опять Cookies, только теперь Google Chrome

Не успел написать программу, как опять наткнулся на неприятность, точнее, на баг. Смысл его в том, что Google Chrome некорректно ставит в JavaScript свойство document.cookie, если кука пришла от сайта с quoted path, то есть, если пришла такая:

Set-Cookie: session=session_ID; path="/"

Дело в том, что путь, заключенный в кавычки — правило, определенное самим RFC 2109 (пункт 4.1). Firefox это обрабатывает корректно, а Google Chrome — глючит. То есть, чтобы в JavaScript от Chrome считывать куки, нужно их выставлять через path без кавычек. Но в любом случае, это некорректно, поэтому отписал об этом на их форум. Посмотрим, как они исправят это 😉

Google 500 Server Error

Впервые в жизни увидел, как сервис Google (Google Webmaster Tools) выдавал мне несколько раз 500-ую ошибку сервера. Для тех, кто не знает что это — это ошибка, когда на стороне сервера программа выполняет ошибку и документ не может быть сформирован. Другими словами, Google Webmaster Tools сбоит на уровне сервера, то есть где-то там, в глубине «датацентров» Гугля программисты что-то где-то накосячили. Я такого раньше не видел — сырые программы, они видимо, тщательно оттачивают перед размещением их «для всех». А тут вот за день (6 августа 2010) — 5 или 6 раз, и всегда в том месте, когда я «авторизую» свой сайт при добавлении в сервис. Это говорит о том, что даже такой крупный гигант, как Гугль, иногда делает ляпы 😉
Скриншот прилагается 🙂

500 Internal Server Error of Google