SSL.com 的域名验证系统存在安全漏洞。通过利用 BR 3.2.2.4.14 DCV 方法(邮件到 DNS TXT 联系),攻击者可以欺骗系统验证其邮箱域名,从而获得未授权的证书。例如,攻击者使用 `[email protected]` 作为验证邮箱,SSL.com 却错误地将 `aliyun.com` 添加到已验证域名列表中,允许其获取 `aliyun.com` 和 `www.aliyun.com` 的证书。这表明该系统未能准确区分验证邮箱和目标域名,存在严重的安全风险。
阅读更多
Sectigo首席合规官Tim Callan在Bugzilla论坛上就DigiCert的证书实践发表评论后,DigiCert公司律师试图通过法律诉讼来压制讨论。Sectigo的总法律顾问Brian Holland回应称,Callan的言论受第一修正案保护,旨在促进关于WebPKI重要问题的公开讨论。Holland认为DigiCert的行动损害了WebPKI的自我监管体系,并呼吁业界关注此事件,避免类似情况再次发生。此事件涉及到WebPKI的安全性和透明度,以及企业在公开讨论中的责任和权利。
阅读更多
一位名叫Honest Achmed(诚实艾哈迈德)的个人申请将他的根证书添加到Mozilla信任存储中。他的申请书充满了幽默和讽刺,描述了他雄心勃勃的商业计划——快速销售大量证书,最终达到“大到不能倒”的地步,从而规避监管。Mozilla最终以无效驳回了该申请,但这个故事在Bugzilla中引发了热烈的讨论,充满了开发者们的玩笑和对CA行业现状的调侃。
阅读更多
该文章是一篇关于 Telekom Security 证书吊销延迟事件的报告。报告指出,由于 basicConstraints 扩展未标记为关键,Telekom Security 在吊销 TLS 证书方面出现了延迟。尽管 BR 要求在 5 天内吊销受影响的证书,但由于客户基础设施的复杂性以及更换证书的难度,Telekom Security 选择推迟吊销。文章详细描述了事件的时间线、根本原因分析和经验教训,并列出了受影响的客户和基础设施。文章还包含了社区成员对 Telekom Security 处理事件的方式的质疑和批评,特别是质疑其将客户便利性置于安全规范之上的做法。
阅读更多
这篇文章是一个Bugzilla的错误报告,标题为“复制和粘贴上下文菜单项有时会在不应该被禁用的情况下被禁用”。该错误报告描述了Firefox浏览器中一个与复制粘贴功能相关的错误。当用户尝试复制或粘贴文本时,上下文菜单中的相应选项有时会被禁用,即使在应该启用的情况下也是如此。该问题似乎与Firefox的多进程架构(Fission)以及浏览器缓存机制(BFCache)有关。开发人员正在努力解决此问题,并探索各种解决方案。
阅读更多
这篇文章宣布 Firefox 开发将从 Mercurial 迁移到 Git。迁移将分两个阶段进行:第一阶段是面向开发者的,将首先切换主仓库,并停止支持 Mercurial;第二阶段是逐步将后端基础设施迁移到 Git。整个迁移预计至少需要六个月的时间。
阅读更多
该文章揭露了火狐浏览器存在一个严重隐私漏洞:在同一系统中使用不同用户账户的情况下,其他用户可以查看所有用户保存和未保存密码的网站列表,包括那些从未访问过的网站。该漏洞源于火狐浏览器未能在用户卸载程序时完全删除用户配置文件,导致隐私信息泄露。文章还包含了大量用户对该漏洞的讨论,其中一些评论涉及到两性关系和道德问题。
阅读更多
该文章是Mozilla bugzilla网站上关于TEXTAREA元素应用ROWS=和COLS=属性时出现问题的错误报告。报告指出,在禁用覆盖滚动条的情况下,TEXTAREA元素应用ROWS=和COLS=属性时,会出现水平/垂直滚动条额外空间的问题。该问题已存在多年,经过多位开发者的讨论和尝试修复,最终确定为与bug 1830576重复,现已关闭。
阅读更多