Jak je to s bezpečností u prohlížeče Firefox

Zdravím, několik detailů, protože to, čeho se dopouštíte už málem hranici s FUDem:

Dánská firma Secunia v minulých dnech varovala, že Firefox (stejně, jako prohlížeče Safari či Opera a Konqueror, v podstatě všechny, které používají jádro Open Source Gecko)...

Opera nepoužívá jádro "Open Source Gecko" (ani jádro Gecko, jak se ve skutečnosti jmenuje, i když vím, že to nezní tak úderně) a není s ním vůbec žádným způsobem provázaná. Postiženy jsou prohlížeče podporující a správně (ano, na slově SPRÁVNĚ je důraz) implementující PUNYCODE a s Gecko rendererem jako takovým to nemá žádnou souvislost.

...není schopen správně identifikovat SSL certifikát...

Zmíněná chyba se vůbec netýká identifikace certifikátů, identifikace certifikátů proběhne správné a korektně, k čemuž se dostanu za chvíli.

Hackeři mohou registrovat domenové jméno obsahující určité znaky a předstírat, že jsou legitimní stránkou někoho jiného.

Ano, popis chyby pro typického hamburgerového Joe. Hlavně co nejvíc FUDu, vyděsit, zmást, doplnit slovíčka jako hackeři a ukrást a máme vymalováno, lidi mají paniku rádi. O skutečném problémů naopak neříct ani slovo, stejně by to nikdo nepochopil, že?

Chyba se netýká prohlížeče MS IE.

Ano, protože zmíněný standard MS IE vůbec nepodporuje. S dodatečným pluginem, který je pro přístup na lokalizované domény nutný, se chyba týká rovněž i MS IE.

A pokud by vás náhodou zajímalo, o čem problém skutečně je, když už tedy mezi vypouštěním zpráv na úrovni Blesku nemáte tolik času na studium pozadí problému, tak ve stručnosti - nejedná se o chybu žádného ze zmíněných prohlížečů, jedna se o feature (výbavu, funkci, pozn. vydavatele). Třeba Opera se už vyjádřila, že o problému vědí a nebudou s tím vůbec nic dělat, protože jejich implementace je přesně podle specifikace a nic se s tím ani udělat nedá. Leda změnit samotnou specifikaci.

Jde o name resolution domén v jiných znakových sadách než ASCII, de-facto obejití limitu DNS (hodně nerozumné obejití). Systém se jmenuje IDN a problém nastává ve chvíli, kdy nějaký znak v jiné znakové sadě vypadá úplně stejně jako znak na jiné pozici v jiné znakové sadě. Chyba pak byla demonstrována s registraci falešné domény paypal.com, kde znak na pozici prvního a byl úplně jiný charakter v cyrilice, tudíž se legitimně jednalo o jinou doménu než paypal.com ve znakové sadě ASCII. Jediný problém byl v tom, že zmíněný znak vypadá úplně stejně jako a v ASCII, přitom se o a nejedná. V prohlížečích není vůbec žádná díra a ověření SSL certifikátů proběhne správné, protože ověřujete certifikát pro úplně jinou doménu, než si myslíte. Paradoxně, kdybyste porovnal skutečný certifikát z paypal.com a paypal.com, přijdete na to hned, protože rozdíl mezi certifikáty (jiná data, vydavatel, etc) bude víc než zřejmý. Co se týče opravy, jak v článku uvádíte, žádná oprava se v CVS nenachází a nacházet nebude, protože zatím nikdo nepřišel na to, jak tuto věc řešit. Standartním postupem v Gecko browserech je jít do configu a změnit hodnotu

network.enableIDN = true

na

network.enableIDN = false

čímž se zabrání resolvingu (dohledání IP adresy ke jménu, pozn. vydavatele) lokalizovaných domén, tedy se vypne podpora pro tento standard.

Tak a ani to nebolelo, snad jenom.. Je skutečně nutné, dělat že Zvědavce další Blesk?