La Billetterie

Un peu de tout saupoudré délicatement

Affichage des articles dans nss

From mozilla.dev.security.policy : – the relevant extension coding techniques in Mozilla are: * Use the observer-service to register a « http-on-examine-response » observer. * When you observe this event, use channel.QueryInterface(Ci.nsIHTTPChannel) to get the HTTP channel from it * Pull the securityInfo attribute of that channel * Use QueryInterface(nsISSLStatusProvider) on the securityInfo to access the SSL data […]

Le sujet bouge actuellement : Les spec de DOMCryptAPI dans WiMo Au niveau du W3C : Web Cryptography Working Group Charter Il y a aussi le groupe JOSE : Javascript Object Signing and Encryption (Active WG) à l’IETF MDN : window.crypto a gagné une référence à ce sujet. Jungshik s’exprime à ce sujet : [whatwg] […]

Description générale : http://www.w3.org/QA/2011/10/some_notes_on_the_recent_xml_e.html C’est très astucieux en fait quand on lit la description compléte (voir en rappel la description du fonctionnement de CBC): http://www.nds.rub.de/media/nds/veroeffentlichungen/2011/10/22/HowToBreakXMLenc.pdf et c’est assez applicable à CBC en général, il suffit de pouvoir modifier une partie du flux sans que ce soit immédiatement détectable, et d’avoir accès à un oracle sur […]

Blog sécurité : http://blog.mozilla.com/security/2011/09/27/attack-against-tls-protected-communications/ Bugzilla : https://bugzilla.mozilla.org/show_bug.cgi?id=665814 Disable Java : https://bugzilla.mozilla.org/show_bug.cgi?id=689661

Description de l’outils : http://secgroup.ext.dsi.unive.it/projects/security-apis/pkcs11-security/tookan/ L’essentiel du problème : Un clé privé qu’il est interdit d’extraire du boitier peut malgré tout être « wrappée » avec une autre clé secrète présente sur le boitier, pour être exportée sous une forme chiffrée qui permet seulement de la réimporter plus tard dans le boitier. Or les spécifications du PKCS#11 […]

Proposition par Kaie Engert : http://kuix.de/mozilla/sslauth/ Bug bugzilla : https://bugzilla.mozilla.org/show_bug.cgi?id=396441 Et chrome (mais poussé de l’extérieur) http://code.google.com/p/chromium/issues/detail?id=29784 Voir le groupe webid du w3c : http://www.w3.org/2005/Incubator/webid/charter et comment devenir invited expert pour participer : http://www.w3.org/2004/08/invexp.html

Bug : https://bugzilla.mozilla.org/show_bug.cgi?id=360420 https://wiki.mozilla.org/CA:Comodo_Misissuance_Response#OCSP Summer project : https://wiki.mozilla.org/Community:SummerOfCode11#NSS_.28Network_Security_Services_library.29 Info sur l’OCSP stapling multiple : http://ammarhasayen.wordpress.com/2008/04/22/ocsp-stapling-and-tls-1-0-extensions/ Le draft : http://tools.ietf.org/html/draft-pettersen-tls-ext-multiple-ocsp-02 La RFC pour le stapling simple : http://tools.ietf.org/html/rfc6066#section-8 L’extension existante status request — SCVP La RFC suivante sur l’insertion d’autre chose qu’une CRL dans un CMS est intéressante (ocsp/scvp) http://tools.ietf.org/html/rfc5940 Les options pour améliorer la révocation […]

https://developer.mozilla.org/devnews/index.php/2011/03/22/firefox-3-6-16-and-3-5-18-security-updates-now-available/ http://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates/ « This issue was reported to us by the Comodo Group » https://blog.torproject.org/blog/detecting-certificate-authority-compromises-and-web-browser-collusion

Nelson : The mp_int bignum package API is so frozen as to have become something of a standard of its own. There are now at least 3 different implementations known to me that are all API compatible, differing only in the content of the (opaque) mp_int structure itself. Documentation : http://plan9.escet.urjc.es/magic/man2html/2/mp Routines that return an […]

Ses réflexion autour du sujet : http://dankaminsky.com/category/security/ La Curve25519 pour transmettre des données de signature sur DNS de la manière la plus légère possible : http://cr.yp.to/ecdh.html

L’utilisation de SHA-1 est codé en dur dans le code : http://groups.google.fr/group/mozilla.dev.tech.crypto/msg/7a15dafef963fe20 https://mxr.mozilla.org/comm-central/source/mailnews/extensions/smime/src/nsMsgComposeSecure.cpp#496 Mais le message suivant dit que la couche correct est utilisée ? http://groups.google.fr/group/mozilla.dev.tech.crypto/msg/c442455aacd7eba7 Soit nsCMSMessage : http://mxr.mozilla.org/comm-central/ident?i=nsCMSMessage depuis mozilla/security/manager/ssl/src/nsCMS.cpp ??? A investiguer …

The crypto object offers a logout method that does it. http://mxr.mozilla.org/security/source/security/manager/ssl/src/nsCrypto.cpp#2875 En fait cette fonction désactive tous les PIN déjà entré, et oblige à se relogguer sur tous les token I see no browser code that calls SSL_InvalidateSession http://mxr.mozilla.org/security/ident?i=SSL_InvalidateSession Ici, c’est bon, en appelant cela, on supprime la session.

http://kuix.de/conspiracy/ Cert Viewer Plus : Export certificat en PEM = 2 extension chinoises * CA Untrustworthy, Delete or disable CA certificates owned by CNNIC * Cert Alert, Notify the user if download any content from CNNIC SSL sites. Certificate Patrol : Permet de détecter tout renouvellement de certificat Key manager : You can think of […]

NSS 3.12 will support EV certificates : « Libpkix provides a much more complete an modern parsing of certificates, most importantly policy parsing and handling cross certificate environments correctly. Both of these are needed for EV (the primary driver of getting libpkix in). (It also includes such things a on the fly fetching of intermediate certs. » […]

NSS will refuse to close with NSS_Shutdown if any reference hasn’t been released. (See <news:ct639f$id65@ripley.netscape.com> : « The reason do this is to prevent our clients from re-initializing NSS for a different user while some NSS objects that may potentially provide access to secret information of the previous user are still around. ») But how to check […]