mozilla

前幾天綠界 *.ecpay.com.tw 憑證爆掉的事情

前幾天社群蠻熱鬧在討論綠界的 *.ecpay.com.tw 憑證被上游 Sectigo 給 revoke，而導致 login.ecpay.com.tw 無法連線的問題 (ba:d3:26:14:db:53:1b:56:49:8d:de:d5:0c:68:b9 這張，另外參考點了 OCSP 檢查的 https://crt.sh/?id=3608838685&opt=ocsp 結果)，可以看 domain 知道這個網域比較偏使用者的用途 (而非 API 類)，會買 EV 主要就是要用在瀏覽器上，所以這邊主要就討論瀏覽器受到影響的部份...

因為 Sectigo 是透過 CRL 與 OCSP 兩個機制把 revoke 資訊送出來，所以各家瀏覽器的處理方式會不太一樣...

首先是市占率最高的 Chrome，因為有自家的機制在處理 revoke，不走 CRL 或是 OCSP，所以大多數的使用者應該都沒有受到影響 (不確定...)，但 Firefox 與 Safari 都吃 OCSP，所以都會炸掉。

這次有看到兩個社群有一些討論，一個是「https://www.facebook.com/groups/rayforum/posts/4417812681632189/」，另外一個是「https://www.facebook.com/groups/616369245163622/posts/2497356027064925/」這邊。

Vincent Liang 有貼了 Sectigo 送 revoke 的原因，在 Mozilla 的 Bugzilla 上面有 Sectigo 的主動通報：「Sectigo: Subject field with unvalidated information included in certificates」，看起來是因為在內部 code review 的時候發現 postOfficeBox (~~以台灣來說就是郵遞區號~~郵政信箱) 這個欄位的問題：

Though the postOfficeBox field is permissible for inclusion in OV certificates, any field containing unvalidated information is not permissible. Furthermore, the EV Guidelines prohibit this field at all for EV certificates.

也就是說，在 OV 憑證內可以列入 postOfficeBox，但需要確認後才能列進去；而 EV 憑證則是不允許列 postOfficeBox 的；因為這兩個原因，這些憑證都要 revoke，另外也因為 Baseline Requirements 與 EV SSL Certificate Gudidelines 的要求而需要主動通報。

Sectigo 有列出 453 個受到影響的憑證，不過發文者 Lorex L. Yang 有注意到綠界的這個憑證沒有被列在這 453 個受到影響的憑證內，但是後來也有被 revoke 掉...

所以現在問題就來了，會不會 Sectigo 根本沒通知綠界要換憑證？另外 Sectigo 的通報內容不實也是一個大問題，因為沒有人在 Bugzilla 上提到，所以我就在上面回個 comment 把這個議題拋出來，讓 Mozilla 的人知道後繼續查下去...

當然綠界花了十八個小時解決也是個問題，不過那個就不是我們能管到的了...

用 Gecko Engine 寫的另外一個瀏覽器 Dot

Hacker News 首頁上看到 Dot 這個瀏覽器，平常看各種標語已經麻木了 (什麼 privacy enhanced 之類的)，讓鄉民看上眼的是，這是一個 Gecko 寫的瀏覽器，也就是 Firefox 的底層，而不是 Blink (就 Google Chrome 那個系列)：「Dot Browser – privacy-conscious web browser (github.com/dothq)」。

抓下來跑了一下，看起來就如同 GitHub 頁面上的警告：

Dot Browser is alpha software, and you will most likely experience bugs and issues!

目前功能也超陽春，還沒支援 extension 之類的東西... 不過是有內建 ad blocking 與 usercss 的能力，算是基本盤吧。

可以放著看看發展的如何...

Firefox 支援 HTTPS RR

在「Firefox 92.0, See All New Features, Updates and Fixes」這邊看到支援 HTTPS RR：

More secure connections: Firefox can now automatically upgrade to HTTPS using HTTPS RR as Alt-Svc headers.

在「Enabling HTTPS RR on release」這邊決定啟用的，使用的標準是「Service binding and parameter specification via the DNS (DNS SVCB and HTTPS RRs)」這個，可以看到目前還是 draft (draft-ietf-dnsop-svcb-https-07)。

HSTS 是 Trust on first use，也就是在第一次連線時 server side 會送出 HSTS header，之後瀏覽器遇到同一個網站時就會都強制使用 HTTPS。

如果要確保第一次也是強制使用 HTTPS，在這之前必須靠瀏覽器內建的清單 HSTS Preload List 才能確保安全性，這次的 HTTPS RR 算是補上這個缺口。

在使用者環境有 DNS over HTTPS (DoH) 或是 DNS over TLS (DoT)，再加上 DNS resolver 會檢查 DNSSEC 的前提下，整條環境就接起來了。

不過實際讀了 spec 會發現 SVCB RR 與 HTTPS RR 想做的事情太多了，話說愈複雜的東西愈容易出包，先放著觀望看看好了...

測了一下 Pale Moon...

找資料時發現 Windows XP 上還是有瀏覽器可以用，是舊版 Firefox fork 出來的 Pale Moon 再 fork 出來的 Mypal (因為 Pale Moon 不再支援 Windows XP 了，所以為了 Windows XP 而 build 的版本)。

不過我這邊不是在 Windows XP 上面測試 Mypal，而純粹就只是測 Pale Moon，所以是在 Linux 的桌機環境上測試。

用了兩天發現真的只是加減用，最容易遇到的問題還是在 javascript 上，開 GitHub 可以看到錯誤訊息，畫面上也有一些資料出不來：

TypeError: window.customElements is undefined

查了「Window.customElements」這邊發現 Firefox 要 63+ 才支援，難怪 Pale Moon 會噴錯誤訊息...

另外 single process 加上沒有對 threading 最佳化，用起來果然還是有點辛苦，開個 Twitch 就卡卡的，當日常用會需要磨一下耐心... 不過如果是還在跑 Windows XP 的使用者可能本來就很有耐心了？

跨瀏覽器追蹤的方式

看到「Exploiting custom protocol handlers for cross-browser tracking in Tor, Safari, Chrome and Firefox」這個方式，跨瀏覽器收集 fingerprint 追蹤。

這次用的方式是透過 handler 追：

The scheme flooding vulnerability allows an attacker to determine which applications you have installed. In order to generate a 32-bit cross-browser device identifier, a website can test a list of 32 popular applications and check if each is installed or not. On average, the identification process takes a few seconds and works across desktop Windows, Mac and Linux operating systems.

最近大家比較常使用到的應該就是 Zoom 從網頁把應用程式帶起來的方式：

而要怎麼偵測的部份，用到了不同瀏覽器的 side channel。

Chromium 系列的部份對應的 ticket 在「Issue 1096610: External Protocol handler anti-flood protection is ineffective and flaky」這邊有被提出來。主要用到的方法是，在遇到有 handler 時，連打兩次時會被擋下：

被擋下後再打都會失敗，所以需要一個方式重設 flag，而內建的 Chrome PDF Viewer 剛好可以重設 flag：

The built-in Chrome PDF Viewer is an extension, so every time your browser opens a PDF file it resets the scheme flood protection flag. Opening a PDF file before opening a custom URL makes the exploit functional.

在 Firefox 的 side channel 則是可以透過 same-origin policy 測試當作 side channel，對應的 ticket 在「Scheme flooding technique for reliable cross-browser fingerprinting」這邊：

Every time you navigate to an unknown URL scheme, Firefox will show you an internal page with an error. This internal page has a different origin than any other website, so it is impossible to access it because of the Same-origin policy limitation. On the other hand, a known custom URL scheme will be opened as about:blank, whose origin will be accessible from the current website.

在 Safari 上的問題與 Firefox 一樣，不過沒登入看不到 ticket (也懶的註冊了)：

You are not authorized to access bug #225769. To see this bug, you must first log in to an account with the appropriate permissions.

另外，雖然 Tor Browser 底層是 Firefox，但因為有改變預設值，所以攻擊者也得換方法：

Tor Browser is based on the Firefox source code, so the Same-origin policy trick was used here as well. But because Tor Browser does not show pop-ups, we used the same-origin policy trick with iframe elements instead.

這個方法還蠻暴力的...

Firefox 87 推出 SmartBlock 阻擋 3rd-party tracking

Firefox 87 推出了 SmartBlock，試著阻擋各種追蹤器：「Firefox 87 introduces SmartBlock for Private Browsing」，不過這不是一般的預設值，而是只有 Strict 模式與無痕模式會用到。

對於追蹤的問題，最早的作法是直接擋掉 3rd-party tracking javascript 的載入，但有很多網站會因為對應的變數沒有初始化而造成 javascript error。

這次的 SmartBlock 其實就是在各家阻擋套件實做很久的方式，插入一小段客製化的 javascript 讓網站裡的 javascript 可以呼叫，但實際上不會送任何資料出去，像是 uBlock Origin 的「unbreak.txt」。

不過 Firefox 重複搞這麼多東西，要不要考慮直接把 uBlock Origin 內建進來啊...

Firefox 在 Strict Tracking Protection 模式下閹割 Google Analytics

在 Twitter 上看到 Firefox 在 Strict Tracking Protection 模式下會閹割掉 Google Analytics：

👀Firefox replaces GA with a fake no-op GA (rather than outright blocking it) in strict tracking protection, to prevent websites from breaking:

"Google Analytics is being shimmed by Firefox. See https://t.co/mfx5HZxueL for details." pic.twitter.com/PMNRqgpOyX

— Jakub G (@__jakub_g) February 26, 2021

剛好可以跟另外一篇「Google Analytics: Stop feeding the beast」一起看，這篇主要是對網站管理端的說明，你可以使用其他對隱私保護比較好的服務，或是考慮自己架設。

回到使用者端的部份，在 Firefox 裡面 Browser Privacy 預設是 Standard，換成 Strict 後就會觸發這個行為：

不是直接擋掉到 google-analytics.com 與 googletagmanager.com 的連線，而是把 javascript 抽換掉，讓呼叫的程式碼完全不會做事。

在 Strict 模式下，除了會閹割 Google Analytics 外，也有其他的 js 會被閹割 (像是 Facebook 的)，可以在 GitHub 上的「gecko-dev/browser/extensions/webcompat/shims/」這邊翻到。

這個功能很明顯在 Google Chrome 上不會內建，但很久前就有套件可以用了。目前比較常見的作法是透過 uBlock Origin 做，而且是在內建的「uBlock filters – Privacy」這組定義裡面就有實做，對應到 GitHub 上的 privacy.txt 這邊可以看到：

! Redirect to neutered Google Analytics 
||google-analytics.com/analytics.js$script,redirect=google-analytics.com/analytics.js

! Redirect to neutered Google Analytics Experiments
||google-analytics.com/cx/api.js$script,redirect=google-analytics.com/cx/api.js

不過 Firefox 上的 uBlock Origin 與其他套件也有類似的功能，真的在意的人應該早就使用了...

今天釋出的 Firefox 86 推出了 Total Cookie Protection

Firefox 86 (新推出的 standard 版本) 推出了 Total Cookie Protection：「Firefox 86 Introduces Total Cookie Protection」。

每個站的 cookie 都有獨立的空間：

Our new feature, Total Cookie Protection, works by maintaining a separate “cookie jar” for each website you visit. Any time a website, or third-party content embedded in a website, deposits a cookie in your browser, that cookie is confined to the cookie jar assigned to that website, such that it is not allowed to be shared with any other website.

然後對於需要跨站類的應用另外處理，像是 3rd-party login：

In addition, Total Cookie Protection makes a limited exception for cross-site cookies when they are needed for non-tracking purposes, such as those used by popular third-party login providers. Only when Total Cookie Protection detects that you intend to use a provider, will it give that provider permission to use a cross-site cookie specifically for the site you’re currently visiting. Such momentary exceptions allow for strong privacy protection without affecting your browsing experience.

這樣的確把 cookie 的追蹤能力壓低很多，不過應該也會有不少站台掛掉...

Firefox 的 Cache Partition 也生效了

繼 Google Chrome 實做了 Cache Partition (「Google Chrome 的 Cache Partition 生效」)，Firefox 也實做的版本也進 standard 版本了：「Firefox 85 Cracks Down on Supercookies」。

In Firefox 85, we’re introducing a fundamental change in the browser’s network architecture to make all of our users safer: we now partition network connections and caches by the website being visited.

這要防禦的手法可以參考先前在「Google Chrome 要藉由拆開 HTTP Cache 提昇隱私」這邊提到的方法，主要就是共用 cache 時可以利用抓檔案的時間來判斷 (side channel information)。

這樣主流的瀏覽器都支援 Cache Partition 了...

Firefox 86 預設支援 AVIF 影像格式

在「Firefox 86: AVIF support enabled by default」這邊看到的消息，在 Firefox 86 (目前是 nightly) 預設啟用了 AVIF 影像格式，這是繼「Chrome 85 支援 AVIF」後另外一個主要的瀏覽器也跳下來支援了，大概再幾個月後就會推到 stable channel 上了。

不過想測試的人不用去裝 nightly，77 之後的版本已經支援，只是預設沒有啟用，可以透過 image.avif.enabled 開起來。

另外當初在「WebP 的檔案大小未必比 JPEG 小...」這邊剛好也有帶到 AVIF 的壓縮率不錯，不過演算法判斷非重點部位的細節會被吃掉，這點對於一般的網頁應該還好，但對於希望還是保留細節的網站，也許就不是那麼適合了...