Abuse Melding

Je hebt een klacht over de onderstaande posting:

15-05-2019, 23:05 door Bitwiper

Door Anoniem: Bitwiper, welke CA (if any) heeft de certificaten die je hierboven omschrijft uitgegeven? Mozilla zelf. Het root certificaat, dat in de Windows versie van Firefox hardcoded in xul.dll is opgenomen, wordt niet getoond in de Firefox certificate manager (zie ook https://www.security.nl/posting/607930/Firefox+add-on+cert+issues#posting607932). Het lijkt alleen anders te werken dan ik vermoedde: uit https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/Distribution maak ik op dat Mozilla voor elke extensie een sleutelpaar en bijbehorend certificaat genereert en Mozilla de extensie ondertekent (in plaats van de auteur). De logica hiervan ontgaat me: waarom gebruikt Mozilla een dedicated code signing cert per extensie, en belangrijker, hoe weten Firefox-extensie gebruikers dat de unsigned code daadwerkelijk afkomstig is van de kennelijke auteur? Zodra ik tijd heb ga ik hier maar eens verder induiken denk ik.

Beschrijf je klacht (Optioneel):

captcha