In Chrome/mium basta abilitare nelle impostazioni "verifiva revoca server" e si ottiene questa schermata.Wilson [url=http://forum.ubuntu-it.org/viewtopic.php?p=4562246#p4562246][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:NO!sbubba [url=http://forum.ubuntu-it.org/viewtopic.php?p=4562022#p4562022][img]http://forum.ubuntu-it.org/images/icons/icona-cita.gif[/img][/url] ha scritto:O__ONon solo: se hanno rubato la chiave privata del sito, qualcuno potrebbe fare MITM e leggere la nuova password mentre la imposti, anche se il server non ha più il problema
non ci avevo pensato
ma se il sito cambia chiave è tutto a posto, no?
Perché la maggior parte dei browser non gestisce la revoca delle vecchie chiavi (quindi il sito cambia chiave, ma il browser continua ad accettare pure quella vecchia), qui un test: https://www.cloudflarechallenge.com/heartbleed
Se vedete la pagina, il vostro browser ha fatto un grosso fail (e vi consiglierei di non usarlo finché non passa il test)
Ho provato con Opera, Firefox, Liferea, Chromium, Browser, Epiphany e Konqueror: solo i primi due si rifiutavano correttamente di aprire la pagina, gli altri non mi hanno neppure dato un avviso, per loro è il sito originale (mentre sappiamo che può essere un impostore).
Ho provato anche sul mio telefonino con MeeGo: il browser integrato fallisce, mentre firefox (pur essendo una versione non aggiornata) si comporta correttamente.
PS: Chromium si comporta bene se si spunta l'apposita casella nelle impostazioni avanzate (il fatto che sia disattivata di default non è accettabile, però; oltretutto è molto più schizzinoso con i certificati autofirmati, che rispetto a un certificato esplicitamente revocato mi paiono meno sospetti).
https://drive.google.com/file/d/0B2ayHO ... sp=sharing