Path: mv.asterisco.pt!mvalente
From: mvale…@ruido-visual.pt (Mario Valente)
Newsgroups: mv
Subject: Ah e Tal…
Date: Mon, 02 Jul 07 18:35:21 GMT
E incrivel a forma leviana como algumas pessoas sao
capazes fazer “raciocinios” baseados em nada e sem
qualquer tipo de responsabilidade.
(O autor do artigo removeu o post original e pediu
desculpas pelo mesmo, que foram aceites. Pelo que o
texto de resposta foi removido, com um pedido de
desculpas reciproco)
— MV
Path: mv.asterisco.pt!mvalente
From: mvale…@ruido-visual.pt (Mario Valente)
Newsgroups: mv
Subject: 1000 Euro Firefox Bounty
Date: Sun, 01 Jul 07 22:16:21 GMT
Here’s a challenge for all you hackers out there,
with a 1000 Euro reward that the portuguese Ministry
of Justice will pay for. You will be helping not only
Firefox, but also the new portuguese ID card as well
as the national PKI and the portuguese EU presidency.
How’s that for a CV entry?…
Here’s the problem.
Goto https://private.eu2007.pt/ using Internet Explorer,
Safari, Opera or any other browser. It should work in all
of them. The certificate is recognized and you get to the
login page.
Now go there with Firefox. You’ll get an error saying
that the certificate is not recognized, supposedly for
not being signed by a known authority. Which is false:
it works in other browsers and in those you can check
the certificate chain and verify that it is signed by
known CAs.
The problem would be admitedly related to Firefox not
implementing a subjective part of the standard, as you
can read in the following links:
http://blogs.msdn.com/larryosterman/archive/2004/06/04/148612.aspx
https://bugzilla.mozilla.org/show_bug.cgi?id=245609
But somehow that doesnt seem enough to justify the problem.
First because it seems really stupid for Firefox not to
implement something that all other browsers implement and just
saying “lets wait till the standard is clear”.
Second because its not a solution if you just say “reconfigure
the server and make sure that the intermediate certificate is
served”. The other browsers dont need that.
Third because even if you install the certificates locally
in your browser, the problem continues. It seems to be
related to a possible problem with comparisons of fields
encoded in UTF-8 in one certificate and encoded in quoted
printable in others.
So, here’s the deal. If:
– you correctly identify what the actual problem is
– you provide a solution, whether in code or configuration,
that involves only Firefox
– you can provide a receipt for 1000 Euro
– you email me at mvalente@itij.mj.pt and I validate
your solution
… you get 1000 Euro in cash and singlehandedly prove
to portuguese government and bureaucrats that the open
source community kicks ass. Gentlemen, start your engines…
— MV
Path: mv.asterisco.pt!mvalente
From: mvale…@ruido-visual.pt (Mario Valente)
Newsgroups: mv
Subject: Firefox Bounty Followup
Date: Sun, 01 Jul 07 22:16:21 GMT
Obrigado pelos varios comentarios *construtivos* recebidos.
Ate agora ainda nenhuma sugestao resolveu o “problema”, embora
haja alguns contributos interessantes. Para beneficio de todos
aqui fica o comentario aos excertos mais importantes.
”
Eu experimentei quer com o FF2 e como Safari 3 Beta, e os resultados que obtive foram rigorosamente os mesmos. Isto e, a CA de raiz nao e reconhecida pelo browser, o que ate faz sentido pois a mesma nao se encontra na lista de CAs raiz na qual o browser confia.
”
Mas esta e a questao. O Firefox para na CA da ECEE (CA do Estado
Portugues), quando na realidade esse certificado indica por sua
vez uma CA hierarquicamente superior (a da GTE Cybertrust, essa sim
ja reconhecida na lista de CAs do Firefox). O IE nao fica por ai e
segue essa indicacao adequadamente e apresenta toda a hierarquia,
pelo que nao aparece qualquer mensagem de “certificado nao conhecido”.
“Isto tem um cheiro *MUITO*FORTE* a algo que a RedHat e a Mozilla Foundation sao obrigadas por lei a ter em conta, mas que o Ubuntu nao. talvez patentes, uma vez que restricoes a exportacao de tecnologia nao devem ser ou tambem nao viria no Internet Explorer (a menos que este seja quem tem o bug).
Nao me parece que seja um problema relacionado com UTF-8 vs quoted-printable como sugere o Mario, uma vez que nao vejo caracteres que justifiquem tal tipo de problemas.”
http://blog.softwarelivre.sapo.pt/2007/07/02/recompensa-do-itij-de-1000e-para-bug-no-firefox/
Isto podia ser uma hipotese. Nao fosse o facto de, conforme
eu referi no post inicial, o problema acontecer mesmo quando
a cadeia de certificados e colocada directamente no browser
(vide mais abaixo).
”
Then, the problem, as described in the bug page, isnt that “the standard isn’t clear”: if you actually read the RFC’s, you’ll see that the https server has the obligation to send a complete certificate chain.
Now, IMHO the target should be “have the issue properly solved”, so, since the issue is that, by RFC, the https server must do something that isn’t doing nowadays, then having a “bug bounty” over Firefox isn’t helping. If the target is to have Firefox with the same behaviour as the other browsers, then it would be nice to have a proper enhancement request submitted and aprooved, and only after that a “patch bounty” for an implementation of the solution. I could do some more work on this issue – heck, I could even go after that bounty. Presented the way it is, I’m just not interested: seems to me that the solution proposed is ignoring the fact that the target website is broken since it is not complying with the standards involved.
”
http://mindboosternoori.blogspot.com/2007/07/bug-245609-mozilla-not-getting.html
The target website is complying with the standards involved. It
uses a part of the standard that allows for the certificate chain
not to be all available at the target site but to be fetched as
needed.
The standard does say that this part MUST NOT be critical. But then,
by the same thinking, Firefox shouldnt come up with an error message
misleading the user into thinking that there’s something wrong with
the certificate.
Furthermore: even if you locally install the certificate chain, you
still get the same message. So there *IS* a problem with the certificate
validation procedure in Firefox. See the message and comments below.
You can also read the Firefox bug report originally mentioned, that
states that the certificate chain is indeed OK, there’s no reason for
Firefox not to to trust the site and that its probably *another*
problem. I stated precisely that in my initial post.
”
Lendo o historico do bug e as especificacoes entende-se realmente que isso *nao* e um bug do firefox, mas sim uma mal-configuracao dos servidores. No entanto, e razoavel que essa feature seja implentada, mas como eu disse no inicio, vai exigir uma segunda conexao TCP a ser realizada diretamente pelo modulo de SSL, que nao e uma situacao prevista no mozilla hoje (principalmente por precisar acessar as configuracoes de proxy do mozilla).
No entanto, o problema com o site especificado e outro. O servidor esta sim enviando o chain completo de certificados. Mas por algum motivo o firefox nao esta utilizando o certificado GTE Cybertrust Root que ja e instalado por padrao…
”
Precisamente. Independentemente do bug referido, o problema
nao e esse ou pelo menos nao e so esse. Mesmo instalando a
cadeia de certificados no browser o Firefox continua a nao
seguir adequadamente a hierarquia. Tendo em conta que a cadeia
e valida, que outros browsers a conseguem seguir e, eliminando
a solucao “o problema e do lado do servidor que devia ter a
cadeia toda” (bastando para tal instalar a cadeia localmente
no browser), o problema e outro. E a unica razao que ate agora
pudemos aventar e o problema dos encodings (vide abaixo)
”
O problema devera estar relacionado com a construcao da chain de trust
ate a Root CA.
O vosso certificado apenas publica na extensao AIA:
[1]Authority Info Access
Access Method=On-line Certificate Status Protocol (1.3.6.1.5.5.7.48.1)
Alternative Name:
URL=https://ocsp.ecce.gov.pt
A publicacao da extensao 1.3.6.1.5.5.7.48.2 podera resolver o assunto.
Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
Alternative Name:
URL=pathtoCAcert
”
Este comentario ja mostra trabalho de casa :) Obrigado. De
facto o campo AIA tem uma referencia OCSP. E o Firefox tem
a opcao de seguir certificate chains usando o OCSP. Mas, mesmo
assim, nao funciona :-). Vide comentarios acima.
Mudar o AIA para referir a CA 48.2 era boa ideia, nao fosse
o facto de o Firefox nao seguir esse campo.
Para quem estiver interessado em dar ajuda adicional (ou
dar a resolucao para o problema), alguns dados adicionais
sobre o ponto onde estamos no momento:
”
Conforme o RFC 3280 –
Path: mv.asterisco.pt!mvalente
From: mvale…@ruido-visual.pt (Mario Valente)
Newsgroups: mv
Subject: MS OOXML
Date: Sun, 26 Jun 07 21:49:21 GMT
(This one is in portuguese since its of local
interest only)
Para que conste.
Estive hoje presente na 1a reuniao da Comissao
Tecnica (CT) criada para avaliar os standards ISO na
area de documentos estruturados (em Portugal).
A CT nao existia aquando da submissao do ISO 26300
(OpenDocument) nem quando houve a submissao do OOXML
(ECMA 376, potencial ISO 29500) para fast track, razao
porque Portugal nao submeteu qualquer opiniao nem tinha
qualquer direito de voto. Esperemos que agora, com as
pressoes feitas e a CT criada, haja direito a voto.
A CT foi criada pelo Instituto de Informatica, em
quem esta delegada a responsabilidade pelas normas do
sector informatico; a delegacao e dada pelo Instituto
Portugues da Qualidade (IPQ), ponto de contacto ISO
em Portugal. A sua criacao deveu-se fundamentalmente
a pressao e disponibilidade de algumas pessoas aquando
da submissao fast track do OOXML e a necessidade de
avaliar agora o OOXML como standard ISO e como standard
nacional portugues.
Na reuniao estavam presentes:
– 2 pessoas do II (Instituto de Informatica)
– 1 pessoa do poder autarquico (Alentejo)
– 1 pessoa da Jurinfor
– 2 pessoas da Microsoft
– 1 pessoa da Primavera
– 1 pessoa do ISCTE
– 2 pessoas da Assoft
– 1 pessoa do Inst. Informatica da Seg Social
– 1 pessoa do Inst. Tecn. Informacao da Justica (eu)
A reuniao tratou basicamente dos detalhes burocraticos
de criacao da CT, nao se tendo entrado em discussao em
detalhe do OOXML; essa discussao sera tida na proxima
reuniao, dia 16 de Julho pelas 14.30 no II.
A CT ficou assim composta por 8 elementos vogais, um
representante por cada uma das organizacoes presentes. O
II, organizando e alojando a iniciativa, nao nomeou
representante.
Os 8 vogais passaram de seguida a eleicao do presidente
da CT. Houve 1 candidato ao lugar (o Miguel Sales Dias,
da Microsoft), tendo eu apresentado nao a minha candidatura
mas a disponibilidade caso os restantes membros da CT
achassem necessario. Informei nao achar adequado ser
candidato uma vez que a partida, como membro da OpenDocument
Alliance, tinha um conflito de interesse.
Da votacao resultaram 7 votos a favor do Miguel Sales
Dias, da Microsoft, que ficou a presidir a CT, e um (1)
voto em branco.
Decidiu-se adoptar o consenso como forma de adopcao
de qualquer norma submetida, passando-se a votacao por
maioria caso nao haja consenso na CT e oposicao forte
a submissao de uma qualquer norma.
A CT pode receber mais elementos (1 por organizacao),
tendo os mesmos de ser propostos pelos actuais vogais
e aceites pela restante CT.
Se houver por ai gente com credibilidade e vontade de
pertencer a CT, tenho todo o gosto em vos propor (emails
para mvalente@itij.mj.pt), a ver se nao me sinto tao
sozinho ;-]
Caso contrario depois nao venham fazer posts em blogs
a dizer que “ah e tal como e que se admite, Portugal e
atrasado e assinou um protocolo e esta tudo mal”… Os
“outros” pelo menos estao presentes na CT e nas reunioes;
fazer posts em blogs e conversar a hora da bica e facil…
— MV
Path: mv.asterisco.pt!mvalente
From: mvale…@ruido-visual.pt (Mario Valente)
Newsgroups: mv
Subject: I am Back
Date: Sun, 25 Jun 07 02:09:21 GMT
I am back from my 2-into-1 week holiday. Got a
huge nose sunburn just from the first day, even
though it was cloudy, windy and I spent all the
afternoon under suncover. Go figure… For the
rest of the days it was sun protection lotion
level 40 all the way.
Not much to say really, except that my batteries
are now charged for at least the next 6 months of
work.
For the next 3 years I guess that I’ll probably
need aditional vacation time:
http://www.mj.gov.pt/sections/destaques/home-ie-esq/cerimonia-de-tomada-de2514
You can go there and play “Where’s Wally”…
— MV
