Re: Epiphany e Midori non si connettono ai siti https
On Mon, Jul 18, 2016 at 03:46:54PM +0200, Hugh Hartmann wrote: > ricompilare una versione di opessl più recente e relative > dipendenze e poi ... incroceremo le dita .. :-) Ho provato a cimentrmi in questa impresa, addentrandomi in un dedolo infernale di dipendenze. Verificando le dipendenze di epiphany-browser ho individuato (errando[1]) come papabili libnspr4 e libnss3. Per tentare questa impresa ho ritenuto conveniente uscire dalle braccia di debian per darmi in pasto ai puri sorgenti che trovi in rete. Ho pensato che cosi facendo si evitassero ulteriori problemi con le dipendenze. Ho scaricato libnss3 dal mercurial di mozilla e cominciato a compilarlo , ma subito ho ottenuto questo: gtests.cc: In function ‘int main(int, char**)’: gtests.cc:13: error: expected primary-expression before ‘int’ make[2]: *** [Linux2.6_x86_64_cc_glibc_PTH_64_DBG.OBJ/gtests.o] Error 1 make[2]: Leaving directory `/home/felipe/nss/external_tests/common' make[1]: *** [libs] Error 2 make[1]: Leaving directory `/home/felipe/nss/external_tests' make: *** [libs] Error 2 L'errore e dato da un "coso" chiamato nullptr, implementato in gcc-4.6[2], ma tu dovresti avere: root@debian:/home/felipe# dpkg -l | grep gcc ii gcc 4:4.4.5-1 The GNU C compiler ii gcc-4.4 4.4.5-8 The GNU C compiler ii gcc-4.4-base 4.4.5-8 The GNU Compiler Collection (base package) Ho optato quindi per la versione piu vicina a quella presente in stable, dunque 3.17.4. Una volta compilato le lib ho sbattuto tutto in /opt, creato link di tutti i file omonimi riscontrati in libnss3.deb, avendo cura di rinominare~ quelli gia presenti. Ho installato i sorgenti debian di epiphany-browser, installato le dipendeze e successivamente rimosso tutti i -dev relativi a libnss3.deb e relative dipendenze. Editato debian/rules per puntarlo verso /opt/nss-3.17.4/, aggiustato debian/control eliminando le dipendenze a libnss3-dev, compilato e et voila': >Unable to load page >Problem occurred while loading the URL https://duckduckgo.com/ >SSL handshake failed: A TLS fatal alert has been received. Qui[1] parlano di gnutils, curl, nettle e gmp, ma dice anche che epiphany da questa cura non si e ripreso, anche se il messaggio e poco chiaro e non sono sicuro di aver capito se c'e riuscito o no a farlo funzionare(epiphany). Buonanotte [1] http://permalink.gmane.org/gmane.linux.distributions.gnewsense.user/8596 [2] http://gcc.gnu.org/gcc-4.6/changes.html -- Felipe Salvador
Re: Epiphany e Midori non si connettono ai siti https
Ciao Christian e un saluto "esplicativo" si propaga a tutti i partecipanti alla lista ... :-) Il 18/07/2016 15:39, Christian Surchi ha scritto: Il giorno lun, 18/07/2016 alle 14.25 +0200, Hugh Hartmann ha scritto: Ciao Gabriele e un saluto "interrogativo" si propaga a tutti i partecipanti alla lista ... :-) Il 30/06/2016 00:55, Gabriele Stilli ha scritto: Il 29/06/2016 21:47, Hugh Hartmann ha scritto: Quindi non so proprio cosa fare ... si, ci sono altri siti https che effettivamente non permettono di essere esplorati sia con epiphany che con midori dato che appare il solito errore: SSL handshake failed: A TLS fatal alert has been received. Provato anche con altri browser, magari non Gtk-based? Credo che la curiosità e il desiderio di conoscenza siano insiti in ogni essere umano, poi i ritmi frenetici di questo sistema disumano non permettono di avere il tempo per poter considerare e sviluppare questi aspetti, secondo me fondamentali. Ecco perchè mi piacerebbe conoscere i motivi che stanno dietro ai problemi e, magari anche a risolverli o ottenere qualche aiuto, consiglio per imparare così altre cose ancora ... Ergo, non vorrei sostituire i browser solo perchè hanno dei problemi, se no si potrebbe tornare alla vecchia mentalità, ancora in uso negli utilizzatori di wilsonz, che se c'è qualcosa che non va, si risolve ri-installando l'os... .-) Quindi il fatto che Midori abbia gravi problemi (da anni) rappresenta un falso problema per te? :) Forse non mi sono spiegato bene, non che voglia creare i problemi ne sottovalutarli, ma, data la mia curiosità, vorrei capire quali sono i problemi e, se possibile, risolverli. Per quanto riguarda il browser mi riferivo soprattutto a Epiphany, Medori l'ho installato di recente per vedere se "soffriva" delle stesse problematiche di Epiphany, ma volevo andare un po' più a fondo su queste e vedere se esistevano delle soluzioni dato che in rete non ho trovato molto su Epiphany ... https://security-tracker.debian.org/tracker/CVE-2010-3900 "Current Midori SSL support is very limited Midori should not be used if SSL support is important to you" Grazie, questo rende Midori un browser poco utilizzabile anche per vedere i video di youtube. In questo momento la mia necessità primaria è quella di usare un browser per vedere i video di youtube, niente altro. L'unico che funziona in questo senso è ancora Chromium ma, dato che è una versione un po' datata temo che fra non molto anche questo smetta di funzionare. ... Iceweasel pur gestendo i siti protetti non permette di usare l'html5 e quindi posso vedere i video di youtube solo con i plugin di Flash nonfree che, essendo anche questo a una versione un po' datata, non funziona con le ultime versioni del plugin di Flash. Ho tentato di usare vlc per vedere i video di youtube facendo copia e incolla degli indirizzi dei video sul menu media apri un flusso di dati ma niente da fare il video non viene caricato (è molto probabile che lo stesso problema di sll rilevato su epiphany influenzi anche vlc) Insomma è una bella situazione :-) Aggiungerei anche questo: https://www.debian.org/releases/testing/i386/release-notes/ch-information.en.html#browser-security Grazie Christian delle info. ciao Christian Au Revoire Hugh Hartmann
Re: Epiphany e Midori non si connettono ai siti https
Il 18/07/2016 15:05, Giuseppe Sacco ha scritto: Ciao Hugh, Ciao Giuseppe, che piacere ri-sentirti ... :-) Il giorno lun, 18/07/2016 alle 14.25 +0200, Hugh Hartmann ha scritto: Ciao Gabriele e un saluto "interrogativo" si propaga a tutti i partecipanti alla lista ... :-) [...] Credo che la curiosità e il desiderio di conoscenza siano insiti in ogni essere umano, poi i ritmi frenetici di questo sistema disumano non permettono di avere il tempo per poter considerare e sviluppare questi aspetti, secondo me fondamentali. Ecco perchè mi piacerebbe conoscere i motivi che stanno dietro ai problemi e, magari anche a risolverli o ottenere qualche aiuto, consiglio per imparare così altre cose ancora ... il problema è che gli algoritmi vengono sempre migliorati, oppure vengono esclusi. Per questo motivo è importante avere la libreria openssl sempre aggiornata. Un aggiornamento di questo tipo sarebbe certo comodo, ma non è nella modalità di Debian: un nuovo algoritmo non è un motivo valido per un aggiornamento della sicurezza Debian. Oltre al fatto che le vecchie openssl non hanno nuovi algoritmi, c'è anche il problema dell'utilizzo di questi algoritmi da parte dei programmi. Ci sono programmi, come ad esempio apache, che richiedo l'elenco degli algoritmi da supportare in un certo formato. Questa configurazione viene letta da apache e poi convertita nel formato di openssl, vale a dire che l'applicativo apache deve essere a conoscenza dei vari algoritmi (e quindi andrebbe aggiornato anche lui). In contemporanea si diffondono modalità operative che fanno in modo da proteggere i siti web, disabilitando algoritmi poco sicuri. Aumentano a visto d'occhi siti che propongono configurazioni precotte per server web: https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/ A questo punto dovresti ricompilare la openssl nuova sulla debian vecchia, gestendo tutte le dipendenze. Dovresti rifarlo ogni volta che esce un aggiornamento di sicurezza, oppure una nuova debian. Poi ti può capitare che alcuni programmi abbiamo la loro openssl collegata staticamente anziché dinamicamente, oppure ti può capitare che alcuni programmi non gestiscano le modifiche alla ABI di openssl. Dopo questa lunga premessa, potresti provare a scaricare i sorgenti del pacchetto debian openssl nuovo, installare il pacchetto "build- essential" e i vari pacchetti di dipendenze di openssl e libssl1.0.0. ricompilare quei pacchetti e installarli. Se sei fortunato te la cavi con poco, altrimenti sarà più complesso. Infine, riguardo la motivazione dell'esclusione dei vari algoritmi di cifratura, puoi documentarti a partire dal link che ho riportato sopra. Grazie Giuseppe per le utili e importanti informazioni, vedrò di seguire i tuoi consigli e ricompilare una versione di opessl più recente e relative dipendenze e poi ... incroceremo le dita .. :-) Ciao, Giuseppe Au Revoire Hugh Hartmann
Re: Epiphany e Midori non si connettono ai siti https
Il giorno lun, 18/07/2016 alle 14.25 +0200, Hugh Hartmann ha scritto: > Ciao Gabriele e > un saluto "interrogativo" si propaga a tutti i partecipanti alla lista > ... :-) > > Il 30/06/2016 00:55, Gabriele Stilli ha scritto: > > Il 29/06/2016 21:47, Hugh Hartmann ha scritto: > > > >> Quindi non so proprio cosa fare ... si, ci sono altri siti https che > >> effettivamente non permettono di essere esplorati sia con epiphany che > >> con midori dato che appare il solito errore: > >> > >> SSL handshake failed: A TLS fatal alert has been received. > > > > Provato anche con altri browser, magari non Gtk-based? > > Credo che la curiosità e il desiderio di conoscenza siano insiti in ogni > essere umano, poi i ritmi frenetici di questo sistema disumano non > permettono di avere il tempo per poter considerare e sviluppare questi > aspetti, secondo me fondamentali. Ecco perchè mi piacerebbe conoscere i > motivi che stanno dietro ai problemi e, magari anche a risolverli o > ottenere qualche aiuto, consiglio per imparare così altre cose ancora ... > > Ergo, non vorrei sostituire i browser solo perchè hanno dei problemi, se > no si potrebbe tornare alla vecchia mentalità, ancora in uso negli > utilizzatori di wilsonz, che se c'è qualcosa che non va, si risolve > ri-installando l'os... .-) Quindi il fatto che Midori abbia gravi problemi (da anni) rappresenta un falso problema per te? :) https://security-tracker.debian.org/tracker/CVE-2010-3900 "Current Midori SSL support is very limited Midori should not be used if SSL support is important to you" Aggiungerei anche questo: https://www.debian.org/releases/testing/i386/release-notes/ch-information.en.html#browser-security ciao Christian
Re: Epiphany e Midori non si connettono ai siti https
Ciao Hugh, Il giorno lun, 18/07/2016 alle 14.25 +0200, Hugh Hartmann ha scritto: > Ciao Gabriele e > un saluto "interrogativo" si propaga a tutti i partecipanti alla > lista > ... :-) [...] > Credo che la curiosità e il desiderio di conoscenza siano insiti in > ogni > essere umano, poi i ritmi frenetici di questo sistema disumano non > permettono di avere il tempo per poter considerare e sviluppare > questi > aspetti, secondo me fondamentali. Ecco perchè mi piacerebbe conoscere > i > motivi che stanno dietro ai problemi e, magari anche a risolverli o > ottenere qualche aiuto, consiglio per imparare così altre cose ancora > ... il problema è che gli algoritmi vengono sempre migliorati, oppure vengono esclusi. Per questo motivo è importante avere la libreria openssl sempre aggiornata. Un aggiornamento di questo tipo sarebbe certo comodo, ma non è nella modalità di Debian: un nuovo algoritmo non è un motivo valido per un aggiornamento della sicurezza Debian. Oltre al fatto che le vecchie openssl non hanno nuovi algoritmi, c'è anche il problema dell'utilizzo di questi algoritmi da parte dei programmi. Ci sono programmi, come ad esempio apache, che richiedo l'elenco degli algoritmi da supportare in un certo formato. Questa configurazione viene letta da apache e poi convertita nel formato di openssl, vale a dire che l'applicativo apache deve essere a conoscenza dei vari algoritmi (e quindi andrebbe aggiornato anche lui). In contemporanea si diffondono modalità operative che fanno in modo da proteggere i siti web, disabilitando algoritmi poco sicuri. Aumentano a visto d'occhi siti che propongono configurazioni precotte per server web: https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/ A questo punto dovresti ricompilare la openssl nuova sulla debian vecchia, gestendo tutte le dipendenze. Dovresti rifarlo ogni volta che esce un aggiornamento di sicurezza, oppure una nuova debian. Poi ti può capitare che alcuni programmi abbiamo la loro openssl collegata staticamente anziché dinamicamente, oppure ti può capitare che alcuni programmi non gestiscano le modifiche alla ABI di openssl. Dopo questa lunga premessa, potresti provare a scaricare i sorgenti del pacchetto debian openssl nuovo, installare il pacchetto "build- essential" e i vari pacchetti di dipendenze di openssl e libssl1.0.0. ricompilare quei pacchetti e installarli. Se sei fortunato te la cavi con poco, altrimenti sarà più complesso. Infine, riguardo la motivazione dell'esclusione dei vari algoritmi di cifratura, puoi documentarti a partire dal link che ho riportato sopra. Ciao, Giuseppe
Re: Epiphany e Midori non si connettono ai siti https
Ciao Gabriele e un saluto "interrogativo" si propaga a tutti i partecipanti alla lista ... :-) Il 30/06/2016 00:55, Gabriele Stilli ha scritto: Il 29/06/2016 21:47, Hugh Hartmann ha scritto: Quindi non so proprio cosa fare ... si, ci sono altri siti https che effettivamente non permettono di essere esplorati sia con epiphany che con midori dato che appare il solito errore: SSL handshake failed: A TLS fatal alert has been received. Provato anche con altri browser, magari non Gtk-based? Credo che la curiosità e il desiderio di conoscenza siano insiti in ogni essere umano, poi i ritmi frenetici di questo sistema disumano non permettono di avere il tempo per poter considerare e sviluppare questi aspetti, secondo me fondamentali. Ecco perchè mi piacerebbe conoscere i motivi che stanno dietro ai problemi e, magari anche a risolverli o ottenere qualche aiuto, consiglio per imparare così altre cose ancora ... Ergo, non vorrei sostituire i browser solo perchè hanno dei problemi, se no si potrebbe tornare alla vecchia mentalità, ancora in uso negli utilizzatori di wilsonz, che se c'è qualcosa che non va, si risolve ri-installando l'os... .-) Gabriele :-) Au Revoire Hugh Hartmann
Re: Epiphany e Midori non si connettono ai siti https
Il 29/06/2016 21:47, Hugh Hartmann ha scritto: > Quindi non so proprio cosa fare ... si, ci sono altri siti https che > effettivamente non permettono di essere esplorati sia con epiphany che > con midori dato che appare il solito errore: > > SSL handshake failed: A TLS fatal alert has been received. Provato anche con altri browser, magari non Gtk-based? Gabriele :-)
Re: Epiphany e Midori non si connettono ai siti https
Il 26/06/2016 18:31, Hugh Hartmann ha scritto: Un saluto "crittografico" si dirama a tutti i partecipanti alla lista ... :-) Ciao a tutti. Capisco l'antipatia per Gnome3, ma al tuo posto sceglierei un altro DE magari più simile al Gnome2, quale ad es. MATE, ma aggiornerei assolutamente la versione di Debian. MATE si può scegliere tranquillamente già nel tasksel durante l'installazione di Debian, ed oltretutto nei settaggi "estetici" esiste un'impostazione per impostare i pannelli in maniera assolutamente identica al Gnome2. A quanto vedo anche dalle info ufficiali, Squeeze non riceve più aggiornamenti già da febbraio 2016 [1], quindi il rischio è quello di perdersi patch di sicurezza importanti... ci penserei due volte. Buona giornata, Nick [1] https://www.debian.org/releases/squeeze/ -- +-+ | Linux User #554252 | +-+
Re: Epiphany e Midori non si connettono ai siti https
On 26/06/2016 18:31, Hugh Hartmann wrote: Premetto che uso ancora una Debian squeeze 6.0.10 con Gnome2 La pagina 'https://www.youtube.com/watch?v=qR7I0KGIvXI' non può essere caricata. SSL handshake failed: A TLS fatal alert has been received. sono stati trovate diverse falle importanti recentemente. Probabilmente puoi riuscire a farli funzionare se riesci ad aggiornare le varie librerie SSL... almeno penso sia questo il problema. Ciao Davide -- Dizionari: http://linguistico.sourceforge.net/wiki I lati oscuri del secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/whitepaper-web Petizione contro il secure boot: https://www.fsf.org/campaigns/secure-boot-vs-restricted-boot/statement GNU/Linux User: 302090: http://counter.li.org Non autorizzo la memorizzazione del mio indirizzo su outlook
Epiphany e Midori non si connettono ai siti https
Un saluto "crittografico" si dirama a tutti i partecipanti alla lista ... :-) Ormai non posso più navigare nemmeno su youtube sia con epiphany che con midori. Premetto che uso ancora una Debian squeeze 6.0.10 con Gnome2 e che non posso aggiornare alla 7 dato che dovrei usare gnome3 che detesto per vari motivi ... :-) Gli errori che appaiono quando tento di collegarmi ai siti con protocollo https sono tutti di questo tipo: La pagina 'https://www.youtube.com/watch?v=qR7I0KGIvXI' non può essere caricata. SSL handshake failed: A TLS fatal alert has been received. Ora se si potesse trovare una versione di epiphany in cui si è risolto questo problema o un indicazione su come agire su file di configurazione o anche ricompilare i sorgenti sarei veramente contento ... :-) La versione di epiphany-browser che uso è la 2.30.6-1. Magari c'è un backport per la squeezy di una versione successiva. Ho tentato di guardare in rete ma non ho trovato molto inerente al problema. Thanks! Au Revoire Hugh Hartmann -- CONFIDENTIALITY NOTICE This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content here of is prohibited. Please return it immediately to the sender and delete the message. Thank you
