Re: DD Single Sign On mit Firefox

To: debian-user-german@lists.debian.org
Subject: Re: DD Single Sign On mit Firefox
From: Ansgar <ansgar@43-1.org>
Date: Thu, 12 Dec 2019 09:18:48 +0100
Message-id: <[🔎] 8736dqhs7r.fsf@43-1.org>
In-reply-to: <[🔎] E1if7qc-008O2U-3e@drop.zugschlus.de> (Marc Haber's message of "Wed, 11 Dec 2019 20:40:34 +0100")
References: <[🔎] E1iehOO-008G4E-1i@drop.zugschlus.de> <[🔎] 87h8272rgc.fsf@43-1.org> <[🔎] E1if7qc-008O2U-3e@drop.zugschlus.de>

Marc Haber writes:
> On Wed, 11 Dec 2019 09:32:03 +0100, Ansgar <ansgar@43-1.org> wrote:
>>Marc Haber writes:
>>> Auf https://sso.debian.org/debian/certs/enroll/ bekomme ich nach dem
>>> Login mit Username und Passwort die Meldung "The browser does not seem
>>> to support the <keygen> feature". Ich benutze aktuellen Firefox
>>> (heute: 71.0).
>>
>>Firefox unterstützt das `keygen`-Element nur bis Version 69; in neueren
>>Versionen gibt es das nicht mehr.
>
> Also in Zukunft mit openssl herumrödeln, oder wie wird das in Zukunft
> gehen?

Theoretisch könnte man als Ersatz noch immer im Browser Schlüssel
erzeugen (Javascript mit Web Cryptography API oder so), siehe [1].  Das
müsste aber auch erstmal jemand für sso.d.o implementieren.

Also ja, erstmal mit openssl rumspielen. (Kann man Leuten eigentlich
auch nicht zumuten nur um tracker.d.o zu nutzen...)

  [1] https://html.spec.whatwg.org/multipage/obsolete.html#keygen

> Interessanterweise kommt man mit abgelaufenem SSO-Zertifikat nichtmal
> auf den sonst öffentlich zugänglichen Teil von tracker.debian.org. Das
> soll ja nun sicher nicht so sein, oder?

*seufz* Das UI für den ganzen Client-Zertifikatskram ist so
schrecklich, dass ich finde man sollte die überhaupt nicht für
Authentifizierung im Browser verwenden.

Beispielsweise der modale Dialog für die Zertifikatsauswahl, die
fehlende Möglichkeit ein anderes Zertifikat auszuwählen ohne den Browser
neu starten zu müssen, oder einfach die fehldene Möglichkeit sich wieder
abzumelden. Das ist auch Teil von deinem Problem: falsches Zertifikat
ausgewählt und man kann selbst öffentliche Seiten nicht mehr besuchen...

Das UI hat sich in den letzten Jahrzehnten auch Null verbessert; im
Vergleich etwa gab es für gespeicherte Passwörter deutliche
Verbesserungen (etwa kein modaler Dialog, sondern so ein an die
Adresszeile angedockten Dialog, der auch von alleine verschwindet wenn
man ihn nicht nutzt).

Da das aber auch praktisch niemand verwendet, erwarte ich auch nicht,
dass sich jemand die Mühe machen wird das UI zu verbessern. Mit dem UI
will man das Leuten aber auch nicht näher bringen, es bleibt also beim
klassischen Henne-Ei-Problem.

Im Zweifel muss man hoffen, dass sich FIDO2 oder so als Ersatz
durchsetzt.

Ansgar

Reply to:

References:
- DD Single Sign On mit Firefox
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>
- Re: DD Single Sign On mit Firefox
  - From: Ansgar <ansgar@43-1.org>
- Re: DD Single Sign On mit Firefox
  - From: Marc Haber <mh+debian-user-german@zugschlus.de>

Prev by Date: Re: Blootooth Device nicht verfügbar
Next by Date: Re: DD Single Sign On mit Firefox
Previous by thread: Re: DD Single Sign On mit Firefox
Next by thread: Re: DD Single Sign On mit Firefox
Index(es):
- Date
- Thread