Иногда хочется mTLS. Если совсем грубо, то это когда не только сервер предъявляет клиенту свой X509-сертификат, но и клиент серверу (на самом деле это только частный случай, но обычно делают именно так).
В разных браузерах хранилище пользовательских сертификатов реализовано по-разному. Например, у Mozilla Firefox оно своё собственное, а всякие там Edge и прочие Chrome используют system-wide хранилище.
ЧитатьНа хабре появился пост (https://habr.com/ru/company/globalsign/blog/460987/) о нехороших плагинах для Chrome и Firefox, которые (зачастую) безведома пользователя, за ним подглядывают.
Суть: некая контора (Nacho Analytics) через плагины к указанным браузерам (список в конце поста), собирала с пользователей персональные данные:
Гугл снова нашел дыры в популярном софте, в этот раз в Adobe flash и Windows. Adobe оперативненько подготовила обновления и все кто использует автоматическое обновление плагина уже его получили. https://habrahabr.ru/post/314142/
А в виллабаджо … что они там делали? Посуду драили? В общем microsoft обновление пока не выпустил.
Еще в посте есть забавная статистика уязвимостей в разных браузерах. Общий смысл такой: в хроме, за последние пару лет, уязвимостей было найдено не меньше чем в IE и мозилле, но выполнить код на машине жертвы позволяли только 1-2% из них. В мозилле таких уязвимостей было 43%, в IE и Safari по 63%.
Есть над чем задуматься. Но блин сложно сменить превычный браузер, на пусть и хороший, но другой.
Рекомендую к ознакомлению стратью на хабре: http://habrahabr.ru/post/255333/, суть в том, что программа встраивается в ресурстный файл хрома, и встраивает рекламу в любые http страницы.
При этом, сама программа имеет валидную цифровую подпись компании Express Find. Проблема решается только сносом и переустановкой хрома.