{"id":1005577,"authors":[{"id":14360741,"name":"Anon","url":"https://addons.mozilla.org/en-US/firefox/user/14360741/","username":"anonymous-abea0fc43d61bb377f812382473510e9","picture_url":null}],"average_daily_users":13,"categories":["privacy-security"],"contributions_url":"","created":"2018-10-23T16:54:37Z","current_version":{"id":5744084,"compatibility":{"firefox":{"min":"62.0","max":"*"}},"edit_url":"https://addons.mozilla.org/en-US/developers/addon/anti-mitm-tlscaptcha-poc/versions/5744084","file":{"id":4288383,"created":"2024-05-17T13:06:07Z","hash":"sha256:c27f82274576b59221093b167eedc4ae271ce831b5099099d3918174a54592ee","is_mozilla_signed_extension":false,"size":14256,"status":"public","url":"https://addons.mozilla.org/firefox/downloads/file/4288383/anti_mitm_tlscaptcha_poc-1.0.3.xpi","permissions":["cookies","tabs","webRequest","webRequestBlocking","webRequestFilterResponse","webRequestFilterResponse.serviceWorkerScript","https://*/*","http://*/*"],"optional_permissions":[],"host_permissions":[],"data_collection_permissions":[],"optional_data_collection_permissions":[]},"is_strict_compatibility_enabled":false,"license":{"id":6,"is_custom":false,"name":{"en-US":"GNU General Public License v3.0 only"},"slug":"GPL-3.0-only","url":"https://spdx.org/licenses/GPL-3.0-only.html"},"release_notes":{"en-US":"~ Content script is no more.\n~ Works properly with 'insecure context'.\n~ Breaking change: only PBKDF2 is supported as verification hash.\n+ Experimental feature: encrypted content support."},"reviewed":"2024-05-17T13:10:15Z","version":"1.0.3"},"default_locale":"en-US","description":{"en-US":"Every time when you solve CAPTCHA, the CAPTCHA answer can be used as a common secret for a short time. Mainly, It can be used to prevent TLS certificate spoofing.\n\nSince ordinary web pages (and their JavaScript) doesn't have access to TLS certificate data, I was have to make this extension. Actually it does the following:\n\nlet clientsideDigest = &lt;Digest of TLS certificate that you get from website you're visiting&gt;;\nlet yourAnswer = &lt;Your CAPTCHA answer&gt;;\nlet resultDigest = PBKDF2(clientsideDigest, \"SHA-512\", yourAnswer); \n//Where yourAnswer is PKBDF2 salt.\ncookies[\"TLSCaptcha\"] = representAsHexString(resultDigest);\n\nTo see it in action, you need to visit a website that have server-side implementation of this scheme.\nAt the moment of publishing this extension, there is no server-side implementations. If you want to make your own, please look into source code for details.\n\nNew additional featue: you can use this addon to establish additional encryption. See source code for details.","ru":"Каждый раз, когда вы проходите тест CAPTCHA (распознавание символов с изображения или речевой записи), ваш ответ в течении короткого времени может быть использован как общий секрет. Это можно использовать для предотвращения подмены сертификатов, в том числе массовой ( <a href=\"https://prod.outgoing.prod.webservices.mozgcp.net/v1/f1eff3cc0b230c282e6d818c7611f8575c199d92a19e200d7ccdea3c138fd32f/https%3A//habr.com/post/303736/\" rel=\"nofollow\">https://habr.com/post/303736/</a> ).\n\nИз-за того, что JavaScript на обычных веб-страницах не имеет доступа к данным TLS-сертификата  просматриваемого сайта, такой способ защиты можно реализовать только через создание расширения.\nЭто расширение присоединяет ваш ответ на CAPTCHA к отпечатку TLS-сертификата веб-сайта, который вы посещаете, и передает его веб-сайту через Cookies. Таким образом веб-сайт может одновременно и проверить правильность вашего ответа, и удостовериться в отсутствии подмены сертификата.\nСм. также: <a href=\"https://prod.outgoing.prod.webservices.mozgcp.net/v1/73b1001e27076e0f1bd52ad00124e3036651e99f456bf3bd75dbeeff2f9db5f1/http%3A//s01.geekpic.net/di-PKWLII.pn\" rel=\"nofollow\">http://s01.geekpic.net/di-PKWLII.pn</a>\n\nЧтобы это расширение работало правильно, требуется, чтобы на веб-сайте была реализована серверная часть данной схемы проверки. На момент публикации расширения таких сайтов еще не существовало.\nЧтобы реализовать данную схему защиты для своего сайта,  вам потребуется ознакомиться с исходным кодом расширения."},"developer_comments":{"en-US":"At the moment of publishing this extension, there is no server-side implementations. If you want to make your own, please look into source code for details. It's very simple to understand.\n\nWARNING: this extension cannot be ported to Chromium-based browsers due to API limitations.","ru":"Чтобы это расширение работало правильно, требуется, чтобы на веб-сайте была реализована серверная часть данной схемы проверки. На момент публикации расширения таких сайтов еще не существовало.\nЧтобы реализовать данную схему защиты для своего сайта, вам потребуется ознакомиться с исходным кодом расширения.\n\n<b>Важно!</b>\n1. При реализации серверной части имейте в виду, что ответ на CAPTCHA ни в коем случае не должен передаваться на сервер отдельно. Для выполнения проверки достаточно только Cookie-значения, которое создается расширением.\n2. Это расширение не может быть портировано на Google Chrome из-за ограничний API."},"edit_url":"https://addons.mozilla.org/en-US/developers/addon/anti-mitm-tlscaptcha-poc/edit","guid":"TLSCAPTCHA@anon","has_eula":false,"has_privacy_policy":false,"homepage":null,"icon_url":"https://addons.mozilla.org/user-media/addon_icons/1005/1005577-64.png?modified=0caf62c3","icons":{"32":"https://addons.mozilla.org/user-media/addon_icons/1005/1005577-32.png?modified=0caf62c3","64":"https://addons.mozilla.org/user-media/addon_icons/1005/1005577-64.png?modified=0caf62c3","128":"https://addons.mozilla.org/user-media/addon_icons/1005/1005577-128.png?modified=0caf62c3"},"is_disabled":false,"is_experimental":false,"is_noindexed":false,"last_updated":"2024-05-17T13:10:15Z","name":{"en-US":"Anti-MitM TLSCAPTCHA (PoC)","ru":"Anti-MitM TLSCAPTCHA (PoC)"},"previews":[],"promoted":[],"ratings":{"average":3.0,"bayesian_average":2.0783338210081728,"count":2,"text_count":1},"ratings_url":"https://addons.mozilla.org/en-US/firefox/addon/anti-mitm-tlscaptcha-poc/reviews/","requires_payment":false,"review_url":"https://addons.mozilla.org/en-US/reviewers/review/1005577","slug":"anti-mitm-tlscaptcha-poc","status":"public","summary":{"en-US":"This extension uses your CAPTCHA answer to verify TLS certificate that you get from website you're visiting. \nWarning: you can see it in action only if a website has server-side part of such verification scheme.","ru":"Это расширение позволяет реализовать дополнительную защиту с использованием ответов на CAPTCHA (ввод символов с картинки), чтобы предотвратить подмену TLS-сертификата.\n\n!!! Для работы расширения необходима реализация серверной части защиты!"},"support_email":null,"support_url":null,"tags":[],"type":"extension","url":"https://addons.mozilla.org/en-US/firefox/addon/anti-mitm-tlscaptcha-poc/","versions_url":"https://addons.mozilla.org/en-US/firefox/addon/anti-mitm-tlscaptcha-poc/versions/","weekly_downloads":0}