<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On 1 August 2014 15:47, Julian Taylor <span dir="ltr"><<a href="mailto:jtaylor.debian@googlemail.com" target="_blank">jtaylor.debian@googlemail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div id=":1t8" class="" style="overflow:hidden">In this case if someone is able to do a MITM and controls one of the<br>


domains that share the certificate with mathjax that person would be<br>
able to redirect the request to <a href="http://mathjax.org" target="_blank">mathjax.org</a> to his domain and serve any<br>
file. The browser would accept this as the certificate is valid for the<br>
domain even though its a different one than the request was sent to.<br>
Or would the browser complain about the change in any case?</div></blockquote></div><br></div><div class="gmail_extra">I have opened an issue on Mathjax to work out if this is possible. It's probably most concerning for IPython, but if it's possible, it potentially affects any site loading Mathjax from the CDN.<br>

<br><a href="https://github.com/mathjax/MathJax/issues/885">https://github.com/mathjax/MathJax/issues/885</a><br><br>Thomas<br></div></div>