Доступен (https://www.mozilla.org/en-US/firefox/43.0.4/releasenotes/) корректирующий выпуск Firefox 43.0.4, в котором отменена блокировка сертификатов, выписанных после 1 января 2016 года и подписанных с использованием хэша SHA-1. Кроме того, в новой версии устранены две ошибки: крах (https://bugzilla.mozilla.org/show_bug.cgi?id=1235537) при запуске на системах с антивирусным ПО и некорректное (https://bugzilla.mozilla.org/show_bug.cgi?id=1233434) создание временных директорий при загрузке файлов, приводящее к проблемам в Linux-системах с несколькими активными пользователями Firefox.Причиной отмены блокировки стали (https://blog.mozilla.org/security/2016/01/06/man-in-the-midd.../) непредвиденные массовые проблемы (https://bugzilla.mozilla.org/show_bug.cgi?id=1236975) с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов. В качестве подобных прокси выступают не только навязанное пользователю spyware и adware, но и некоторые антивирусные программы. Любые запросы к защищённым сайтам на таких системах стали приводить к выводу ошибки и полной невозможности открытия сайтов по HTTPS. Сообщается, что Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит её в одном из ближайших выпусков. В свежих обновлениях популярных антивирусных программ уже прекращено использование SHA-1, а пользователи устаревших систем смогут отключить блокировку SHA-1 в about:config (security.pki.sha1_enforcement_level=0).
Напомним, что Facebook (http://arstechnica.com/security/2015/12/sha1-sunset-will-blo.../), Twitter (https://blog.twitter.com/2015/sunsetting-sha-1) и CloudFlare (https://blog.cloudflare.com/why-its-harder-to-forge-a-sha-1-.../) выступают против вступившего с 1 января запрета (https://cabforum.org/baseline-requirements/) на использование SHA-1 удостоверяющими центрами. Они предлагают разрешить выдавать сертификаты с SHA-1, но только в том случае, если организации уже выдан сертификат на базе SHA256 и по умолчанию задействован для современных браузеров с его поддержкой. Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256. Для таких пользователей предлагается предусмотреть возможность продолжения использования сертификатов с SHA-1.
Что касается безопасности, то новые методы подбора позволяют (https://www.opennet.me/opennews/art.shtml?num=43124) выявить коллизию для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов. При этом речь ведётся о случайной коллизии, чего недостаточно (https://blog.cloudflare.com/why-its-harder-to-forge-a-sha-1-.../) для подделки сертификата c рандомизированным серийным номером. Для создания поддельного сертификата коллизия должна охватывать корректный серийный номер, что существенно усложняет трудоёмкость атаки и при текущем развитии технологий делает её внедрение для организации массовой слежки маловероятной.URL: https://blog.mozilla.org/security/2016/01/06/man-in-the-midd.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43635
"Непредвиденные", Карл!! Ибланство, как оно есть.
Поливать грязью только потому что бета тестеры не выявили проблему на ранней стадии глупо
Бета-тестеры виноваты...
> Поливать грязью только потому что бета тестеры не выявили проблему на ранней
> стадии глупоОни не успели -- спасибо дрист-релизам. Нет-нет, мы не виним бета-тестеров.
> "Непредвиденные", Карл!! Ибланство, как оно есть.а кто мог предвидить что Антивирусы это такое говно?
вообще говоря ясно же что эти антивирусы только всё портят, когда вклиниваются в работу web-браузера...
...и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояние при котором при антивирусной работе подмена сертификата не срабатывает корректно.
--------------------------------------------------
ну а как же например протокол "The Public Key Pinning Extension for HTTP (HPKP)" ?
как этот протокол ведёт себя в случае работы через подмену сертификата говноантивирусом?
> и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состоянияДа никого она не может воспитать, да и не сможет.
> ...и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояние при котором при антивирусной работе подмена сертификата не срабатывает корректно.Ну вот допустим, что в firefox оставили, а в chrome -- откатились. В результате толпа народу перебежит с firefox на chrome. Вот такой вот эффект от "воспитательных целей". Им это надо?
Проблемы ибланов-вантузоидов с их антивирусами нас вообще не волнуют.
Кого вас?
Тех кто обходится без антивирусов.
... ибланов-вантузоидов без антивирусов же! :)
то отменят, то добавят - клоуны
радует только график использования фраерфокса
Не долго осталось.
Бледную луну начал присматривать, правда FireFox уж очень вперёд убежал и плагины возвращать к совместимым версиям тот ещё квест, но похоже всё же придётся. Слишком FireFox на монстра стал похож, с релизной сполз (тормозит заметно для простого визуального наблюдения, тупит и лагает) и пока на ESR ветке, но чую к окончанию поддержки данной версии нужно будет уже подготовить полный переход на Pale Moon.
> Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256а при чём тут браузер Mozilla Firefox (и вообще Mozilla) ? даже если говорить про Mozilla Firefox Mobile -- то при чём тут эти устройства?
Чучка не читатель?
> _Напомним_, что Facebook, Twitter и CloudFlare выступают против вступившего с 1 января запрета на использование SHA-1 _удостоверяющими центрами_.
зачем отменять блокировку когда можно было бы реализовать переключатель
Выводили бы плашку красную вместо зелёной что соединение уязвимо.
Видимо в момент просветления кто то из ФФ разработчиков вдруг понял, что если навязывать пользователю малозначащую х-ню - то пользователь проголосует ногами...
Это радует , это почти праздник. Гигантский шаг в перед в развитии нейронов головного мозга у девелоперов ФФ.
Проблема SHA-1 для 99.999% интернетовских помоек нерелевантна, и не имеет никакого значения для энд юзера. А важные и нужные сайты (для меня это ФБ и онлан банкинг например) уже давно обновили свои сертификаты..
Поддерживаю всеми частями тела Васян!
Всем юзерам FF стоит задуматься об альтернативе, с учетом того что Mozilla ложит болт на мнения своих пользователей.
Что там по плану? Выпилить XUL, заблокировать не подписанные дополнения, на втыкать сервисов партнеров. НУ успехов им, но без меня. Собственно судя по графику популярности FF им недолго осталось.
> болт на мнения своих пользователейКак раз они делают так, как удобно пользователям (в частности, мне). А не, пардон, кучке анонимных красноглазиков с опеннета.
В самом деле, хватит ругать Мозиллу за каждый чих. Они для вас сделали крутой бесплатный и (что важнее) свободный браузер. Естественно, они имеют право проводить легкие социальные эксперименты на его основе.> Выпилить XUL
Наконец-то это устаревшее гуано выпилят! Да, за некоторые интересные дополнения обидно, но скорость и многопроцессность требуют жертв. И ждем в будущем безболезненный переход на Servo.
> заблокировать не подписанные дополнения, на втыкать сервисов партнеров
т.е. хром со своими зондами лучше спокойно отключаемых сервисов и защиты от вредительских дополнений (которой нет в версии для гиков)?
> Всем юзерам FF стоит задуматься об альтернативе
Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.
> А не, пардон, кучке анонимных **** опеннета.Я вас не оскорблял. Но вы же не аноним вам можно.
>В самом деле, хватит ругать Мозиллу за каждый чих.В самом деле, не говорите мне что делать и я не скажу куда вам идти.
> Наконец-то это устаревшее гуано выпилят! Да, за некоторые интересные дополнения обидно, но скорость и многопроцессность требуют жертв. И ждем в будущем безболезненный переход на Servo.Очень хочется посмотреть, может еще количество юзеров упасть у FF или остались только адепты.
> т.е. хром со своими зондами лучше спокойно отключаемых сервисов и защиты от вредительских дополнений (которой нет в версии для гиков)?А я сказал про chrome? А версия для гиков это Developer Edition?
>Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.Самостоятельный, а есть еще не самостоятельный? Такой свободный что в Debian он Iceweasel.
Если закрыть глаза, то альтернатив нет.
> Я вас не оскорблял. Но вы же не аноним вам можно.Пардон, я не конкретно о ком-то, а о комментариях под новостям о Firefox в целом.
>> В самом деле, хватит ругать Мозиллу за каждый чих.
Туда же.
> А я сказал про chrome?
Грубо говоря, браузеров на сегодня два: Firefox и Chrome. IE/Edge в данном случае можно не считать, поскольку их или просто используют, или игнорируют. Соответственно, если не нравится Firefox, то достойной альтернативой может быть только Хром.
> А версия для гиков это Developer Edition?
Допустим. Итого, те, кому очень нужны левые дополнения, спокойно смогут их установить так. Обычно это нужно только гикам.
Если дополнение массовое, но по какой-то причине не подписано (странно, правда? наталкивает на некоторые размышления), то разработчикам наконец-то придется озаботиться попаданием в официальный список.> Очень хочется посмотреть, может еще количество юзеров упасть у FF или остались
> только адепты.Думаю, его можно начинать активно пропагандировать после внедрения electrolysis. Ну и поддержка хром-дополнений положительно скажется.
> Самостоятельный, а есть еще не самостоятельный?
Я к тому, что есть браузеры, которые делают на базе веб-движков из Qt/gtk, однако они без сильной экосистемы/инфраструктуры, и их нет смысла брать в расчет. Возможно, еще хромиум и его форки с удалением зондов, однако до уровня поддержки хрома им не дотянуть.
> Такой свободный что в Debian он Iceweasel.
Грубо говоря, форк ради форка. С вики дебиана:
> Iceweasel - это форк Firefox со следующей целью:
> 1. Бэкпорт обновлений безопасности в Debian stable версию
> 2. Исключение торговой марки Mozilla artwork (из-за пункта #1)
> Кроме того, в основном они будут идентичны.
>> Грубо говоря, браузеров на сегодня два: Firefox и Chrome. Соответственно, если не нравится Firefox, то достойной альтернативой может быть только Хром.Установите уже себе chromium без анальных зондов и живите полной жизнью.
А если очень хочется, то оперу или вивальди, ну или яндекс браузер.
Зачем нужен хромиум (в котором всякое есть) или его закрытые форки, если панда лучше?
> И ждем в будущем безболезненный переход на Servo.Надежды вьюнешев питают ... Они вон Вкл\Выкл жлементарный не осилили :) а то безболезненно заменят движок ... ню-ню :-\ Да и кто сказал что оно будет чем то стоящим?! Хипстота местная? Поживём - увидим, но то, что его пишут на неведомой муйне (ржавчине) - это скорее минус.
> Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.
И его считай нет :( Мазила породила, мазила и придушит.
> кто сказал что оно будет чем то стоящим?! Хипстота местная?Альтернатива: они не станут его внедрять и будут дальше иметь Gecko. Тоже не самый плохой вариант.
> то, что его пишут на неведомой муйне (ржавчине) - это скорее минус.
Его пишет Mozilla на языке Mozilla. Всё ок :)
> И его считай нет :( Мазила породила, мазила и придушит.
Конкретно, чем его душат прямо сейчас? Отменой блокировки SHA-1? (:
Я вот не могу понять, чем им SHA-1 помешал. Ну есть владелиц сертификата пусть он и думает, а ваше дело поддерживать.
> Я вот не могу понять...Бедненький. А у тебя в селе сопроцессоры к мозгам не продают? Для ускорения ментальных процессов полезно.
Нет не продают. Вам бы багфикс наложить, а то хамло вылазит.
а это у разрабов ИБ головного мозга. запретить sha1 только потому, что сферический суперкомпьютер в вакууме при определённой фазе луны за пару месяцев сможет подобрать коллизию - это слишком радикально (мягко говоря). да с бюджетом в $100K за несколько месяцев проще разработать 0-day эксплойт, и ещё бабло останется
>Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит еёКаламбурщики :D
> массовые проблемы с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов.можно подумать это (проблемы у MITM-щиков) плохо :-)
Спасибо за указание опции, включил у себя.
Пришлось на работе снести ФФ нафиг, т.к. не один сайт по HTTPS после праздников не открывается. Ни обновление, ни ключ в конфиге не помогают. То ли офисный фаервол, то ли "Касперский", но разбираться с этим недосуг, тем более, что все остальные альтернативные броузеры нормально работают.
Вендузятник должен страдать.
Офис, корпоративная политика и всё такое... На работе страдаю.
Если бы "браузеры" не встраивали кучу блоатваре и, как уже упомянуто, выскакивающую всякую дрянь (дебильные вопросы, подсказки, переводы), им бы было больше доверия. И относились со всей серьезностью к рекомендациям.А пока все эти потуги убрать дырявое шифрование для рядового пользователя выглядят лишь как очередной баннер "Адоб флешпреел обновился! Скачать без СМС голые писечки! Азазаза!"