Впервые за время проведения мероприятия Pwn2Own, участники которого демонстрируют рабочие техники эксплуатации ранее неизвестных уязвимостей, Firefox не вошёл (http://community.hpe.com/t5/Security-Research/Zero-Day-Initi...) в список призовых категорий, в которых проводятся соревнования по взлому. По словам (http://www.eweek.com/security/pwn2own-hacking-contest-return...) представителя оргкомитета, в нынешнем году предпочтение отдано только браузерам, в которых за последний год вносились серьёзные улучшения в области усиления безопасности.Среди целей для проведения атак в этом году предложены:
VMware Workstation, Google Chrome, Microsoft Edge,
Adobe Flash и Apple Safari, вознаграждение за демонстрацию 0-day уязвимостей для которых составит $75000, $65000, $65000, $60000 и $40000, соответственно. Призовой фонд, который предоставлен компаниями Hewlett Packard Enterprise (HPE), Trend Micro
и Google (Zero Day Initiative), составит более полумиллиона долларов.URL: http://www.eweek.com/security/pwn2own-hacking-contest-return...
Новость: http://www.opennet.me/opennews/art.shtml?num=43891
Надо было допустить 46-ую лису с включенным W^X
А смысл?
Hewlett Packard Enterprise (HPE), Trend Micro и Google (Zero Day Initiative),
Потому её и сняли с соревнований по откровенно надуманной причине.
Вот и правильно. А фурифокс пусть и дальше обрастает всякими закрытыми сервисами типа хелло и покет
Hello (он же Loop server), вроде открыт
https://wiki.mozilla.org/Loop
https://github.com/mozilla-services/loop-server
> Hello (он же Loop server), вроде открыт
> https://wiki.mozilla.org/Loop
> https://github.com/mozilla-services/loop-serverЕсли сервис крутится не у тебя, то это не имеет значения.
sync тоже не нужен?
> sync тоже не нужен?Конечно.
Тогда ни один сервис не нужен. Даже если крутится у тебя, то можно получить доступ тем или иным образом. И локальные данные не нужны. Держитесь подальше от техники. Это самый верный способ не потерять данные.
> А фурифокс пусть и дальше обрастает всякими закрытыми сервисами типа хелло и покетМожет, есть ещё надежда на выздоровление (и заодно возвращение Айка)... не знаю.
Наглядный пример того, что получается с маркетоидами вместо специалистов у руля.
ещё теперь говорят workers пожаловал...
Причём (вменяемых) специалистов в Mozilla на самом деле довольно много, они очень открыты и полны энтузиазма. Но кое-кому очень хочется захватить мир, и ради этой цели...
Hello и Pocket вынесут в отдельные дополнения, успокойтесь.Вы еще забыли протестовать против Firefox Sync. Он тоже запущен не на вашем сервере, а на серверах Mozilla.
На самом деле Firefox в настройках по умолчанию использует очень много сервисов с сайтов Mozilla и Google! В на githabe есть проект RosenFox к которому идёт инструкция на 50 страницах, что нужно изменить в настройках Firefox, чтобы он был приемлемо безопасным и приватным. Ведь собирают и информацию о wi-fi сетях покруг компьютера, и о железе, и где я там мышкой провёл мимо какого объекта, и куда ходил, и какие плагины у меня установлены.
Жуть какая-то. Думаю Мозиллатим не сама всю эту собранную информацию используется, а перепродаёт( за спонсорскую поддержку) рекламным компаниям, типа того же Гугла, Яндекса, Озона, майл.ру и тд. Может и в других браузерах много плохих установок, так они хоть не дают это исправить :), а тут исправить можно , но нужно потратить полчаса, не меньше.
https://github.com/RamiRosenfeld/Rosenfox/blob/master/About-...
Да, а флеш, конечно, совсем другое дело!
ну шо тут можно сказати? слава фаерфоксу!
Мозилле слава!
>>представителя оргкомитета, в нынешнем году предпочтение отдано только
>>браузерам, в которых за последний год вносились серьёзные улучшения в области
>>усиления безопасности.<сарказмоде>энто говорит о том, что фаерфокс изначально защищен по самое не балуйся, единственное, что нужно это дизайнерские фищечки</сарказмоде>
> серьёзные улучшения в области усиления безопасности.
> Microsoft Edge, Adobe FlashО ДА!
>> серьёзные улучшения в области усиления безопасности.
>> Microsoft Edge, Adobe Flash
> О ДА!+1
++1
Ну так говорится не о текущем уровне, а об улучшении относительно того, что было раньше.
Может им просто очень хочется платить
Ну во флеше явно больше дыр закрылось, чем в лисе.
Скоро Flash под Linux вообще закроют, если вдруг Google чего учудит с Chrome. Будет полная и безоговорочная безопасность.
Знаешь, а Edge довольно неплох, по всей видимости ишаком сейчас занялась добротная команда, и несмотря на вполне отличную работу репутация изрядно подмочена.
> Знаешь, а Edge довольно неплох, по всей видимости ишаком сейчас занялась добротная
> команда, и несмотря на вполне отличную работу репутация изрядно подмочена.я, конечно, знал, что некоторые линуксоиды и бсдшники (не буду показывать пальцем) странные, но чтобы настолько...
Правду говорите. За то Вас и минусуют.
> Правду говорите. За то Вас и минусуют.ну не знаю, пока итоговая оценка комментарию +1 :)
серьёзно, кто-нибудь вообще тыкал UI ежа и десяточки в целом? Пальцетык во все поля и гигантские кнопки и менюшки, срамота!
В плане поддержки стандартов и скорости оно неплохое, остальное... ну, как всё в винде - но это уже вопрос общей политики
Тыкал. Срань. Полная. Глаза болят через несколько минут. Шрифты отвратно выглядят, и это не лечится. Белый во все поля. Рамок окон толком не видно, границ областей тоже. Кнопки подсвечиваются слабо. Куча всевозможного дерьма в оболочке и программах. Короче, восьмёрочка на ЛСД. Масса странностей в работе. Шпионаж. И далее по списку. И да, она падает в синенький экран ))) Все приложения лицензионные, никаких пираток и кряканых игр.
ЗЫ. Лицензия. Имел крайне сомнительную честь познакомиться на купленном не мной ноуте до её благополучного сноса и установки нормальной системы. Юзал пару дней.
Семёрка была не в пример лучше...
> Семёрка была не в пример лучше...Так уже микрософт выпустила давно следящие обновления и для Виндовс 7/8.. Чего же микрософтовским серверам телеметрии проставивать? :)
Вот ссылка на номера этих обновлений http://www.securitylab.ru/blog/personal/bezmaly/246571.php
>> серьёзные улучшения в области усиления безопасности.
>> Microsoft Edge, Adobe Flash
> О ДА!Кто платит, тот и танцует, или как-то так.
теперь лучше чем армяне
История с Netscape Navigator повторяется снова. Как и ожидалось.
Зато толерантно пропустили в руководители представителя меньшинства...
Тогда всё вполне естественно, если у руля трубочист, жди беды.
Хухл был спонсором, вот и не пропустил. Все куплено!
"We don't discuss publicly how the sponsorship works"дальше можно не продолжать :)
Все просто. Внедрили скрытые бэкдоры, замаскированные под ошибки, в свои ПО и теперь хотят понять смогут обнаружить их или нет. Если не смогут, то АНБ занесет центик.
Компания Мозилла мне кажется давно коррумпирована рекламными компаниями и работает на них. Соплями изойдёшь, пока все их прорехи в приватности и безопасности вылечишь. Лажа какая-то становится, а не браузер..
IceCat и TorBrowser для брожения по Интернету. На каких-то индидумальных сайтах можно зайти с помощью распространнёных браузеров.
Ещё как вариант настроить Firefox хотя бы по инструкции проекта RosenFox
тогда он может какие-то тесты и пройдёт на https://panopticlick.eff.org
А по умолчанию на этом тесте ни одной зелёной галочки не наблюдается!!!
iceweasel(дебиановское переименование лисы) 44 получил галочки в первых двух тестах, не получил во вторых двух. При этом я не понимаю чем хороша галочка в третьем тесте, с чего бы вера на слово 3rd party это здорово.
firefox 4.0.2 получил то же самое.
> iceweasel(дебиановское переименование лисы) 44 получил галочки в первых двух тестах, не
> получил во вторых двух. При этом я не понимаю чем хороша
> галочка в третьем тесте, с чего бы вера на слово 3rd
> party это здорово.Получить можно и версии для виндовс две галки, включив не отслеживать в настройках и в about:config выставить privacy.tracking.
я так понимаю там не только ссылки на третьи сайты блокируются , но и обращение из скриптов. Так что это важно, причём запретить privacy.trackingprotection.enabled в значение true. Но тут другая проблема, что этот список следящих сайтов скачивается с сайта Мозиллы, то есть поведение управляется из вне. Что плохо, так названия сайтов легко быстро поменять.
> Ещё как вариант настроить Firefox хотя бы по инструкции проекта RosenFox
> тогда он может какие-то тесты и пройдёт на https://panopticlick.eff.org
> А по умолчанию на этом тесте ни одной зелёной галочки не наблюдается!!!RosenFox это самопальная "сборочка", которая остановилась во времена Firefox 4/5?
Я думал, что сборочки от васянов вымерли вместе с прекращением эры Windows XP.
>> Ещё как вариант настроить Firefox хотя бы по инструкции проекта RosenFox
>> тогда он может какие-то тесты и пройдёт на https://panopticlick.eff.org
>> А по умолчанию на этом тесте ни одной зелёной галочки не наблюдается!!!
> RosenFox это самопальная "сборочка", которая остановилась во времена Firefox 4/5?
> Я думал, что сборочки от васянов вымерли вместе с прекращением эры Windows
> XP.Сейчас это не сборка как таковая, а обновляемая инструкция на джитхабе, там же выложены файлы js, для безопасного поиска в поле "Поиск".
> Ещё как вариант настроить Firefox хотя бы по инструкции проекта RosenFox
> тогда он может какие-то тесты и пройдёт на https://panopticlick.eff.org
> А по умолчанию на этом тесте ни одной зелёной галочки не наблюдается!!!Вы осознаёте, что можно натюнинговать браузер так, чтобы он проходил все тесты, но вы первый откажетесь им пользоваться? Потому что это будет похоже на секс в гамаке в противогазе. Стоя.
> Вы осознаёте, что можно натюнинговать браузер так, чтобы он проходил все тесты,
> но вы первый откажетесь им пользоваться? Потому что это будет похоже
> на секс в гамаке в противогазе. Стоя.В IceCat при старте открывает страничку с некоторым количеством настроек, выключаешь javascript и все сайты более менее нормально работают. Даже гугловская навороченная почта имеет безджаваскриптовский вариант.
Тест Panoptic.EFF.org в IceCat не завершается, оставлял его на сутки даже, Может оно так и должно быть! В ICeCat есть плагин, который борется с определением отпечатка браузера на сайтах SpyBlock, похоже работа этого плагина и приостаналивает выполнение этого теста. Вы просто себя запугали,что без современных технологий интернет работать не будет. Будет и работает!
4 звёздочки пока я видел только на одном браузере -Tor Browser и то с дополнительным плагином Privacy Badger. Без этого плагина Tor набирает только три "звезды". Причём ни в торе, ни ледяном коте javascript не отключены!
Основная проблема -в 4 звёздочке, браузер должен оставить довольно распространнёный в данный момент отпечаток ! Что при самостоятельных настройках довольно сложно сделать, так как каждый на свой вкус и цвет бедет настраивать браузер, ставить разные плагины, использовать разные шрифт итд. Оптимальный вариант -брать уже нормально настроенную сборку,которую использует довольно большое количество людей и тогда трафик будет трудно отличить от других. Идеальный вариант на текущий момент -это Тор, Icecat не очень пока распростарнён. Тем более у тора нет проблем с уникальностью IP и нет проблемы с отсылкой dns запросов твоему провайдеру(который тоже собирает ифнормацию с помощью СОРМ о действиях своих клиентов) . Если у кого получится на Firefoxe сделать 4 звезды на этом тесте, то просьба составить инструкцию и выложить её здесь
https://forum.mozilla-russia.org/viewtopic.php?id=69306
У меня больше 3 звёздочек не вышло пока что!
3 из 4-х галочек зеленые. Только do-not-track сфейлился. Стоит носкрипт, адблок и куки кипер. ЧЯДНТ?
> 3 из 4-х галочек зеленые. Только do-not-track сфейлился. Стоит носкрипт, адблок и
> куки кипер. ЧЯДНТ?Адблок хоть и довольно распространён, но придаёт браузеру больше уникальности. Вообще дополнительные плагины зло, особенно самостоятльно поставленные, это делает браузер с уникальным цифровым отпечатком и вы зайдя даже с разных подсетей, будете всё равно идентифицированы! Кстати на сайты Мозиллы и гугла Firefox в настройках по умолчанию отсылает ну очень много информации.
Об этом можно почитать здесь https://github.com/RamiRosenfeld/Rosenfox/blob/master/About-...
Ну и на сайтах Мозиллы этот сбор информации тоже не скрывают
https://www.mozilla.org/ru/privacy/firefox/
Так звездочки показывают,что где-то нехорошо у вас там-то, но не показывают где ещё в вашем браузере очень плохо. Плагины почти ничего не делают в настройках браузера, а только работают в основном со страничками, которые попадают в браузер. Вообще должна быть утилита опенсурсная, которая при запуске показывает что и где не так куда отсылается и перенастраивает компьютер, чтобы слежка была невозможна. Нужно объединять Disable tracking windows 10+ rosenfox+privacy setting и ещё много других проектов в один типа "антитреккинг" и периодически, чтобы можно было его запускать и проверять не отсылает ли вчера установленный калькулятор все мои файлы куда-либо в Китай. А ещё делать лучше внешний анализатор трафика(с эзернетом и wi-fi), который
будет показывать эту слежку и при желании блокировать её. Если я не хожу браузером на такие-то сайты, то зачем мне трафик непонятно куда...
> Лажа какая-то становится, а не браузер..
> IceCat и TorBrowser для брожения по Интернету. На каких-то индидумальных сайтах можно
> зайти с помощью распространнёных браузеров.Интересная логика. Покрываем гуа^WFireFox розовой краской, опрыскиваем оделколоном и получаем избавленный от проблем браузер?
>> Лажа какая-то становится, а не браузер..
>> IceCat и TorBrowser для брожения по Интернету. На каких-то индидумальных сайтах можно
>> зайти с помощью распространнёных браузеров.
> Интересная логика. Покрываем гуа^WFireFox розовой краской, опрыскиваем оделколоном и
> получаем избавленный от проблем браузер?Ну он же опенсурс пока, значит можно выпилить напильником всю слежку за пользователями и сделать нормальным. Тут же не логотипы просто меняются, а поведение этого браузера! Так что IceCat и Tor -это не перекрашеная блондинка Firefox!
Edge и Safari как то не вписываются в эту картину.
Самый защищённый браузер -- lynx. ;-)
> Самый защищённый браузер -- lynx. ;-)а самый защищённый протокол Интернета gopher :) Кстати эти сайты ещё работают, даже сделали там свою поисковую систему Вероника. А для Фарефокс есть плагин включающий обратно поддержку протокол gopher , называется OverbiteFF. Прикольно очутиться в Интернете 20 летней давности.
непонятно, почему такие маленькие призы. нормальная 0day уязвимость на черном рынке может стоить значительно дороже. в разы.
> непонятно, почему такие маленькие призы. нормальная 0day уязвимость на черном рынке может
> стоить значительно дороже. в разы.Это не проф.спорт, а любительский. Шляпы не такие чОрные.
а какая разница где будет найдена 0day уязвимость? в проф соревновании или в любительском?
> а какая разница где будет найдена 0day уязвимость? в проф соревновании или
> в любительском?Ты ж сам написал наверху, что цены разные. Забыл уже??
Я про проф./люб. больше шутил, олимпизм и проч. А суть была про белые-чёрные шапки. Белые публикуют и отдают авторам софта, чёрные барыжат хацкерам и пр.вражим силам.
я все это понимаю. но спонсоры ж не просто так это все устраивают. они ж наверное хотят засекьюрить свой продукт. поэтому для них было бы круче, если бы цены на уязвимости от корпораций были-таки повыше. а иначе любой мало-мальски раскрученный ботнет уже имеет преимущество перед ними на рынке.
>а какая разница где будет найдена 0day уязвимость? в проф соревновании или в любительском?«Любитель» с гораздо меньшей вероятностью пойдёт продавать уязвимость на чёрный рынок, чем «профессионал».
Ахахахах, по их мнению Flash защищённее Firefox?...Хотя может наоборот - "чо его ломать этот фаерфокс всё равно не взломаем..."
А как давно VMware Workstation браузером стал?
> А как давно VMware Workstation браузером стал?Ви не поняль, он _не_ стал "броузером, в котором _не_ делают". Учитесь двойному отрицанию, призрачному "не".
Наоборот получается. Речь идёт о том, что в Файрфокс не найдено серьёздных уязвимостей, поэтому нефига участвовать. А то будут писать что файрфокс взломать не удалось...
уже была новость о том что в мозилле попридерживали кое-какие уязвимости для своих целей
а потом всё вскрылось когда бугзиллу взломали
> уже была новость о том что в мозилле попридерживали кое-какие уязвимости для
> своих целей
> а потом всё вскрылось когда бугзиллу взломалиГони пруфы, болезный.
вывод: фаерфокс дырявый, и все об этом знают
Тебе надо приписочку под каждым сообщением: "форумный балабол сообщает: <...>". По аналогии с "иностранным агентом".
Но Мозилла разрабатывает новый движок (Серво) на языке, обеспечивающем безопасную работу с памятью. Когда он войдет в Файрфокс, это будет гораздо более значительным шагом в сторону улучшения безопасности и надежности. А пока браузеры написаны на Си и Си++, о безопасности и говорить нечего.
И что толку в безопасном браузере, когда в glibc дырявый: http://www.opennet.me/opennews/art.shtml?num=43886Пока мы вообще не избавимся от Си, о безопасности говорить нечего.
Коммунизм наступит, главное верить.Вангую, пойдут за оперой.
Ибо будущий файрфокс и нынешний (увы скорее вчерашний ибо регресс) будет как та опера и эта.Боюсь только, китайцы мозиллу не выкупят...
> Боюсь только, китайцы мозиллу не выкупят...а там не надо покупать, денег в виде спонсорства дал(например как гугл) и вот они уже перенастраивают отсылку данных из фарефокс на китайские сервера...
Он осознал свою беспомощность.
Ещё большая проблема в том,что Мозилла не просто выпускает периодически новые версии браузера, и потом обновляет его, но и после установки собирает данные о производительности вашего конкретного браузера и потом присылает лично вам изменения, которые изменят, перенастроят поведение именно этого конкретного браузера!
Вот прям на сайте Мозиллы об этом написано:
https://www.mozilla.org/ru/privacy/firefox/"Отчет о работоспособности Firefox (FHR) позволяет получить представление о стабильности и производительности браузера, а также воспользоваться рекомендациями службы поддержки, если у вас возникают такие проблемы, как частые падения браузераили замедление запуска. Mozilla собирает ваши данные, группирует их с данными других пользователей Firefox и отправляет данные обратно в ваш браузер. В результате этого вы сможете увидеть, как производительность вашего браузера Firefox меняется с течением времени. Эти данные включают, в частности: информацию об аппаратной части устройства, операционной системе, версии Firefox, дополнениях (числе и типе), времени наступления событий браузера, рендеринге, восстановлении сессий, продолжительности сессий, возрасте профиля, числе падений и числе страниц. В отчете о работоспособности Firefox корпорации Mozilla не сообщаются веб-адреса, которые вы посещаете."
Так что и автоматическое обновление браузера ЗЛО(лучше сидеть на корпоративной версии Firefox ESR https://www.mozilla.org/firefox/organizations/) и не отключение отсылки всяких рапортов о здравии, производительности и прочей телеметрии не меньшее ЗЛО.
Вы сидите настраиваете новый Фарефокс как вам надо полчаса, а завтра МОзила Фундешен пришлёт вам новые настройки вы о них ничего не узнате...