Доступны (https://developer.mozilla.org/devnews/index.php/2009/09/09/f.../) очередные корректирующие выпуски web-браузера Firefox - 3.5.3 (http://www.mozilla.com/firefox/3.5.3/releasenotes/) и 3.0.14 (http://www.mozilla-europe.org/ru/firefox/3.0.14/releasenotes/) с исправлением 10 (http://www.mozilla.org/security/known-vulnerabilities/firefo...) и 11 (http://www.mozilla.org/security/known-vulnerabilities/firefo...) уязвимостей, из которых 9 имеют характер критических:- MFSA 2009-51 (http://www.mozilla.org/security/announce/2009/mfsa2009-51.html) - некорректное использование объекта BrowserFeedWriter может привести к выполнению JavaScript кода вне web-контекста с привилегиями оболочки браузера;
- MFSA 2009-49 (http://www.mozilla.org/security/announce/2009/mfsa2009-49.html) - при формировании дерева XUL элементов, возможно подстановка указателя на произвольную область памяти, чт...URL: https://developer.mozilla.org/devnews/index.php/2009/09/09/f.../
Новость: http://www.opennet.me/opennews/art.shtml?num=23358
Компилирую FireFox для 64-битной архитектуры. На linsovet.com выложу. А пока что там только старая версия. Сразу вкладываю Flash-плеер.
А вы знаете, что лицензия файрфокса ЗАПРЕЩАЕТ распространять собственноручно собранные бинари? Только самому пользовать.
Браузер под свободной лицензией, ограничено использование только названия и логотипа. Да, знаю. Перейди по ссылке и увидишь остальные ответы на любые свои вопросы.
К сожалению, вот эта уязвимость так и осталась непофиксеной:
http://whattheinternetknowsaboutyou.com/
А что там за уязвимость? Мне написало Поздравляем, ничего не нашли.
Вчитался. Видимо, дело в отключенной истории :-)
>Вчитался. Видимо, дело в отключенной истории :-)Именно :)
С каких пор следование стандарту стало уязвимостью?
>С каких пор следование стандарту стало уязвимостью?То есть, это стандарт, что любой сайт в интернете может читать полную хистори моего браузера?
да ничего оно не читает, выдает сайты на которые заходил ооочень давно просто набор самых популсярных сайтов и все
>да ничего оно не читает, выдает сайты на которые заходил ооочень давно
>просто набор самых популсярных сайтов и всеВы прочитайте внимательно описание. В этом нет ничего приятного.
> То есть, это стандарт, что любой сайт в интернете может читать полную хистори моего браузера?Полную по идее проблематично, как я понимаю. То есть в теории конечно можно сгрузить вам все урлы всех сайтов в мире и посмотреть не посещали ли вы их по состоянию линка (я так понимаю оно именно это делает?), но мне кажется что вы мягко говоря заметите данную потугу (представляете себе сколько данных к вам и от вас для этого надо прокачать и сколько вычислительных ресурсов все это потребует?). В итоге таким макаром реально проверить только посещение не сильно большого числа наиболее популярных сайтов, не более. У меня вот оно знает что я сходил на гугл, вику и сорсфорж. Ужасное паливо... :D
>> То есть, это стандарт, что любой сайт в интернете может читать полную хистори моего браузера?
>
>В итоге таким макаром реально проверить только посещение не сильно
>большого числа наиболее популярных сайтов, не более. У меня вот оно
>знает что я сходил на гугл, вику и сорсфорж. Ужасное паливо...
>:DА если оно узнает, что я хожу на porno.com? :) Надо взять на заметку этот скрипт. И автоматизировать рассылку писем типа: "Ага! Я знаю, что ты регулярно ходишь на porno.com! Отправь SMS на номер XXXX, иначе эта информация попадет к твоей жене / мужу (нужное подчеркнуть)!"
Прочем... для шантажа такого рода даже эксплойт не нужен... :)
>А если оно узнает, что я хожу на porno.com? :)Ну и еще эн миллионов было. И что дало это сакральное знание кроме того что я 1 из сколько-то там миллионов чижиков посетивших porno.com? А так размер хистори в FF ограничен по времени и слишком большой список проверить нереально, отслеживать таким манером реально только популярные сайты или сайты для которых заведомо известно что индивид их посещает. А вот именно поиметь список посещенных сайтов - нельзя.
>Надо взна заметку этот скрипт. И автоматизировать рассылку писем типа: "Ага! Я
>знаю, что ты регулярно ходишь на porno.com!А куда письмо слать? На деревню дедушке? Или как в анекдоте про вирус - "в силу слабого развития IT технологий и невозможности спалить ваш емэйл, введите его пожалуйста сами"?
(угу, и адрес жены/мужа заодно, по той же самой причине :D).Пардон - это получается примитивный фишинг. Только фишеры вообще мозг не греют таким эстетством а спамят наобум заманухами или фактами на которые народ склонен покупаться.>Прочем... для шантажа такого рода даже эксплойт не нужен... :)
Осталось только придумать - куда же все-таки слать угрозы. Если просто показывать в окне браузера - так можно и без всяких извратов показывать всем подряд "я знаю что вы искали слово porno в гугле" показывать. И заметный процент юзеров купится без всяких скриптов, потому что это будет правда :D.
Не сильно злая уязвимость - ну знает оно что я сходил на гугл, сорсфорж и википедию. Как круто, все - меня пропалили. Ну и еще эн миллионов хомячков туда же сходило - много кому дало столь сакральное знание? :).А брутфорсить все урл в мире (я так понимаю что проверить сходил ли я на сайт они могут только зная его и прочекав его урлу) они подзаколебутся. То есть, починить в идеале надо, но 7 выходов за границы чинить надо явно резвее чем это. Потому что если не починить - хаксоры эксплойтами быстренько всех понагревают.
Когда вы вырастете уже, опять со своим `мне клево, значит проблемы нет'. Мне вот оно показало сайты банков, кому-то покажет wikileaks (и этого хватит, поверьте), кому-то извращенную порнуху, кому-то сайты конкурентов и т.д. Заведите блог что-ли и там свое несомненно важное мнение ребенка до общественности доносите. Не на серьезном сайте же.
Если ты реально такой озабоченный - у тебя NoScript всё время включен (как у меня :)
>Когда вы вырастете уже,Это что, вопрос когда я поседею и на пенсию выйду? Нет уж, спасибо, "вырастайте" так сами, наздоровье. А я просто юзаю NoScript если паранойя долбит. И посему скрипты выполняются только там где они реально нужны а сайт вызывает доверие.
>Мне вот оно показало сайты банков, кому-то покажет wikileaks (и этого
>хватит, поверьте),Хватит кому и для чего? Wikileaks - достаточно популярный ресурс. Расстреливать всех кто на него заходит? Промышленность придется перестроить на манер второй мировой тогда - "все для фронта" как говорится, все дела.
>кому-то извращенную порнуху,
Ну, узнали вы что пол интернета это смотрит (можно подумать что это не так, ага). Дальше что? Посадить или расстрелять полинтернета? Нереально. Придется городить концлагеря на полстраны и перестраивать промышленность обратно на производство вместо кастрюль тонн боеприпасов.
>кому-то сайты конкурентов и т.д.
Блин, ну если у вас настолько крутая паранойя - откройте уже для себя аддон к фоксу NoScript? Он позволяет выполнять js (а также флеш и прочую не в меру интерактивную байду) только там где это реально надо и достаточно хорошо организован в том плане что не слишком сильно при этом выносит мозг и достаточно удобно настраивается т.к. прекрасно заинтегрирован в браузер. Находка для параноиков, ха-ха :).Да еще и зад от XSS атак прикрывает и пытается вычислить фальшивые ссылки которые подменяют собой правильные.Для параноиков - ценное приобретение.Ну и режим приватного браузинга у FF 3.5 есть - "для вас, Козлов, переходов понастроили!".Стремно?Браузите в приватном режиме, черт возьми.
>несомненно важное мнение ребенка
Знаете в чем ваша проблема, мистер? Возрастом козыряют только сопливые школьники из-за того что их в силу возраста никто не воспринимает всерьез, что резонно вызывает у тинов комплекс неполноценности. А вот остальные козырять возрастом не очень любят по вполне очевидным причинам (идиотов которые торопятся постареть отправиться на кладбище вообще не очень много).
>Не на серьезном сайте же.
А это будете решать не вы а админы и модераторы ресурса. Как это и было всегда в интернете, мистер. Если вы вдруг не в курсе этого факта в силу ваших проблем с возрастом.
Вы правда такой тугой или прикидываетесь? Речь не об полинтернета, речь об отдельном человеке или отдельной конторе.
Имхо, тугой тут все-таки не я. У меня NoScript есть, так что проблемы-нет. А вот у анонимных аналитиков вечно какие-то идиотские проблемы высосанные из пальца.
Ну, это не полная хистори, а возможность проверки известного сайту url... Но любопытно, конечно
бггг, оказывается я на сайты диснея заходил *ROFL* ))))))
Когда заливаешь на easy-share.com файлы, в процессе заливки браузер не даёт понажимать на себя, как будто зависает. Глюк давно известный, мне о нём на ubuntu-ru на freenode.net давно ещё рассказали. Но так и непофиксен... Говорят, во всём виновата Linux-версия Adobe Flash - а может, и не она. Причём здесь Flash-то?!
>на ubuntu-ru на freenode.net давно ещё рассказали. Но так и непофиксен...А вы багу то написали, чтобы это произошло? Или разработчики о проблеме должны узнать методом телепатии? А если он уже написан и существуеи - так откоментьте что он и вас доканывает.
>Говорят, во всём виновата Linux-версия Adobe Flash - а может, и
>не она. Причём здесь Flash-то?!Попробуйте отключить его нахрен (запретив грузить его плагин к такой-то фене) и посмотреть что будет без него. Нормальный подход - грабель от флеша натурально бывает и не то чтобы мало. И даже не только в линухе. И не стоит мозильщиков или кого там еще доканыать багами в сторонней проприетари, если это они. Проверьте без него.
Если глюк есть и без флеша (в идеале вообще с чистым профайлом) - пишите тогда багу. Я например не пользуюсь никакими easy share и потому не в курсе таких грабель. А если какие-то грабли находятся и мешают вам жить - ну так записать баг в трекер на порядок эффективнее чем ныть на форумах, в ирц или еще где-то в посторонних местах.
jpeg починили?