Состоялся релиз web-браузера Firefox 72, а также мобильной версии Firefox 68.4 для платформы Android. Кроме того, сформировано обновление ветки с длительным сроком поддержки 68.4.0. В ближайшее время на стадию бета-тестирования перейдёт ветка Firefox 73, релиз которой намечен на 11 февраля (проект перешёл на 4-недельный цикл разработки)...Подробнее: https://www.opennet.me/opennews/art.shtml?num=52144
> риск проблем с совместимостью (поддержка PKP прекращена в Chrome)хахаха, уже не палятся когда пляшут под дудку гулага
"(...) PKP до сих пор не поддерживается в Edge и Safari, а также имеет минимальный уровень внедрения - из миллиона крупнейших сайтов по рейтингу Alexa заголовок Public-Key-Pins выставляют только 375 сайтов."Ты так говоришь "совместимость", как будто в этом есть что-то плохое. Энторнеты должны быть доступны и обозреваемы примерно одинаково с любых браузеров. А не так, как когда-то "мы сделали этот сайт так, что его можно посмотреть только с IE6".
И да, Google может предлагать что-то хорошее. Кто угодно может предложить что-то хорошее. Даже Адольф Алоизыч, хоть и был редкостным м***ом, но автобаны при нём строили зачётные.
>Адольф АлоизычЭто ещё кто и дороги тут каким боком?
Это А.А.Стахль , вполне очевидно же
Алоисович. Это который Гитлер.
> Алоисович. Это который Гитлер.Это из какого-то анекдота или что?
Нет."
Отец — Алоис Гитлер (1837—1903). Мать — Клара Гитлер (1860—1907), урождённая Пёльцль.
Алоис, будучи незаконнорождённым, до 1876 года носил фамилию своей матери Марии Анны Шикльгрубер
" (с) вики
Разве у немцев есть отчество? Странно всё это...
У немцев нет. Но нам-то можно.
> У немцев нет. Но нам-то можно.Но зачем? Я сначала предположил что это часть какой-то шутки, но нет.
Господи, насколько же занудным может быть человек!
Привозит папа сына-дебила на море, привел его на пляж и объясняет:
П: Вот видишь, сынок, это море..
С: (тупо) Где?
П: Ну вот это плещется-это море...
С: (по прежнему тупо)Где?
П:(распаляясь)Ну вот мы сидим на таком желтом-это песок, а вон то
синее-это море..
С:...Где?
П:(в бешенстве)Что ты идиот не понимаешь, вот это сухое, желтое-это
песок, а вон то синее, плещется, мокрое-ЭТО МОРЕ!!!
С:(тупо)Где?
Папины нервы не выдерживают, он в крайней ярости хватает сына,
и макает его головой в воду с криком "Вот море!!! Вот оно!!! Вот
это море!! Вот!" Сын захлебывается, кое-как вырывается и с трудом
дыша спрашивает
-Папа, что это было?
-Море, %*"!!!
-ГДЕ?
Отчество? С чего Вы это взяли. Разумеется нет никакого отчества.
Где Вы его разглядели?
Конечно нет! Никакого отчества! Просто Адольф Алоисович Гитлер. И всё.
Это ваши личные фантазии.
>из миллиона крупнейших сайтов по рейтингу Alexa заголовок Public-Key-Pins выставляют только 375 сайтовЛинух тоже в меньшинстве. Итак, продолжайте вашу логику, сударь.
> Линух тоже в меньшинстве...на десктопах.
> продолжайте вашу логику
Разумеется. В отличие от квадратно-гнездовых прямолинейных аналогий она работает.
> Разумеется. В отличие от квадратно-гнездовых прямолинейных аналогий она работает*.*вернее вам кажется что она работает.
>Даже Адольф Алоизыч, хоть и был редкостным м***ом, но автобаны при нём строили зачётные.о йа-йа!
разумеется в этом есть что-то плохое."совместимость" заключается в данном случае в том, что владелец сайта _явно_ запретил его открывать если отпечаток ключа не совпадает - но мурзила, следом за гуглем - все равно откроет.
Причем, традиционно - не выведя пользователю внятное предупреждение, а молчком и тишком - раньше выводила белую страницу, полную неведомой херни без кнопки продолжить, а сейчас просто так же молча проглотит мимтм от товарищмайоров.
> И да, Google может предлагать что-то хорошее.
может, но не хочет.
Вот уже лет десять ровно ничего хорошего кроме, конечно, хороших заносов мурзиле для видимости конкуренции.А автобаны начинали строить еще до мистера Шикльгрубера (точнее, когда этот мистер "сплоченые ряды" водил и витрины бил, строили совсем другие).
>"совместимость" заключается в данном случае в том, что владелец сайта _явно_ запретил его открывать если отпечаток ключа не совпадает -После чего сертификат протух, а запасного не было (или они протухли одновременно), и теперь браузер либо обязан вопить что сайт подменный, либо админ сайта должен подобрать коллизию, либо браузер включает "совместимость".
Испытываю смешанные чувства. С одной стороны, с помощью HPKP можно легко "отсрелить себе ногу", с другой стороны - а где альтернатива механизму контроля со стороны владельца сайта / сертификата?
Им мог (и я считаю должен) бы стать DNSSEC / DANE, но поползновений в эту сторону я не вижу уже много лет. Certificate Transparency, которую активно форсят, на эту роль мало подходит, поскольку опять же замыкает доверие на CA.
Полностью правы, но и когда-то то даже хром tlsa поддерживал но удалили :(Но и разработчиков браузеров я понимаю - и hpkp и уж тем более tlsa Dane под dnssec поддерживали 0,00...01% сайтов :(
Не поддерживают сайты, потому что не поддерживает клиентский софт. И наоборот.
Однако, когда Гуглозилле надо (читай - выгодно), новшества а-ля CT внедряются только шорох стоит.
Да ладно Вам - это тоже не приживается. Процент сайтов у которых выставлено Expect-CT и Expect-Staple также около 0%.
А я то думаю это очень надолго. Потому что контроль весь где? Правильно...
А какие широкие возможности открываются при наличии желания подменить кому-нибудь сертификат...
Желание то возможно и есть (если ты параноик то это не значит что за тобой не следят :) ).Но методов заставить вебмастеров выставлять такие настройки у Гугла нет вменяемых (ну не будет же он писать что ранжировать сайт станет хуже без них).
А 100% без малого вебмастеров всё это нафиг не нужно - согласитесь. И hpkp и tlsa с dnssec и СТ. И они в принципе правы - ну нафига на сайте про котиков так заморачиваться ? Я понимаю если сайт про хрюшек - тогда да :)
Не поддерживают потому, что сайты идут через cloudflare и прочие CDN, которые как раз митм делают. И у каждого сервера на CDN разные сертификаты, в целях безопасности.Был раньше аддон, TLS Police вроде назывался, он реализовывал hpkp без участия сайта. Просто кешировал все пары фингерпринт+домен, если фингерпринт менялся - поднималась тревога. На гугле твевога поднималась несколько раз за загрузку страницы: фингерпринт менялся каждый запрос.
Угу, всё для CDN и прочих потенциальных злодеев, и хрен с ней с безопасностью и контролем за ней со стороны владельцев.
Ну те сайты, что через CDN и не выставляли флаг, мол верить только мне одному.
> Не поддерживают сайты, потому что не поддерживает клиентский софт. И наоборот.Нет. Я пытался разобраться с HPKP на предмет использовать его. Это был какой-то кошмар. Не просто "легко прострелить себе ногу", а "двухстволка прочно примотана к ноге" и набор смутных рекомендаций, как поджимать пальцы, чтобы их всё-таки не отстрелило.
Начиная от рекомендаций указывать два приватных ключа, один использовать, другой хранить на флешке, если первый потеряется. Очень весёлое взаимодействие с Let's Encrypt на примере: Или перевыпускайте сертификит с одним и тем же приватным ключём или устраивайте танцы с бубном с ротацией ключей в заголовке, чтобы ключ для нового сертификата был объявлен раньше начала его использования, фактически генерируя его за 3 месяца до использования и занимаясь ротацией с надеждой, что это всё не сбойнёт однажды.
Причём если вас ломонут (в том числе и тех, кто HPKP не используется) и из хулиганства или рассчёта поставят заголовок с неизвестным вам ключом, то браузеры клиентов отравятся при посещении и вам останется только лапу сосать или пытаться связаться с ними и объяснить каждому что там надо в браузере почистить.
Извините, но это не механизм безопасности, а мина замедленного действия в браузерах.
Вы правы про выстрел в ногу. Но повторюсь что главное в том что это нафиг никому не нужно.Вот тут выше пишут что якобы из-за того что браузеры не поддерживают.
Хорошо возьмём другой пример.
Все MTA поддерживают верификацию Dane tlsa под dnssec.
Я у себя внедрил. Но статистика DNS запросов показывает что за годы использования 0 (ноль) запросов.
Просто никто не включает на своих MTA эту проверку ибо нафиг никому не надо.Поэтому Гугл сейчас и продвигает для почты MTA-STS верификацию.
Тоже внедрил и наблюдаю что при каждом письме на мой почтовый сервер с gmail - проверка идёт (потом даже письмо с результатами проверки приходит). Микрософт и Яху в эту группу с Гугл входят и обещают в скорости тоже проверку включить основанную на MTA-STS - затем наверное и mail.ru с Яндекс почтой подтянутся.Просто самим постмастерам с собственными почтовиками нафиг ничего не надо - есть возможность по феншую сделать проверку через tlsa Dane - не делают. Значит все будем жрать поделку от Гугл (MTA-STS).
> что это нафиг никому не нужно.обезьянки не разобрались = нафигникомуненужно.
Мне нужно. И вот что дальше?> Хорошо возьмём другой пример.
> Все MTA поддерживают верификацию Dane tlsa под dnssec.нет, мой сендмэйл не поддерживает и, вероятно, не будет.
Потому что вот это - да, нафиг ненужно и вредно. Придумано опоздавшими-родиться улучшайками, неспособными понять, что есть smtp и для чего на самом деле предназначен.> Просто никто не включает на своих MTA эту проверку ибо нафиг никому
ибо нафиг никому не надо подставляться под уязвимости в этой проверке и при неправильных настройках потерять почту - ради непойми чего.
Если мне надо отправить что-то, о чем я не хочу чтоб знал товарищ-майор - я воспользуюсь s/mimeЕсли сам выход на связь является провалом - то извините, но вы использовали инструмент не по назначению, вам надо было поставить на окно сорок восемь утюгов.
> Поэтому Гугл сейчас и продвигает для почты MTA-STS верификацию.
нет, не поэтому, а потому что так ему еще удобнее контролировать кто и что шлет.
> Значит все будем жрать поделку от Гугл (MTA-STS).
не поэтому. Но жрать - будете, потому что иначе ваша почта только такому же васяну и будет доходить, а гугль разорвет сессию с rejected.
Что мы уже проходили с ненужным и вредным (даже не бесполезным, а именно вредным) spf.
Вы немного запутались и dane tlsa и mta-sts это не про отправить почту и s/mime. Это про приём почты - отправляющий почтовый сервер таким образом проверяет туда ли он шлёт куда надо :)То есть если вы шлёте письмо на gmail он не проверяет mta-sts, а вот если с gmail Вам то он проверяет есть ли запись mta-sts у получателя. Пока никаких санкций за её отсутствие нет. Но в будущем грозился Гугл не отправлять письма тем у кого не будет.
> Это про приём почтыэто про ненужно.
Совершенно все равно, получит ли третий-лишний васян шифрованное s/mime или нет - ему его прочитать все равно не светит. Не говоря уже о том, что если у кого-то митм в канале - ему уже не почту читать надо, а на брюхе, по льду финского залива, как учил нас Велики Ленин.> Пока никаких санкций за её отсутствие нет.
это временное недоразумение, с spf тоже так было. поправят. Ни отправлять не будут, ни принимать. Пользователю - как обычно, окошко с невнятными угрозами, без кнопки "от...сь".
Вы воинствующий пессимист:)
> Причём если вас ломонутну вот, как всегда.
pkp предназначен, блжад, для банков, очень личной информации и прочих специальных случаев, когда сайту лучше вообще не открываться, чем слить твою сессию. (хотя, разумеется, ничто не мешало оставить выбор пользователю - вдруг он просто дизайном страницы зашел полюбоваться - кроме рукожопия мурзильных и гуглевых разработчиков и их любви решать за нас)
"если вас ломонут", а вы - банк - да, будете сосать лапу. ИМЕННО так и должно быть, именно для этого он и предназначался, если сайт банка взломан - на него НЕЛЬЗЯ заходить, даже если банковский админчик бодро смахнул крошки под ковер и откатился на вчерашний бэкап (с той же самой дырой).
Блэклист сертификатов, отключение сайта до конца расследования (которое сто пудов нельзя _честно_ провести за пару дней или недельку) - едиственное, что уважающие себя и своих клиентов люди должны в этом случае делать.
А неуважающим - крошки смахнули, чорного властелина с главной убрали, и дальше работаем - туда и дорога.
(купят себе новый домен на время , пока pkp в старом у всех поэкспайрятся, дураков не жалко)
>"если вас ломонут", а вы - банкТут не про "вы банк", а наоборот - простенький сайт, которому, кто-то в качестве шутки прописал, что правильный ключ для него - случайное число.
ну и кому его жалко?
И вы уверены - что только ключ прописал, а не сегодняшний zeroday еще, чисто в целях изучения, разумеется, подложил?Если с сайтом подобное проделали - заходить на него без химзащиты и изолирующего противогаза, очевидно, в любом случае не стоит. Причем не только прямщас, но и в отдаленном будущем.
Разумеется, нормальная реализация, для людей, позволяла бы этим самым людям самим решать - надо им, несмотря на все предупреждения, или все же не надо - но браузеры уже десять лет пишут только для альтернативно-одаренных альтернативно-одаренные.
Им лучше знать что таким же делать.
При этом дайте угадаю - телеметрия гугля - была и осталась защищена pkp?
>осталась защищена pkp?Руки не доходили - сейчас посмотрел - в about:config можно поддержку HPKP обратно включить - так что пока не выпилили окончательно :)
> а где альтернатива механизму контроля со стороны владельца сайта / сертификата?Certificate Transparency
Expect-CT
Пните кого-нибудь в Ubuntu. Прошлую версию за несколько дней завезли, а этой до сих пор нет. Да, знаю, что там была предрелизная версия, но она ей и осталась в день релиза. А сейчас совсем тишина.
Инторнет не изменился за это время, йузр! Ну а скачать из .. для убунтоидов видать уже слишком сложно.
Не сложно. Там она не совсем так работает. Не помню в чём было дело. Но пришлось брать версию только из реп.
Ну и не парься тогда. А то ведь можно подключить ленты новостей по всем релизам.. будешь удивлен наверно. По новости: новшеств почти нуль (лажа всякая), важнее будет экстеншны обновить пожалуй.
Фиксы безопасности же. В первую очередь это важно.
Да нихера! экстеншен -> резка левого жс - вот твой главный фикс))
Забыл из какого кено: чувак показывает свой палец, говоря "вот мой предохранитель сынок" (речь шла про пушку).
>Фиксы безопасности же. В первую очередь это важно.Пользователь Убунту про безопасность толкует, вот это потеха.
Да ладно. Если он AppArmor не отключает - никакой потехи.
И обновлять тоже вручную из...? Спасибо, но нет.
> Пните кого-нибудь в Ubuntu. Прошлую версию за несколько дней завезли, а этой
> до сих пор нет.Тем временем в моём /usr/bin/firefox:
#!/bin/sh
#bu VINRARUS
export GTK_USE_PORTAL=1
if [ "$1" = "UPdate" ]
then
rm -rf /opt/firefox
curl -L 'https://download.mozilla.org/?product=firefox-latest-ssl&os=...' -o - | tar -xjvf - -C /opt/
echo "$2" > /opt/firefox.log
exit
fi
/opt/firefox/firefox "$@"
if ps -Af | grep "[ ]/opt/firefox/firefox"
then
exit
fi
VER=`curl 'https://download.mozilla.org/?product=firefox-latest-ssl&os=...' -o -`
if [ -z "$VER" ]
then
notify-send -i /opt/firefox/browser/chrome/icons/default/default48.png "Firefox updater" "Chech EROR: `ping -c 1 mozilla.org`"
elif [ "`cat /opt/firefox.log`" != "$VER" ]
then
kdesu -c firefox "UPdate" "$VER"
if [ "`cat /opt/firefox.log`" = "$VER" ]
then
notify-send -i /opt/firefox/browser/chrome/icons/default/default48.png 'Firefox updater' 'Update Firefox complite!'
else
notify-send -i /opt/firefox/browser/chrome/icons/default/default48.png 'Firefox updater' 'Update EROR!'
fi
else
echo "Firefox version is OK."
fi
Блин, с английской грамотой у меня ещо хуже чем с росийской...
С POSIX shell не сильно лучше
А с shell кодом шо не так? Работает на разных KDE дистрибутивах лучше чем system:D.
Нда.. И эти люди усмехаются над арчеводами.
Официальный PPA Мозиллы подключал? Там, обычно, свежее чем в Universe.
У меня подключен PPA от Ubuntu Mozilla Security Team. Обычно прилетали обновления за неделю до релиза +/-. А в этот раз, совсем ничего.
У Мозиллы нет официальных PPA.
Имелось в виду - https://launchpad.net/~ubuntu-mozilla-security/+archive/ubun... - оф. PPA группы разрабов, которые занимаются продуктами Мозиллы для Убунты.
Почему-то не обновляется из этого репозитория, хотя на сайте репозитория уже новая версия(((
обновилось, но почему-то с задержкой)
это васянский ppa. Лучше им не пользоваться.
> это васянский ppa. Лучше им не пользоваться.Ага, и именно из этого "васянского" ppa и попадают обновленные релизы в Юниверс.
А вы пользуйтесь стоковой, она автоматом обновляется.
> Пните кого-нибудь в Ubuntu. Прошлую версию за несколько дней завезли, а этой до сих пор нетВ Canonical ленивые на десктоп, но хитрые.
Они же знают, что через день выйдет X.0.1 версия с серьезными исправлениями.
Потому смысл два раза с дивана 🛋 вставать.
А вот и оно 🤣> Опубликованы экстренные корректирующие выпуски Firefox 72.0.1 и 68.4.1, в которых устранена критическая уязвимость (CVE-2019-17026)
Ну и держи https://snapcraft.io/firefox
> Ну и держи https://snapcraft.io/firefoxНа следующий день прилетел. И даже 72.1 - во время. А снап - нафиг.
В прошлой версии в Waylandии в about:preferences мышкой менюшки выбора не открывались. Починили? А то наSway не прикалывает как-то без этого совсем. ))
Да ну! Все работало. (fedora wayland)
Дело было в Арче, забыл уточнить, сорри.
> в Waylandии в about:preferences мышкой менюшки выбора не открывалисьИногда открывались, но странно - непрокручиваемым списком, растянутым по вертикали. Wayland пока не для всего готов. Ну, или не всё готово для того, чтобы использоваться под Wayland. Год-два минимум ещё ждать - вангую.
Нашёл такое: https://old.reddit.com/r/swaywm/comments/e6zehr/firefox71_se....
Ну, понятно...
В рамках микронаброса на вентилятор - а ещё sway не работает и, пока главразраб не отойдёт от приступа религиозного фанатизма, не будет работать с оригинальными фирменными драйверами. Так что по всем раскладам пока что связка X.Org + i3 ( или няшный awesome) актуальна, если нет желания быть бетатестером.
Ему когда-нибудь сделают нормальный переводчик страниц?
Из-за этого остаюсь на хроме(
Та же ситуация.
От добра добра не ищут.
Нет.
> Ему когда-нибудь сделают нормальный переводчик страниц?https://addons.mozilla.org/ru/firefox/addon/to-google-translate/ - больше всего похоже на встроенную в Хром фичу по функционалу / UX.
А оно нужно в браузере? Меня вот эти всплывающие менюхи от Translate бесят дичайше.
Нужно-нужно. "Перевести страницу" через копипаст ссылки на сайт гуглотранслейта на некоторых страницах глючит и подтормаживает. А использующая тот же сервис опция в браузере в подавляющем большинстве случаев даёт нормальный результат. И если тот же инглиш подучить при желании проблем не составляет, то если есть нужда забуриться в дебри чайнанета - гуглотранслейт через хромобраузерную опцию даёт очень годные результаты с мандаринским китайским и как следствие, незаменим.
Букмарклеты разве отменили ? Вот - перевод выделеного в новой вкладке , без выделения - всей страницы . Слеши в начале и конце уберите . /////javascript:var t=((window.getSelection&&window.getSelection())||(document.getSelection&&document.getSelection())||(document.selection &&document.selection.createRange&&document.selection.createRange().text));var e=(document.charset||document.characterSet);if(t!=''){window.open('https://translate.google.com/translate_t?text='+t+'&hl=ru&langpair=auto|ru&tbb=1&ie='+e);}else{window.open('https://translate.google.com/translate?u='+escape(location.href)+'&hl=ru&langpair=auto|ru&tbb=1&ie='+e);};void 0;/////
> Букмарклеты разве отменили ?Букмарклеты разве относятся к решениям не только для advanced users? Всё-таки это костыли и всегда предпочтительней то, что позволяет получить результат не выходя за рамки нескольких кликов мышью.
>> Букмарклеты разве отменили ?
> Букмарклеты разве относятся к решениям не только для advanced users?зависит от того, насколько advanced был юзер, написавший скрипт для их создания - или кто-то думает что этот код руками был наляпан?
> или кто-то думает что этот код руками был наляпан?Я даже как-то читывал несколько статей, в которых пошагово разбирался процесс написания кода для букмарклетов. Так что почему бы и не руками?
Спасибо. Полезный коммент. Побольше бы таких.
Сей аддон лучше хромого. В хромом правой мышей -перевести и после этого ссылки на странице зачастую становятся не рабочие. В опере просто доп. страница с переводом откроется и выбирай что нужно. Удобно.
А вот фига. Именно что в Хроме после перевода ссылки чаще всего рабочие. А с аддоном после перехода по ссылке на переведенной странице, результат тоже переводится и в отличие от исходной страницы вернуть оригинал нельзя.
> А оно нужно в браузере? Меня вот эти всплывающие менюхи от Translate
> бесят дичайше.Нужно.
Терминаторноглазые не найдут где галочку убрать. Им бы все выпиливать. Какие мученики...
> Терминаторноглазые не найдут где галочку убрать. Им бы все выпиливать. Какие мученики...Это в Хроме, а в Лисе такое банально не нужно. Аддон ставьте, кто ходит по сайтам, язык которых не знает.
> Это в Хроме, а в Лисе такое банально не нужно. Аддон ставьте,Кому не нужно? Тебе не нужно? Не пользуйся, если не нужно и не диктуй другим, что им ставить. Некоторые аддоны просто таки напрашиваются стать частью браузера искаропки.
> Некоторые аддоны просто таки напрашиваются стать частью браузера искаропки.угу, неотключаемой и неудаляемой. Твое "не пользуйся" очень важно для нас, спасибо.
Правда, пока мурзила в основном занимается этим ради слива паролей и advanced behavior control...
Как, говоришь, мне "не пользоваться" чудо-адресбаром, чудо-паролехранилкой-с-телеметрией и что там еще недавно новенького "стало частью"?
А, ну да - мурзилу к хренам снести, вместе с частями...
>"не пользоваться" чудо-адресбаром, чудо-паролехранилкой-с-телеметриейДа, имей в виду, если бухать две недели, то паранойя может и обостриться.
>слива паролей
Готов собрать доказательную базу и подать на Мозиллу в суд?
>>"не пользоваться" чудо-адресбаром, чудо-паролехранилкой-с-телеметрией
> Да, имей в виду, если бухать две недели, то паранойя может и
> обостриться.
>>слива паролей
> Готов собрать доказательную базу и подать на Мозиллу в суд?Он считает, что левые аддоны безопаснее собственных решений ФФ
Ага, ведь корпорации - злоЪ, то ли дело Васян.
В настройках отключается
Вроде работают над этим
> Вроде работают над этимНесколько лет?)
Уверен, нормальную защиту от фингерпринтинга в Firefox не сделают. Потому, что рекапча сейчас почти везде, и что еще хуже, в инфраструктуре Firefox тоже
Так это, эта "защита" тебя и идентифицирует совершенно однозначно. Лучше пользоваться чем-нибудь таким (только "защиты" от фф надо отключить, чтобы работало):https://addons.mozilla.org/en-US/firefox/addon/canvasblocker/
https://addons.mozilla.org/en-US/firefox/addon/clearurls/
https://addons.mozilla.org/en-US/firefox/addon/css-exfil-pro.../
https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/
https://addons.mozilla.org/en-US/firefox/addon/https-everywhere/
https://addons.mozilla.org/en-US/firefox/addon/ublock-origin/
https://addons.mozilla.org/en-US/firefox/addon/umatrix/(особенно последнее конечно, от слежения на рандомных сайтах, по первости может быть непривычно)
ноускрипт забыл.
> ноускрипт забыл.Не забыл, там большие вопросы к автору и его творчеству. В любом случае, если пользуешься ublock с umatrix, он будет избыточен.
К тому же, есть проблема с этим:
https://bugzilla.mozilla.org/show_bug.cgi?id=1377689
https://bugzilla.mozilla.org/show_bug.cgi?id=1462989
Эта проблема как раз и делает ublock/umatrix неспособными нормально блокировать скрипты.Если у вас стоят несколько расширений, ставящих свои заголовки content-policy, то скрипты могут выполняться даже если одно из расширений пытается их запрещать. В noscript был реализован костыль, который обходит этот баг (применяется только content-policy от noscript), а если использовать ublock без noscript, то он по прежнему может пропускать скрипты.
Можно чуть подробнее?
Была вот эта история https://liltinkerer.surge.sh/noscript.html , потом были "истории" высказываний автора, когда xul выкинули и он в то время пытался сделать какой-то сомнительный шпионский аддон, но вроде отказался от этой затеи.
И кстати, носкрипт создавал серьёзные проблемы при нормальном использовании сайтов. Защиты это конечно хорошо, но не когда они регулярно мешают пользоваться привычными сайтами (и популярными скриптами на этих сайтах). Именно по этой причине я от него и отказался.
Благодарю, интересно.
А я просто в настройке NOSCRIPT по умолчанию включил все галочки и теперь использую его как блокиратор например автовоспроизведения или какой нибудь ерунды.
Т.е. идея в том что по умолчанию все скрипты включены, но если какой сайт мозги компосирует мы его блокируем и получаем что на сайте все как бы работает, но вот дурацкое автовоспроизведение ролика например на lenta.ru отключается.
Очень удобно.
Ну а если надо анонимно, то тут наверно тока tor-browser c врубленным на максимум секурити-левел.
>Не забыл, там большие вопросы к автору и его творчеству.ну есть. но ведь они некритичные. Вайтлист по-умолчанию легко выпиливается. А trusted, который захардкоденно разрешает javascript просто никаким сайтам не назначается.
К автору лично тоже есть вопросы.
>В любом случае, если пользуешься ublock с umatrix, он будет избыточен.
у каждого инструмента свои уникальные фичи. объединить в один пока никто не удосужился.
с этими плагинами тебя точно со 100% вероятностью идентифицируют как уникального пользователятогда как ff resistfingerprint как и torbrowser пытается сделать общий профиль для всех чтобы слиться с толпой
> с этими плагинами тебя точно со 100% вероятностью идентифицируют как уникального пользователя
> тогда как ff resistfingerprint как и torbrowser пытается сделать общий профиль для
> всех чтобы слиться с толпойА кто идентифицирует то? Вроде идея тут как раз в том, чтобы избежать централизованного слежения через cdn и совершенно левые запросы на левые сайты. Ну и отпечатки рандомные выдавать, а не как resistfingerprint делающий тебя 100% уникальным пользователем интернета ("защита").
Torbrowser конечно лучше: он не выдаёт шрифты, окружение локалки, разрешение экрана (если окно не увеличивать) и притворяется среднестатистическим пользователем. Только это всё имеет смысл с выключенными скриптами и на сайтах без "рекламы" и слежения, что для повседневного пользования интернетом не подходит. Лучше делать вид, что у нас закэшированы скрипты и никакие cdn нам не нужны, а рефералы чистить вообще нормальная тема — они и существуют, чтобы трекать перемещение.
>он не выдаёт шрифтытребую пруф.
>разрешение экрана (если окно не увеличивать)
это часть rfp обычного фф уже давно.
>рефералы чистить вообще нормальная тема — они и существуют, чтобы трекать перемещение.
рефееры чистит установка 2х настроек в 2
>Ну и отпечатки рандомные выдавать, а не как resistfingerprint делающий тебя 100% уникальным пользователем интернета ("защита").
распределения в реальном мире сильно неравномерные. чтобы выдавать реалистичные рандомизированные отпечатки нужны генеративные модели.
Какая разница, если ты переходишь по ссылке с рефералом реферер уже не нужен (тем более что отключение рефералов сломает пол интернета).Я тут интересное узнал о своём браузере:
Operating System Microsoft Windows NT
OS detected via jQuery linux
OS detected via platform Linux x86_64 - Linux i686 64bit
OS CPU detected via JavaScript Linux x86_64Хм... Не порядок, однако. Почему жс такое шерето?
s/рефералов/рефереров/
Почему жс, если ось детектится даже на уровне tcp/ip? https://nmap.org/man/ru/man-os-detection.html
Не играйтесь в приватность подменой оси в юзерагенте, это ложное ощущение даже с блокировкой жс.
> Почему жс, если ось детектится даже на уровне tcp/ip? https://nmap.org/man/ru/man-os-detection.html
> Не играйтесь в приватность подменой оси в юзерагенте, это ложное ощущение даже
> с блокировкой жс.Ну да, детектится. Вот как это выглядит:
"Может быть опенбсд, а может быть линукс 2.4, а вообще я не знаю…"
А по факту там линукс 4.14. Или у венды 10: "Ну может быть фряха, а может быть опенбсд…". Ещё Ни разу не видел сколько-нибудь вменяемого детекта без уязвимых демонов, сливающих слишком много инфы в интернет.
Тоже заметил офтопик и Linux в одной корзине.
Потом NoScript тоже из той же оперы.
Ну и HTTPS Everywhere (из личного, пока не пойму внутренности) немного не доверяю.В общем Tor Browser, как мне кажется, очень легко должен идентифицироваться.
Короче как в том анекдоте, одеть один презерватив, сверху стерильным бинтом замотать, сверху второй презерватив, ..., и никакого секса ;) То есть, виртуалка, firejail, специальным образом настроенный пакетный фильтр, свой tor relay нода (видимо необходим "белый" IP), ..., и держать себя в ежовых рукавицах ;)
>torbrowser пытается сделать общий профиль для всех чтобы слиться с толпойэто те которые предлагали использовать нестандартный размер окна браузера? ну понятно, пусть будет 1657х983 вместо 1920х1080, мы же хотим быть уникальными чтобы нас легче узнавали... хотя погодите...
Сколько раньше было пользователей канвасблокера? 1 млн? и 5 млрд без него. спрятались. а сейчас канвас блокер у всех по дефолту.
Канвас блокер не блокирует канвас, в том то и дело. Каждый раз идентификация по канвасу будет выглядеть как новое устройство и новый пользователь, пусть трекают сколько хотят.
А что вам с того, что вас трекают? Жалко? Или щекотно?
Мания преследования? Или просто в прятки играемся?
>рекапча сейчас почти везде, и что еще хуже, в инфраструктуре Firefox тожесоздавай тикет в багзилле.
> В Responsive Design Mode реализована симуляция различных значений meta viewport. В режиме инспектирования страниц добавлен симулятор значений "prefers-color-scheme".В чём выражается первое не ясно, а второго так и вообще нет.
> CSS Shadow Parts are now enabled. This includes the part attribute and ::part pseudo-element, which allow shadow hosts to selectively expose chosen elements from their shadow tree to the outside page for styling purposes (bug 1559074).
А вот это прям хорошо.
> а второго так и вообще нет.По дефолту выключено. devtools.inspector.color-scheme-simulation.enabled
Значит ещё не готово :)Если включить, в каком статусе находится кнопка только гадать. Красавцы.
https://developer.mozilla.org/en-US/docs/Tools/Page_Inspecto...
> Note that the first three states of the button may be difficult to distinguish visually. They typically produce a similar effect.
Под андроид обнлвят?А ещё лучше форк, палемун или ещё что
Ещё что?
> Активированы методы борьбы с назойливыми запросами на предоставление сайту дополнительных полномочийНужно! Молодцы!
>В качестве причины называется низкая востребованность данной функции, риск проблем с совместимостью (поддержка PKP прекращена в Chrome)Предлагаю им прекратить поддержку и разработку Firefox в связи с низкой востребованностью данного браузера.
ребят, а какой строчкой в about:config возвращается старый дизайн информации о сертификате? (т.е всплывающее окошко вместо вкладки)
> ребят, а какой строчкой в about:config возвращается старый дизайн информации о сертификате?
> (т.е всплывающее окошко вместо вкладки)а вот это — самая большая дичь за последнее время, хуже даже редизайна about:config и если тот пока можно получить в нормальном виде в chrome://global/content/config.xul то тут тебя принуждают к 4 кликам до сертов, листанию непонятной странички, а потом ещё и закрытию вкладки. Делают всё, чтобы пользователь не заметил подмену сертификата, ведь раньше факт подмены можно было без проблем обнаружить всего в пару кликов.
> Делают всё, чтобы пользователь не заметил подмену сертификатаВот-вот-вот. HPKP закопали, как раз, потому же.
А разве они не выпиливают адреса с окончанием на .xul? Кто-нибудь может прояснить ситуацию?
Весь ХУЛ вырезается на корню. Чтоб духу его тут не было!
> Весь ХУЛ вырезается на корню. Чтоб духу его тут не было!не вырезается, а хитро ныкается под коврик. Чтоб поганый юзер никогда не мог добраться!
Потому что чтобы вырезать - так надо браузер заново переписывать. Таких разработчиков у нас - нет.chrome://global/content/config.xul как бы намекает.
(ну это-то, конечно, удалим через пару релизов)
> А разве они не выпиливают адреса с окончанием на .xul?Не всё сразу. Процесс идёт.
> А разве они не выпиливают адреса с окончанием на .xul? Кто-нибудь может
> прояснить ситуацию?Это чтоб не палили сразу что там нового у них locked, Как toolkit.telemetry.enabled;true или https://bugzilla.mozilla.org/show_bug.cgi?id=1572925 - видишь уже прячут от пользователей и в about:support и теперь можно найти только в старом интерфейсе about:config.
security.aboutcertificate.enabled
спасибо огромное!
Когда уже он перейдет на Webkit?
Когда уже он хоть куда-нибудь перейдет?!
> Когда уже он перейдет на Webkit?ну какой вебкит, электрон же ж!
Мне кажется, он скоро и на хромиум перейдет, кто-то еще использует фаерфокс на старом движке?
Да
На старом это на каком?
Аппаратное ускорение видео не завезли?
Это на линуксятине?
Говорили, что завезут только после того как запилят WebRender на всех платформах. А поверх WebRender уже будут делать хардварное ускорение видео. В итоге по планам 4K-видео в Фоксе должно будет воспроизводиться с нагрузкой не более 10% ЦПУ. Но когда это будет и будет ли это вообще,- неизвестно. А так, если хочешь смотреть 4K-прон с ютюбчиков уже сейчас, то либо покупай 8-ядерный комп и смотри без хардварного ускорения, либо пользуйся youtube-dl, либо устанавливай Унгуглед-Хромиум с патчами VAAPI. Мозиловцы увы не шмагли или принципиально не захотели пропатчить Фоксик под VAAPI, это очень опечалило и разозлило многих фанатов.
> Мозиловцы увы не шмагли или принципиально не захотели пропатчить Фоксик под VAAPI, это очень опечалило и разозлило многих фанатов.Самим мозилловцам оно может и не нужно, а вот фанаты не шмагли даже патчей прислать.
> Самим мозилловцам оно может и не нужно, а вот фанаты не шмагли
> даже патчей прислать.тебе-то конечно как делать нефига написать такой патч? (разобравшись в гигабайте макачьего кода без документации, конечно же) Ну так напиши и выложи, я им пришлю.
Зато они поебдили флэш (а до него silverlight и npapi вообще)! Который этой проблемы почему-то не имел. Не говоря уже о том что имел документированный формат и документированные интерфейсы, позволяющие и специализированный плейер именно видео написать без особых проблем - и для этого не требовалось разбираться с гигабайтами мазилиного кода.
> тебе-то конечно как делать нефига написать такой патч?Нет, я в отличие от экспертов с опеннета могу признать свою неидеальность - я не занимался системным программированием для линукса. Я мог бы написать такой патч для macOS, только в этом уже нет необходимости.
> разобравшись в гигабайте макачьего кода без документации, конечно же
Я вижу, вы уже разбираетесь в исходниках настолько, чтобы их ругать. Так почему бы вам не запилить такой патч, а потом кинуть сюда ссылку? Это вызовет куда больше уважения к вам с нашей стороны, чем попытка пошпынять собеседника в духе "ты не можешь того же, что и я не могу - значит ты лох".
> Зато они поебдили флэш (а до него silverlight и npapi вообще)! Который этой проблемы почему-то не имел. Не говоря уже о том что имел документированный формат и документированные интерфейсы, позволяющие и специализированный плейер именно видео написать без особых проблем - и для этого не требовалось разбираться с гигабайтами мазилиного кода.
Я искренне за вас рад, что ваш опыт флеша ограничивался только плеером на ютубчике. Имел несчастье работать в медиакомпании, как раз специализировавшейся на флеше - и я искренне рад, что это поделие наконец-то умерло и его выпилили из интернетов.
> это очень опечалило и разозлило многих фанатов.Ты явно преувеличиваешь. У линуксоидов очень много таких:
1) УМВР, а вы все не осиляторы не нашли волшебную опцию в настройках, неправильно скомпилировали
2) если это не работает, значит не нужно. Браузер не должен заниматься воспроизведением видео.Поэтому сколько там останется от 2% аудитории? Вообще крохи...
> Ты явно преувеличиваешь. У линуксоидов очень много таких:"такие" прекрасно переобуваются в полете. Как только возможность появится на самом деле - начнут рассказывать байки о том что так было всегда, а у кого ее нет - тот лох.
> Поэтому сколько там останется от 2% аудитории? Вообще крохи...
зато это будут те самые - грамотные пользователи, от которых и багрепорты, и установки в промышленном количестве и т д. А сейчас они все дружно ставят хромог.
Если тебе нужны трубы, то:
y2mate.com
savefrom.net
и смотри с ускорением в чём угодно.
кто использует мастер пароль, как вы живете с этим https://imgur.com/a/akhYpQ1 ? Самая убогая реализация, как же это окошко раздражает >_<
А в чём проблема? Один раз ввести за сеанс, на первой форме для ввода пароля. А может быть и так, что это окошко редко встретишь.
Проблемы:
1. Сам факт что надо вводить пароль каждый раз когда запускаешь браузер. Я например не каждый день регистрируюсь на сайтах, а в тех которыми пользуюсь, я уже и так залогинен (хвала кукисам).
2. Это окошко появляется не сразу, примерно через секунд 5 и т.к. оно модальное , перехватывает фокус
3. Ситуация: Тебе нужно что-то срочно найти в интернете. Ты открываешь любимый файрфокс, начинаешь вводить текст в поисковую строку, и через несколько секунд понимаешь что ты его вводишь в это долбаное модальное окно мастер пароля.!
4. Как минимум это смотрится как что-то устаревшее, если взглянуть как мастер пароль реализовали в нелюбимом яндекс браузере.
А как по-вашему должно быть? Шифровать базу паролей мастер-паролем, но не вводить его, а долговременно где-то кешировать? А зачем он тогда нужен?P.S.: Я вообще перешёл на KeepassXC ради блокировки базы по таймауту неактивности и при скринлоку, к тому же в нём встроенный TOTP-генератор, а это весьма удобно. Правда теперь мастер-пароль ввожу не раз за сеанс, а после каждой отлучки от компа. Но безопасность почти всегда требует дополнительных телодвижений.
Можно было сделать это в виде выезжающей панельки сверху страницы, которая бы не перехватывала фокус.
Ты тут ничего не докажешь, тебе будут втирать, что это круто и удобно. А шифрование с системной учеткой ненужно, а если отходишь от компа - блокируй. Вообщем тут "свой безальтернативный мир" со своими "удобствами".
Купил yubikey он в касание вводит, жду когда сделают беспарольный вход на чем-нибудь кроме win10
Лучший браузер в лине. Хромиум у меня почему-то стал так безбожно тормозить, что я прям хз
Он перестал быть лучшим, когда про(с)рал настраиваемый классический кастомизируемый интерфейс и классические расширения. И охромел.
"С тех пор все тянутся перед ним кривые, глухие окольные тропы..." (С) Стругацкие
А я всё ещё пользуюсь блокировкой изображений по доменам(Изображения блокируются лучше,чем Адблоком+),неужели я ПОСЛЕДНИЙ пользователь этой фукции?
...Последний джедай...
> А я всё ещё пользуюсь блокировкой изображений по доменам(Изображения блокируются лучше,чем
> Адблоком+),неужели я ПОСЛЕДНИЙ пользователь этой фукции?нет, ты просто понаотключавшая нашу вкусную и полезную телеметрию гадина - вот тебе теперь хрен а не блокировка дурацких картинок 1280x на гитхабе!
> В сборках для Windows реализована экспериментальная возможность использования клиентских сертификатов из общего хранилища сертификатов операционной системы (для включения в about:config следует активировать опцию security.osclientcerts.autoload).Не понял. А вот с этим ключом что сделали?
security.enterprise_roots.enabled
Он для CA сертификатов, а этот для клиентских
> В соответствии с требованиями вступившего в силу закона CCPA (California Consumer Privacy Act) добавлена возможность удаления данных телеметрии с серверов Mozilla. Удаление данных производится в случае отказа от сбора телеметрии в секции "about:preferences#privacy" ("Firefox Data Collection and Use"). При снятии флажка "Allow Firefox to send technical and interaction data to Mozilla", управляющего отправкой телеметрии, Mozilla обязуется в течение 30 дней удалить все данные, собранные за время до отказа передачи телеметрии.Т.е. погодите, сейчас со всех, кто раньше уже отключил телеметрию, полетят запросы в Мозиллу на «отключение»? Хитро, хитро :)
Телеметрия же не отключается с 58 версии.
Уже много, что не отключается. И не настраивается. :-)
Всё отключается - github.com/mozilla/policy-templates
Проверка и автообновления? Многопроцессность?
Не надо гнать фуфло, что все можно настроить и ненужное отключить!
Глаза разуй! И смотри куда все идут.
Чёт ты врёшь не стесняясь. Ничего у меня не отключается на релизе.
Гугло-юзеры чего только не насочиняют , не зная что и как в фоксе ...
Это точно. Им же и невдомёк, что фуфлофокс стал таким же дерьмом, что и хромой.
> Всё отключается - github.com/mozilla/policy-templatesкакая у вас интересная жизнь - каждый день изучать куда мы перепрятали настройки и в каком новом нескучном синтаксисе их можно отключить!
Мы гордимся упертостью своих верных 2%!
Похоже, что Firefox игнорирует настройку browser.display.use_document_fonts
Значение 0, но сайты используют свои шрифты вместо установленных.Как с этим бороться?
Эта настройка также дублируется в GUI и у меня работает, даже страницы перезагружать не нужно.
Ctrl+Shift+R
И как теперь локальное хранилище отключать? Опции dom.storage.enable уже нет. Беда.
Настрой удаление всего при закрытии браузера и не парься.
Мама-мия! Неужели эта настройка еще осталась?! Недосмотрели они это. Надо срочно удалять (как и все остальное)
поправил
в Firefox 72 устранено 20 уязвимостей, добавлены новые!
Круговорот уязвимостей в природе... Кто ищет, тот всегда найдет. Кто не ищет..., просто пользуется.
Когда этот осёл умрёт, следующим (ослом) будет Хром. Или уже?
Норм браузер, я уже на 73.0b1 (64-bit)
Сейчас уже все одинаковы. Одна байда!
Всё хорошее осталось в прошлом.
Многое хорошее осталось в Палемуне )
picture-in-picture кому надо уже во всю юзается. Но почему-то теперь размер картинки стал микроскопическим и никак не регулируется - отличное обновление