The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"В Firefox 50.0.1 устранена критическая уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от opennews on 29-Ноя-16, 08:45 
Доступен (https://www.mozilla.org/en-US/firefox/50.0.1/releasenotes/) корректирующий выпуск Firefox 49.0.2 c устранением уязвимости (https://www.mozilla.org/en-US/security/advisories/mfsa2016-91/) (CVE-2016-9078 (https://security-tracker.debian.org/tracker/CVE-2016-9078)), которой присвоен критический уровень опасности.  Уязвимость проявляется только в Firefox 49 и 50, ESR-ветка проблеме не подвержена.


Перенаправление  запроса на URL с префиксом "data:" при определённом стечении обстоятельств приводит к обработке содержимого "data:" в контексте домена (origin), с которого был выполнен редирект. Воспользовавшись этой недоработкой атакущий может обойти привязку к домену источника (same-origin (https://ru.wikipedia.org/wiki/%D0%9F%D1%...)) и загрузить свои ресурсы в контексте чужого домена. Например, продемонстрирована (https://bugzilla.mozilla.org/show_bug.cgi?id=1317641) возможность применения описанного метода для установки cookie для стороннего домена.

URL: https://www.mozilla.org/en-US/firefox/50.0.1/releasenotes/
Новость: http://www.opennet.me/opennews/art.shtml?num=45577

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от Алвлвлал on 29-Ноя-16, 08:45 
Вот скажите мне, если куки устанавливаются только для своего домена, то как тогда другие домены видят мои куки?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Firefox 50.0.1 устранена критическая уязвимость"  +3 +/
Сообщение от DmA (??) on 29-Ноя-16, 09:15 
Так отвечает за чтение кук браузер, он же отвечает за соблюдение прав для кук, чтобы сайт мог прочитать только свой кук. Так что если при разработке алгоритма по управлению куками специально или ненарочно накосячили, то никто эти правила чтения кук соблюдать не будет.
Другое дело кто вообще из сайтов догадается читать чужие куки? Это мне кажется может быть диверсией - создают сначала сайты, которые запрашивают у пользователя чужие куки, а потом в  код браузера добавляется некорректное поведение при работе с куками. Пользователь заходит на сайт и вот его все куки утекли в неизвестном направлении.
Счастливы пользователи браузеров  Chrome, Safari, IE ,Opera -они даже никогда не узнают, были ли у них такие проблемы :)
Ставлю пользователям в браузерах стирать куки на выходе. И со сторонних сайтов не принимать куки вовсе. Нестабильную ветку Firefox (release) не использую, только ESR.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "В Firefox 50.0.1 устранена критическая уязвимость"  –3 +/
Сообщение от Добрый любитель булок. on 29-Ноя-16, 09:27 
Всякие втентакли с кнопушками оставляют куки.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "В Firefox 50.0.1 устранена критическая уязвимость"  +2 +/
Сообщение от DmA (??) on 29-Ноя-16, 09:37 
> Всякие втентакли с кнопушками оставляют куки.

что значит "втентакли"? И "кнопушки"?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "В Firefox 50.0.1 устранена критическая уязвимость"  –1 +/
Сообщение от A.Stahl (ok) on 29-Ноя-16, 10:13 
Какая разница? Главное что они оставляют куки.
Смеркалось...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

30. "В Firefox 50.0.1 устранена критическая уязвимость"  +1 +/
Сообщение от Аноним (??) on 29-Ноя-16, 16:03 
Даже OpenNET оставляет печеньки. О чём спор?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

33. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от DmA (??) on 30-Ноя-16, 08:42 
они смотрят lastvisit, и там время посещения в unix формате. Думаю у большинства здесь присутсвующих куки на выходе из браузера стираются как минимум, а у кого и вообще запрещены.
Так что не критичные куки, даже не записывают какие страницы сайта я ранее посетил...
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

10. "В Firefox 50.0.1 устранена критическая уязвимость"  +1 +/
Сообщение от Аноним (??) on 29-Ноя-16, 09:56 
Что значит "чужие куки"?
Если рекламная система, установленная на многих сайтах, ставит куки на сайте "www.A.com"
то чужая ли это кука для этой же системы на сайте "www.B.com"?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

27. "В Firefox 50.0.1 устранена критическая уязвимость"  +2 +/
Сообщение от Etch on 29-Ноя-16, 13:14 
Вы заходите на сайт www.A.com, на странице которого содержится код <img src="//www.ad.com/image.png?id=www.A.com"> который подгружает картинку с сайта этой рекламной системы. Вместе с картинкой её сервер ставит куку для _своего_ сайта: www.ad.com.

Затем, когда вы заходите на www.B.com и подгружаете картинку <img src="//www.ad.com/image.png?id=www.B.com"> - вместе с запросом картинки ваш браузер отправит и куку от этого сайта.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "В Firefox 50.0.1 устранена критическая уязвимость"  +1 +/
Сообщение от узорнаме on 29-Ноя-16, 12:40 
увы, но этих защитных мер недостаточно: помимо простых куков есть и другие виды куков.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

32. "В Firefox 50.0.1 устранена критическая уязвимость"  –3 +/
Сообщение от Ilya Indigo (ok) on 29-Ноя-16, 23:33 
> И со сторонних сайтов не принимать куки вовсе.

Это моё мнение, делать так не призываю, но после подобного шага большинству пользователей необходимо добавить одно исключение для "https://apis.google.com", иначе будет невозможно авторизироваться в некоторых гугло-сервисах, например в ютубе.
Если вы таковые не используете - хорошо, дело ваше, но пользователей, которым вы это рекомендуете, вы должны предупредить об этой проблеме.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

34. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от DmA (??) on 30-Ноя-16, 09:21 
>> И со сторонних сайтов не принимать куки вовсе.
> Это моё мнение, делать так не призываю, но после подобного шага большинству
> пользователей необходимо добавить одно исключение для "https://apis.google.com", иначе
> будет невозможно авторизироваться в некоторых гугло-сервисах, например в ютубе.
> Если вы таковые не используете - хорошо, дело ваше, но пользователей, которым
> вы это рекомендуете, вы должны предупредить об этой проблеме.

Ну не может быть! Отлично заходит на Ютубе, сейчас попробовал ! Сами то давно пробовали зайти?
Блокирование сторонних кук я включаю  сразу после установки браузера и в ИЕ и в Firefox и Chrome -и никаких проблем за много лет не встречал!
IE -свойства браузера-Конфиденциальность-Дополнительно-сначала включаем галочку "переопределить автоматическую обработку файлов cookie", затем в разделе "Сторонние файлы cookie" ставим флажок на "блокировать" и жмём на ОК  пока опять на странице не очутимся.
И ещё нужно зайти во вкладку  Общие и поставить галку на "Удалять журнал браузера при выходе" и через кнопку "Удалить" посмотреть какие именно данные будут удалятся при выходе.
В  Chrome и производных от него(китайской Опере, усмановском Амиго, Яндексовом Хроме) Настройки- Показать дополнительные настройки-Настройки Контента-переключаемся на "Удалять локальные данные при закрытии браузера" и ставим галочку "Блокировать данные и файлы cookie сторонних сайтов"
Так что никаких проблем со сторонними куками у пользователей нет! Проблемы есть, но у  этих сторонних сайтов о существовании которых вы обычно ничего не знаете-они получают о вас поменьше информации! С другой стороны, если вы не используете и не настроили как следует  дополнение uMatrix( или может аналог его уже есть), то с этих сторонних сайтов вы закачиваете картинки, скрипты, фреймы, стили, шрифты. Через  uMatrix  загрузку любого контента со сторонних сайтов можно запретить- а разрешить только с самого сайта и его поддоменов.
Вот правила для uMatrix, которые запрещают любой контент со сторонних сайтов
* * * block
* 1st-party * allow
обработка правил идёт с конца, и второе правило разрешает всё с сайта на котором вы находитесь и его поддоменов(например если у вас в адресной строке site.ru, то контент разрешён с сайтов *.site.ru). А первое правило запрещает всё остальное, в том числе и загрузка любых данных со сторонних сайтов.
Ещё добавляю правило блокирования скриптов, так как через скрипты очень много информации может утечь( от списка шрифтов на вашей машине, до операционной системы, версии браузеров, установленных в нём плагинов и тд)
Третье правило такое
* 1st-party script block
И ещё чтобы это всё работало, то нужно отключить предзагрузку следующих страниц в браузере
prefeth.next ,prefeth.dns и predictor


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "В Firefox 50.0.1 устранена критическая уязвимость"  –1 +/
Сообщение от Ilya Indigo (ok) on 02-Дек-16, 04:56 
> Отлично заходит на Ютубе, сейчас попробовал ! Сами то давно пробовали зайти?

Да, только что попробовал, заходит и комментирует. Гугл, таки, научился нормально работать без костылей.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

14. "В Firefox 50.0.1 устранена критическая уязвимость"  +1 +/
Сообщение от Аноним (??) on 29-Ноя-16, 10:08 
Эпла на них нет. Надо запретить 90% возможностей сайтов чтоб все было быстро и безопасно. Переход на сторонние сайты с целью подгрузить их кук низя, модальные окна низя, анимация низя.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

24. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от Аноним (??) on 29-Ноя-16, 13:05 
Никак, сайты не видят куки других сайтов
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В Firefox 50.0.1 устранена критическая уязвимость"  +1 +/
Сообщение от ps (??) on 29-Ноя-16, 09:02 
> ESR-ветка проблеме не подвержена.

Это приятно слышать. Кому надо - поймут. )

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от Аноним (??) on 29-Ноя-16, 10:11 
Угу, баги должны быть стабильными, а то что это такое - в этом релизе один баг, а в слудующем уже другой. Никакого, панимаишь, порядка!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

25. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от Аноним (??) on 29-Ноя-16, 13:07 
> Угу, баги должны быть стабильными, а то что это такое - в
> этом релизе один баг, а в слудующем уже другой. Никакого, панимаишь,
> порядка!

В ESR нет этого бага, что ты несёшь?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

5. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от Аноним (??) on 29-Ноя-16, 09:27 
в nightly заметил, что появилось возможность открывать новые вкладки в разных изолированных контейнерах просто длинным кликом
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от DmA (??) on 29-Ноя-16, 09:37 
> в nightly заметил, что появилось возможность открывать новые вкладки в разных изолированных
> контейнерах просто длинным кликом

Что за "длинный клик"?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "В Firefox 50.0.1 устранена критическая уязвимость"  +2 +/
Сообщение от Аноним (??) on 29-Ноя-16, 10:01 
У которого время удержания кнопки мыши в нажатом состоянии больше чем у обычного клика.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "В Firefox 50.0.1 устранена критическая уязвимость"  –1 +/
Сообщение от Пользователь Debian on 29-Ноя-16, 10:05 
Мой клик длиннее твоего клика!
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от Аноним (??) on 29-Ноя-16, 12:42 
Да, славное решение. Наверное долго думали.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

28. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от тоже Аноним email(ok) on 29-Ноя-16, 14:16 
В этом-то и секрет! Нажал, долго думал... отпустил. Длинный клик готов!
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

13. "В Firefox 50.0.1 устранена критическая уязвимость"  –2 +/
Сообщение от Аноним (??) on 29-Ноя-16, 10:08 
У ФФ все стабильно - в течение 2-х недель в релизе (который прошел несколько стадия ТЕСТИРОВАНИЯ) находится критическая уязвимость. Все последние релизы сколько помню - всегда так.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В Firefox 50.0.1 устранена критическая уязвимость"  +5 +/
Сообщение от Аноним (??) on 29-Ноя-16, 10:10 
> У ФФ все стабильно - в течение 2-х недель в релизе (который
> прошел несколько стадия ТЕСТИРОВАНИЯ) находится критическая уязвимость. Все последние
> релизы сколько помню - всегда так.

дыры всегда будут находиться даже в столетних релизах, которыми пользовались 4 поколения.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "В Firefox 50.0.1 устранена критическая уязвимость"  +3 +/
Сообщение от Аноны on 29-Ноя-16, 10:15 
Это сложно понять хомячкам, которые в жизни ничего не написали, кроме поста на опеннете/лоре.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "В Firefox 50.0.1 устранена критическая уязвимость"  –1 +/
Сообщение от Аноним (??) on 29-Ноя-16, 10:18 
зато сторонники web, javascript, node.js и прочего однодневного софта понимают это очень хорошо, судя по тому звездецу что творится сейчас с "софтом".
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "В Firefox 50.0.1 устранена критическая уязвимость"  +1 +/
Сообщение от Мимокрокодил email on 29-Ноя-16, 10:35 
Сейчас? Сколько себя помню такой звездец был ВСЕГДА. Другое дело что масштабы мира были поменьше и звездецом это не называли.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от arka (ok) on 29-Ноя-16, 12:05 
Ага, с 20 сентября именно две недели и прошли

> Уязвимость проявляется только в Firefox 49 и 50

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

26. "В Firefox 50.0.1 устранена критическая уязвимость"  +3 +/
Сообщение от Аноним (??) on 29-Ноя-16, 13:10 
> У ФФ все стабильно - в течение 2-х недель в релизе (который
> прошел несколько стадия ТЕСТИРОВАНИЯ) находится критическая уязвимость. Все последние
> релизы сколько помню - всегда так.

Ты же пропустил тут свою опечатку в двух предложениях, а там сложная система, браузер.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "В Firefox 50.0.1 устранена критическая уязвимость"  –2 +/
Сообщение от Аноним (??) on 29-Ноя-16, 16:42 
Раст помог бы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В Firefox 50.0.1 устранена критическая уязвимость"  –1 +/
Сообщение от Аноним email(??) on 04-Дек-16, 15:49 
Firefox-50.0 с поддержкой российской криптографии можно найти здесь -
http://soft.lissi.ru/solution/mozilla/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "В Firefox 50.0.1 устранена критическая уязвимость"  +/
Сообщение от Гентушник (ok) on 06-Дек-16, 14:57 
> Firefox-50.0 с поддержкой российских зондов можно найти здесь

Поправил, не благодарите.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру