The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В Firefox-дополнении Web Security выявлена отправка информац..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от opennews (??), 16-Авг-18, 08:49 
В Firefox-дополнении Web Security (https://addons.mozilla.org/en-US/firefox/addon/web-security/), насчитывающем более 220 тысяч установок и входившем (https://blog.mozilla.org/firefox/make-your-firefox-browser-a.../) в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена (https://www.ghacks.net/2018/08/15/mozilla-recommended-privac...) недокументированная сетевая активность, в результате которой на сторонний сервер отправлялись данные о всех страницах, открываемых пользователем.


Разработчики дополнения попытались оправдать отправку данных выполнением проверки URL по чёрным спискам на стороне сервера для блокирования сайтов с вредоносным контентом, но обычно для подобных целей отправляются хэши от URL, а на ссылки в открытом виде. Более того, отправка данных производилась в привязке к  идентификатору пользователя и также передавался прошлый URL, с которого был произведён переход на текущую страницу. Перед передачей данные скрывались при помощи шифрования. Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.


URL: https://www.ghacks.net/2018/08/15/mozilla-recommended-privac...
Новость: https://www.opennet.me/opennews/art.shtml?num=49143

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Firefox-дополнении Web Security выявлена отправка информац..."  +15 +/
Сообщение от Аноним (1), 16-Авг-18, 08:49 
Никому верить нельзя
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Firefox-дополнении Web Security выявлена отправка информац..."  +25 +/
Сообщение от A.Stahl (ok), 16-Авг-18, 08:54 
Мюллер: "Мне -- можно".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

43. "В Firefox-дополнении Web Security выявлена отправка информац..."  –4 +/
Сообщение от Аноним (-), 16-Авг-18, 11:20 
мертвым можете верить, если хотите
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

141. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Dmitry77 (ok), 19-Авг-18, 23:20 
Можно верить коду
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

56. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от J.L. (?), 16-Авг-18, 12:24 
> Никому верить нельзя

ну что ты, мантейнерам линуксовых репозиториев - можно *сарказм*

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

97. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от user (??), 16-Авг-18, 17:21 
"we have root"
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

64. "В Firefox-дополнении Web Security выявлена отправка информац..."  +4 +/
Сообщение от AntonAlekseevichemail (ok), 16-Авг-18, 12:51 
Что за религия "о неверии кому-либо"?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

66. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (-), 16-Авг-18, 12:59 
здравый смысл
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

92. "В Firefox-дополнении Web Security выявлена отправка информац..."  –1 +/
Сообщение от AntonAlekseevichemail (ok), 16-Авг-18, 16:01 
> здравый смысл

Так религия "здравый смысл" есть вера в науку, правду(пост-правду) и людям которые открыли свои глазки.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

98. "В Firefox-дополнении Web Security выявлена отправка информац..."  +2 +/
Сообщение от user (??), 16-Авг-18, 17:21 
религия и пост-правда у тебя в методичке
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

108. "В Firefox-дополнении Web Security выявлена отправка информац..."  +3 +/
Сообщение от Аноним (108), 16-Авг-18, 18:00 
А не оскорбляешь ли ты своим высказыванием чувств верующего?
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

110. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноним (110), 16-Авг-18, 19:40 
Ты назвал его священную книгу методичкой, за это можно и партбилет на стол положить.
Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

111. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от AntonAlekseevichemail (ok), 16-Авг-18, 19:55 
> религия и пост-правда у тебя в методичке

Если бы у меня была методичка по общению на тему религии и пост-правды, то может быть я почаще общался бы на такую тему, но увы это мой первый опыт общения на данную тему.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

114. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (114), 16-Авг-18, 22:32 
>но увы это мой первый опыт общения на данную тему.

И он неудачный. Не делай так больше.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

115. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от AntonAlekseevichemail (ok), 16-Авг-18, 23:43 
> И он неудачный.

И могу сказать хорошо, что этот опыт неудачный.

> Не делай так больше.

Постараюсь, через силу но постараюсь такого более не допустить. (Общения на данную тему.)

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

133. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (133), 17-Авг-18, 20:29 
> это мой первый опыт общения на данную тему

Смотри аккуратнее так данной темой, а то неровен час и опыт может стать последним на долгий срок.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

138. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от AntonAlekseevichemail (ok), 18-Авг-18, 11:40 
> Смотри аккуратнее так данной темой, а то неровен час и опыт может стать последним на долгий срок.

Если честно мне плевать.
Давно процветает доносительство, и я прекрасно понимаю что после того что я написал на меня его уже накатали.
Увы страна в которой я живу уже давно хочет самоуничтожиться и доносительство(которое прилагается с пакетом имени [РосКомНадзор]) её разрушит как морально(Любое логичное умозаключение это станет как зло) так и физический(Людям жрать нечего потом начнут грызть себе подобных).

Ответить | Правка | ^ к родителю #133 | Наверх | Cообщить модератору

104. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (104), 16-Авг-18, 17:48 
Сам-то понимаешь, что несешь?
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

112. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от AntonAlekseevichemail (ok), 16-Авг-18, 20:08 
> Сам-то понимаешь, что несешь?

Вопрос хороший и, да я понимаю что я пишу.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

128. "В Firefox-дополнении Web Security выявлена отправка информац..."  –2 +/
Сообщение от kai3341 (ok), 17-Авг-18, 14:32 
> Так религия "здравый смысл" есть вера в науку, правду(пост-правду) и людям которые открыли свои глазки.

Дурик, тебе в учебниках зачем доказательства приведены? Какая это `вера`, если она требует доказательств? Первое сентября ещё не наступило, но домашку тебе задам:

https://ru.wikipedia.org/wiki/%D0%9D%D0%...

А ещё полуркай критерий Поппера

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

139. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от AntonAlekseevichemail (ok), 18-Авг-18, 12:18 
> Дурик, тебе в учебниках зачем доказательства приведены?

Начало, прости, но оно похоже на "Ты что, умный что ли?".
Доказательства представлены в учебниках как готовый вывод.

> Какая это `вера`, если она требует доказательств?

Вера в доказательства требует доказательства.
Вера в правду либо пост-правду требует поиска истинной информации, отслеживания и реагирования на ложную информацию.
Вера в людей требует чтобы люди сами хотели верить в себя и других.

А вера направленная на недоверие всему, порочна, а последователи данной веры привыкают к культуре доносительства на тех кто не верит им.

Последний обрубок я комментировать не стану.
Ещё не хватало получить донос от вас, что станет последним звоночком между самоубийством после тюрьмы либо безработным до смерти.

Ответить | Правка | ^ к родителю #128 | Наверх | Cообщить модератору

2. "В Firefox-дополнении Web Security выявлена отправка информац..."  –2 +/
Сообщение от Аноняшка (?), 16-Авг-18, 08:49 
А есть файерволл для Linux, позволяющий избегать подобних "недоработок"?)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В Firefox-дополнении Web Security выявлена отправка информац..."  +8 +/
Сообщение от A.Stahl (ok), 16-Авг-18, 08:55 
Да, в линуксе есть файрволл.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноняшка (?), 16-Авг-18, 08:55 
и как его настроить, чтобы не было подобной "заботы о пользователе"?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В Firefox-дополнении Web Security выявлена отправка информац..."  +33 +/
Сообщение от Аноним (7), 16-Авг-18, 08:58 
Нужно запретить браузеру выход в интернет.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от A.Stahl (ok), 16-Авг-18, 08:58 
Закрыть коннекты к серверам сбора статистики.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноне (?), 16-Авг-18, 08:58 
Накрыть белым списком
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "В Firefox-дополнении Web Security выявлена отправка информац..."  –1 +/
Сообщение от Аноняшка (?), 16-Авг-18, 09:02 
как именно настроить белый списек, на уровне файрволла?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "В Firefox-дополнении Web Security выявлена отправка информац..."  +8 +/
Сообщение от Админ (?), 16-Авг-18, 09:37 
iptables -P INPUT DROP
iptables -P FORWARD REJECT
iptables -P OUTPUT REJECT
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

31. "В Firefox-дополнении Web Security выявлена отправка информац..."  +3 +/
Сообщение от Роскомнадзор (?), 16-Авг-18, 10:03 
Это значительно упрощает нашу работу. Спасибо за информацию!
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от captcha 20168 (?), 16-Авг-18, 09:49 
запретить всё, что не разрешено
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

38. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (38), 16-Авг-18, 10:41 
https://github.com/evilsocket/opensnitch

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

52. "В Firefox-дополнении Web Security выявлена отправка информац..."  +7 +/
Сообщение от Аноним (52), 16-Авг-18, 12:20 
> sudo make install

Руки бы за такое, да по самые ноги!

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

125. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Анончик (?), 17-Авг-18, 11:51 
А что не так?
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

126. "В Firefox-дополнении Web Security выявлена отправка информац..."  –2 +/
Сообщение от TrueMakeINSTALL (?), 17-Авг-18, 11:57 
> А что не так?

Для профессионалов, которые знают, что делаю в системе те или иные команды, или действия - всё нормально.
А для попугаев и малограмотных пользователей - это страхи и не знание.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

130. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Michael Shigorinemail (ok), 17-Авг-18, 15:04 
> Для профессионалов, которые знают, что делаю в системе те или иные команды,
> или действия - всё нормально.

(дружески) Чайник, успокойся -- а то из малограмотного станешь не попугаем, а ламером.  Те, кто высказывается о вреде головы в качестве единственной замены пакетному менеджеру, всего лишь давно прошли этап любовного вылизывания одного-единственного локалхоста.

Ответить | Правка | ^ к родителю #126 | Наверх | Cообщить модератору

137. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Анонимный пользователь. (?), 18-Авг-18, 08:21 
>> Для профессионалов, которые знают, что делаю в системе те или иные команды,
>> или действия - всё нормально.
> (дружески) Чайник, успокойся -- а то из малограмотного станешь не попугаем, а
> ламером.  Те, кто высказывается о вреде головы в качестве единственной
> замены пакетному менеджеру, всего лишь давно прошли этап любовного вылизывания одного-единственного
> локалхоста.

Есть варианты, когда создание пакета избыточно. Это надо понимать. Надо понимать, как работает и собирается программа. Куда и что она ставит. Есть и вариант использования префиксов/"сборки по с одну директорию", а не размазывание по системе.
Естественно, что 90% это уже не надо. Пакетные менеджеры это очень хорошо, и отказываться от них не надо.
Но думать головой тоже полезно и повторять "не нужно" только потому что все это делают - бред.
Если это не понятно с твоим опытом, то чайник тут ты.

Ответить | Правка | ^ к родителю #130 | Наверх | Cообщить модератору

118. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (118), 17-Авг-18, 03:11 
iptables -A OUTPUT -j DROP
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноняшка (?), 16-Авг-18, 09:03 
какой бесполезный ответ! напоминает анекдот про Холмса и Ваисона на воздушном шаре, и маркетолога
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

19. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Михалыч (?), 16-Авг-18, 09:13 
я не знаю такой анекдот
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

26. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Anonimus (??), 16-Авг-18, 09:45 
ничего, я знаю!
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

28. "В Firefox-дополнении Web Security выявлена отправка информац..."  +2 +/
Сообщение от Анекдотмэн (?), 16-Авг-18, 09:51 
https://www.anekdot.ru/id/82175/
https://pikabu.ru/story/remeyk_drevnego_anekdota_5694147
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

53. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-18, 12:22 
> https://pikabu.ru/story/remeyk_drevnego_anekdota_5694147

Отличный вариант, спасибо!

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

62. "В Firefox-дополнении Web Security выявлена отправка информац..."  +2 +/
Сообщение от Аноним (62), 16-Авг-18, 12:37 
Топ-менеджер приземлился в воду в 80 км к западу от Джорджтауна, Малайзия. В принципе да, там большой трафик, только разговаривал он бы не с математиком, а с капитаном какого-нибудь судна.

//Математик

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

29. "В Firefox-дополнении Web Security выявлена отправка информац..."  –10 +/
Сообщение от ivn86 (ok), 16-Авг-18, 09:58 
Сама идея безопасности открытого софта напоминает анекдот про неуловимого Джо.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

33. "В Firefox-дополнении Web Security выявлена отправка информац..."  +9 +/
Сообщение от Аноним (33), 16-Авг-18, 10:08 
А идея безопасности закрытого софта что напоминает?
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

37. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от ivn86 (ok), 16-Авг-18, 10:31 
> А идея безопасности закрытого софта что напоминает?

Религию -- остаётся только верить, что всё работает так, как сказали. Я написал конкретно про открытый софт. Есть толпы людей на форумах, для которых опенсорс это синоним безопасности, которые осилили прочитать ридми, но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе. В этом смысле Джо неуловим -- раз написано в ридми, что мы ничего не собираем, значит ничего не собирают, ведь никто в Интернете врать не будет, а они ещё и исходники выложили.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

46. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноним84701 (ok), 16-Авг-18, 11:44 
> Я написал конкретно про открытый софт. Есть толпы людей на форумах, для которых опенсорс это синоним безопасности, которые осилили прочитать ридми, но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе. В этом  смысле Джо неуловим -- раз написано в ридми, что мы ничего не собираем, значит ничего не собирают, ведь никто в Интернете врать не будет, а они ещё и исходники выложили.

И все бы хорошо, но … где на этот код  "нормально" посмотреть можно? Ни репозитория, ни публичного, прозрачного процесса разработки – вся открытость "для галочки".

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

65. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от ivn86 (ok), 16-Авг-18, 12:56 
Ставите расширение, смотрите исходники, если интересно:

unzip -l ~/.mozilla/firefox/*/extensions/contact@web-security.com.xpi

Причём замечу, что это будут исходники, которые выполняются непосредственно на Вашей машине.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

71. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним84701 (ok), 16-Авг-18, 13:23 
> Ставите расширение, смотрите исходники, если интересно:
> unzip -l ~/.mozilla/firefox/*/extensions/contact@web-security.com.xpi
> Причём замечу, что это будут исходники, которые выполняются непосредственно на Вашей машине.

*Вздыхая*
Во-первых: зачем ставить (и тем более, выполнять), если можно просто скачать и распаковать?

% find /tmp/web_sec -iname "*.js" 
/tmp/web_sec/include/content.js
/tmp/web_sec/include/background.js
/tmp/web_sec/panel/panel.js
/tmp/web_sec/main.js
/tmp/web_sec/warning.js
/tmp/web_sec/data/bs.js

Во-вторых: я не зря писал, что тут эта открытость только для галочки, т.к. JS не "скроешь", а обфускация будет выглядеть подозрительно. Но вот то, что на таких условиях никто серьезно пытаться улучшить (а значит и серьезно изучать) не будет - вполне ожидаемо/логично.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

75. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от ivn86 (ok), 16-Авг-18, 13:53 
На каких "таких" условиях? Вы действительно искренне верите, что наличие публичного репозитория или публичного процесса разработки убережёт Вас от подобных неожиданностей? Никогда не было такого, что в публичном проекте уязвимость внедрялась на глазах сотен разработчиков? Никогда не было такого, что при сборке публичного проекта ментейнер добавлял кое-что от себя?
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

91. "В Firefox-дополнении Web Security выявлена отправка информац..."  +3 +/
Сообщение от Аноним84701 (ok), 16-Авг-18, 15:53 
> На каких "таких" условиях?

На "отсутствующих". Не зря на их странице речь о "free", но нигде не встречается "оpen".
См:
> но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе

Я вам открою страшную тайну - доступ, в принципе, можно получить и к исходникам виндовс. Но можно ли окошко из-за этого считать опенсорсом?

Еще раз:
не нужно кивать на "облажавшееся" сферическо-вакуумное "сообщество просмотрщиков кода в сотню глаз в качестве хобби" - его просто-напросто нет.
Существуют заинтересованные индивидуумы/фирмы, которые дополняют/развивают понравившееся/необходимое им ПО. Как раз в таком случае (помимо заказного аудита) обычно и просматривается более-менее все.

Но вряд ли такой плагин:
> Users are often lured to open counterfeit websites of banks, by convincing emails. The free and easy to install Web
> Security add-on will help you detect these counterfeit sites so that you will not be decoyed to enter your sensitive
> information where it is not safe.

...
> A website get’s classified as “Hazardous” according to Creative Software Solutions GmbH’s judgment of it’s malicious code. A code is malicious when it can spy the user’s

с несколько стремными подпунктами в прайваси полиси
> Use Google Analytics
>   Integration and use of Facebook marketing services (Facebook and Custom Audiences)

будет интересен кому-то более-менее разбирающемуся, а если и будет, то на таких (т.е. "отсутсвующих") условиях развивать, а значит и копаться внутри, интереса мало.


> Вы действительно искренне верите, что наличие публичного репозитория
> или публичного процесса разработки убережёт Вас от подобных неожиданностей?
> Никогда не было такого, что в публичном проекте уязвимость внедрялась на глазах сотен разработчиков?
> Никогда не было такого, что при сборке публичного проекта ментейнер добавлял кое-что от себя?

А давайте без передергивания и домысливания.
Именно для открытых проектов "факапы" можно пересчитать по пальцам рук.
Встроить "сюрприз", при наличии VC и  заинтересованных (а значит, отслеживающих изменения) заметно сложнее, чем при выкатывании релиз-тарболов и намного сложнее, чем тупо в бинарник.
Поэтому да, я искренне верю в то, что словить "каку" в открытом, более-менее активно развивающемся проекте намного сложнее, чем в сравнимом, проприетарном ПО.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

68. "В Firefox-дополнении Web Security выявлена отправка информац..."  +4 +/
Сообщение от анноним (?), 16-Авг-18, 13:10 
> Я написал конкретно про открытый софт.

Ты написал в таком контексте, будто это относится ТОЛЬКО к открытому софту. И сделал это намеренно, за что и схлопотал.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

69. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от ivn86 (ok), 16-Авг-18, 13:14 
Что схлопотал? И я написал то, что хотел написать -- неуловимый Джо относится ТОЛЬКО к открытому софту, потому что никому нет дела до того, как оно работает, хоть и есть возможность проверить. В случае закрытого софта такой возможности нет.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

82. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноним (82), 16-Авг-18, 15:14 
Подобные сюрпризы существуют относительно не долго, в отличии от закрытого софта. Но и в закрытом софте ковыряются те кому это надо и интересно. Достаточно сравнить кол-во такой телеметрии в открытом и закрытом софте. Так что да, лучше по возможности использовать открытый софт. Не панацея, но шансов гораздо меньше, в закрытом софте это почти всегда присутствует
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

54. "В Firefox-дополнении Web Security выявлена отправка информац..."  +3 +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-18, 12:23 
> А идея безопасности закрытого софта что напоминает?

Песню Лисы: "я б ночей не спала, всё бы кур стерегла, петушка как родного лелеяла".

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

11. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноняшка (?), 16-Авг-18, 09:00 
те, кто чекнули, не успели пикнуть, и крякнулись?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от max5775 (?), 16-Авг-18, 09:02 
Я бы чекнул, но ни умею
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (20), 16-Авг-18, 09:16 
Где там такое? http://web-security.com
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноним (20), 16-Авг-18, 09:17 
пардон, где там исходники вообще
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Анонс (?), 16-Авг-18, 09:30 
Тип лицензии на странице дополнения написан: https://addons.mozilla.org/firefox/addon/web-security/
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "В Firefox-дополнении Web Security выявлена отправка информац..."  +5 +/
Сообщение от odd.mean (ok), 16-Авг-18, 09:41 
Исходники внутри shitty_addon.xpi (zip). JS же.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

14. "В Firefox-дополнении Web Security выявлена отправка информац..."  –1 +/
Сообщение от ryoken (ok), 16-Авг-18, 09:03 
>>  входившем в список рекомендованных Mozilla

"У семи нянек..."

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

80. "В Firefox-дополнении Web Security выявлена отправка информац..."  +2 +/
Сообщение от Аноним (80), 16-Авг-18, 14:43 
Можно подумать, эти ребята были не в курсе.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

134. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (133), 17-Авг-18, 20:30 
> "У семи нянек..."

14 сисек.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

24. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от iZEN (ok), 16-Авг-18, 09:39 
Фальшивые надежды. Кривые зеркала.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "В Firefox-дополнении Web Security выявлена отправка информац..."  +2 +/
Сообщение от Аноним (96), 16-Авг-18, 17:14 
Ух ты, звучит как строчка из песни.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

116. "В Firefox-дополнении Web Security выявлена отправка информац..."  +3 +/
Сообщение от Аноним (-), 17-Авг-18, 00:11 
Фальшивые надежды. Кривые зеркала.

Звучит как строчка с песни. Такие вот дела.

Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

32. "В Firefox-дополнении Web Security выявлена отправка информац..."  +2 +/
Сообщение от evkogan (?), 16-Авг-18, 10:05 
Прямое нарушение соглашения о приватности, разве с ними нельзя судиться по этому поводу?
Вот в данном случае судебный троль очень бы пригодился.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (47), 16-Авг-18, 11:55 
а суть иска. какой ущерб? или давить на моральный?
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

58. "В Firefox-дополнении Web Security выявлена отправка информац..."  +3 +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-18, 12:26 
> а суть иска. какой ущерб? или давить на моральный?

Введение в заблуждение -- точно, мошенничество -- возможно.  Эт сходу как не-юристу видно.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

89. "В Firefox-дополнении Web Security выявлена отправка информац..."  +3 +/
Сообщение от Wulframe (?), 16-Авг-18, 15:29 
злоупотребление доверием с целью выгоды == мошенничество
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

102. "В Firefox-дополнении Web Security выявлена отправка информац..."  +2 +/
Сообщение от Maxim (??), 16-Авг-18, 17:40 
По GDPR можно тупо большим штрафом наказать!
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

34. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноним (34), 16-Авг-18, 10:14 
>Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.

И что, на них даже в суд не подали?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "В Firefox-дополнении Web Security выявлена отправка информац..."  +6 +/
Сообщение от Аноним (35), 16-Авг-18, 10:17 
А знаете, что самое интересное? Это ни разу не техническая проблема.
Это проблема административно-уголовная. Если в достаточно большом числе стран, вот такой вот тайный сбор сведений станет уголовно наказуемым, с большими штрафами и приличными сроками - то количество таких случаев упадет порядка на два.
А если исследователям и тем кто находит такие закладки отстегивать хороший процент от этих штрафов, то не успеешь ты отправить приложение сборщик\червяк\майнер, как за тобой уже приедут.
Вот так, затрат - почти ноль, добавить статью в уголовный кодекс. А результат - отличный!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "В Firefox-дополнении Web Security выявлена отправка информац..."  –3 +/
Сообщение от Аноним (41), 16-Авг-18, 10:59 
В России сейчас по законам наоборот. Все обязаны собирать всю информацию о пользователях и выдавать по первому требованию.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

45. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от user (??), 16-Авг-18, 11:34 
RTFM
http://constitution.kremlin.ru/
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

49. "В Firefox-дополнении Web Security выявлена отправка информац..."  +3 +/
Сообщение от Аноним (47), 16-Авг-18, 11:56 
только вслух не читайте. чревато.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

51. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от A.Stahl (ok), 16-Авг-18, 12:04 
В Роскомнадзор ссылочку-то скиньте. Реставрация возможна только если все россияне, каждый по чуть-чуть, помогут выполоть демократическую заразу.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

105. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от user (??), 16-Авг-18, 17:52 
Назвать чекистов демократической заразой - это сильно.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

121. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Степан Николаевич (?), 17-Авг-18, 07:18 
как, мы разьве не эпоху Большого Террора восстанавливаем?

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

123. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от ouicgw634t9078 (?), 17-Авг-18, 09:40 
импортозамещение фашизма
Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

59. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-18, 12:27 
> В России сейчас по законам наоборот. Все обязаны собирать всю
> информацию о пользователях и выдавать по первому требованию.

Раз уж ссылаетесь на законы -- будьте добры предоставить перечень конкретных нормативных актов, изучив которые, Вы такое ляпнули.

По умолчанию -- разумеется, балабол.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

73. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (41), 16-Авг-18, 13:48 
Постановление Правительства РФ от 26.06.2018 N 728 "Об утверждении Правил хранения организатором распространения информации в информационно-телекоммуникационной сети "Интернет" текстовых сообщений пользователей информационно-телекоммуникационной сети "Интернет", голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет"".
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

94. "В Firefox-дополнении Web Security выявлена отправка информац..."  +2 +/
Сообщение от Аноним (94), 16-Авг-18, 16:13 
Ну вот и выясняется, что а) не все б) не всю и в) не всем обязаны выдавать.

Достаточно почитать первоисточник.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

74. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (41), 16-Авг-18, 13:48 
https://habr.com/post/415647/
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

63. "В Firefox-дополнении Web Security выявлена отправка информац..."  +2 +/
Сообщение от Аноним (62), 16-Авг-18, 12:39 
И много ты уже информации собрал и выдал? Или ты не все, тебя это не касается?
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

124. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (124), 17-Авг-18, 11:05 
В европе сейчас закон новый, что каждый хостер присылает соглашение о принятие.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

55. "В Firefox-дополнении Web Security выявлена отправка информац..."  +3 +/
Сообщение от тбдщemail (?), 16-Авг-18, 12:24 
Не только Web Security. Другие расширения тоже отравляют историю посещений (судя по всему один и тот же автор(ы). Смотрите мои комменты под постом из статьи https://www.ghacks.net/2018/08/15/mozilla-recommended-privac...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 16-Авг-18, 12:29 
> Не только Web Security. Другие расширения тоже отравляют историю
> посещений (судя по всему один и тот же автор(ы).

Спасибо за труды.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

117. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от тбдщemail (?), 17-Авг-18, 00:33 
Мозиловцы таки забанили эти расширения https://bugzilla.mozilla.org/show_bug.cgi?id=1483995
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

127. "В Firefox-дополнении Web Security выявлена отправка информац..."  –1 +/
Сообщение от ник (??), 17-Авг-18, 12:45 
да свали ты уже, в каждой дырке затычка
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

76. "В Firefox-дополнении Web Security выявлена отправка информац..."  –1 +/
Сообщение от AnonPlus (?), 16-Авг-18, 14:03 
Дополнение, которое пробивает репутацию посещаемых сайтов по своей базе, сверяет посещённый адрес с базой на сервере. Удивительно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от AnonPlus (?), 16-Авг-18, 14:04 
>> для подобных целей отправляются хэши от URL

Так ведь заранее известно сопоставление "хэш = сайт", разве нет? Иначе, как тогда сервер выдаст вердикт, плохой это сайт или нет?

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

81. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от odd.mean (ok), 16-Авг-18, 14:46 
> "хэш = сайт", разве нет?

Не совсем. Вот два URL c хэшами md5:
https://www.opennet.me/ (b2a306e2069f7fa1bbb1d44afe955975)
https://www.opennet.me/opennews/art.shtml?num=49143 (426dfb7e3bf5ba085ef41554b11779cd)
Сайт один и тот же.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

90. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Sw00p aka Jerom (?), 16-Авг-18, 15:44 
смотря кто список хешей составлял, разницы нет - отправил урл или хеш, хеш просто экономичнее и быстрее
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

99. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от odd.mean (ok), 16-Авг-18, 17:22 
Если аддон отправляет *только* хэши, то хотя бы не сольёт URLы, позволяющие явно определить юзера типа https://linkedin.com/BasilPupkin/edit а со стороны сервера все возможные URLы перехэшировать едва ли кто станет.
По-хорошему, серверу вообще должно быть достаточно хэшей от аддонов с рейтингами от юзеров. В качестве примера можно поглядеть на API haveibeenpwned.com, там одни хэши гуляют и всё норм работает.
Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

103. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (41), 16-Авг-18, 17:46 
А если сам аддон будет хэши делать, а сервер расшифрововать?
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

107. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от odd.mean (ok), 16-Авг-18, 17:58 
В смысле "расшифровывать"? Хэш-функция математически необратима. Прямо как тот фарш, который "невозможно провернуть назад". Можно только подобрать по совпадению хэшей предполагаемую начальную строку.
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

78. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноним (78), 16-Авг-18, 14:08 
Ну всё равно до гугловской помойки (т.н. выбсторе) далеко. Пока что.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "В Firefox-дополнении Web Security выявлена отправка информац..."  +5 +/
Сообщение от Аноним (80), 16-Авг-18, 14:41 
>список рекомендованных Mozilla дополнений для охраны частной жизни пользователя
>выявлена отправка информации о посещениях

Это все, что нужно знать о Mozilla в 2018.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "В Firefox-дополнении Web Security выявлена отправка информац..."  –3 +/
Сообщение от Андроним (?), 16-Авг-18, 15:18 
Зря ты это написал. Сейчас тебя фанатики мозилловские заминусуют.
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

87. "В Firefox-дополнении Web Security выявлена отправка информац..."  –4 +/
Сообщение от Аноним (87), 16-Авг-18, 15:25 
ну и поделом инфобез-дрoчилaм
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

93. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (93), 16-Авг-18, 16:09 
Может тогда и ublock сливает?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

95. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от Аноним (94), 16-Авг-18, 16:14 
Иди, проверь.
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

101. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от нах (?), 16-Авг-18, 17:37 
а смысл, сегодня проверит - не сливает, все ок.
Завтра савтоапдейтилось - слили.

мазила через пару месяцев извинится.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

106. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от user (??), 16-Авг-18, 17:54 
академик тоже пользователь?
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

100. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от нах (?), 16-Авг-18, 17:36 
есть слабенькая надежда, что, поскольку ему все еще приходится _скачивать_ базы - сливает он только сам факт что ты используешь ublock.

Но да, доверять никому нельзя.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

109. "В Firefox-дополнении Web Security выявлена отправка информац..."  –1 +/
Сообщение от Pistrun (?), 16-Авг-18, 18:14 
>после инцидента дополнение уже удалено из этого списка

Выпустить бюллетень с уведомлением пользователей и извинениями? Удалить плагин из магазина? Нет?

Это что, попытка сохранить репутацию? Обосрлись ещё сильнее в итоге

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

119. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от KonstantinB (ok), 17-Авг-18, 05:03 
>Удалить плагин из магазина? Нет?

"This add-on has been disabled by an administrator".

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

129. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Pistrun (?), 17-Авг-18, 14:46 
И то хорошо. На момент комментария он там ещё был
Ответить | Правка | ^ к родителю #119 | Наверх | Cообщить модератору

120. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от ыы (?), 17-Авг-18, 06:42 
"Никогда такого небыло, и вот опять" (с)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

131. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от user (??), 17-Авг-18, 17:49 
хотели как лучше, а получилось как всегда
Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

122. "В Firefox-дополнении Web Security выявлена отправка информац..."  +1 +/
Сообщение от bbbbbb (?), 17-Авг-18, 08:49 
Ох плагин удалили, а то что сама Мозилла телеметрию союирает ничего, хозяину можно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

132. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Аноним (132), 17-Авг-18, 18:24 
В android-версии ничего не удалило, сам удалял.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

136. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от Pilat66 (?), 18-Авг-18, 00:16 
"но обычно для подобных целей отправляются хэши от URL, а не ссылки в открытом виде"

Неужели непонятно, что, отправляя самому себе хэш от URL, серверная сторона знает какому URL этот хэш соответствует? То есть это ничего не меняет в плане приватности. Чисто работа на публику.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

142. "В Firefox-дополнении Web Security выявлена отправка информац..."  +/
Сообщение от нах (?), 20-Авг-18, 10:37 
справедливости ради - не совсем. Во-первых, серверная сторона должна знать о существовании того url и заранее посчитать его хэш - что существенно ограничивает ее возможности тебя трекать - даже если предположить наличие там немерянных ресурсов для архивирования всего интернета в хэши, есть еще уникальные per-user и те, куда просто не пускают без авторизации.

во-вторых, отправляя урл вместо хэша - ты делишься им еще и с товарищ-майором и прочими васянами, а в случае с хэшами им придется самим похэшить "весь интернет", даже если ты их плейнтекстом шлешь, чтобы понять, к какому урлу какой хэш относится.

Ответить | Правка | ^ к родителю #136 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру