The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Firefox 43.0.4 с отменой блокировки SHA-1"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от opennews (ok) on 07-Янв-16, 10:32 
Доступен (https://www.mozilla.org/en-US/firefox/43.0.4/releasenotes/) корректирующий выпуск Firefox 43.0.4, в котором отменена блокировка сертификатов, выписанных после 1 января 2016 года и подписанных с использованием хэша SHA-1. Кроме того, в новой версии устранены две ошибки: крах (https://bugzilla.mozilla.org/show_bug.cgi?id=1235537) при запуске на системах с антивирусным ПО и некорректное (https://bugzilla.mozilla.org/show_bug.cgi?id=1233434) создание временных директорий при загрузке файлов, приводящее к проблемам в Linux-системах с несколькими активными пользователями Firefox.

Причиной отмены блокировки стали (https://blog.mozilla.org/security/2016/01/06/man-in-the-midd.../) непредвиденные массовые проблемы (https://bugzilla.mozilla.org/show_bug.cgi?id=1236975) с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в  шифрованный трафик с использованием на лету генерируемых сертификатов. В качестве подобных прокси выступают не только навязанное пользователю spyware и adware, но и некоторые антивирусные программы. Любые запросы к защищённым сайтам на таких системах стали приводить к выводу ошибки и полной невозможности открытия сайтов по HTTPS. Сообщается, что Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит её в одном из ближайших выпусков. В свежих обновлениях популярных антивирусных программ уже прекращено использование SHA-1, а пользователи устаревших систем смогут отключить блокировку SHA-1 в about:config (security.pki.sha1_enforcement_level=0).


Напомним, что Facebook (http://arstechnica.com/security/2015/12/sha1-sunset-will-blo.../), Twitter (https://blog.twitter.com/2015/sunsetting-sha-1) и  CloudFlare (https://blog.cloudflare.com/why-its-harder-to-forge-a-sha-1-.../) выступают против вступившего с 1 января запрета (https://cabforum.org/baseline-requirements/) на использование SHA-1 удостоверяющими центрами. Они предлагают разрешить выдавать сертификаты с SHA-1, но только в том случае, если организации уже выдан сертификат на базе SHA256 и  по умолчанию задействован для современных браузеров с его поддержкой. Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256. Для таких пользователей предлагается предусмотреть возможность продолжения использования сертификатов с SHA-1.


Что касается безопасности, то новые методы подбора позволяют (https://www.opennet.ru/opennews/art.shtml?num=43124) выявить коллизию для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов. При этом речь ведётся о случайной коллизии, чего недостаточно (https://blog.cloudflare.com/why-its-harder-to-forge-a-sha-1-.../) для подделки сертификата c рандомизированным серийным номером. Для создания поддельного сертификата коллизия должна охватывать корректный серийный номер, что существенно усложняет трудоёмкость атаки и при текущем развитии технологий делает её внедрение для организации массовой слежки маловероятной.

URL: https://blog.mozilla.org/security/2016/01/06/man-in-the-midd.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=43635

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +13 +/
Сообщение от Sadok (ok) on 07-Янв-16, 10:32 
"Непредвиденные", Карл!! Ибланство, как оно есть.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +4 +/
Сообщение от MidNight_er on 07-Янв-16, 11:40 
Поливать грязью только потому что бета тестеры не выявили проблему на ранней стадии глупо
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +3 +/
Сообщение от Аноним (??) on 07-Янв-16, 15:38 
Бета-тестеры виноваты...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

33. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +1 +/
Сообщение от Andrey Mitrofanov on 08-Янв-16, 12:11 
> Поливать грязью только потому что бета тестеры не выявили проблему на ранней
> стадии глупо

Они не успели -- спасибо дрист-релизам.  Нет-нет, мы не виним бета-тестеров.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +7 +/
Сообщение от Xasd (ok) on 07-Янв-16, 12:16 
> "Непредвиденные", Карл!! Ибланство, как оно есть.

а кто мог предвидить что Антивирусы это такое говно?

вообще говоря ясно же что эти антивирусы только всё портят, когда вклиниваются в работу web-браузера...

...и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояние при котором при антивирусной работе подмена сертификата не срабатывает корректно.

--------------------------------------------------

ну а как же например протокол "The Public Key Pinning Extension for HTTP (HPKP)" ?

как этот протокол ведёт себя в случае работы через подмену сертификата говноантивирусом?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Аноним (??) on 07-Янв-16, 14:24 
> и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояния

Да никого она не может воспитать, да и не сможет.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

32. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +1 +/
Сообщение от freehck email(ok) on 08-Янв-16, 12:07 
> ...и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояние при котором при антивирусной работе подмена сертификата не срабатывает корректно.

Ну вот допустим, что в firefox оставили, а в chrome -- откатились. В результате толпа народу перебежит с firefox на chrome. Вот такой вот эффект от "воспитательных целей". Им это надо?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +8 +/
Сообщение от Anonplus on 07-Янв-16, 14:24 
Проблемы ибланов-вантузоидов с их антивирусами нас вообще не волнуют.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –1 +/
Сообщение от Наркоман on 07-Янв-16, 16:31 
Кого вас?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от РОСКОМУЗОР on 07-Янв-16, 17:09 
Тех кто обходится без антивирусов.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +5 +/
Сообщение от . on 07-Янв-16, 18:10 
... ибланов-вантузоидов без антивирусов же! :)
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

3. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –1 +/
Сообщение от Аноним (??) on 07-Янв-16, 12:07 
то отменят, то добавят - клоуны
радует только график использования фраерфокса
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Аноним (??) on 07-Янв-16, 20:01 
Не долго осталось.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

36. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –1 +/
Сообщение от brandy (ok) on 08-Янв-16, 23:22 
Бледную луну начал присматривать, правда FireFox уж очень вперёд убежал и плагины возвращать к совместимым версиям тот ещё квест, но похоже всё же придётся. Слишком FireFox на монстра стал похож, с релизной сполз (тормозит заметно для простого визуального наблюдения, тупит и лагает) и пока на ESR ветке, но чую к окончанию поддержки данной версии нужно будет уже подготовить полный переход на Pale Moon.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –1 +/
Сообщение от Xasd (ok) on 07-Янв-16, 12:13 
> Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256

а при чём тут браузер Mozilla Firefox (и вообще Mozilla) ? даже если говорить про Mozilla Firefox Mobile -- то при чём тут эти устройства?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Аноним (??) on 07-Янв-16, 13:36 
Чучка не читатель?
> _Напомним_, что Facebook, Twitter и CloudFlare выступают против вступившего с 1 января запрета на использование SHA-1 _удостоверяющими центрами_.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +4 +/
Сообщение от privation on 07-Янв-16, 12:32 
зачем отменять блокировку когда можно было бы реализовать переключатель
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +8 +/
Сообщение от Ан (??) on 07-Янв-16, 12:51 
Выводили бы плашку красную вместо зелёной что соединение уязвимо.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Вася Пупкин on 07-Янв-16, 14:01 
Видимо в момент просветления кто то из ФФ разработчиков вдруг понял, что если навязывать пользователю малозначащую х-ню - то пользователь проголосует ногами...
Это радует , это почти праздник. Гигантский шаг в перед в развитии нейронов головного мозга у девелоперов ФФ.
Проблема SHA-1 для 99.999% интернетовских помоек нерелевантна, и не имеет никакого значения для энд юзера. А важные и нужные сайты (для меня это ФБ и онлан банкинг например) уже давно обновили свои сертификаты..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Аноним (??) on 07-Янв-16, 14:47 
Поддерживаю всеми частями тела Васян!
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –2 +/
Сообщение от Аноним (??) on 07-Янв-16, 15:57 
Всем юзерам FF стоит задуматься об альтернативе, с учетом того что Mozilla ложит болт на мнения своих пользователей.
Что там по плану? Выпилить XUL, заблокировать не подписанные дополнения, на втыкать сервисов партнеров. НУ успехов им, но без меня. Собственно судя по графику популярности FF им недолго осталось.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –1 +/
Сообщение от Dragonic (ok) on 07-Янв-16, 16:27 
> болт на мнения своих пользователей

Как раз они делают так, как удобно пользователям (в частности, мне). А не, пардон, кучке анонимных красноглазиков с опеннета.
В самом деле, хватит ругать Мозиллу за каждый чих. Они для вас сделали крутой бесплатный и (что важнее) свободный браузер. Естественно, они имеют право проводить легкие социальные эксперименты на его основе.

> Выпилить XUL

Наконец-то это устаревшее гуано выпилят! Да, за некоторые интересные дополнения обидно, но скорость и многопроцессность требуют жертв. И ждем в будущем безболезненный переход на Servo.

> заблокировать не подписанные дополнения, на втыкать сервисов партнеров

т.е. хром со своими зондами лучше спокойно отключаемых сервисов и защиты от вредительских дополнений (которой нет в версии для гиков)?

> Всем юзерам FF стоит задуматься об альтернативе

Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

18. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +1 +/
Сообщение от Аноним (??) on 07-Янв-16, 17:33 
>  А не, пардон, кучке анонимных **** опеннета.

Я вас не оскорблял. Но вы же не аноним вам можно.
>В самом деле, хватит ругать Мозиллу за каждый чих.

В самом деле, не говорите мне что делать и я не скажу куда вам идти.
> Наконец-то это устаревшее гуано выпилят! Да, за некоторые интересные дополнения обидно, но скорость и многопроцессность требуют жертв. И ждем в будущем безболезненный переход на Servo.

Очень хочется посмотреть, может еще количество юзеров упасть у FF или остались только адепты.
> т.е. хром со своими зондами лучше спокойно отключаемых сервисов и защиты от вредительских дополнений (которой нет в версии для гиков)?

А я сказал про chrome? А версия для гиков это Developer Edition?
>Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.

Самостоятельный, а есть еще не самостоятельный? Такой свободный что в Debian он Iceweasel.
Если закрыть глаза, то альтернатив нет.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Dragonic (ok) on 07-Янв-16, 19:25 
> Я вас не оскорблял. Но вы же не аноним вам можно.

Пардон, я не конкретно о ком-то, а о комментариях под новостям о Firefox в целом.

>> В самом деле, хватит ругать Мозиллу за каждый чих.

Туда же.

> А я сказал про chrome?

Грубо говоря, браузеров на сегодня два: Firefox и Chrome. IE/Edge в данном случае можно не считать, поскольку их или просто используют, или игнорируют. Соответственно, если не нравится Firefox, то достойной альтернативой может быть только Хром.

>  А версия для гиков это Developer Edition?

Допустим. Итого, те, кому очень нужны левые дополнения, спокойно смогут их установить так. Обычно это нужно только гикам.
Если дополнение массовое, но по какой-то причине не подписано (странно, правда? наталкивает на некоторые размышления), то разработчикам наконец-то придется озаботиться попаданием в официальный список.

> Очень хочется посмотреть, может еще количество юзеров упасть у FF или остались
> только адепты.

Думаю, его можно начинать активно пропагандировать после внедрения electrolysis. Ну и поддержка хром-дополнений положительно скажется.

> Самостоятельный, а есть еще не самостоятельный?

Я к тому, что есть браузеры, которые делают на базе веб-движков из Qt/gtk, однако они без сильной экосистемы/инфраструктуры, и их нет смысла брать в расчет. Возможно, еще хромиум и его форки с удалением зондов, однако до уровня поддержки хрома им не дотянуть.

> Такой свободный что в Debian он Iceweasel.

Грубо говоря, форк ради форка. С вики дебиана:
> Iceweasel - это форк Firefox со следующей целью:
> 1. Бэкпорт обновлений безопасности в Debian stable версию
> 2. Исключение торговой марки Mozilla artwork (из-за пункта #1)
> Кроме того, в основном они будут идентичны.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

31. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –2 +/
Сообщение от Аноним (??) on 08-Янв-16, 10:44 
>> Грубо говоря, браузеров на сегодня два: Firefox и Chrome. Соответственно, если не нравится Firefox, то достойной альтернативой может быть только Хром.

Установите уже себе chromium без анальных зондов и живите полной жизнью.
А если очень хочется, то оперу или вивальди, ну или яндекс браузер.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

35. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –1 +/
Сообщение от Аэропорт on 08-Янв-16, 16:41 
Зачем нужен хромиум (в котором всякое есть) или его закрытые форки, если панда лучше?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

20. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –2 +/
Сообщение от . on 07-Янв-16, 18:19 
> И ждем в будущем безболезненный переход на Servo.

Надежды вьюнешев питают ... Они вон Вкл\Выкл жлементарный не осилили :) а то безболезненно  заменят движок ... ню-ню :-\  Да и кто сказал что оно будет чем то стоящим?! Хипстота местная? Поживём - увидим, но то, что его пишут на неведомой муйне (ржавчине) - это скорее минус.

> Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.

И его считай нет :( Мазила породила, мазила и придушит.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Dragonic (ok) on 07-Янв-16, 19:28 
> кто сказал что оно будет чем то стоящим?! Хипстота местная?

Альтернатива: они не станут его внедрять и будут дальше иметь Gecko. Тоже не самый плохой вариант.

> то, что его пишут на неведомой муйне (ржавчине) - это скорее минус.

Его пишет Mozilla на языке Mozilla. Всё ок :)

> И его считай нет :( Мазила породила, мазила и придушит.

Конкретно, чем его душат прямо сейчас? Отменой блокировки SHA-1? (:

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

21. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –2 +/
Сообщение от Аноним (??) on 07-Янв-16, 19:14 
Я вот не могу понять, чем им  SHA-1 помешал. Ну есть владелиц сертификата пусть он и думает, а ваше дело поддерживать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –1 +/
Сообщение от Ordu email(ok) on 07-Янв-16, 21:40 
> Я вот не могу понять...

Бедненький. А у тебя в селе сопроцессоры к мозгам не продают? Для ускорения ментальных процессов полезно.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

34. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +1 +/
Сообщение от Аноним (??) on 08-Янв-16, 16:21 
Нет не продают. Вам бы багфикс наложить, а то хамло вылазит.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –1 +/
Сообщение от Нанобот (ok) on 07-Янв-16, 21:47 
а это у разрабов ИБ головного мозга. запретить sha1 только потому, что сферический суперкомпьютер в вакууме при определённой фазе луны за пару месяцев сможет подобрать коллизию  - это слишком радикально (мягко говоря). да с бюджетом в $100K за несколько месяцев проще разработать 0-day эксплойт, и ещё бабло останется
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +1 +/
Сообщение от Аноним (??) on 07-Янв-16, 23:05 
>Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит её

Каламбурщики :D

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Онаним on 08-Янв-16, 23:40 
> массовые проблемы с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов.

можно подумать это (проблемы у MITM-щиков) плохо :-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Sumanai email on 11-Янв-16, 01:33 
Спасибо за указание опции, включил у себя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  –2 +/
Сообщение от Garrick on 11-Янв-16, 20:54 
Пришлось на работе снести ФФ нафиг, т.к. не один сайт по HTTPS после праздников не открывается. Ни обновление, ни ключ в конфиге не помогают. То ли офисный фаервол, то ли "Касперский", но разбираться с этим недосуг, тем более, что все остальные альтернативные броузеры нормально работают.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Led (ok) on 13-Янв-16, 00:51 
Вендузятник должен страдать.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от Garrick on 13-Янв-16, 09:22 
Офис, корпоративная политика и всё такое... На работе страдаю.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

40. "Обновление Firefox 43.0.4 с отменой блокировки SHA-1"  +/
Сообщение от АнонимХ (ok) on 12-Янв-16, 11:29 
Если бы "браузеры" не встраивали кучу блоатваре и, как уже упомянуто, выскакивающую всякую дрянь (дебильные вопросы, подсказки, переводы), им бы было больше доверия. И относились со всей серьезностью к рекомендациям.

А пока все эти потуги убрать дырявое шифрование для рядового пользователя выглядят лишь как очередной баннер "Адоб флешпреел обновился! Скачать без СМС голые писечки! Азазаза!"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру