URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115550
[ Назад ]
Исходное сообщение
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено opennews , 10-Окт-18 11:45 
Компания Mozilla раскрыла (https://blog.mozilla.org/security/2018/10/09/trusting-the-de.../) результаты (https://drive.google.com/file/d/1v53GCYPxzoZmB1dCop1yJfZgS1w...) независимого аудита безопасности инфраструктуры, используемой для доставки обновлений к Firefox. В ходе аудита были проверены сервер отдачи обновлений (https://github.com/mozilla/balrog/), клиентские компоненты для применения обновлений и используемые проектом  методы доставки. Аудит включал как изучение кода на наличие возможных уязвимостей, так и анализ надёжности протокола и стойкости применяемых криптоалгоритмов.


Аудит был выполнен компанией  X41 D-SEC и не выявил критических проблем, но обнаружил серию ошибок, среди которых 3 проблемы имеют высокий уровень опасности. Все опасные ошибки найдены в коде серверного бэкенда Balrog (https://github.com/mozilla/balrog/) и связаны с недоработками управляющего административного web-интерфейса в области защиты от CSRF-атак (Cross-Site Request Forgery). Опасность данных проблем снижается тем, что к Balrog имеет доступ только ограниченное число сотрудников, а для входа применяется многофакторная аутентификация.


В ходе проверки также выявлено несколько ошибок в коде на языке Си, используемом для обработки файлов с обновлениями. Данные проблемы вызваны небезопасной работой с внешними данными и могут привести к отказу в обслуживании. Отмечается, что ошибки не могут привести к модификации обновлений, так как целостность файлов с обновлениями удостоверяется цифровой подписью. В общем виде отмечен высокий уровень защиты  сервиса обновлений.


URL: https://blog.mozilla.org/security/2018/10/09/trusting-the-de.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49422

Содержание
Сообщения в этом обсуждении
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено анан , 10-Окт-18 11:45 
> в коде на языке Си

ну ясно был бы раст, и ошибок не было...

"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Qwerty , 10-Окт-18 14:08 
Ха, судя по дислайкам, ирония не прошла)))
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 18:09 
список ошибок в студию, тогда можно будет сказать, помог бы там раст или нет
против определенных классов ошибок он таки панацея
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 12-Окт-18 09:16 
> против определенных классов ошибок он таки панацея

Мозила тоже рассказывала что просмотр пдфок на JS безопасным будет. И в результате эти вебмакаки влепили в свой просмотрщик эпичнейший 0day, да еще кроссплатформенный - шик!

Сдается мне что растовики-затейники будут нифига не лучше код писать. За них тоже компилер подумает, что уж там.

"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Анноним , 12-Окт-18 13:29 
> Сдается мне что растовики-затейники будут нифига не лучше код писать. За них
> тоже компилер подумает, что уж там.

" … положили они железнодорожный рельс и стали пилить: Вз.. пррр-дррр-хррр сказала пила — АГА! сказали мужики и пошли валить лес топором"


"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Анонимм , 10-Окт-18 13:59 
ну ессьно, не аудит же самого браузера проводить, особенно на предмет шпионажа за пользователями...

https://spyware.neocities.org/articles/

"Опубликованы результаты аудита системы обновления Firefox"
Отправлено macfaq , 10-Окт-18 14:12 
Это теперь телеметрия называется.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Анонимм , 10-Окт-18 19:13 
фашисты в концлагерях побои тоже называли благими словами...
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено qcgg , 10-Окт-18 23:41 
в контексте "фашисты в концлагерях", слово "побои"  звучит как-то безобидно.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 12-Окт-18 09:19 
> в контексте "фашисты в концлагерях", слово "побои"  звучит как-то безобидно.

Для более обидных случаев была "дезинфекция". Например таким полезным для здоровья химикатом как циклон-б.

"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 14:19 
А как такое поведение называется, не напомните, когда софт что-то себе качает и выполняет, кладя болт на пожелания пользователя? А если удалить или запретить запись, начинает или тупить при завершении, или создавать каталоги с другим именем. Запамятовал чуток, помогите.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Почти аноним , 10-Окт-18 16:16 
Windows 10 называется.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Fyj , 12-Окт-18 19:04 
Недонастроенность. А еще можно назвать "чужая сборка", "мне лень писать свой браузер" и т д
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено denmatv94 , 12-Окт-18 20:56 
Она самая, как есть Windows 10)) Дерьмософт, короче...
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено macfaq , 15-Окт-18 14:37 
> А как такое поведение называется, не напомните, когда софт что-то себе качает
> и выполняет, кладя болт на пожелания пользователя? А если удалить или
> запретить запись, начинает или тупить при завершении, или создавать каталоги с
> другим именем. Запамятовал чуток, помогите.

Тупой пользователь, который не знает, как лучше. Ему помогут.

"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 14:52 
> серверного бэкенда Balrog

Может не надо называть серверный компонент именем древнего демона?

"Опубликованы результаты аудита системы обновления Firefox"
Отправлено anonimous , 10-Окт-18 15:10 
Это оскорбляет чувства сатанистов?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено A.Stahl , 10-Окт-18 15:57 
Нет, сатанисты-то тут при чём? Возмущаются хипстеры: демон ведь древний.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 11-Окт-18 13:32 
Это демон из "Властелина колец", вообще-то. Перед тем, как строчить коммент, погуглил бы, о чем идет речь, чтобы не позориться.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено anonimous , 12-Окт-18 13:24 
Ну я не знаю с каких фэнтезийных произведений демоны считаются достойными поклонения а с каких нет. Да и не важно учитывая комический тон комментария.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 16:17 
А может не надо суеверий в 2019?
И как же демоны в линуксе? Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Поцтерингэкзорцист , 10-Окт-18 16:24 
> И как же демоны в линуксе?

все ок, успешно изведены почти все.

> Может поэтому с десктопной долей так плохо и надо переименовать от греха подальше?

наоборот, ради десктопной доли не переименовали, а старательно уничтожили как класс - у нас теперь "сервисы", "как в винде".
Правильно отцепляться от controlling tty уже почти все разучились, и мы работаем над тем, чтобы разучились окончательно.

А на одном демоническом заклинании fork далеко не уедешь.

"Опубликованы результаты аудита системы обновления Firefox"
Отправлено axredneck , 10-Окт-18 17:09 
В винде - службы и иконки, а в линуксе - демоны, зомби, powerdevil, bluedevil, kill, killall...
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 19:09 
/etc/services смотреть запрещают?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Клыкастый , 12-Окт-18 10:19 
> И как же демоны в линуксе?

Кастрированы. Demons превратились в daemons.

"Опубликованы результаты аудита системы обновления Firefox"
Отправлено нах , 10-Окт-18 16:20 
чего бы это не называть, рабы должны помнить, какому хозяину они на самом деле служат!
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено axredneck , 10-Окт-18 17:05 
Так он и есть демон, не?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено имя , 11-Окт-18 05:01 
не переживай, гендальф белый тебе придет на помощь, если что!
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Mozilla Corporation , 11-Окт-18 10:12 
Чтобы всех отыскать, воедино собрать и единою чёрною волей сковать.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 10-Окт-18 16:31 
Через PVS*****o прогнали?
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено VINRARUS , 10-Окт-18 21:13 
Пфф, а я сам написал автоматическую обновлялку огнепанды на shell.
"Опубликованы результаты аудита системы обновления Firefox"
Отправлено Аноним , 11-Окт-18 07:54 
> Пфф, а я сам написал автоматическую обновлялку огнепанды на shell.

Молодец. Можешь теперь продать мозиловцам, они заменят им свой древний balrog