Доступен (https://www.mozilla.org/en-US/firefox/50.0.1/releasenotes/) корректирующий выпуск Firefox 49.0.2 c устранением уязвимости (https://www.mozilla.org/en-US/security/advisories/mfsa2016-91/) (CVE-2016-9078 (https://security-tracker.debian.org/tracker/CVE-2016-9078)), которой присвоен критический уровень опасности. Уязвимость проявляется только в Firefox 49 и 50, ESR-ветка проблеме не подвержена.
Перенаправление запроса на URL с префиксом "data:" при определённом стечении обстоятельств приводит к обработке содержимого "data:" в контексте домена (origin), с которого был выполнен редирект. Воспользовавшись этой недоработкой атакущий может обойти привязку к домену источника (same-origin (https://ru.wikipedia.org/wiki/%D0%9F%D1%... и загрузить свои ресурсы в контексте чужого домена. Например, продемонстрирована (https://bugzilla.mozilla.org/show_bug.cgi?id=1317641) возможность применения описанного метода для установки cookie для стороннего домена.URL: https://www.mozilla.org/en-US/firefox/50.0.1/releasenotes/
Новость: http://www.opennet.ru/opennews/art.shtml?num=45577
Вот скажите мне, если куки устанавливаются только для своего домена, то как тогда другие домены видят мои куки?
Так отвечает за чтение кук браузер, он же отвечает за соблюдение прав для кук, чтобы сайт мог прочитать только свой кук. Так что если при разработке алгоритма по управлению куками специально или ненарочно накосячили, то никто эти правила чтения кук соблюдать не будет.
Другое дело кто вообще из сайтов догадается читать чужие куки? Это мне кажется может быть диверсией - создают сначала сайты, которые запрашивают у пользователя чужие куки, а потом в код браузера добавляется некорректное поведение при работе с куками. Пользователь заходит на сайт и вот его все куки утекли в неизвестном направлении.
Счастливы пользователи браузеров Chrome, Safari, IE ,Opera -они даже никогда не узнают, были ли у них такие проблемы :)
Ставлю пользователям в браузерах стирать куки на выходе. И со сторонних сайтов не принимать куки вовсе. Нестабильную ветку Firefox (release) не использую, только ESR.
Всякие втентакли с кнопушками оставляют куки.
> Всякие втентакли с кнопушками оставляют куки.что значит "втентакли"? И "кнопушки"?
Какая разница? Главное что они оставляют куки.
Смеркалось...
Даже OpenNET оставляет печеньки. О чём спор?
они смотрят lastvisit, и там время посещения в unix формате. Думаю у большинства здесь присутсвующих куки на выходе из браузера стираются как минимум, а у кого и вообще запрещены.
Так что не критичные куки, даже не записывают какие страницы сайта я ранее посетил...
Что значит "чужие куки"?
Если рекламная система, установленная на многих сайтах, ставит куки на сайте "www.A.com"
то чужая ли это кука для этой же системы на сайте "www.B.com"?
Вы заходите на сайт www.A.com, на странице которого содержится код <img src="//www.ad.com/image.png?id=www.A.com"> который подгружает картинку с сайта этой рекламной системы. Вместе с картинкой её сервер ставит куку для _своего_ сайта: www.ad.com.Затем, когда вы заходите на www.B.com и подгружаете картинку <img src="//www.ad.com/image.png?id=www.B.com"> - вместе с запросом картинки ваш браузер отправит и куку от этого сайта.
увы, но этих защитных мер недостаточно: помимо простых куков есть и другие виды куков.
> И со сторонних сайтов не принимать куки вовсе.Это моё мнение, делать так не призываю, но после подобного шага большинству пользователей необходимо добавить одно исключение для "https://apis.google.com", иначе будет невозможно авторизироваться в некоторых гугло-сервисах, например в ютубе.
Если вы таковые не используете - хорошо, дело ваше, но пользователей, которым вы это рекомендуете, вы должны предупредить об этой проблеме.
>> И со сторонних сайтов не принимать куки вовсе.
> Это моё мнение, делать так не призываю, но после подобного шага большинству
> пользователей необходимо добавить одно исключение для "https://apis.google.com", иначе
> будет невозможно авторизироваться в некоторых гугло-сервисах, например в ютубе.
> Если вы таковые не используете - хорошо, дело ваше, но пользователей, которым
> вы это рекомендуете, вы должны предупредить об этой проблеме.Ну не может быть! Отлично заходит на Ютубе, сейчас попробовал ! Сами то давно пробовали зайти?
Блокирование сторонних кук я включаю сразу после установки браузера и в ИЕ и в Firefox и Chrome -и никаких проблем за много лет не встречал!
IE -свойства браузера-Конфиденциальность-Дополнительно-сначала включаем галочку "переопределить автоматическую обработку файлов cookie", затем в разделе "Сторонние файлы cookie" ставим флажок на "блокировать" и жмём на ОК пока опять на странице не очутимся.
И ещё нужно зайти во вкладку Общие и поставить галку на "Удалять журнал браузера при выходе" и через кнопку "Удалить" посмотреть какие именно данные будут удалятся при выходе.
В Chrome и производных от него(китайской Опере, усмановском Амиго, Яндексовом Хроме) Настройки- Показать дополнительные настройки-Настройки Контента-переключаемся на "Удалять локальные данные при закрытии браузера" и ставим галочку "Блокировать данные и файлы cookie сторонних сайтов"
Так что никаких проблем со сторонними куками у пользователей нет! Проблемы есть, но у этих сторонних сайтов о существовании которых вы обычно ничего не знаете-они получают о вас поменьше информации! С другой стороны, если вы не используете и не настроили как следует дополнение uMatrix( или может аналог его уже есть), то с этих сторонних сайтов вы закачиваете картинки, скрипты, фреймы, стили, шрифты. Через uMatrix загрузку любого контента со сторонних сайтов можно запретить- а разрешить только с самого сайта и его поддоменов.
Вот правила для uMatrix, которые запрещают любой контент со сторонних сайтов
* * * block
* 1st-party * allow
обработка правил идёт с конца, и второе правило разрешает всё с сайта на котором вы находитесь и его поддоменов(например если у вас в адресной строке site.ru, то контент разрешён с сайтов *.site.ru). А первое правило запрещает всё остальное, в том числе и загрузка любых данных со сторонних сайтов.
Ещё добавляю правило блокирования скриптов, так как через скрипты очень много информации может утечь( от списка шрифтов на вашей машине, до операционной системы, версии браузеров, установленных в нём плагинов и тд)
Третье правило такое
* 1st-party script block
И ещё чтобы это всё работало, то нужно отключить предзагрузку следующих страниц в браузере
prefeth.next ,prefeth.dns и predictor
> Отлично заходит на Ютубе, сейчас попробовал ! Сами то давно пробовали зайти?Да, только что попробовал, заходит и комментирует. Гугл, таки, научился нормально работать без костылей.
Эпла на них нет. Надо запретить 90% возможностей сайтов чтоб все было быстро и безопасно. Переход на сторонние сайты с целью подгрузить их кук низя, модальные окна низя, анимация низя.
Никак, сайты не видят куки других сайтов
> ESR-ветка проблеме не подвержена.Это приятно слышать. Кому надо - поймут. )
Угу, баги должны быть стабильными, а то что это такое - в этом релизе один баг, а в слудующем уже другой. Никакого, панимаишь, порядка!
> Угу, баги должны быть стабильными, а то что это такое - в
> этом релизе один баг, а в слудующем уже другой. Никакого, панимаишь,
> порядка!В ESR нет этого бага, что ты несёшь?
в nightly заметил, что появилось возможность открывать новые вкладки в разных изолированных контейнерах просто длинным кликом
> в nightly заметил, что появилось возможность открывать новые вкладки в разных изолированных
> контейнерах просто длинным кликомЧто за "длинный клик"?
У которого время удержания кнопки мыши в нажатом состоянии больше чем у обычного клика.
Мой клик длиннее твоего клика!
Да, славное решение. Наверное долго думали.
В этом-то и секрет! Нажал, долго думал... отпустил. Длинный клик готов!
У ФФ все стабильно - в течение 2-х недель в релизе (который прошел несколько стадия ТЕСТИРОВАНИЯ) находится критическая уязвимость. Все последние релизы сколько помню - всегда так.
> У ФФ все стабильно - в течение 2-х недель в релизе (который
> прошел несколько стадия ТЕСТИРОВАНИЯ) находится критическая уязвимость. Все последние
> релизы сколько помню - всегда так.дыры всегда будут находиться даже в столетних релизах, которыми пользовались 4 поколения.
Это сложно понять хомячкам, которые в жизни ничего не написали, кроме поста на опеннете/лоре.
зато сторонники web, javascript, node.js и прочего однодневного софта понимают это очень хорошо, судя по тому звездецу что творится сейчас с "софтом".
Сейчас? Сколько себя помню такой звездец был ВСЕГДА. Другое дело что масштабы мира были поменьше и звездецом это не называли.
Ага, с 20 сентября именно две недели и прошли> Уязвимость проявляется только в Firefox 49 и 50
> У ФФ все стабильно - в течение 2-х недель в релизе (который
> прошел несколько стадия ТЕСТИРОВАНИЯ) находится критическая уязвимость. Все последние
> релизы сколько помню - всегда так.Ты же пропустил тут свою опечатку в двух предложениях, а там сложная система, браузер.
Раст помог бы?
Firefox-50.0 с поддержкой российской криптографии можно найти здесь -
http://soft.lissi.ru/solution/mozilla/
> Firefox-50.0 с поддержкой российских зондов можно найти здесьПоправил, не благодарите.