Опубликовано корректирующее обновление Firefox 68.0.2 (https://www.mozilla.org/en-US/firefox/68.0.2/releasenotes/) в котором устранено несколько проблем:- Устранена уязвимость (CVE-2019-11733), позволяющая скопировать сохранённые пароли без ввода мастер-пароля. При использовании в диалоге Saved Logins ('Page Info/ Security/ View Saved Password)' предложенной в контекстном меню опции 'copy password', копирование в буфер обмена осуществляется без необходимости ввода пароля (диалог ввода пароля выводится, но данные копируются в буфер обмена независимо от правильности введённого пароля);
- Решена проблема (https://bugzilla.mozilla.org/show_bug.cgi?id=1565542) с загрузкой изображений после перезагрузки страницы (ошибка проявлялась в том числе в Google Maps);
- Исправлена ошибка (https://bugzilla.mozilla.org/show_bug.cgi?id=1560228), приводившая к обрезанию некоторых спецсимволов в конце поискового запроса в адресной строке (например, удалялись знак вопроса и символ "#");- Разрешено (https://bugzilla.mozilla.org/show_bug.cgi?id=1565942) загружать шрифты через URL "file://" при открытии страницы с локального носителя;
- Решена проблема (https://bugzilla.mozilla.org/show_bug.cgi?id=1567105) с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул);- Устранена ошибка (https://bugzilla.mozilla.org/show_bug.cgi?id=1567614), приводящая к сбою при запуске внешних приложений, настроенных как обработчики определённых URI.
URL: https://www.mozilla.org/en-US/firefox/68.0.2/releasenotes/
Новость: https://www.opennet.ru/opennews/art.shtml?num=51284
[quote]Решена проблема с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул[/quote]Не совсем по теме, но может кто в курсе, -- почему web-приложение Outlook не работает в мобильной версии браузера? Подключение происходит по сертификату.
P.S. В Chrome работает.
Потому что некрософт хочет, чтобы ты юзал Chrome!
Если винда, то может причина в том, что хром использует системное хранилище сертов?
>> без необходимости ввода пароляТ.е. они хранятся не зашифрованные. Прелестно.
они хранятся в памяти браузера - незашифрованные, потому что иначе пришлось бы хранить в той же памяти ключ шифрования. Или переспрашивать тебя о каждом сайте.А тут речь о дополнительной проверке, когда ты мастер-пароль уже ввел, куда-то залез, но отвернулся поссать, а васян взял и попытался скопировать твой пароль от криптобиржи или просто посмотреть.
Чорт, жаль я раньше не знал что можно вводить любой - так эта проверка надоела...
нет, в оригинале написано:
locally stored passwords can be copied to the clipboard thorough the 'copy password' context menu item without first entering the master passwordполучается просто не шифруют
https://www.mozilla.org/en-US/security/advisories/mfsa2019-24/
ты в это copy не попадешь, оно просто тебе не покажется, пока не введешь пароль.А когда оно показывается - да, все уже расшифровано, это просто мера защиты дополнительная.
А в новости здесь написано больше:> данные копируются в буфер обмена независимо от правильности введённого пароля, при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль
> требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль
> правильно введён мастер-парольФраза процитированная тобой может противоречить этому, а может и нет: "without first entering the master password" очень хорошо переводится русской "без ввода пароля" -- такой перевод сохраняет исходную двусмысленность относительно того, к чему относится "first" -- к тому, что пароль вообще не вводился ни разу, или к тому, что он не был введён непосредственно перед операцией копирования.
>получается просто не шифруютну, удачи тогда вытащить пароли из key4.db(лежит в профилях) без знания мастер пароля
>но отвернулся поссать, а васян взял и попытался скопировать твой парольЗачем копировать? Просто отобразил и на телефон сфоткнул - "сделано для людей"!
Именно по-этому этой какахой после месяца трахелова и перестал пользоваться. И толку с этого мастер-пароля, даже если его постоянно надо наяривать по 50 раз в день.
> Зачем копировать? Просто отобразил и на телефон сфоткнултак там тоже master потребуется - при каждой попытке посмотреть.
кстати, чего-то эти хорьки не договаривают - я попробовал сейчас на 68.0.1 - да, мне открылся диалог, где должны были быть пароли, но там ни паролей, ни логинов, пустое место. Кажется, васяну оставляется только возможность добавить туда еще и свой ;-)
А если ввести правильный master, а потом попробовать посмотреть на сами пароли - хрен там, ни неправильный пароль, ни esc не позволяют с ними ознакомиться "исключительно в целях безопастносте".
Я тоже на относительно старой версии попробовал скопировать без отображения - не вышло, видимо баг последних версий
Когда-то так было, потом сделали только по паролю
> переспрашивать тебя о каждом сайтетак и должно быть
Если мастер пароль не установлен, то нет, не шифруются вовсе.
не смотрел что там наколбасили в db4 - но на почве знакомства с db3 - осуждаю.
Там вполне себе шифровалось. Другое дело что дефолтным ключом, который лежал где-то рядом.
Про пароли не понял, они же хранятся в зашифрованном контейнере!
Ну так по крайней мере я думал
> при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль)После этого в расшифрованном виде.
Так нельзя делать, в любой книжке по безопасности написано что пароль нельзя хранить в памяти в расшифрованном виде, после использования его необходимо сразу очищать из памяти, в крайнем случае по таймауту.
Эй, это же мозилла! Они за то, что нельзя держать в команде двух белых гетеросeксуальных мужчин (а надежнее сразу выгнать из команды последнего оставшегося). Или за то, что нельзя использовать терминологию "master/slave". А вот в способе хранения паролей никакой выгоды для SJW нет, поэтому такая ерунда их не интересует.
Сам пароль и не хранится
> скопировать сохранённые пароли без ввода мастер-пароляПлюшевый какой-то master-password получается. Я бы его переименовал в clown-password, потому что никакими master (master, noun, pl. masters — someone who has control over something or someone) тут не пахнет.
Какие Маргаритки такие и мастера.
Пароли хранятся зашифрованными. При первом за текущую сессию обращении к паролям вы обязаны ввести верный ключ (чтобы не путать мастер-пароль и прочие пароли, далее мастер-пароль будет именоваться ключом), иначе пароли тупо не расшифруются. Это нельзя обойти никак, математику не обманешь.
Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными. Нетрудно понять почему: иначе пришлось бы либо хранить ключ в памяти (скверное решение), либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем (рай для параноика и куча недовольства со стороны большей части пользователей, которым нужно только защитить файл паролей от угона незашифрованным, а вот в пределах сеанса работы с браузером такой геморрой им нафиг не упёрся).
Но остаётся ещё сценарий "пользователь отошёл от ПК, браузер не закрыл, сеанс ОС не залочил, пароли расшифрованы, нужно как-то защитить их от коллеги по офису, который подбежит, откроет менеджер паролей и увидит". Поэтому для просмотра паролей через интерфейс менеджера паролей всё ещё нужно вводить ключ, но он уже их не расшифровывает (они расшифрованы ранее), а просто позволяет их копировать. Дополнительная мера защиты, которую и можно было обойти.
Но это так себе защита и полагаться на неё не следует. Отходя от ПК, нужно блокировать сеанс оперционной системы, а не оставлять недоброжелателям запущенный браузер и потенциальную возможность копаться в памяти процесса браузера (кто знает, что интересного там удастся выловить).Ты можешь переименовывать что угодно во что угодно, хоть себя в Полиграфа Полиграфыча, но мастер-пароль надёжно выполняет свою функцию - хранить пароли на диске зашифрованными. А дальше уже пользователь клоун, если он ускакал, не залочив сеанс ОС.
> блокировать сеанс оперционной системыА это поможет от специальным образом оформленных USB-устройств-эксплоитов? А это поможет от хардварных кейлоггеров, когда нужно просто получить физический доступ к выключенному компу, который для установки включать даже и не потребуется?
Такой наивный, блин. Я даже при выходе из квартиры оставляю кое-что над дверью, чтобы потом определить, открывали ли дверь без моего ведома. А у него тут пароли торчат голой жопой в оперативку.
От этих проблем в любом случае страдает ЛЮБАЯ система, предполагающая использование паролей.
Мастер-пароль не решает ВСЕ проблемы безопасности, но его использование не создает НОВЫХ.
>> блокировать сеанс оперционной системы
> А это поможет от специальным образом оформленных USB-устройств-эксплоитов?Поможет, если разработчики ОС об этом позаботились и ОС игнорирует устройства, подключённые во время блокировки сеанса.
Нужно просто внедрить PAKE в браузер и использовать его для всех сайтов. Тогда можно на все сайты ставить один и тот же пароль. И это будет безопасно.
> Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными.Это очевидное нарушение безопасности со стороны авторов firefox.
> либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем
У сайта есть понятие «сессии», обычно логин вводится один раз при начале сессии, а не для каждой страницы сайта. И требовать для этого мастер-пароль — абсолютно верно.
Да если посещаешь один сайт за сессию, а если десятки? Мечтаю когда сделать что-нибудь типа yubikey вместо пароля
Такими темпами они до 1000 версии при моей жизни догонят. Предлагаю разрабам, сразу +100 к версии делать, что показать крутость разработки
Предлагаю геометрическую прогресию.
>без ввода мастер-пароля
>требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-парольвзаимоисключающие параграфы
Сохранённые пароли в браузере?? Уникальная дурость для тру-линуксоида. Впрочем, судя по каментам, тут таких мало..
сейчас набигут шиндузоиды и скажут, что сохранять пароли надо. Причем хранить их надо в голом виде в оперативке, чтоб любая приложуха их через дырявые процы смогла заполучить. Вот такие вот пошли у нас шиндузоиды. Впрочем, фф недалеко ушел от легендарной шиндо-уязвимости:
> сейчас набигут шиндузоиды и скажут, что сохранять пароли надо. Причем хранить их
> надо в голом виде в оперативке, чтоб любая приложуха их через дырявые процы смогла заполучить.Зачем дыры в процах, если можно просто читать память? (проверяется gdb -p <firefox pid>)
И так ли надежней будет ввод ручками?
https://web.archive.org/web/20010612075533/http://www.acm.vt...
xspy, довольно известная в узких кругах демка, ЕМНИП 97 года. Работает до сих пор.
> сейчас набигут шиндузоиды и скажут, что сохранять пароли надо.Надо. Имелось ввиду использование GPG, отдельного! ПО.
Сколько же тут хомячья пасется, б-же))
Ок, расскажите, как именно это сделать (чтобы работала автоподстановка и автосохранение, разумеется)?
ныкайтесь, ныкайтесь глубже, пацаны - опять тот мальчик, с феноменальной памятью!
Не у него просто одинаковый пароль везде
firefox 68.0.1 не собирается gcc-9.2.0 как только не шаманил ну ни как и все тут падает с ошибкой в стеке rust ему видите ли не угоден перепробовал все версии rust а все одно и тоже падает может ebuld кривой?
в итоге поставил бинарный и все в порядке профиль только подкрутил вроде по скорости работает также зачем тогда под процессор затачивать вот я и думаю.
гентушники начали что-то подозревать