The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Firefox 68.0.2"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Firefox 68.0.2"  +/
Сообщение от opennews (??), 14-Авг-19, 21:12 
Опубликовано корректирующее обновление Firefox 68.0.2 (https://www.mozilla.org/en-US/firefox/68.0.2/releasenotes/) в котором устранено несколько проблем:

-  Устранена уязвимость (CVE-2019-11733), позволяющая скопировать сохранённые пароли без ввода мастер-пароля. При использовании в диалоге Saved Logins ('Page Info/ Security/ View Saved Password)' предложенной в контекстном меню опции 'copy password', копирование в буфер обмена осуществляется без необходимости ввода пароля (диалог ввода пароля выводится, но данные копируются в буфер обмена независимо от правильности введённого пароля);

-  Решена проблема (https://bugzilla.mozilla.org/show_bug.cgi?id=1565542) с загрузкой изображений после перезагрузки страницы (ошибка проявлялась в том числе в  Google Maps);
-  Исправлена ошибка (https://bugzilla.mozilla.org/show_bug.cgi?id=1560228), приводившая к обрезанию некоторых спецсимволов в  конце поискового запроса в адресной строке (например, удалялись знак вопроса и символ "#");

-  Разрешено (https://bugzilla.mozilla.org/show_bug.cgi?id=1565942) загружать шрифты через URL "file://" при открытии страницы с локального носителя;
-  Решена проблема (https://bugzilla.mozilla.org/show_bug.cgi?id=1567105) с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул);

-  Устранена ошибка (https://bugzilla.mozilla.org/show_bug.cgi?id=1567614), приводящая к сбою при запуске внешних приложений, настроенных как обработчики определённых URI.


URL: https://www.mozilla.org/en-US/firefox/68.0.2/releasenotes/
Новость: https://www.opennet.ru/opennews/art.shtml?num=51284

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление Firefox 68.0.2"  –3 +/
Сообщение от Аноним (1), 14-Авг-19, 21:12 
[quote]Решена проблема с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул[/quote]

Не совсем по теме, но может кто в курсе, -- почему web-приложение Outlook не работает в мобильной версии браузера? Подключение происходит по сертификату.

P.S. В Chrome работает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Firefox 68.0.2"  +2 +/
Сообщение от Аноним (7), 14-Авг-19, 21:37 
Потому что некрософт хочет, чтобы ты юзал Chrome!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Обновление Firefox 68.0.2"  +/
Сообщение от goga (??), 14-Авг-19, 21:47 
Если винда, то может причина в том, что хром использует системное хранилище сертов?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление Firefox 68.0.2"  +3 +/
Сообщение от Аномномномнимус (?), 14-Авг-19, 21:18 
>> без необходимости ввода пароля

Т.е. они хранятся не зашифрованные. Прелестно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Firefox 68.0.2"  +3 +/
Сообщение от пох. (?), 14-Авг-19, 21:34 
они хранятся в памяти браузера - незашифрованные, потому что иначе пришлось бы хранить в той же памяти ключ шифрования. Или переспрашивать тебя о каждом сайте.

А тут речь о дополнительной проверке, когда ты мастер-пароль уже ввел, куда-то залез, но отвернулся поссать, а васян взял и попытался скопировать твой пароль от криптобиржи или просто посмотреть.

Чорт, жаль я раньше не знал что можно вводить любой - так эта проверка надоела...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление Firefox 68.0.2"  +/
Сообщение от Я (??), 14-Авг-19, 21:42 
нет, в оригинале написано:
locally stored passwords can be copied to the clipboard thorough the 'copy password' context menu item without first entering the master password  

получается просто не шифруют
https://www.mozilla.org/en-US/security/advisories/mfsa2019-24/

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Обновление Firefox 68.0.2"  +4 +/
Сообщение от пох. (?), 14-Авг-19, 21:54 
ты в это copy не попадешь, оно просто тебе не покажется, пока не введешь пароль.

А когда оно показывается - да, все уже расшифровано, это просто мера защиты дополнительная.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Обновление Firefox 68.0.2"  +/
Сообщение от Ordu (ok), 15-Авг-19, 00:28 
А в новости здесь написано больше:

> данные копируются в буфер обмена независимо от правильности введённого пароля, при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль
> требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль
> правильно введён мастер-пароль

Фраза процитированная тобой может противоречить этому, а может и нет: "without first entering the master password" очень хорошо переводится русской "без ввода пароля" -- такой перевод сохраняет исходную двусмысленность относительно того, к чему относится "first" -- к тому, что пароль вообще не вводился ни разу, или к тому, что он не был введён непосредственно перед операцией копирования.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

22. "Обновление Firefox 68.0.2"  +/
Сообщение от OpenEcho (?), 15-Авг-19, 00:47 
>получается просто не шифруют

ну, удачи тогда вытащить пароли из key4.db(лежит в профилях) без знания мастер пароля

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

26. "Обновление Firefox 68.0.2"  –2 +/
Сообщение от Дегенератор (ok), 15-Авг-19, 06:57 
>но отвернулся поссать, а васян взял и попытался скопировать твой пароль

Зачем копировать? Просто отобразил и на телефон сфоткнул - "сделано для людей"!
Именно по-этому этой какахой после месяца трахелова и перестал пользоваться. И толку с этого мастер-пароля, даже если его постоянно надо наяривать по 50 раз в день.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "Обновление Firefox 68.0.2"  +2 +/
Сообщение от пох. (?), 15-Авг-19, 10:39 
> Зачем копировать? Просто отобразил и на телефон сфоткнул

так там тоже master потребуется - при каждой попытке посмотреть.

кстати, чего-то эти хорьки не договаривают - я попробовал сейчас на 68.0.1 - да, мне открылся диалог, где должны были быть пароли, но там ни паролей, ни логинов, пустое место. Кажется, васяну оставляется только возможность добавить туда еще и свой ;-)

А если ввести правильный master, а потом попробовать посмотреть на сами пароли - хрен там, ни неправильный пароль, ни esc не позволяют с ними ознакомиться "исключительно в целях безопастносте".

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Обновление Firefox 68.0.2"  +/
Сообщение от Fedd (ok), 15-Авг-19, 17:53 
Я тоже на относительно старой версии попробовал скопировать без отображения - не вышло, видимо баг последних версий
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

39. "Обновление Firefox 68.0.2"  +/
Сообщение от Fedd (ok), 15-Авг-19, 17:50 
Когда-то так было, потом сделали только по паролю
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Обновление Firefox 68.0.2"  +/
Сообщение от Аноним (33), 15-Авг-19, 14:33 
> переспрашивать тебя о каждом сайте

так и должно быть

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Обновление Firefox 68.0.2"  +/
Сообщение от Kuromi (ok), 14-Авг-19, 22:25 
Если мастер пароль не установлен, то нет, не шифруются вовсе.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "Обновление Firefox 68.0.2"  +1 +/
Сообщение от пох. (?), 15-Авг-19, 11:13 
не смотрел что там наколбасили в db4 - но на почве знакомства с db3 - осуждаю.
Там вполне себе шифровалось. Другое дело что дефолтным ключом, который лежал где-то рядом.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

3. "Обновление Firefox 68.0.2"  +/
Сообщение от Я (??), 14-Авг-19, 21:32 
Про пароли не понял, они же хранятся в зашифрованном контейнере!
Ну так по крайней мере я думал
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление Firefox 68.0.2"  +/
Сообщение от Анонимemail (15), 14-Авг-19, 23:15 
> при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль)

После этого в расшифрованном виде.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

34. "Обновление Firefox 68.0.2"  +/
Сообщение от Аноним (33), 15-Авг-19, 14:36 
Так нельзя делать, в любой книжке по безопасности написано что пароль нельзя хранить в памяти в расшифрованном виде, после использования его необходимо сразу очищать из памяти, в крайнем случае по таймауту.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

37. "Обновление Firefox 68.0.2"  +/
Сообщение от Аноним (37), 15-Авг-19, 17:25 
Эй, это же мозилла! Они за то, что нельзя держать в команде двух белых гетеросeксуальных мужчин (а надежнее сразу выгнать из команды последнего оставшегося). Или за то, что нельзя использовать терминологию "master/slave". А вот в способе хранения паролей никакой выгоды для SJW нет, поэтому такая ерунда их не интересует.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Обновление Firefox 68.0.2"  +/
Сообщение от Fedd (ok), 15-Авг-19, 17:47 
Сам пароль и не хранится
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

4. "Обновление Firefox 68.0.2"  –4 +/
Сообщение от Аноним (4), 14-Авг-19, 21:33 
> скопировать сохранённые пароли без ввода мастер-пароля

Плюшевый какой-то master-password получается. Я бы его переименовал в clown-password, потому что никакими master (master, noun, pl. masters — someone who has control over something or someone) тут не пахнет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление Firefox 68.0.2"  +/
Сообщение от VINRARUS (ok), 14-Авг-19, 23:08 
Какие Маргаритки такие и мастера.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Обновление Firefox 68.0.2"  +4 +/
Сообщение от AnonPlus (?), 14-Авг-19, 23:21 
Пароли хранятся зашифрованными. При первом за текущую сессию обращении к паролям вы обязаны ввести верный ключ (чтобы не путать мастер-пароль и прочие пароли, далее мастер-пароль будет именоваться ключом), иначе пароли тупо не расшифруются. Это нельзя обойти никак, математику не обманешь.

Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными. Нетрудно понять почему: иначе пришлось бы либо хранить ключ в памяти (скверное решение), либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем (рай для параноика и куча недовольства со стороны большей части пользователей, которым нужно только защитить файл паролей от угона незашифрованным, а вот в пределах сеанса работы с браузером такой геморрой им нафиг не упёрся).

Но остаётся ещё сценарий "пользователь отошёл от ПК, браузер не закрыл, сеанс ОС не залочил, пароли расшифрованы, нужно как-то защитить их от коллеги по офису, который подбежит, откроет менеджер паролей и увидит". Поэтому для просмотра паролей через интерфейс менеджера паролей всё ещё нужно вводить ключ, но он уже их не расшифровывает (они расшифрованы ранее), а просто позволяет их копировать. Дополнительная мера защиты, которую и можно было обойти.

Но это так себе защита и полагаться на неё не следует. Отходя от ПК, нужно блокировать сеанс оперционной системы, а не оставлять недоброжелателям запущенный браузер и потенциальную возможность копаться в памяти процесса браузера (кто знает, что интересного там удастся выловить).

Ты можешь переименовывать что угодно во что угодно, хоть себя в Полиграфа Полиграфыча, но мастер-пароль надёжно выполняет свою функцию - хранить пароли на диске зашифрованными. А дальше уже пользователь клоун, если он ускакал, не залочив сеанс ОС.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Обновление Firefox 68.0.2"  –1 +/
Сообщение от Аноним (4), 14-Авг-19, 23:31 
> блокировать сеанс оперционной системы

А это поможет от специальным образом оформленных USB-устройств-эксплоитов? А это поможет от хардварных кейлоггеров, когда нужно просто получить физический доступ к выключенному компу, который для установки включать даже и не потребуется?

Такой наивный, блин. Я даже при выходе из квартиры оставляю кое-что над дверью, чтобы потом определить, открывали ли дверь без моего ведома. А у него тут пароли торчат голой жопой в оперативку.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

28. "Обновление Firefox 68.0.2"  +/
Сообщение от тоже Аноним (ok), 15-Авг-19, 08:36 
От этих проблем в любом случае страдает ЛЮБАЯ система, предполагающая использование паролей.
Мастер-пароль не решает ВСЕ проблемы безопасности, но его использование не создает НОВЫХ.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

36. "Обновление Firefox 68.0.2"  +/
Сообщение от AnonPlus (?), 15-Авг-19, 15:20 
>> блокировать сеанс оперционной системы
> А это поможет от специальным образом оформленных USB-устройств-эксплоитов?

Поможет, если разработчики ОС об этом позаботились и ОС игнорирует устройства, подключённые во время блокировки сеанса.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

32. "Обновление Firefox 68.0.2"  +/
Сообщение от Аноним (32), 15-Авг-19, 11:41 
Нужно просто внедрить PAKE в браузер и использовать его для всех сайтов. Тогда можно на все сайты ставить один и тот же пароль. И это будет безопасно.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

35. "Обновление Firefox 68.0.2"  +/
Сообщение от Аноним (33), 15-Авг-19, 14:41 
> Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными.

Это очевидное нарушение безопасности со стороны авторов firefox.

> либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем

У сайта есть понятие «сессии», обычно логин вводится один раз при начале сессии, а не для каждой страницы сайта. И требовать для этого мастер-пароль — абсолютно верно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

41. "Обновление Firefox 68.0.2"  +/
Сообщение от Fedd (ok), 15-Авг-19, 18:10 
Да если посещаешь один сайт за сессию, а если десятки? Мечтаю когда сделать что-нибудь типа yubikey вместо пароля
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

6. "Обновление Firefox 68.0.2"  –2 +/
Сообщение от Аноним (6), 14-Авг-19, 21:36 
Такими темпами они до 1000 версии при моей жизни догонят. Предлагаю разрабам, сразу +100 к версии делать, что показать крутость разработки
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление Firefox 68.0.2"  +/
Сообщение от VINRARUS (ok), 14-Авг-19, 23:17 
Предлагаю геометрическую прогресию.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Обновление Firefox 68.0.2"  –2 +/
Сообщение от Аноним (12), 14-Авг-19, 22:25 
>без ввода мастер-пароля
>требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль

взаимоисключающие параграфы

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Обновление Firefox 68.0.2"  –3 +/
Сообщение от user90 (?), 14-Авг-19, 22:50 
Сохранённые пароли в браузере?? Уникальная дурость для тру-линуксоида. Впрочем, судя по каментам, тут таких мало..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Обновление Firefox 68.0.2"  –2 +/
Сообщение от Аноним (4), 14-Авг-19, 23:40 
сейчас набигут шиндузоиды и скажут, что сохранять пароли надо. Причем хранить их надо в голом виде в оперативке, чтоб любая приложуха их через дырявые процы смогла заполучить. Вот такие вот пошли у нас шиндузоиды. Впрочем, фф недалеко ушел от легендарной шиндо-уязвимости:

https://www.youtube.com/watch?v=DOeYqmVNaZE

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Обновление Firefox 68.0.2"  +/
Сообщение от Аноним84701 (ok), 15-Авг-19, 00:29 
> сейчас набигут шиндузоиды и скажут, что сохранять пароли надо. Причем хранить их
> надо в голом виде в оперативке, чтоб любая приложуха их через дырявые процы смогла заполучить.

Зачем дыры в процах, если можно просто читать память? (проверяется gdb -p <firefox pid>)
И так ли надежней будет ввод ручками?
https://web.archive.org/web/20010612075533/http://www.acm.vt...
xspy, довольно известная в узких кругах демка, ЕМНИП 97 года. Работает до сих пор.


Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Обновление Firefox 68.0.2"  –1 +/
Сообщение от user90 (?), 15-Авг-19, 08:30 
> сейчас набигут шиндузоиды и скажут, что сохранять пароли надо.

Надо. Имелось ввиду использование GPG, отдельного! ПО.

Сколько же тут хомячья пасется, б-же))

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

43. "Обновление Firefox 68.0.2"  +/
Сообщение от Stax (ok), 15-Авг-19, 18:22 
Ок, расскажите, как именно это сделать (чтобы работала автоподстановка и автосохранение, разумеется)?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Обновление Firefox 68.0.2"  +/
Сообщение от пох. (?), 15-Авг-19, 10:40 
ныкайтесь, ныкайтесь глубже, пацаны - опять тот мальчик, с феноменальной памятью!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

42. "Обновление Firefox 68.0.2"  +/
Сообщение от Fedd (ok), 15-Авг-19, 18:18 
Не у него просто одинаковый пароль везде
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

23. "Обновление Firefox 68.0.2"  –1 +/
Сообщение от Аноним (23), 15-Авг-19, 02:01 
firefox 68.0.1 не собирается gcc-9.2.0 как только не шаманил ну ни как и все тут падает с ошибкой в стеке rust ему видите ли не угоден перепробовал все версии rust а все одно и тоже падает может ebuld кривой?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Обновление Firefox 68.0.2"  +/
Сообщение от Аноним (23), 15-Авг-19, 02:05 
в итоге поставил бинарный и все в порядке профиль только подкрутил вроде по скорости работает также зачем тогда под процессор затачивать вот я и думаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Обновление Firefox 68.0.2"  +3 +/
Сообщение от Аноним (25), 15-Авг-19, 05:58 
гентушники начали что-то подозревать
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру