The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

07.01.2016 09:33  Обновление Firefox 43.0.4 с отменой блокировки SHA-1

Доступен корректирующий выпуск Firefox 43.0.4, в котором отменена блокировка сертификатов, выписанных после 1 января 2016 года и подписанных с использованием хэша SHA-1. Кроме того, в новой версии устранены две ошибки: крах при запуске на системах с антивирусным ПО и некорректное создание временных директорий при загрузке файлов, приводящее к проблемам в Linux-системах с несколькими активными пользователями Firefox.

Причиной отмены блокировки стали непредвиденные массовые проблемы с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов. В качестве подобных прокси выступают не только навязанное пользователю spyware и adware, но и некоторые антивирусные программы. Любые запросы к защищённым сайтам на таких системах стали приводить к выводу ошибки и полной невозможности открытия сайтов по HTTPS. Сообщается, что Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит её в одном из ближайших выпусков. В свежих обновлениях популярных антивирусных программ уже прекращено использование SHA-1, а пользователи устаревших систем смогут отключить блокировку SHA-1 в about:config (security.pki.sha1_enforcement_level=0).

Напомним, что Facebook, Twitter и CloudFlare выступают против вступившего с 1 января запрета на использование SHA-1 удостоверяющими центрами. Они предлагают разрешить выдавать сертификаты с SHA-1, но только в том случае, если организации уже выдан сертификат на базе SHA256 и по умолчанию задействован для современных браузеров с его поддержкой. Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256. Для таких пользователей предлагается предусмотреть возможность продолжения использования сертификатов с SHA-1.

Что касается безопасности, то новые методы подбора позволяют выявить коллизию для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов. При этом речь ведётся о случайной коллизии, чего недостаточно для подделки сертификата c рандомизированным серийным номером. Для создания поддельного сертификата коллизия должна охватывать корректный серийный номер, что существенно усложняет трудоёмкость атаки и при текущем развитии технологий делает её внедрение для организации массовой слежки маловероятной.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Google досрочно прекратит поддержку SHA-1 в Chrome
  3. OpenNews: Mozilla досрочно прекратит поддержку SHA-1
  4. OpenNews: До конца года ожидается появление практических атак по подбору коллизий для SHA-1
  5. OpenNews: Проект Mozilla присоединился к инициативе по отказу от SHA-1 для HTTPS
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: firefox, sha-1
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Sadok (ok), 10:32, 07/01/2016 [ответить] [показать ветку] [···]    [к модератору]
  • +13 +/
    "Непредвиденные", Карл!! Ибланство, как оно есть.
     
     
  • 2.2, MidNight_er (?), 11:40, 07/01/2016 [^] [ответить]    [к модератору]
  • +4 +/
    Поливать грязью только потому что бета тестеры не выявили проблему на ранней стадии глупо
     
     
  • 3.13, Аноним (-), 15:38, 07/01/2016 [^] [ответить]    [к модератору]
  • +3 +/
    Бета-тестеры виноваты...
     
  • 3.33, Andrey Mitrofanov (?), 12:11, 08/01/2016 [^] [ответить]    [к модератору]
  • +1 +/
    > Поливать грязью только потому что бета тестеры не выявили проблему на ранней
    > стадии глупо

    Они не успели -- спасибо дрист-релизам.  Нет-нет, мы не виним бета-тестеров.

     
  • 2.5, Xasd (ok), 12:16, 07/01/2016 [^] [ответить]    [к модератору]
  • +7 +/
    > "Непредвиденные", Карл!! Ибланство, как оно есть.

    а кто мог предвидить что Антивирусы это такое говно?

    вообще говоря ясно же что эти антивирусы только всё портят, когда вклиниваются в работу web-браузера...

    ...и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояние при котором при антивирусной работе подмена сертификата не срабатывает корректно.

    --------------------------------------------------

    ну а как же например протокол "The Public Key Pinning Extension for HTTP (HPKP)" ?

    как этот протокол ведёт себя в случае работы через подмену сертификата говноантивирусом?

     
     
  • 3.11, Аноним (-), 14:24, 07/01/2016 [^] [ответить]    [к модератору]  
  • +/
    > и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояния

    Да никого она не может воспитать, да и не сможет.

     
  • 3.32, freehck (ok), 12:07, 08/01/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну вот допустим, что в firefox оставили, а в chrome -- откатились В результате ... весь текст скрыт [показать]
     
  • 2.10, Anonplus (?), 14:24, 07/01/2016 [^] [ответить]    [к модератору]  
  • +8 +/
    Проблемы ибланов-вантузоидов с их антивирусами нас вообще не волнуют.
     
     
  • 3.16, Наркоман (?), 16:31, 07/01/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Кого вас?
     
     
  • 4.17, РОСКОМУЗОР (?), 17:09, 07/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Тех кто обходится без антивирусов.
     
  • 4.19, . (?), 18:10, 07/01/2016 [^] [ответить]    [к модератору]  
  • +5 +/
    ... ибланов-вантузоидов без антивирусов же! :)
     
  • 1.3, Аноним (-), 12:07, 07/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    то отменят, то добавят - клоуны
    радует только график использования фраерфокса
     
     
  • 2.24, Аноним (-), 20:01, 07/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Не долго осталось.
     
  • 2.36, brandy (ok), 23:22, 08/01/2016 [^] [ответить]     [к модератору]  
  • –1 +/
    Бледную луну начал присматривать, правда FireFox уж очень вперёд убежал и плагин... весь текст скрыт [показать]
     
  • 1.4, Xasd (ok), 12:13, 07/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256

    а при чём тут браузер Mozilla Firefox (и вообще Mozilla) ? даже если говорить про Mozilla Firefox Mobile -- то при чём тут эти устройства?

     
     
  • 2.8, Аноним (-), 13:36, 07/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Чучка не читатель?
    > _Напомним_, что Facebook, Twitter и CloudFlare выступают против вступившего с 1 января запрета на использование SHA-1 _удостоверяющими центрами_.
     
  • 1.6, privation (?), 12:32, 07/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    зачем отменять блокировку когда можно было бы реализовать переключатель
     
     
  • 2.7, Ан (??), 12:51, 07/01/2016 [^] [ответить]    [к модератору]  
  • +8 +/
    Выводили бы плашку красную вместо зелёной что соединение уязвимо.
     
  • 1.9, Вася Пупкин (?), 14:01, 07/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Видимо в момент просветления кто то из ФФ разработчиков вдруг понял, что если навязывать пользователю малозначащую х-ню - то пользователь проголосует ногами...
    Это радует , это почти праздник. Гигантский шаг в перед в развитии нейронов головного мозга у девелоперов ФФ.
    Проблема SHA-1 для 99.999% интернетовских помоек нерелевантна, и не имеет никакого значения для энд юзера. А важные и нужные сайты (для меня это ФБ и онлан банкинг например) уже давно обновили свои сертификаты..
     
     
  • 2.12, Аноним (-), 14:47, 07/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Поддерживаю всеми частями тела Васян!
     
  • 1.14, Аноним (-), 15:57, 07/01/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –2 +/
    Всем юзерам FF стоит задуматься об альтернативе, с учетом того что Mozilla ложит... весь текст скрыт [показать]
     
     
  • 2.15, Dragonic (ok), 16:27, 07/01/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > болт на мнения своих пользователей

    Как раз они делают так, как удобно пользователям (в частности, мне). А не, пардон, кучке анонимных красноглазиков с опеннета.
    В самом деле, хватит ругать Мозиллу за каждый чих. Они для вас сделали крутой бесплатный и (что важнее) свободный браузер. Естественно, они имеют право проводить легкие социальные эксперименты на его основе.

    > Выпилить XUL

    Наконец-то это устаревшее гуано выпилят! Да, за некоторые интересные дополнения обидно, но скорость и многопроцессность требуют жертв. И ждем в будущем безболезненный переход на Servo.

    > заблокировать не подписанные дополнения, на втыкать сервисов партнеров

    т.е. хром со своими зондами лучше спокойно отключаемых сервисов и защиты от вредительских дополнений (которой нет в версии для гиков)?

    > Всем юзерам FF стоит задуматься об альтернативе

    Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.

     
     
  • 3.18, Аноним (-), 17:33, 07/01/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Я вас не оскорблял Но вы же не аноним вам можно В самом деле, не говорите мне ... весь текст скрыт [показать]
     
     
  • 4.22, Dragonic (ok), 19:25, 07/01/2016 [^] [ответить]     [к модератору]  
  • +/
    Пардон, я не конкретно о ком-то, а о комментариях под новостям о Firefox в целом... весь текст скрыт [показать]
     
     
  • 5.31, Аноним (-), 10:44, 08/01/2016 [^] [ответить]     [к модератору]  
  • –2 +/
    Установите уже себе chromium без анальных зондов и живите полной жизнью А если ... весь текст скрыт [показать]
     
     
  • 6.35, Аэропорт (?), 16:41, 08/01/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Зачем нужен хромиум (в котором всякое есть) или его закрытые форки, если панда лучше?
     
  • 3.20, . (?), 18:19, 07/01/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    > И ждем в будущем безболезненный переход на Servo.

    Надежды вьюнешев питают ... Они вон Вкл\Выкл жлементарный не осилили :) а то безболезненно  заменят движок ... ню-ню :-\  Да и кто сказал что оно будет чем то стоящим?! Хипстота местная? Поживём - увидим, но то, что его пишут на неведомой муйне (ржавчине) - это скорее минус.

    > Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.

    И его считай нет :( Мазила породила, мазила и придушит.

     
     
  • 4.23, Dragonic (ok), 19:28, 07/01/2016 [^] [ответить]    [к модератору]  
  • +/
    > кто сказал что оно будет чем то стоящим?! Хипстота местная?

    Альтернатива: они не станут его внедрять и будут дальше иметь Gecko. Тоже не самый плохой вариант.

    > то, что его пишут на неведомой муйне (ржавчине) - это скорее минус.

    Его пишет Mozilla на языке Mozilla. Всё ок :)

    > И его считай нет :( Мазила породила, мазила и придушит.

    Конкретно, чем его душат прямо сейчас? Отменой блокировки SHA-1? (:

     
  • 1.21, Аноним (-), 19:14, 07/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Я вот не могу понять, чем им  SHA-1 помешал. Ну есть владелиц сертификата пусть он и думает, а ваше дело поддерживать.
     
     
  • 2.26, Ordu (ok), 21:40, 07/01/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Я вот не могу понять...

    Бедненький. А у тебя в селе сопроцессоры к мозгам не продают? Для ускорения ментальных процессов полезно.

     
     
  • 3.34, Аноним (-), 16:21, 08/01/2016 [^] [ответить]    [к модератору]  
  • +1 +/
    Нет не продают. Вам бы багфикс наложить, а то хамло вылазит.
     
  • 2.27, Нанобот (ok), 21:47, 07/01/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    а это у разрабов ИБ головного мозга. запретить sha1 только потому, что сферический суперкомпьютер в вакууме при определённой фазе луны за пару месяцев сможет подобрать коллизию  - это слишком радикально (мягко говоря). да с бюджетом в $100K за несколько месяцев проще разработать 0-day эксплойт, и ещё бабло останется
     
  • 1.28, Аноним (-), 23:05, 07/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит её

    Каламбурщики :D

     
  • 1.37, Онаним (?), 23:40, 08/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > массовые проблемы с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов.

    можно подумать это (проблемы у MITM-щиков) плохо :-)

     
  • 1.38, Sumanai (?), 01:33, 11/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Спасибо за указание опции, включил у себя.
     
  • 1.39, Garrick (?), 20:54, 11/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    Пришлось на работе снести ФФ нафиг, т.к. не один сайт по HTTPS после праздников не открывается. Ни обновление, ни ключ в конфиге не помогают. То ли офисный фаервол, то ли "Касперский", но разбираться с этим недосуг, тем более, что все остальные альтернативные броузеры нормально работают.
     
     
  • 2.41, Led (ok), 00:51, 13/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Вендузятник должен страдать.
     
     
  • 3.42, Garrick (?), 09:22, 13/01/2016 [^] [ответить]    [к модератору]  
  • +/
    Офис, корпоративная политика и всё такое... На работе страдаю.
     
  • 1.40, АнонимХ (ok), 11:29, 12/01/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Если бы "браузеры" не встраивали кучу блоатваре и, как уже упомянуто, выскакивающую всякую дрянь (дебильные вопросы, подсказки, переводы), им бы было больше доверия. И относились со всей серьезностью к рекомендациям.

    А пока все эти потуги убрать дырявое шифрование для рядового пользователя выглядят лишь как очередной баннер "Адоб флешпреел обновился! Скачать без СМС голые писечки! Азазаза!"

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor