The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

07.01.2016 09:33  Обновление Firefox 43.0.4 с отменой блокировки SHA-1

Доступен корректирующий выпуск Firefox 43.0.4, в котором отменена блокировка сертификатов, выписанных после 1 января 2016 года и подписанных с использованием хэша SHA-1. Кроме того, в новой версии устранены две ошибки: крах при запуске на системах с антивирусным ПО и некорректное создание временных директорий при загрузке файлов, приводящее к проблемам в Linux-системах с несколькими активными пользователями Firefox.

Причиной отмены блокировки стали непредвиденные массовые проблемы с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов. В качестве подобных прокси выступают не только навязанное пользователю spyware и adware, но и некоторые антивирусные программы. Любые запросы к защищённым сайтам на таких системах стали приводить к выводу ошибки и полной невозможности открытия сайтов по HTTPS. Сообщается, что Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит её в одном из ближайших выпусков. В свежих обновлениях популярных антивирусных программ уже прекращено использование SHA-1, а пользователи устаревших систем смогут отключить блокировку SHA-1 в about:config (security.pki.sha1_enforcement_level=0).

Напомним, что Facebook, Twitter и CloudFlare выступают против вступившего с 1 января запрета на использование SHA-1 удостоверяющими центрами. Они предлагают разрешить выдавать сертификаты с SHA-1, но только в том случае, если организации уже выдан сертификат на базе SHA256 и по умолчанию задействован для современных браузеров с его поддержкой. Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256. Для таких пользователей предлагается предусмотреть возможность продолжения использования сертификатов с SHA-1.

Что касается безопасности, то новые методы подбора позволяют выявить коллизию для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов. При этом речь ведётся о случайной коллизии, чего недостаточно для подделки сертификата c рандомизированным серийным номером. Для создания поддельного сертификата коллизия должна охватывать корректный серийный номер, что существенно усложняет трудоёмкость атаки и при текущем развитии технологий делает её внедрение для организации массовой слежки маловероятной.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Google досрочно прекратит поддержку SHA-1 в Chrome
  3. OpenNews: Mozilla досрочно прекратит поддержку SHA-1
  4. OpenNews: До конца года ожидается появление практических атак по подбору коллизий для SHA-1
  5. OpenNews: Проект Mozilla присоединился к инициативе по отказу от SHA-1 для HTTPS
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: firefox, sha-1
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Sadok, 10:32, 07/01/2016 [ответить] [смотреть все]
  • +13 +/
    "Непредвиденные", Карл!! Ибланство, как оно есть.
     
     
  • 2.2, MidNight_er, 11:40, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    Поливать грязью только потому что бета тестеры не выявили проблему на ранней ста... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, Аноним, 15:38, 07/01/2016 [^] [ответить] [смотреть все]  
  • +3 +/
    Бета-тестеры виноваты...
     
  • 3.33, Andrey Mitrofanov, 12:11, 08/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Они не успели -- спасибо дрист-релизам Нет-нет, мы не виним бета-тестеров ... весь текст скрыт [показать]
     
  • 2.5, Xasd, 12:16, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +7 +/
    > "Непредвиденные", Карл!! Ибланство, как оно есть.

    а кто мог предвидить что Антивирусы это такое говно?

    вообще говоря ясно же что эти антивирусы только всё портят, когда вклиниваются в работу web-браузера...

    ...и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояние при котором при антивирусной работе подмена сертификата не срабатывает корректно.

    --------------------------------------------------

    ну а как же например протокол "The Public Key Pinning Extension for HTTP (HPKP)" ?

    как этот протокол ведёт себя в случае работы через подмену сертификата говноантивирусом?

     
     
  • 3.11, Аноним, 14:24, 07/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Да никого она не может воспитать, да и не сможет ... весь текст скрыт [показать]
     
  • 3.32, freehck, 12:07, 08/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну вот допустим, что в firefox оставили, а в chrome -- откатились В результате ... весь текст скрыт [показать]
     
  • 2.10, Anonplus, 14:24, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Проблемы ибланов-вантузоидов с их антивирусами нас вообще не волнуют.
     
     
  • 3.16, Наркоман, 16:31, 07/01/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Кого вас?
     
     
  • 4.17, РОСКОМУЗОР, 17:09, 07/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Тех кто обходится без антивирусов.
     
  • 4.19, ., 18:10, 07/01/2016 [^] [ответить] [смотреть все]  
  • +5 +/
    ... ибланов-вантузоидов без антивирусов же! :)
     
  • 1.3, Аноним, 12:07, 07/01/2016 [ответить] [смотреть все]  
  • –1 +/
    то отменят, то добавят - клоуны
    радует только график использования фраерфокса
     
     
  • 2.24, Аноним, 20:01, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не долго осталось.
     
  • 2.36, brandy, 23:22, 08/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Бледную луну начал присматривать, правда FireFox уж очень вперёд убежал и плагин... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Xasd, 12:13, 07/01/2016 [ответить] [смотреть все]  
  • –1 +/
    > Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256

    а при чём тут браузер Mozilla Firefox (и вообще Mozilla) ? даже если говорить про Mozilla Firefox Mobile -- то при чём тут эти устройства?

     
     
  • 2.8, Аноним, 13:36, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Чучка не читатель ... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, privation, 12:32, 07/01/2016 [ответить] [смотреть все]  
  • +4 +/
    зачем отменять блокировку когда можно было бы реализовать переключатель
     
     
  • 2.7, Ан, 12:51, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +8 +/
    Выводили бы плашку красную вместо зелёной что соединение уязвимо.
     
  • 1.9, Вася Пупкин, 14:01, 07/01/2016 [ответить] [смотреть все]  
  • +/
    Видимо в момент просветления кто то из ФФ разработчиков вдруг понял, что если навязывать пользователю малозначащую х-ню - то пользователь проголосует ногами...
    Это радует , это почти праздник. Гигантский шаг в перед в развитии нейронов головного мозга у девелоперов ФФ.
    Проблема SHA-1 для 99.999% интернетовских помоек нерелевантна, и не имеет никакого значения для энд юзера. А важные и нужные сайты (для меня это ФБ и онлан банкинг например) уже давно обновили свои сертификаты..
     
     
  • 2.12, Аноним, 14:47, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Поддерживаю всеми частями тела Васян!
     
  • 1.14, Аноним, 15:57, 07/01/2016 [ответить] [смотреть все]  
  • –2 +/
    Всем юзерам FF стоит задуматься об альтернативе, с учетом того что Mozilla ложит... весь текст скрыт [показать]
     
     
  • 2.15, Dragonic, 16:27, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Как раз они делают так, как удобно пользователям в частности, мне А не, пардо... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 17:33, 07/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Я вас не оскорблял Но вы же не аноним вам можно В самом деле, не говорите мне ... весь текст скрыт [показать]
     
     
  • 4.22, Dragonic, 19:25, 07/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Пардон, я не конкретно о ком-то, а о комментариях под новостям о Firefox в целом... весь текст скрыт [показать]
     
     
  • 5.31, Аноним, 10:44, 08/01/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Установите уже себе chromium без анальных зондов и живите полной жизнью А если ... весь текст скрыт [показать]
     
     
  • 6.35, Аэропорт, 16:41, 08/01/2016 [^] [ответить] [смотреть все]  
  • –1 +/
    Зачем нужен хромиум в котором всякое есть или его закрытые форки, если панда л... весь текст скрыт [показать]
     
  • 3.20, ., 18:19, 07/01/2016 [^] [ответить] [смотреть все]  
  • –2 +/
    Надежды вьюнешев питают Они вон Вкл Выкл жлементарный не осилили а то без... весь текст скрыт [показать]
     
     
  • 4.23, Dragonic, 19:28, 07/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Альтернатива они не станут его внедрять и будут дальше иметь Gecko Тоже не сам... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.21, Аноним, 19:14, 07/01/2016 [ответить] [смотреть все]  
  • –2 +/
    Я вот не могу понять, чем им SHA-1 помешал Ну есть владелиц сертификата пусть ... весь текст скрыт [показать]
     
     
  • 2.26, Ordu, 21:40, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Бедненький А у тебя в селе сопроцессоры к мозгам не продают Для ускорения мент... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.34, Аноним, 16:21, 08/01/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет не продают. Вам бы багфикс наложить, а то хамло вылазит.
     
  • 2.27, Нанобот, 21:47, 07/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    а это у разрабов ИБ головного мозга. запретить sha1 только потому, что сферический суперкомпьютер в вакууме при определённой фазе луны за пару месяцев сможет подобрать коллизию  - это слишком радикально (мягко говоря). да с бюджетом в $100K за несколько месяцев проще разработать 0-day эксплойт, и ещё бабло останется
     
  • 1.28, Аноним, 23:05, 07/01/2016 [ответить] [смотреть все]  
  • +1 +/
    Каламбурщики D... весь текст скрыт [показать]
     
  • 1.37, Онаним, 23:40, 08/01/2016 [ответить] [смотреть все]  
  • +/
    > массовые проблемы с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов.

    можно подумать это (проблемы у MITM-щиков) плохо :-)

     
  • 1.38, Sumanai, 01:33, 11/01/2016 [ответить] [смотреть все]  
  • +/
    Спасибо за указание опции, включил у себя.
     
  • 1.39, Garrick, 20:54, 11/01/2016 [ответить] [смотреть все]  
  • –2 +/
    Пришлось на работе снести ФФ нафиг, т.к. не один сайт по HTTPS после праздников не открывается. Ни обновление, ни ключ в конфиге не помогают. То ли офисный фаервол, то ли "Касперский", но разбираться с этим недосуг, тем более, что все остальные альтернативные броузеры нормально работают.
     
     
  • 2.41, Led, 00:51, 13/01/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вендузятник должен страдать.
     
     
  • 3.42, Garrick, 09:22, 13/01/2016 [^] [ответить] [смотреть все]  
  • +/
    Офис, корпоративная политика и всё такое... На работе страдаю.
     
  • 1.40, АнонимХ, 11:29, 12/01/2016 [ответить] [смотреть все]  
  • +/
    Если бы "браузеры" не встраивали кучу блоатваре и, как уже упомянуто, выскакивающую всякую дрянь (дебильные вопросы, подсказки, переводы), им бы было больше доверия. И относились со всей серьезностью к рекомендациям.

    А пока все эти потуги убрать дырявое шифрование для рядового пользователя выглядят лишь как очередной баннер "Адоб флешпреел обновился! Скачать без СМС голые писечки! Азазаза!"

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList