The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Firefox 43.0.4 с отменой блокировки SHA-1

07.01.2016 09:33

Доступен корректирующий выпуск Firefox 43.0.4, в котором отменена блокировка сертификатов, выписанных после 1 января 2016 года и подписанных с использованием хэша SHA-1. Кроме того, в новой версии устранены две ошибки: крах при запуске на системах с антивирусным ПО и некорректное создание временных директорий при загрузке файлов, приводящее к проблемам в Linux-системах с несколькими активными пользователями Firefox.

Причиной отмены блокировки стали непредвиденные массовые проблемы с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов. В качестве подобных прокси выступают не только навязанное пользователю spyware и adware, но и некоторые антивирусные программы. Любые запросы к защищённым сайтам на таких системах стали приводить к выводу ошибки и полной невозможности открытия сайтов по HTTPS. Сообщается, что Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит её в одном из ближайших выпусков. В свежих обновлениях популярных антивирусных программ уже прекращено использование SHA-1, а пользователи устаревших систем смогут отключить блокировку SHA-1 в about:config (security.pki.sha1_enforcement_level=0).

Напомним, что Facebook, Twitter и CloudFlare выступают против вступившего с 1 января запрета на использование SHA-1 удостоверяющими центрами. Они предлагают разрешить выдавать сертификаты с SHA-1, но только в том случае, если организации уже выдан сертификат на базе SHA256 и по умолчанию задействован для современных браузеров с его поддержкой. Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256. Для таких пользователей предлагается предусмотреть возможность продолжения использования сертификатов с SHA-1.

Что касается безопасности, то новые методы подбора позволяют выявить коллизию для хэша SHA-1 за несколько месяцев при цене в 75-120 тысяч долларов. При этом речь ведётся о случайной коллизии, чего недостаточно для подделки сертификата c рандомизированным серийным номером. Для создания поддельного сертификата коллизия должна охватывать корректный серийный номер, что существенно усложняет трудоёмкость атаки и при текущем развитии технологий делает её внедрение для организации массовой слежки маловероятной.

  1. Главная ссылка к новости (https://blog.mozilla.org/secur...)
  2. OpenNews: Google досрочно прекратит поддержку SHA-1 в Chrome
  3. OpenNews: Mozilla досрочно прекратит поддержку SHA-1
  4. OpenNews: До конца года ожидается появление практических атак по подбору коллизий для SHA-1
  5. OpenNews: Проект Mozilla присоединился к инициативе по отказу от SHA-1 для HTTPS
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/43635-firefox
Ключевые слова: firefox, sha-1
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Sadok (ok), 10:32, 07/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    "Непредвиденные", Карл!! Ибланство, как оно есть.
     
     
  • 2.2, MidNight_er (?), 11:40, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Поливать грязью только потому что бета тестеры не выявили проблему на ранней стадии глупо
     
     
  • 3.13, Аноним (-), 15:38, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Бета-тестеры виноваты...
     
  • 3.33, Andrey Mitrofanov (?), 12:11, 08/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Поливать грязью только потому что бета тестеры не выявили проблему на ранней
    > стадии глупо

    Они не успели -- спасибо дрист-релизам.  Нет-нет, мы не виним бета-тестеров.

     
  • 2.5, Xasd (ok), 12:16, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > "Непредвиденные", Карл!! Ибланство, как оно есть.

    а кто мог предвидить что Антивирусы это такое говно?

    вообще говоря ясно же что эти антивирусы только всё портят, когда вклиниваются в работу web-браузера...

    ...и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояние при котором при антивирусной работе подмена сертификата не срабатывает корректно.

    --------------------------------------------------

    ну а как же например протокол "The Public Key Pinning Extension for HTTP (HPKP)" ?

    как этот протокол ведёт себя в случае работы через подмену сертификата говноантивирусом?

     
     
  • 3.11, Аноним (-), 14:24, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояния

    Да никого она не может воспитать, да и не сможет.

     
  • 3.32, freehck (ok), 12:07, 08/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ...и по хорошему Мозилла должна была бы УМЫШЛЕННО (для воспитательной точки зрения) оставить это состояние при котором при антивирусной работе подмена сертификата не срабатывает корректно.

    Ну вот допустим, что в firefox оставили, а в chrome -- откатились. В результате толпа народу перебежит с firefox на chrome. Вот такой вот эффект от "воспитательных целей". Им это надо?

     
  • 2.10, Anonplus (?), 14:24, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Проблемы ибланов-вантузоидов с их антивирусами нас вообще не волнуют.
     
     
  • 3.16, Наркоман (?), 16:31, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кого вас?
     
     
  • 4.17, РОСКОМУЗОР (?), 17:09, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Тех кто обходится без антивирусов.
     
  • 4.19, . (?), 18:10, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ... ибланов-вантузоидов без антивирусов же! :)
     

  • 1.3, Аноним (-), 12:07, 07/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    то отменят, то добавят - клоуны
    радует только график использования фраерфокса
     
     
  • 2.24, Аноним (-), 20:01, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Не долго осталось.
     
  • 2.36, brandy (ok), 23:22, 08/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Бледную луну начал присматривать, правда FireFox уж очень вперёд убежал и плагины возвращать к совместимым версиям тот ещё квест, но похоже всё же придётся. Слишком FireFox на монстра стал похож, с релизной сполз (тормозит заметно для простого визуального наблюдения, тупит и лагает) и пока на ESR ветке, но чую к окончанию поддержки данной версии нужно будет уже подготовить полный переход на Pale Moon.
     

  • 1.4, Xasd (ok), 12:13, 07/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Полное прекращение поддержки SHA-1 сделает невозможным обращение по HTTPS для примерно 37 млн пользователей, продолжающих работу на мобильных устройствах с браузерами без поддержки SHA256

    а при чём тут браузер Mozilla Firefox (и вообще Mozilla) ? даже если говорить про Mozilla Firefox Mobile -- то при чём тут эти устройства?

     
     
  • 2.8, Аноним (-), 13:36, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Чучка не читатель?
    > _Напомним_, что Facebook, Twitter и CloudFlare выступают против вступившего с 1 января запрета на использование SHA-1 _удостоверяющими центрами_.
     

  • 1.6, privation (?), 12:32, 07/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    зачем отменять блокировку когда можно было бы реализовать переключатель
     
     
  • 2.7, Ан (??), 12:51, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Выводили бы плашку красную вместо зелёной что соединение уязвимо.
     

  • 1.9, Вася Пупкин (?), 14:01, 07/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Видимо в момент просветления кто то из ФФ разработчиков вдруг понял, что если навязывать пользователю малозначащую х-ню - то пользователь проголосует ногами...
    Это радует , это почти праздник. Гигантский шаг в перед в развитии нейронов головного мозга у девелоперов ФФ.
    Проблема SHA-1 для 99.999% интернетовских помоек нерелевантна, и не имеет никакого значения для энд юзера. А важные и нужные сайты (для меня это ФБ и онлан банкинг например) уже давно обновили свои сертификаты..
     
     
  • 2.12, Аноним (-), 14:47, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Поддерживаю всеми частями тела Васян!
     

  • 1.14, Аноним (-), 15:57, 07/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Всем юзерам FF стоит задуматься об альтернативе, с учетом того что Mozilla ложит болт на мнения своих пользователей.
    Что там по плану? Выпилить XUL, заблокировать не подписанные дополнения, на втыкать сервисов партнеров. НУ успехов им, но без меня. Собственно судя по графику популярности FF им недолго осталось.
     
     
  • 2.15, Dragonic (ok), 16:27, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > болт на мнения своих пользователей

    Как раз они делают так, как удобно пользователям (в частности, мне). А не, пардон, кучке анонимных красноглазиков с опеннета.
    В самом деле, хватит ругать Мозиллу за каждый чих. Они для вас сделали крутой бесплатный и (что важнее) свободный браузер. Естественно, они имеют право проводить легкие социальные эксперименты на его основе.

    > Выпилить XUL

    Наконец-то это устаревшее гуано выпилят! Да, за некоторые интересные дополнения обидно, но скорость и многопроцессность требуют жертв. И ждем в будущем безболезненный переход на Servo.

    > заблокировать не подписанные дополнения, на втыкать сервисов партнеров

    т.е. хром со своими зондами лучше спокойно отключаемых сервисов и защиты от вредительских дополнений (которой нет в версии для гиков)?

    > Всем юзерам FF стоит задуматься об альтернативе

    Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.

     
     
  • 3.18, Аноним (-), 17:33, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >  А не, пардон, кучке анонимных **** опеннета.

    Я вас не оскорблял. Но вы же не аноним вам можно.
    >В самом деле, хватит ругать Мозиллу за каждый чих.

    В самом деле, не говорите мне что делать и я не скажу куда вам идти.
    > Наконец-то это устаревшее гуано выпилят! Да, за некоторые интересные дополнения обидно, но скорость и многопроцессность требуют жертв. И ждем в будущем безболезненный переход на Servo.

    Очень хочется посмотреть, может еще количество юзеров упасть у FF или остались только адепты.
    > т.е. хром со своими зондами лучше спокойно отключаемых сервисов и защиты от вредительских дополнений (которой нет в версии для гиков)?

    А я сказал про chrome? А версия для гиков это Developer Edition?
    >Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.

    Самостоятельный, а есть еще не самостоятельный? Такой свободный что в Debian он Iceweasel.
    Если закрыть глаза, то альтернатив нет.

     
     
  • 4.22, Dragonic (ok), 19:25, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Я вас не оскорблял. Но вы же не аноним вам можно.

    Пардон, я не конкретно о ком-то, а о комментариях под новостям о Firefox в целом.

    >> В самом деле, хватит ругать Мозиллу за каждый чих.

    Туда же.

    > А я сказал про chrome?

    Грубо говоря, браузеров на сегодня два: Firefox и Chrome. IE/Edge в данном случае можно не считать, поскольку их или просто используют, или игнорируют. Соответственно, если не нравится Firefox, то достойной альтернативой может быть только Хром.

    >  А версия для гиков это Developer Edition?

    Допустим. Итого, те, кому очень нужны левые дополнения, спокойно смогут их установить так. Обычно это нужно только гикам.
    Если дополнение массовое, но по какой-то причине не подписано (странно, правда? наталкивает на некоторые размышления), то разработчикам наконец-то придется озаботиться попаданием в официальный список.

    > Очень хочется посмотреть, может еще количество юзеров упасть у FF или остались
    > только адепты.

    Думаю, его можно начинать активно пропагандировать после внедрения electrolysis. Ну и поддержка хром-дополнений положительно скажется.

    > Самостоятельный, а есть еще не самостоятельный?

    Я к тому, что есть браузеры, которые делают на базе веб-движков из Qt/gtk, однако они без сильной экосистемы/инфраструктуры, и их нет смысла брать в расчет. Возможно, еще хромиум и его форки с удалением зондов, однако до уровня поддержки хрома им не дотянуть.

    > Такой свободный что в Debian он Iceweasel.

    Грубо говоря, форк ради форка. С вики дебиана:
    > Iceweasel - это форк Firefox со следующей целью:
    > 1. Бэкпорт обновлений безопасности в Debian stable версию
    > 2. Исключение торговой марки Mozilla artwork (из-за пункта #1)
    > Кроме того, в основном они будут идентичны.

     
     
  • 5.31, Аноним (-), 10:44, 08/01/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >> Грубо говоря, браузеров на сегодня два: Firefox и Chrome. Соответственно, если не нравится Firefox, то достойной альтернативой может быть только Хром.

    Установите уже себе chromium без анальных зондов и живите полной жизнью.
    А если очень хочется, то оперу или вивальди, ну или яндекс браузер.

     
     
  • 6.35, Аэропорт (?), 16:41, 08/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем нужен хромиум (в котором всякое есть) или его закрытые форки, если панда лучше?
     
  • 3.20, . (?), 18:19, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > И ждем в будущем безболезненный переход на Servo.

    Надежды вьюнешев питают ... Они вон Вкл\Выкл жлементарный не осилили :) а то безболезненно  заменят движок ... ню-ню :-\  Да и кто сказал что оно будет чем то стоящим?! Хипстота местная? Поживём - увидим, но то, что его пишут на неведомой муйне (ржавчине) - это скорее минус.

    > Нет её. Firefox - единственный самостоятельный и действительно свободный браузер.

    И его считай нет :( Мазила породила, мазила и придушит.

     
     
  • 4.23, Dragonic (ok), 19:28, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > кто сказал что оно будет чем то стоящим?! Хипстота местная?

    Альтернатива: они не станут его внедрять и будут дальше иметь Gecko. Тоже не самый плохой вариант.

    > то, что его пишут на неведомой муйне (ржавчине) - это скорее минус.

    Его пишет Mozilla на языке Mozilla. Всё ок :)

    > И его считай нет :( Мазила породила, мазила и придушит.

    Конкретно, чем его душат прямо сейчас? Отменой блокировки SHA-1? (:

     

  • 1.21, Аноним (-), 19:14, 07/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я вот не могу понять, чем им  SHA-1 помешал. Ну есть владелиц сертификата пусть он и думает, а ваше дело поддерживать.
     
     
  • 2.26, Ordu (ok), 21:40, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я вот не могу понять...

    Бедненький. А у тебя в селе сопроцессоры к мозгам не продают? Для ускорения ментальных процессов полезно.

     
     
  • 3.34, Аноним (-), 16:21, 08/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет не продают. Вам бы багфикс наложить, а то хамло вылазит.
     
  • 2.27, Нанобот (ok), 21:47, 07/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а это у разрабов ИБ головного мозга. запретить sha1 только потому, что сферический суперкомпьютер в вакууме при определённой фазе луны за пару месяцев сможет подобрать коллизию  - это слишком радикально (мягко говоря). да с бюджетом в $100K за несколько месяцев проще разработать 0-day эксплойт, и ещё бабло останется
     

  • 1.28, Аноним (-), 23:05, 07/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Mozilla не отказывается от планов по прекращению поддержки SHA-1 и возобновит её

    Каламбурщики :D

     
  • 1.37, Онаним (?), 23:40, 08/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > массовые проблемы с работой на системах с установленными локальными MITM-прокси, вклинивающиеся в шифрованный трафик с использованием на лету генерируемых сертификатов.

    можно подумать это (проблемы у MITM-щиков) плохо :-)

     
  • 1.38, Sumanai (?), 01:33, 11/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо за указание опции, включил у себя.
     
  • 1.39, Garrick (?), 20:54, 11/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Пришлось на работе снести ФФ нафиг, т.к. не один сайт по HTTPS после праздников не открывается. Ни обновление, ни ключ в конфиге не помогают. То ли офисный фаервол, то ли "Касперский", но разбираться с этим недосуг, тем более, что все остальные альтернативные броузеры нормально работают.
     
     
  • 2.41, Led (ok), 00:51, 13/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вендузятник должен страдать.
     
     
  • 3.42, Garrick (?), 09:22, 13/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Офис, корпоративная политика и всё такое... На работе страдаю.
     

  • 1.40, АнонимХ (ok), 11:29, 12/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если бы "браузеры" не встраивали кучу блоатваре и, как уже упомянуто, выскакивающую всякую дрянь (дебильные вопросы, подсказки, переводы), им бы было больше доверия. И относились со всей серьезностью к рекомендациям.

    А пока все эти потуги убрать дырявое шифрование для рядового пользователя выглядят лишь как очередной баннер "Адоб флешпреел обновился! Скачать без СМС голые писечки! Азазаза!"

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Ideco
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру