The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В ночных сборках Firefox реализована блокировка скриптов для майнинга и скрытой идентификации

07.03.2019 21:16

В состав ночных сборок Firefox, на основе которых 14 мая будет сформирован релиз Firefox 67, включена поддержка опций для блокирования JavaScript-вставок, осуществляющих майнинг криптовалют, а также кода для отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Для включения новых режимов блокировки в конфигуратор добавлены соответствующие настройки.

Блокировка осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации. Код для майнинга криптовалют, как правило, внедряется на сайты в результате взломов или используется на сомнительных сайтах как метод монетизации, что приводят к существенному увеличению нагрузки на процессор в системе пользователя.

Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

Кроме того, из Tor Browser в ночные сборки Firefox перенесена поддержка техники блокирования идентификации "letterboxing", добавляющая в каждой вкладке отступы между рамкой окна и отображаемым контентом для предотвращения привязки к размеру видимой области. Отступы добавляются с расчётом приведения разрешения к значению кратному 128 и 100 пикселей по горизонтали и вертикали. В случае произвольного изменения размера окна пользователем, размер видимой области становится фактором, достаточным для идентификации разных вкладок в одном окне браузера. Приведение видимой области к типовому размеру не позволяет осуществить данную привязку. Для включения противостояния идентификации в about:config предусмотрена настройка "privacy.resistFingerprinting".

Из других изменений, недавно добавленных в ночные сборки Firefox можно отметить:

  • Добавление на панель новой кнопки с аватаром, предоставляющей доступ к управлению учётной записью в сервисе Firefox Account и отображающей статус синхронизации (Firefox Sync).
  • При выводе рекомендаций при заполнении форм входа добавлена кнопка "View Saved Logins", позволяющая просмотреть параметры сохранённых учётных записей в менеджере паролей;


  1. Главная ссылка к новости (https://blog.nightly.mozilla.o...)
  2. OpenNews: В Firefox 67 появится страница about:compat и выгрузка вкладок при нехватке памяти
  3. OpenNews: В Firefox появится режим картинка в картинке и переработанный менеджер дополнений
  4. OpenNews: В Firefox 67 будет изменён интерфейс about:config и интегрировано дополнение Firefox Monitor
  5. OpenNews: В Firefox 66 по умолчанию в Linux будет включено декорирование окон на стороне клиента
  6. OpenNews: 0.77% крупнейших сайтов используют Canvas для скрытой идентификации посетителей
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 21:57, 07/03/2019 [ответить] [показать ветку] [···]    [к модератору]
  • –13 +/
    Что-то полезное добавили, я удивлён.
     
     
  • 2.10, Аноним (-), 00:50, 08/03/2019 [^] [ответить]    [к модератору]
  • +/
    Я удивлен что ты удивлен.
     
  • 2.11, Kuromi (ok), 00:51, 08/03/2019 [^] [ответить]    [к модератору]
  • +1 +/
    Это по большей части не их заслуга, а наработки TOR и disconnect.me, но да, хорошо что сделали.
     
     
  • 3.30, Tita_M (ok), 17:57, 08/03/2019 [^] [ответить]    [к модератору]
  • +/
    Так вроде веб-майнинг на спад давно пошёл? Поздновато мозила спохватилась. А ещё кто-то бывший из мозиловцев ругал антивирусы, что мол не нужны, но они как раз и быстрее всего реагировали на эту угрозу.
     
     
  • 4.33, Kuromi (ok), 21:14, 08/03/2019 [^] [ответить]    [к модератору]
  • +2 +/
    > Так вроде веб-майнинг на спад давно пошёл? Поздновато мозила спохватилась. А ещё
    > кто-то бывший из мозиловцев ругал антивирусы, что мол не нужны, но
    > они как раз и быстрее всего реагировали на эту угрозу.

    Разработчики браузеров (кстати, не только Мозилл, но и парни из Хромиума жаловались) ругают на антивирусы не потому что "не нужны", а что считают себя "голубой кровью" и лезут везде не считаясь ни с кем. В Мозилле например много случаев когда падения баузеров вызваны инжектом библиотек антивируса, причем частенько, самым грубым образом. А еще есть "внедреж" SSL сертфиикатов для перехвата трафика и тому подобное. Но когда глючит брауер юзвери ругают браузер, а не антивирус "который всегда не причем".

     
  • 1.2, Stax (ok), 22:22, 07/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Запрет майнинга это замечательно (лишь бы работал нормально). Когда заходишь на сайт, оставляешь вкладку где-то в фоне, а она начинает 100% ядра жрать на майнере - бесит! Причем никто не застрахован (в свое время, например, форумы hwbot долго вот так "майнили" пользователей).

    На любом ресурсе могут решить внезапно немного помонетизировать пользователей - достаточно всего лишь дописать include с какого-нибудь coinhive в сорцы страницы и все, деньги текут.

     
     
  • 2.8, Аноним (-), 00:48, 08/03/2019 [^] [ответить]    [к модератору]  
  • +14 +/
    Это чтож за сайты такие посещаешь? Прям домохозяйка.
     
     
  • 3.16, Тот_Самый_Анонимус (?), 07:43, 08/03/2019 [^] [ответить]    [к модератору]  
  • –7 +/
    О, илитарии подтянулись.
    Причём с дутым самомнением что с ними это точно не случится.
     
     
  • 4.24, Большой Матвей (?), 13:39, 08/03/2019 [^] [ответить]    [к модератору]  
  • +6 +/
    И Вам привет, товарищ гуманитарий!

    А почему собственно с нами должно что-то случиться? Может Вы еще и беспорядочные пoлoвые связи практикуете? Тогда чему удивляться? Не ходите на неизвестные сайты, и ничего не случится. А если кто-то из знакомых или друзей посоветовал вам такой сайт, так занесите его в игнор.

     
     
  • 5.27, Stax (ok), 14:38, 08/03/2019 [^] [ответить]     [к модератору]  
  • +1 +/
    Проблема в том, что от этого никто не застрахован Очередной баг в wordpress php... весь текст скрыт [показать]
     
     
  • 6.37, Аноним84701 (ok), 03:06, 10/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > Но  на нагруженном 24/7 ресурсе постоянно обновлять форумный софт они не смогли, и вляпались в уязвимость в их Vbulletin - и к ним на страницы заинджекитили майнеров.

    Да не, это vBulletin-щики забили. Видел полгода назад на другом, регулярно посещаемом мною, ресурсе -- в течении пары месяцев несколько раз заинжективали майнеров, перенаправляльщиков и прочую шелуху, vBulletin был то ли 3.8, то ли 4, "поддерживаемый лицензионный".
    Обновлений не было,  были вроде бы "workaround"ы -- но это нужно сидеть и мониторить фултайм (лицензия-то c 200+$ совсем не копейки стоит, а получается типа "платная самоохраняемая стоянка").
    уязвимости кстати до сих пор пачками идут
    https://packetstormsecurity.com/files/151929/vBulletin-4.2.3-vBSecurity-2.2.2-
    https://cxsecurity.com/issue/WLB-2019030003

     
  • 2.12, Kuromi (ok), 00:52, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    В принципе превентивных мер вроде NoScript было бы и так достаточно.
     
     
  • 3.18, anonimbl (?), 09:48, 08/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    бытует мнение, что umatrix лучше справляется с блокировкой скриптов. а в компании с ublock и вовсе вырезает практически весь хлам.
     
     
  • 4.29, Kuromi (ok), 16:36, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > бытует мнение, что umatrix лучше справляется с блокировкой скриптов. а в компании
    > с ublock и вовсе вырезает практически весь хлам.

    Возможно у меня синдром утенка, не спорю. Пока что мне хвататет и NoScript

     
  • 1.3, Аноним (3), 22:27, 07/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Кому полезное, кому каждый раз выключать новую ерунду что бы мюблоки не дублировало :D
     
  • 1.4, Аноним (4), 22:49, 07/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Coinhive же закрылся, вы чё.

     
     
  • 2.5, Аноним (5), 22:56, 07/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Дык. Один закрылся, десяток по его стопам. Лишним не будет, тем более отключчаемо.
     
  • 2.6, CZ (??), 23:48, 07/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Жив coinhive. Сайт работает.
     
     
  • 3.13, Kuromi (ok), 00:58, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    С сайта Койнхайв
    "Our miner uses WebAssembly and runs with about 65% of the performance of a native Miner."
    Полагаю подобного подхода придерживаются и другие майнеры, так что javascript.options.wasm=false вам в помощь
     
     
  • 4.15, Аноним (15), 07:25, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Чтобы вместо ускоренного исполнялся обычеый js и окончательно всё завесил? Так себе метод.
     
     
  • 5.28, Kuromi (ok), 16:35, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    > Чтобы вместо ускоренного исполнялся обычеый js и окончательно всё завесил? Так себе
    > метод.

    Либо альтернативно, не обнаружив WASM в браузеер скрипт скажет "Ой, древность какая-то, а не браузер" и завершится. Как вариант там может вообще не быть не-WASM реализации.

     
  • 3.14, Kuromi (ok), 01:00, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Если верить https://krebsonsecurity.com/2019/02/crytpo-mining-service-coinhive-to-call-it- то закрываются как раз 8-ого марта.
     
  • 2.23, Аноним (-), 13:37, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Фиг там. Это чума распространяется и множится с каждым днем!
     
  • 1.7, Нуб (?), 23:50, 07/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >блокирования...кода для отслеживания пользователей с помощью методов скрытой идентификации

    если я пользуюсь юблоком с юматриксом - мне это оставлять включенным, или дублирование функционала?

     
     
  • 2.9, Аноним (-), 00:50, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Пофиг, дублируй, лишним не будет.
     
  • 1.17, Аноним (17), 09:03, 08/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как кнопку добавить статуса синхронизации? У меня ночная сборка но её нет.
     
     
  • 2.22, Аноним (22), 13:34, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Забей и дождись пока в основную сборку добавят. Куда торопиться?
     
     
  • 3.31, Аноним (17), 20:01, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Основную нет смысла использовать. У меня и ночная уже несколько месяцев работает отлично.
     
  • 1.19, Fedd (ok), 10:28, 08/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    privacy.resistFingerprinting вроде уже давно был
     
  • 1.20, Аноним (20), 12:24, 08/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Правильно, телеметрить юзера должна только Мозила, я за СПО-зонд и точка!11
     
     
  • 2.21, Аноним (21), 13:32, 08/03/2019 [^] [ответить]    [к модератору]  
  • +1 +/
    Телеметрить тебя будет гугол, деточка.
     
  • 1.25, Аноним (25), 13:47, 08/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Два года ждал леттербоксинг
     
     
  • 2.26, Аноним (-), 14:13, 08/03/2019 [^] [ответить]    [к модератору]  
  • +/
    Что это?
     
     
  • 3.36, Аноним (36), 17:16, 09/03/2019 [^] [ответить]    [к модератору]  
  • +/
    То же самое что и фингербоксинг
     
  • 1.35, Аноним (35), 22:27, 08/03/2019 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Почему не сделать в качестве плагина ?

    Зачем все тащит в браузер ?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2019 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor