The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla переходит к обязательной проверке Firefox-дополнений по цифровой подписи

11.02.2015 08:59

Разработчики из проекта Mozilla объявили о скором внедрении практики верификации устанавливаемых в Firefox дополнений по цифровой подписи. Целью введения проверки по цифровой подписи является повышение уровня защиты от распространения вредоносных и шпионящих за пользователями дополнений. Текущая схема, основанная на чёрных списках, не обеспечивает должного уровня защиты. Так как введение обязательной проверки по цифровой подписи сопряжено с изменением процесса публикации и установки дополнений, ограничения будут введены постепенно.

Цифровая подпись будет формироваться в инфраструктуре Mozillа после прохождения дополнением стадии рецензирования. Процесс рецензирования будет проводиться с использованием автоматизированной системы проверки. Если при проверке возникнут ошибки, с которыми не согласен разработчик дополнения, он сможет потребовать ручной проверки своего дополнения. Последние версии уже размещённых в репозитории Mozilla дополнений будут подписаны автоматически.

Разработчики, распространяющие дополнения не через репозиторий Mozilla, будут вынуждены завести аккаунт на сайте каталога дополнений Mozilla и пройти процесс рецензирования, после чего смогут распространять подписанное дополнение через сторонние сайты (по желанию разработчика данное дополнение может не отображаться в каталоге Mozilla). Для дополнений, не подлежащих публичному распространению, будет предложен отдельный вариант проверки, детали которого пока не разглашаются.

Начиная с Firefox 39 планируется организовать вывод предупреждений о переходе к обязательной проверке дополнений по цифровой подписи. Далее, на протяжении двух последующих релизов Firefox, разработчикам неподписанных дополнений дадут возможность пройти стадию рецензирования, после чего работа неподписанных дополнений будет заблокирована. Блокировка неподписанных дополнений будет применяться только в релизах и beta-выпусках. В ночных сборках и Developer Edition будет оставлена возможность установки любых дополнений.

Таким образом для тестирования своих дополнений перед их публикацией разработчики будут вынуждены использовать только ночные сборки, выпуски Developer Edition или собственные модифицированные сборки. Проверка по цифровой подписи не будет распространяться на темы оформления и словари, а также не планируется к внедрению в Thunderbird и SeaMonkey.

  1. Главная ссылка к новости (http://blog.mozilla.org/addons...)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: mozilla, firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (132) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:06, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    Вот блин, а что делать с самописными дополнениями, созданными для автоматизации узкоспециализированных задач для себя или определённой компании.  Это дополнения для личного пользования, что хочу в них, то и делаю. Я не желаю где-то светить их код и проходить какие-то процедуры проверки. Mozilla просто обязана добавить в about:config флажок для  отключения цифровых подписей. Даже в Chrome проверку можно отключить.
     
     
  • 2.2, Аноним (-), 10:14, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Идти лесом :-)
    Тебе же сказали, что браузер это теперь для быдла.
     
     
  • 3.10, 11 (?), 11:03, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Тебе же сказали, что браузер это теперь для быдла.

    для небыдла есть исходный код и sed/patch/gcc

     
     
  • 4.109, Аноним (-), 03:59, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > для небыдла есть исходный код и sed/patch/gcc

    Это для тех кто любит windows way - разминирование программ до их запуска.

     
  • 2.8, Аноним (-), 10:53, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Для дополнений, не подлежащих публичному распространению, будет предложен отдельный вариант проверки, детали которого пока не разглашаются.

    Или используй SeaMonkey

     
     
  • 3.29, user (??), 12:22, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    В IceCat больше шансов, что с этим что-то сделают.
     
  • 2.15, Ivan (??), 11:10, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Для дополнений, не подлежащих публичному распространению, будет предложен отдельный вариант проверки, детали которого пока не разглашаются.
    >В ночных сборках и Developer Edition будет оставлена возможность установки любых дополнений.
     
     
  • 3.83, Аноним (-), 19:13, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>Для дополнений, не подлежащих публичному распространению, будет предложен отдельный вариант проверки, детали которого пока не разглашаются.
    >>В ночных сборках и Developer Edition будет оставлена возможность установки любых дополнений.

    "Но вы можете изогнуться буквой зю и перекомпилировать файрфокс". Единственная проблема: это не отменяет западлостроительных инициатив и доверие к такому вендору подмачивается.

     
     
  • 4.115, Андрей (??), 07:34, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>"Но вы можете изогнуться буквой зю и перекомпилировать файрфокс"

    мы каждые 2 месяца делаем emerge firefox :) Думаю, появится USE=developer или типа того...

     
  • 2.16, Аноним (-), 11:12, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • –7 +/
    Если у тех кто "не желает где-то светить их код" ничего не будет работать - то это просто отлично.

     
     
  • 3.32, Аноним (-), 12:55, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Если у тех кто "не желает где-то светить их код" ничего не будет работать - то это просто отлично.

    Зачем светить исходники софта, который был разработан для использования исключительно самим разработчиком (не важно, одним человеком или компанией)? Даже GPL не обязывает выкладывать исходники в свободный доступ всем подряд.

     
     
  • 4.33, ГГ (?), 12:58, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А зачем их зажопливать?
     
     
  • 5.48, Аноним (-), 14:59, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а почему вы должны иметь доступ к тому что я написал для себя? Самим слабо написать и выложить?
     
     
  • 6.51, ананана (?), 15:25, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С философской точки зрения они используют Firefox, которому многие помогали бесплатно и под бесплатной лицензией, они что-то должны отдавать взамен.

    С реальной никто не запрещал дополнения для Firefox под проприетарной лицензией.

     
  • 5.89, Vkni (ok), 19:30, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > А зачем их зажопливать?

    Чтобы энтропию не увеличивать. Потом ведь ничего не найти будет, если каждый свои черновики вывешивать начнёт.

     
  • 5.102, Аноним (-), 23:02, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Свои пароли, даже зашифрованные Вам не жалко?
    Почему в все файлы в вашей фс не опубликуете? Зажопили?
     
     
  • 6.123, count0krsk (ok), 13:45, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Публикуем. Аж под 2 Тб, без ограничения слотов отдачи. Dc++ называется.
    Но по факту использование СПО не предполагает обязательного вклада в это СПО "взамен полученного".
     
  • 4.134, Аноно (?), 19:13, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно, что это там за чудо-дополнение к файрфоксу, покрытое такой тайной? :)
     
  • 2.27, Аноним (-), 11:52, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    For extensions that will never be publicly distributed and will never leave an internal network, there will be a third option. We’ll have more details
     
     
  • 3.84, Аноним (-), 19:15, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Угу опция "Опасносте, это дополнение не подписано. Разрешить Да/Нет?"
    Или доп опция "вы точно уверены? Да/Нет"
     
  • 2.43, абвгдейка (?), 14:16, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а в чем трабла получить подпись? Лень? :)
     
     
  • 3.50, Аноним (-), 15:16, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дополнениям: "Ваш браузер заблокирован за просмотр порно, отправьте смс на короткий номер для разблокирования" - подпись не дают. Пичалька.
     
     
  • 4.73, Аноним (-), 18:27, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > для разблокирования" - подпись не дают. Пичалька.

    Пичалька - в том что мозилла хочет единолично рулить всем. Чтобы проверить аддон - извольте использовать версию для камикадзе. Повседневный браузер не прокатит. А мозилла будет за всех решать что хорошо а что плохо. Доплатит им например микрософт и гугл - и они не будут подписывать, например, адблокеры. А оспорить можно в спортлото. Знаем мы эти схемы.

     
     
  • 5.91, anonym0use (?), 20:00, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А мозилла будет за всех решать что хорошо а что плохо.

    В том числе и принудительно заставлять пользоваться огнелисом -- да, да, ОНИ такие!

    > А оспорить можно в спортлото. Знаем мы эти схемы.

    MPL не запрещает сделать свой, "правильный" форк / патч-сеты -- или пользоваться другим браузером =)

     
     
  • 6.103, Аноним (-), 23:09, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > В том числе и принудительно заставлять пользоваться огнелисом -- да, да, ОНИ такие!

    Знаем мы этих буржуев - "но у вас есть выбор: вы можете ходить пешком!". К счастью, Форду за его "только черным" все-таки отлилось. И мозилле отольется.

    > MPL не запрещает сделать свой, "правильный" форк / патч-сеты -- или пользоваться
    > другим браузером =)

    Зато возможности авторов по предложению дополнений сильно урежутся. Но ок, это хороший повод заменить знакомым хомякам файрфокс на что-то менее западлостроительное.

     
     
  • 7.113, Классический анонимус (?), 05:27, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > К счастью, Форду за его "только черным" все-таки отлилось. И мозилле отольется.

    Что именно Генрику отлилось? В Европе одна из самых популярных марок и в пиндостане вполне себе тоже.

     
     
  • 8.143, Аноним (-), 15:02, 17/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да уж F O R D Fix Or Repair Daily Не у нас придумана фраза ... текст свёрнут, показать
     
  • 5.136, Анончик (?), 23:04, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    года два уже сижу на "версии для камикадзе", трабла была только один раз - при выходе 38 версии, и ту уже исправили.
     
  • 2.65, Aceler (ok), 17:54, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пихать в обход штатных средств установки дополнений. ЭЦП проверяется только на этапе установки, расширения, подсунутые пакетным менеджером не проверяются.
     
     
  • 3.70, Аноним (-), 18:25, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > установки, расширения, подсунутые пакетным менеджером не проверяются.

    Так это... скажут что это безобразие и позволяет подпихивать левые дополнения в обход мозиллы. На маздайке уж по любому так сделают.

     
     
  • 4.119, Aceler (ok), 11:36, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, когда сделают, тогда волнуйся :-) Придётся пересобирать свой собственный Firefox с б-дж. и ш.
     
  • 2.69, Аноним (-), 18:24, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот блин, а что делать с самописными дополнениями,

    Ты не понял, чувак. Фошысское желание Рулить Единолично Всем - заразная штука. Ну вот каждое удило теперь пытается сгородить "экосистему", где амебышей заставляют ходить по струнке, так как надо владельцам "экосистемы".

    Поздравляю, мозилла популярно объяснила юзерам что они амебы в их пробирке. Пора валить на icecat...

     
  • 2.71, Аноним (-), 18:25, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Народ возмутится, и в about:config добавят пунктик (надеюсь)
    Нечего всех сгонять на свои овномаркеты регистрироваться.
     
     
  • 3.140, Xasd (ok), 14:09, 13/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Народ возмутится, и в about:config добавят пунктик (надеюсь)
    > Нечего всех сгонять на свои овномаркеты регистрироваться.

    https://www.opennet.ru/openforum/vsluhforumID3/101470.html#139

     
  • 2.92, Аноним (-), 20:14, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вот блин, а что делать с самописными дополнениями, созданными для автоматизации узкоспециализированных
    > задач для себя или определённой компании.  Это дополнения для личного
    > пользования, что хочу в них, то и делаю. Я не желаю
    > где-то светить их код и проходить какие-то процедуры проверки. Mozilla просто
    > обязана добавить в about:config флажок для  отключения цифровых подписей. Даже
    > в Chrome проверку можно отключить.

    Соберешь Хромиум, тебя это что, затруднит?

     
     
  • 3.104, Аноним (-), 23:10, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Соберешь Хромиум, тебя это что, затруднит?

    Вытряхивать за другими их г-но - всегда не очень приятно, знаешь ли.

     
  • 2.139, Xasd (ok), 14:09, 13/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Mozilla просто обязана добавить в about:config флажок для  отключения

    твой "about:config" это всего лишь лишняя строчка внутри файла

    .mozilla/firefox/blahblahblah/prefs.js

    любое вирусное дополнение (во время своей вирусной инсталяции) -- будет НЕВЕРОЯТНО РАДО(!) прописать "нужную" строчку внутри "prefs.js" ("about:config"), и таким образом вЫключить проверку дополнений, к чёртовой бабушке.

    в этом смысле подход Мозиллки -- очень корректен: не хотите проверку дополнений -- значит делайте перекомпелированную версию на свой страх-и-риск!

     

  • 1.3, ОнанВарвар (?), 10:29, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наконец-то у юзверей лиса не будет загажена хламо-дополнениями.
     
     
  • 2.5, EHLO (?), 10:30, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +26 +/
    Теперь будет загажена подписанными хламодополнениями.
     
     
  • 3.72, Аноним (-), 18:26, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь будет загажена подписанными хламодополнениями.

    В т ч вредоносными, т к после добавления в маркет обновления проверяются сквозь пальцы.

     
  • 2.74, Аноним (-), 18:28, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Наконец-то у юзверей лиса не будет загажена хламо-дополнениями.

    Ну да, наконец то мозилла сможет выпилить адблокеры, когда гугл и микрософт ей за это доплатят. Так что у вас не будет неправильных дополнений. Смотрите рекламу, дорогие пользователи.

     

  • 1.4, EHLO (?), 10:29, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Так, что там еще осталось из адекватного? Seamonkey?
     
     
  • 2.17, Аноним (-), 11:17, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Еще нафоркают. А так да, упомянутая тобой seamonkey, pale moon, и qupzilla (но проект менее похож на хром, и более на файрфокс 3-4 версий, на любителя). Либо переходи на хромофорки - хромиум, яндекс браузер, вивальди, iron и т.д.
     
     
  • 3.117, EHLO (?), 09:50, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Еще нафоркают. А так да, упомянутая тобой seamonkey, pale moon, и qupzilla
    > (но проект менее похож на хром, и более на файрфокс 3-4
    > версий, на любителя). Либо переходи на хромофорки - хромиум, яндекс браузер,
    > вивальди, iron и т.д.

    Какие из них хорошо умеют SPNEGO на прокси и на сайтах?

     
  • 2.54, ананана (?), 15:28, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Так, что там еще осталось из адекватного? Seamonkey?

    Seamonkey, PaleMoon, TorBrowser (для обычного веба с отключенным прокси).
    Интересно, как с этим поступят разрабы TorBrowser. В PaleMoon скорее всего отключат запрет на установку. У Seamonkey свои заморочки, приходится переписывать дополнения под него с Firefox.

     
  • 2.57, Аноним (-), 16:50, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    w3m
     

  • 1.6, Аноним (-), 10:35, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Firefox приходит тивоизация и, как следствие, несовместимость с GPLv3. Столлман будет счастлив.
     
     
  • 2.13, Аноним (-), 11:09, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    rpm (и apt) проверяет подпись каждого пакета который пользователь устанавливает в системе
    >To verify Red Hat packages, you must import the Red Hat GPG key. To do so, execute the following command at a shell prompt:
    >rpm --import /usr/share/rhn/RPM-GPG-KEY

    Тоже тивоизация?

     
     
  • 3.19, Аноним (-), 11:37, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это не одно и тоже.
    Штатный RPM и API позволяют игнорировать проверку и вручную установить любой пакет.
    Штатные стабильные сборки Firefox позволят использовать только подписанные дополнения, хочешь ты того или нет.
     
     
  • 4.22, Аноним (-), 11:43, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >Штатный RPM и API позволяют игнорировать проверку и вручную установить любой пакет.

    Администратору ака root - у.
    >Штатные стабильные сборки Firefox позволят использовать только подписанные дополнения, хочешь ты того или нет.

    Пользователю. Администратор же может поставить версию для разработчиков и ставить произвольные блобы по желанию.

     
  • 4.47, Michael Shigorin (ok), 14:53, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Штатные стабильные сборки Firefox позволят использовать только подписанные дополнения,
    > хочешь ты того или нет.

    Посмотрите первую же ссылку в новости или выдержку из материала по ней в #27.

    Интересно, что они собираются придумать -- шаг в сторону и вектор атаки...

     
  • 3.20, Stanislavvv (?), 11:41, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Проверят, ругается, но позволяет ставить сторонние пакеты.
    Однако, есть разница
     
     
  • 4.24, Аноним (-), 11:47, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Обычному пользователю? На данный момент что бы установить вам в фф кейлогер и снифер паролей злоумышленнику нужен 10 секундный физический доступ к вашему компьютеру. И не нужен административный пароль. Это абсурдная ситуация.

     
     
  • 5.30, user (??), 12:24, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При физическом доступе можно положить свой троян в ~/bin.
     
     
  • 6.31, Аноним (-), 12:41, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И readme.txt к нему, с просьбой смонтировать /home без noexec, и запускать его во время ввода номеров банковских карт.
     
     
  • 7.36, user (??), 13:18, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    /home с noexec монтируют только те, у кого в ~/bin только трояны.
     
  • 7.53, Аноним (-), 15:28, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Пишем троян на питоне, автозапуск питона с трояном в качестве аргумента прописываем в какой-нибудь bash_profile. noexec на /home Вас обязательно защитит.
     
     
  • 8.88, Аноним (-), 19:24, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно, он интерпретатор не найдет, а если и найдет - то версия все-равно не т... текст свёрнут, показать
     
  • 3.34, Аноним (-), 13:02, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > rpm (и apt) проверяет подпись каждого пакета который пользователь устанавливает в системе

    Для APT и RPM любой разработчик может сделать свой репозиторий со своими ключами, которыми он будет подписывать свои пакеты.

    Ключи для подписи дополнений Firefox есть/будут только у Мозиллы.

    IMHO, разница очевидна.

     
  • 3.75, Аноним (-), 18:31, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>rpm --import /usr/share/rhn/RPM-GPG-KEY
    > Тоже тивоизация?

    Так тут я могу свой ключ добавить и далее ставить свой софт подписанный лично мной. А вот у мозиллы всего этого в планах не знавится.

    Понимаешь, чувак, полезность или вредность замка очень зависит от того у кого ключи. Если у ТЕБЯ нет ключей - для тебя замок ничего хорошего не обещает. Ну а мозилла решила быть единоличным гестаповцем который решает, кого пропускать в здание, а кого расстрелять при входе.

     
     
  • 4.93, Аноним (-), 20:15, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >>>rpm --import /usr/share/rhn/RPM-GPG-KEY
    >> Тоже тивоизация?
    > Так тут я могу свой ключ добавить и далее ставить свой софт
    > подписанный лично мной. А вот у мозиллы всего этого в планах
    > не знавится.
    > Понимаешь, чувак, полезность или вредность замка очень зависит от того у кого
    > ключи. Если у ТЕБЯ нет ключей - для тебя замок ничего
    > хорошего не обещает. Ну а мозилла решила быть единоличным гестаповцем который
    > решает, кого пропускать в здание, а кого расстрелять при входе.

    Ничего не напоминает?

     
     
  • 5.105, Аноним (-), 23:12, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Ничего не напоминает?

    Ну они такие не уникальные, но от них это как-то меньше всего ожидалось.

     

  • 1.7, Zenitur (ok), 10:42, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Напоминает центр сертификации драйверов Windows. Уверен что Mozilla откажется подписывать Adblock по надуманной причине. Или не объясняя причин.
     
     
  • 2.9, Аноним (-), 10:54, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Уверен что Mozilla откажется подписывать Adblock по надуманной причине. Или не объясняя причин.

    Нострадамус, ты?

     
     
  • 3.49, Zenitur (ok), 15:07, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    - Холмс, как вы догадались о том, кто победит выборы в России?
    - Опять издеваетесь, Ватсон!
     
     
  • 4.55, Аноним (-), 15:43, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >победит выборы

    Все понятно.

     
     
  • 5.67, Crazy Alex (ok), 18:13, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я бы сказал - абсолютно корректное выражение в некотором смысле
     
     
  • 6.76, Аноним (-), 18:32, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Я бы сказал - абсолютно корректное выражение в некотором смысле

    Так может в этом и издевка? :)

     
  • 2.68, Петро (??), 18:17, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Фокс - туфта, а не опенсорс, имеет по умолчанию включённые зонды, поддерживает DRM и вот теперь это. Скорее всего Вы правы, это такой хитрый способ избавиться от Adblock'ов.
     

  • 1.11, Аноним (-), 11:05, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В 2015 году мозила собирается устранить уязвимость на которую указывал @Moxie еще в 2011.
    @Moxie - автор sslstrip
    DEFCON 17: More Tricks For Defeating SSL
    http://www.youtube.com/watch?v=ibF36Yyeehw

    Если у вас есть валидный сертификат на сайт мозиллы и или addons.mozilla.org или угнанный корневой, вы можете запустить у пользователя произвольный код, через систему автообновления дополнений. @Moxie используя одну из уязвимостей выписал себе сертификат на * (весь интернет).

     
     
  • 2.12, Аноним (-), 11:06, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Для истеричек. Вы понимаете что именно так работают публичные репозитории всех основных дистрибутивов линукса?
     
     
  • 3.77, Аноним (-), 18:33, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Для истеричек. Вы понимаете что именно так работают публичные репозитории всех основных
    > дистрибутивов линукса?

    Только там распределение ключей как-то поумнее сделано. И свой можно добавить. А вот мозилла такой возможности не обещает.

     
  • 2.21, Аноним (-), 11:43, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ключевые слова здесь "Если у вас есть валидный сертификат на сайт мозиллы и или addons.mozilla.org или угнанный корневой". Перефразирую "Если у вас есть ключи от особняка Рокфеллера...", "Если у вас есть SSH-ключ администратора сервера kernel.org...", "Если вы получили коды доступа к банковской ячейке...".

     
     
  • 3.25, Аноним (-), 11:49, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Слава богу корневые сертификаты не разу не угоняли. И в библиотеках проверки ssl, типа openssl, не было уязвимостей.

     
     
  • 4.94, Аноним (-), 20:16, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Слава богу корневые сертификаты не разу не угоняли. И в библиотеках проверки
    > ssl, типа openssl, не было уязвимостей.

    А ssl bump, стало быть, приснился?

    Кстати, а ничего, что в SSL дырища в концепции дерева доверия главная, а не в реализации библиотек?

     
  • 4.110, Аноним (-), 04:02, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Слава богу корневые сертификаты не разу не угоняли.

    Comodohacker с вами не согласен. Между прочим, за счет его деятельности закрылся DigiNotar, потому что после такого факапа не живут.

     
  • 3.28, Аноним (-), 11:54, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    И угнать валидный сертификат на сайт x, и иметь возможность запускать бинарный код на стороне жертвы это очень разные вещи.

     
  • 3.124, count0krsk (ok), 14:04, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ключевые слова здесь "Если у вас есть валидный сертификат на сайт мозиллы
    > и или addons.mozilla.org или угнанный корневой". Перефразирую "Если у вас есть
    > ключи от особняка Рокфеллера...", "Если у вас есть SSH-ключ администратора сервера
    > kernel.org...", "Если вы получили коды доступа к банковской ячейке...".

    То вы всё равно ни на кернел орг, ни к Рокфеллеру не попадете, т.к. есть другие уровни безопасности в лице охранников, доступа с ограниченного кол-ва ип, и т.д.
    А тут всё проще будет. Так что смысла в такой "безопасности" нет. Лучше бы sudo требовали для установки ЛЮБОГО дополнения. И UAC-подтверждения в винде.

     

  • 1.14, Аноним (-), 11:09, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    а как мне самодельное расширение использовать?
     
     
  • 2.23, Аноним (-), 11:46, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >Для дополнений, не подлежащих публичному распространению, будет предложен отдельный вариант проверки, детали которого пока не разглашаются.

    Сообщите, когда узнаете детали.

     
     
  • 3.78, Аноним (-), 18:34, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Сообщите, когда узнаете детали.

    Зачем бы это NSA - информировать вас о том как вас можно поиметь?

     
  • 3.100, Аноним (-), 20:33, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Сообщите, когда узнаете детали.

    если бы я знал, откуда их узнать, то тут бы не спрашивал. Авось, кто владеет тайными знаниями о цифровом угнетении народных масс.

     

  • 1.26, Vascom (?), 11:49, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Коснётся ли это freshplayerplugin или плагины и расширения разные вещи?
     
  • 1.35, Анонимм (?), 13:13, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оп-па... На что же менять уютную SeaMonkey?
     
     
  • 2.37, Andrey Mitrofanov (?), 13:30, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Оп-па... На что же менять уютную SeaMonkey?

    На gnuzilla, вестимо. </tag>

     
  • 2.39, Аононим (?), 14:03, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ни на что, в ней этого не будет.
     
  • 2.40, paulus (ok), 14:06, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >На что же менять уютную SeaMonkey?

    А почитать нормально, не судьба? В SeaMonkey проверку добавлять не будут.

     
     
  • 3.52, user (??), 15:26, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем "добавлять", просто не выпиливать. DRM оставили, и с этим не будут напрягаться.
     
  • 2.42, Crazy Alex (ok), 14:14, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Читай ещё раз - к SeaMonkey это "нововведение" не относится
     
     
  • 3.44, Andrey Mitrofanov (?), 14:27, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Читай ещё раз - к SeaMonkey это "нововведение" не относится

    Разве там написано, что "оно" никогда не будет в ff-esr? :-O

     
     
  • 4.66, Crazy Alex (ok), 18:07, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы понимать, почему его там не будет, нужно понимать, какая ситуация с дополнениями в SeaMonkey. Если коротко - каждый второй его пользователь руками или софтинами патчит дополнения. Если добавить эту антифичу - он просто умрёт к чёртовой матери.
     
     
  • 5.87, Аноним (-), 19:23, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > умрёт к чёртовой матери.

    Так мозильщики судя по всему решили вдариться в walled garden экосистему.

     
     
  • 6.116, Andrey Mitrofanov (?), 09:27, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >> умрёт к чёртовой матери.
    > Так мозильщики судя по всему решили вдариться в walled garden экосистему.

    А дрищ-реризы раз в 3 гнедели не то же было? А монолит, носящий "всё с собой" (да, целых 2 библиотеки внешние - nss и nspr; три - +glibc) в перекати-патч версиях, не?? Папа ESR должен _очень гордиться.

     
  • 6.133, Crazy Alex (ok), 17:22, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    seamonkey не контролируется мозиллой, если вы не знали. Это дружественные проекты, и мозилла им помогает (в основном хостингом), но не более
     

  • 1.38, 1 (??), 13:46, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    интересно болтает лису ...

    Сначала интерфейс как у хрома, теперь подписанные дополнения как драйвера у MS ...

    Красота !

    Кстати - любителям девелопер эдишен ... Проверку сертификата ssl можно отключить? А то задолбало получать на сайтах -
    ==================
    произошла ошибка. SSL-узел не ожидал полученного сообщения рукопожатия. (Код ошибки: ssl_error_handshake_unexpected_alert)

        Страница, которую вы пытаетесь просмотреть, не может быть отображена, так как достоверность полученных данных не может быть проверена.
    ==================

     
     
  • 2.41, paulus (ok), 14:08, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > ssl_error_handshake_unexpected_alert

    https://bugzilla.mozilla.org/show_bug.cgi?id=502781

     
     
  • 3.45, 1 (??), 14:32, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ну во первых -
    Status: UNCONFIRMED
    и Reported: 2009-07-06 22:58 PDT by PGNet Dev

    А появилась такая бяка только в 37.0a2

    А во вторых - "SSLtap and SSLdump are your friends." очень обнадёживает - ага.

    P.S. Пока штатный FF нормально это дело отрабатывает.

     
  • 2.95, Аноним (-), 20:17, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > Сначала интерфейс как у хрома, теперь подписанные дополнения как драйвера у MS
    > ...
    > Красота !
    > Кстати - любителям девелопер эдишен ... Проверку сертификата ssl можно отключить? А
    > то задолбало получать на сайтах -
    > ==================
    > произошла ошибка. SSL-узел не ожидал полученного сообщения рукопожатия. (Код ошибки: ssl_error_handshake_unexpected_alert)
    >     Страница, которую вы пытаетесь просмотреть, не может быть
    > отображена, так как достоверность полученных данных не может быть проверена.
    > ==================

    Рутовый паблик от сайта, стало быть, установить не допетрил, знаток PKI?

     

  • 1.56, waf (ok), 16:30, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Одно к одному. Открыл новую вкладку бравзёра, а там надпись:
    Mozilla principle #5: Individuals must have the ability to shape the Internet and their own experiences on it. Read more.
    Как-то не вяжется.
     
     
  • 2.79, Аноним (-), 18:35, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Как-то не вяжется.

    man double standards :(

     

  • 1.58, Аноним (-), 16:59, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    еще одну платформу для html-приложений угробили.
    придется переходить на slimerjs для автоматизации.
     
  • 1.61, anonym0use (?), 17:09, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Т.е. такого https://www.schneier.com/blog/archives/2014/01/adware_vendors.html
    > Adware Vendors Buy and Abuse Chrome Extensions
    > ownership of a Chrome extension can be transferred to another party,
    > and users are never informed when an ownership change happens.
    > Malware and adware vendors have caught wind of this

    можно будет не бояться? =)

     
     
  • 2.86, Аноним (-), 19:21, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > можно будет не бояться? =)

    Конечно. Ты можешь быть уверен: враг уже внутри :)

     

  • 1.62, manster (ok), 17:17, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, какие дополнения стояли за прецедентами.

    Опубликовали списочек бы.

     
     
  • 2.80, Аноним (-), 18:37, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Опубликовали списочек бы.

    Ну как бы самоходного барахла бывает. Микрософт например вкорячивал в лису без спроса дотнет и сервелат. Но тут что называется, с водой выплеснули ребенка. В смысле, мозиллу люди использовали как-то совсем не за то что они огороженный концлагерь, простите, walled garden.

     
  • 2.132, soarin (?), 16:24, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Поищи "How to remove Adware from Mozilla Firefox"
     

  • 1.81, Ordu (ok), 19:09, 11/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Это правильно. Пользователи бинарных дистрибутивов должны страдать.
     
     
  • 2.82, Michael Shigorin (ok), 19:12, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Это правильно. Пользователи бинарных дистрибутивов должны страдать.

    Ну спасибо, добрый человек...

     
  • 2.85, Аноним (-), 19:17, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Это правильно. Пользователи бинарных дистрибутивов должны страдать.

    Вот я всю жизнь мечтал перекомпилить файрфокс. Особенно - для того чтобы расзондировать его.

    Так, стоп: а почему доверия исходникам от проблемных авторов больше чем бинарникам от них же? То что я могу выколупать шит... ну я могу и бинарь запатчить, если уж очень приперло. Но вот мое желание выколупывать западло и из сорца и из бинаря - одинаково предсказуемое.

     
     
  • 3.98, Ordu (ok), 20:22, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ой да ладно Всё-таки не руками собирать -- билдсистема у него есть, и она разру... текст свёрнут, показать
     
     
  • 4.106, Аноним (-), 23:42, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А оно мне сильно охота - греть воздух по причине выколупываю западло от мозиллы... текст свёрнут, показать
     
     
  • 5.114, Ordu (ok), 07:09, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Звучит примерно как "но я могу срезать колючую проволоку, обезвредить мины и
    > спилить дверь болгаркой - и все-таки попаду домой!".

    Простите, вы когда в диалог настроек суётесь, у вас тоже ассоциация с колючей проволокой проскакивает? А когда пакетным менагером пользуетесь?

     
  • 4.137, cmp (ok), 05:12, 13/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > билдсистема у него есть, и она разрулит сама

    Ага, разрулит, скажет - мне твоя либа не нравится - меняй, потом другая, третья, так пол системы можно за вечер пересобрать, а до сборки сабжа так и не добраться, сломав по пути что-нить и наплодив кучу libY.[0-9].so.

    Хотя, гентушникам наименее геморойно будет.

     
  • 2.90, anonym0use (?), 19:37, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А от пользователей сырцовых дистрибутивов страдает природа и на них наживаются проприерасты (или в ЭСах перешли на свободное ПО?)!1
     
     
  • 3.99, Ordu (ok), 20:25, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > А от пользователей сырцовых дистрибутивов страдает природа и на них наживаются проприерасты
    > (или в ЭСах перешли на свободное ПО?)!1

    Да-да. Ищите оправдания своим страданиям. ;)

     
     
  • 4.101, anonym0use (?), 22:55, 11/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Да-да. Ищите оправдания своим страданиям. ;)

    Да,да. Или бинарники, или сырцы! Вернее -- только сырцы, только хардкор!
    Иного не дано и компромисы (собираем только то, что действительно нужно заточить под себя, всякие либроофисы устанавливаем из реп) -- для слабых духом! =)

     
     
  • 5.141, J.L.unregistred (?), 22:00, 13/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > Да,да. Или бинарники, или сырцы! Вернее -- только сырцы, только хардкор!
    > Иного не дано и компромисы (собираем только то, что действительно нужно заточить
    > под себя, всякие либроофисы устанавливаем из реп) -- для слабых духом!

    а какой у вас дистрибутив/ось с удобной сборкой из сырцов с репа с патчами (и/или своими патчами) в пакет и репами готовых пакетов ?

     
     
  • 6.142, Michael Shigorin (ok), 22:39, 13/02/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а какой у вас дистрибутив/ось с удобной сборкой из сырцов с репа
    > с патчами (и/или своими патчами) в пакет и репами готовых пакетов?

    На тему _удобной_ сборки из исходников в репозитории SCM за последние лет десять наблюдается несколько различных экспериментов; соответственно с различными результатами по состоянию на сейчас.  Например, в случае дебиана стоит посмотреть на https://wiki.debian.org/PackagingWithGit

     

  • 1.107, Аноним (-), 00:40, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    После всех новостей о гниении (некогда прекрасного в своей идеологии) Firefox-а у меня остаётся (вы не поверите!) только один (!) вопрос: как будет называться форк правильного Фокса? (даже не "кто" или "когда", т.к. явно скоро и явно кто-нибудь не выдержит этого ..з..ца)
     
  • 1.108, Аноним (-), 03:40, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Переходим на Chrome, котаны.
     
     
  • 2.111, Аноним (-), 04:04, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Переходим на Chrome, котаны.

    Из огня да в полымя? Хвост у тебя подгорит.

     

  • 1.118, bugmenot (??), 11:18, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А без всяких истерик о том что "щвободку ущемляют!!!" Конкретно как то мешается?
    Всё правильно делают. Или хотите такой же помойки как у расширений safari?
     
     
  • 2.120, Аноним (-), 12:16, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Ты жалкий потребитель, а мне свои расширения запускать надо.
     
     
  • 3.122, bugmenot (??), 12:38, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Не угадал. Писал расширения можно сказать под все мажорные браузеры (ie, safari, opera presto, chromium), кроме фурифокса. Проблемы не вижу в этом нововведении.
     

  • 1.125, count0krsk (ok), 14:11, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ха, вовремя я перешёл на Icecat. Надеюсь там такой шит не впилят [trollface]
     
  • 1.126, Аноним (-), 14:40, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Я не единственный пострадалец буду от ввода доп проверки, т к использую пяток-д... текст свёрнут, показать
     
     
  • 2.127, arisu (ok), 15:02, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    а я придумал решение ещё проще: диалоговое окно с сообщением, двумя кнопками и галкой. сообщение такое: «это дополнение не подписано. всё равно хотите установить?» две кнопки: «да», «нет». галка: «уйди, зануда грешная, и больше меня об этом дополнении не спрашивай!»
     
  • 2.131, soarin (?), 16:21, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > использую пяток-другой самописных или подправленных аддонов, которые или уже не поддерживаются или не работают чисто по линук

    Так почему же не сделать их по нормальному и не выложить для общего пользования?

     

  • 1.128, arisu (ok), 15:07, 12/02/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    на самом деле идея у них — защититься от подпихивания «левых» дополнений. если в браузере будет переключатель «молчать и принимать» — то подписи в принципе становятся бесполезны, потому что троян первым делом выставит переключатель в «молчать», и дальше поставит всё, что захочет.

    именно по этой причине в «юзерских» версиях флажок делать не хотят.

    однако идея посадить в концлагерь ВСЕХ ради мнимой безопасности кучки идиотов — категорически кривая.

    почему мнимой? да полноте, с современными интернетами трояны будут таскать с собой даже и не патчилку, а просто пересобраный .exe с отключеной проверкой. если идиот трояна подхватил… в общем, защитить идиота от его идиотизма невозможно. зато возможно создать неудобства всем остальным — чем мозилловцы и занимаются с достойным лучшего применения усердием.

     
     
  • 2.130, Аноним (-), 15:49, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Они уничтожили опенсоурс дополнения, какой теперь смысл публиковать их на всяких гитхабах? Нету смысла.
     
  • 2.135, Sluggard (ok), 23:04, 12/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > на самом деле идея у них — защититься от подпихивания «левых» дополнений. если в браузере будет переключатель «молчать и принимать» — то подписи в принципе становятся бесполезны, потому что троян первым делом выставит переключатель в «молчать», и дальше поставит всё, что захочет.

    Если на машине сидит троян, который может имитировать ввод с клавиатуры и действия мыши, дополнения Огнелиса — далеко не главная проблема владельца машины. Сопсна, такой троян и без левых дополнений Огнелиса сможет весьма многое.

     
     
  • 3.138, soarin (?), 08:24, 13/02/2015 [^] [^^] [^^^] [ответить]  
  • +/
    У оперы кстате смешнее, там защищают настройки поисковых систем. Нельзя добавить свою поисковую систему и сделать её по умолчанию. Типа защита от вредоносного ПО, которое подменяет поисковые системы.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру