firefox

  • Критична уязвимост заплашва потребителите на Firefox. Инсталирайте незабавно версия 131.0.2!

    Mozilla съобщи за критична уязвимост в сигурността на своя уеб браузър Firefox, която се използва активно от злонамерени групи.

    Тя позволява отдалечено изпълнение на код при посещение на компрометирана уеб страница и е с рейтинг на опасност 9,8 от 10.

    Уязвимостта, открита от изследователя от компанията за киберсигурност ESET Деймиън Шефер, засяга Firefox 131.0.2, Firefox ESR 128.3.1 и Firefox ESR 115.16.1. От Mozila вече са пуснали пач, така че задължително ъпгрейднете своя браузър до версия 131.0.2 за Firefox и 115.16.1 или 128.3.1 за Firefox ESR.

  • След ъпдейт до Firefox 96 браузърът не работи коректно – как да отстраните проблема

    Ъпдейтът от 13 януари 2022 г. на Mozilla Firefox до версия 96 дойде с бъг. Проблемът е свързан с HTTP3 и не позволява успешното зареждане на нито един уеб сайт.

    Какво е HTTP3

    Да тръгнем по-отдалече: Hyper Text Transfer Protocol (HTTP) е основна градивна част на интернет пространството. Той диктува как комуникационните платформи и устройства да обменят информация и да извличат ресурси. Накратко, чрез него зареждатe уеб страници.

    HTTP/3 е нов стандарт, все още в разработка, който ще подобри значително комуникацията между потребителските браузъри и сървърите, с които те комуникират, по отношение на производителност, надеждност и сигурност.

    Съществената разлика спрямо предходните варианти е, че HTTP/3 работи с QUIC, който е проектиран за използване в интернет комуникацията: главно е свързан с мобилните устройства, които често се превключват от една мрежа в друга. HTTP/3 използва UDP, а не TCP, което позволява по-бърза комуникация и по-интензивно потребителско изживяване при сърфиране онлайн.

    Отстранете проблема в браузъра, следвайки тези лесни стъпки:

    1. Отворете нов таб в Mozila FireFox:

    Отворете нов таб в Mozila FireFox

    2. В URL полето, напишете “about:config”, натиснете бутона “Enter” и след това бутона “Accept the Risk and Continue”:

    about:config

    3. Ще се отвори нов прозорец, с нова търсачка:

    нова търсачка

    4. В полето за търсене напишете “network.http.http3.enabled”, за да се появи настройката, която трябва да промените:

    network.http.http3.enabled

    5 Кликнете два пъти върху полето “true” за да го промените на “false”. Запазете настройките и рестартирайте FireFox, за да се приложат промените.

    6. Проблемът с неуспешното зареждане на страници във Firefox е елиминиран!

    Повече информация относно HTTP/3 (QUIC) можете да намерите на следния линк:  https://www.cloudflare.com/learning/performance/what-is-http3/

  • Потребители на Chrome, съгласни ли сте да сте част от тестовете на Google FLoC

    Google тества нова експериментална функция за проследяване на потребителска активност в Chrome, наречена Federated Learning of Cohorts (FLoC). Проучването обхваща 0,5% от потребителите на Chrome в избрани региони. Участниците обаче не са предупредени за това, нито е поискано съгласието им.

    Можете да проверите дали браузърът ви е включен в провежданите тестове ТУК.

    Предупреждаваме, че резултатът от проверката е актуален буквално за конкретния момент, тъй като Google може по всяко време да променя набора от потребители, включени в проучването. Така, ако към момента не сте част от тестовата група, може да станете – и обратното.

    Какво е FLoC

    Към момента, основната технология, използвана за проследяване на потребителското поведение онлайн, са бисквитките. Еволюцията на интернет, обаче, води до естествения им край – защото все повече потребители отказват да разрешат използването им и дори обратното, търсят начини да ги блокират. Затова Google (и не само те) се опитват да намерят други, по-ефективни начини.

    Един от тях е FLoC – технология, която работи в браузъра ви (Chrome), анализира историята на сърфирането ви от последната седмица и ви причислява към групи с други потребители от цял свят с подобно на вашето поведение. Всяка група си има уникално FLoC ID, което може (и на практика е) споделяно с всяко приложение, с което взаимодействате в интернет през браузъра си.

    Т.е. FLoC позволява т. нар. browser fingerprinting, а FLoC ID дава възможност рекламодателите по-лесно да ви идентифицират в браузъра и да ви профилират, като част от група, към която сте присъединени.

    Как FLoC ви засяга като потребител

    FLoC е нова технология със собствен алгоритъм за проследяване и анализиране на данните. Ако сте сред тестовите потребители на функционалността, това означава, че за периода на проучването ще бъдете проследявани както чрез FLoC, така и чрез традиционните бисквитки на трети страни (ако сте приели такива).

    Как може да откажете да участвате в изпитването на FLoC

    1. Ако искате да продължите да използвате Chrome, трябва да деактивирате бисквитките на трети страни. Това обаче може да затрудни навигацията в някои уебсайтове
    2. Можете да използвате различен браузър: Понастоящем други браузъри – Firefox, Microsoft Edge, Brave, Vivaldi – твърдят, че нямат активиран FLoC. Firefox и Safari дори изключиха проследяването на трети страни по подразбиране още преди години
    3. Ако притежавате уебсайт с достъп до API на FLoC или ако Chrome установи, че страницата ви обслужва реклами, автоматично ще бъдете включени в проучването. Можете изрично да откажете, като изпратите HTTP response header: PermissionsPolicy: interestcohort=()
  • Ако ползвате устройство с по-стара версия от Android 7.1.1, то тази новина ви касае

    След 21 септември 2021 г. много уебсайтове няма да могат да се зареждат коректно или изобщо на устройства с по-стар Android.

    Причината: Изтича DST Root X3 сертификатът, използван от Let’s Encript за криптиране на връзката между уеб браузъра и уеб сървъра (HTTPS (SSL/TLS). Към момента организацията е издала сертификационни вериги на над 50 млн. уебсайта по света.

    Let’s Encript са готови с нов root сертификат, който обаче няма да работи за софтуери, неактуализирани след 2016 г. Това включва и версиите на Android преди 7.1.1, които са 33,8% от всички устройства с Android.

    Възможно решение е да инсталирате най-новата версия на Firefox, за да получите достъп до техните собствени root сертификати, които работят и при остарели операционни системи. Firefox Mobile поддържа Android 5.0 и по-нова версия.

    Прочетете повече по темата тук.

  • Chrome, Windows 10, iOS 14, Galaxy 20 и други са кракнати в хакерско състезание

    Проведе се най-голямото и престижно хакерско състезание в Китай – Tianfu Cup.

    Всички успешни експлойти са докладвани на съответните доставчици на софтуер, съгласно регламента на състезанието. Очакваме пачовете!

  • Twitter откри потенциално опасно кеширане във Firefox

    Firefox съхранява твърде дълго в кеша си лични съобщения за потребители. Това може да е опасно, ако използвате услугата на обществени устройства, или ако предоставяте компютъра си на други хора.

    Новината дойде след публична дискусия между двете организации, започнала с публикация в блога на Twitter. Компанията предупреди, че е променила начина, по който кешира информацията в браузъра. Освен съдържанието на съобщението, се кешират и файлове, изпращани през личните съобщения в Twitter. Така те могат лесно да бъдат достъпени.

    За да се предпазите от изтичане на данни, препоръчваме да използвате менюто Preferences > Privacy & Security > History > Clear history when Firefox closes > [Settings…] – и да селектирате всичко.

    Повече информация може да прочетете в блога на Sophos Naked Security.

    [button color=“green“ size=“big“ link=“https://nakedsecurity.sophos.com/2020/04/07/twitter-warns-users-firefox-might-hold-on-to-private-messages/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • YouTube зарежда по-бавно в браузъри, които не са на Google

    Забавянето се дължи на API (Application Programming Interface), чиято поддръжка е изоставена от всички браузъри, освен Chrome. Въпреки това, компанията използва неподдържания софтуерен елемент за последния дизайн на YouTube.

    Новият дизайн на уебсайта използва библиотеката Polymer, версия 1, която поддържа единствено Shadow DOM v0. Новите версии на библиотеката – 2 и 3 – биха разрешили проблема, тъй като поддържат Shadow DOM v1 – API, с което могат да работят и двата конкурента на Chrome.

    През месец Май, YouTube сподели, че през сайта преминават близо 2 милиарда потребители всеки месец. С над 400 часа нови видеа всяка минута, би било неетично от страна на Google да дава функционално предимство на Chrome чрез внедряването на неподдържани технологии.

    Това, което Питърсън предлага като решение на проблема е преминаването към предишния дизайн YouTube. Докато самия сайт не предлага такава функционалност, тя може да бъде постигната чрез външни добавки за Firefox и Edge.

    Към момента липсва коментар от страна на интернет гиганта, както и от създателите на всички засегнати браузъри.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

  • Инструмент за наблюдение на Firefox информира потребителите дали са хакнати

    Миналата година бе съобщено, че Mozilla Foundation планира да обедини сили с HaveIBeenPwned.com (HIBP) – популярен сайт за уведомяване при компрометиране на лични данни.

    Целта на колаборацията е да се изпращат предупреждения на потребителите директно в браузъра, в случай, че бъде посетен уебсайт, който е бил компрометиран. Потребителите ще получават и уведомление дали идентификационните им данни са били част от изтичането на информация.

    Тази опция за информиране при нередности вече е факт, но в малко по-различен формат.

    Have You Been Pwned?

    Firefox обяви стартирането на уебсайт, наречен The Firefox Monitor, който ще информира потребителя ако неговият имейл адрес е изтекъл онлайн или е станал част от пробив в сайт, в са използвани входни данни включващи имейл и парола. Както беше обявено, услугата работи в партньорство с HaveIBeenPwned (HIBP) и компанията за IT сигурност Cloudflare.

    Новината бе съобщена на 25 юни 2018 г., но сайтът все още е в процес на разработка.

    За потребителите, които се притесняват, че личните им данни сега биха изтекли в друга посока при проверката, от Mozilla обявиха, че са разработили начин, чрез който проверката ще става без личните данни да напускат браузъра.

    От това, което нашия екип научи, разбрахме, че най-вероятно проверката ще става чрез изчисляването на hash стойност. След това, тя ще бъде изпращана за проверка към сайта и ако съвпадне с друга стойност в базата данни, то вие ще бъдете уведомени. Изпратените hash данни няма да бъдат запазвани.

    През следващата седмица Mozilla ще покани поне 250 000 потребители, които ще могат да се възползват от услугата. Ако сте потребител на Firefox, не забравяйте да посетите The Firefox Monitor следващата седмица.

    Това наистина е чудесна новина за потребителите, чиито идентификационни данни са компрометирани, но те няма да разберат до момента, в който информацията им бива използвана за злонамерени цели.

    Що се отнася до уеб сайтовете, за тях това е „лоша“ новина, която може да ги накара да вложат повече  ресурси в мерки за сигурност, които биха им спестили това неудобство.

    Как да направите личните си данни по-трудни за кражба

    Какво можете да направите, за да избегнете изтичане на идентификационни данни, които използвате в различни уеб сайтове. (Форуми, Онлайн Магазини и т.н.)?

    За съжаление, единственото което можете да направите е да не използвате една и съща парола за вход в различни уеб приложения. Добра практика е използването на различна парола за всяка уеб услуга. За да ви е по-лесно запомнянето, ще ви предложим следния пример:

    Разделете паролите, които използвате на две части.

    • Първа част – основна част, която никога не се променя и която винаги бихте могли да запомните.
    • Втора част – променлива част, която създавате за всеки сайт на базата на името на сайта (може да използвате и друг артефакт).

    Така ако основната част на паролата ви е “password” (никога не използвайте такава основна част ;) ), и посещавате сайт freedomonline.bg.

    То паролата ви за вход би могла да изглежда по следния начин:

    password_fr33d0mOnline

    Надяваме се, че схванахте идеята.

    Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook. 

Back to top button