firefox

Ъпдейтът от 13 януари 2022 г. на Mozilla Firefox до версия 96 дойде с бъг. Проблемът е свързан с HTTP3 и не позволява успешното зареждане на нито един уеб сайт.

Какво е HTTP3

Да тръгнем по-отдалече: Hyper Text Transfer Protocol (HTTP) е основна градивна част на интернет пространството. Той диктува как комуникационните платформи и устройства да обменят информация и да извличат ресурси. Накратко, чрез него зареждатe уеб страници.

HTTP/3 е нов стандарт, все още в разработка, който ще подобри значително комуникацията между потребителските браузъри и сървърите, с които те комуникират, по отношение на производителност, надеждност и сигурност.

Съществената разлика спрямо предходните варианти е, че HTTP/3 работи с QUIC, който е проектиран за използване в интернет комуникацията: главно е свързан с мобилните устройства, които често се превключват от една мрежа в друга. HTTP/3 използва UDP, а не TCP, което позволява по-бърза комуникация и по-интензивно потребителско изживяване при сърфиране онлайн.

Отстранете проблема в браузъра, следвайки тези лесни стъпки:

1. Отворете нов таб в Mozila FireFox:

2. В URL полето, напишете “about:config”, натиснете бутона “Enter” и след това бутона “Accept the Risk and Continue”:

3. Ще се отвори нов прозорец, с нова търсачка:

4. В полето за търсене напишете “network.http.http3.enabled”, за да се появи настройката, която трябва да промените:

5 Кликнете два пъти върху полето “true” за да го промените на “false”. Запазете настройките и рестартирайте FireFox, за да се приложат промените.

6. Проблемът с неуспешното зареждане на страници във Firefox е елиминиран!

Повече информация относно HTTP/3 (QUIC) можете да намерите на следния линк:  https://www.cloudflare.com/learning/performance/what-is-http3/

Google тества нова експериментална функция за проследяване на потребителска активност в Chrome, наречена Federated Learning of Cohorts (FLoC). Проучването обхваща 0,5% от потребителите на Chrome в избрани региони. Участниците обаче не са предупредени за това, нито е поискано съгласието им.

Можете да проверите дали браузърът ви е включен в провежданите тестове ТУК.

Предупреждаваме, че резултатът от проверката е актуален буквално за конкретния момент, тъй като Google може по всяко време да променя набора от потребители, включени в проучването. Така, ако към момента не сте част от тестовата група, може да станете – и обратното.

Какво е FLoC

Към момента, основната технология, използвана за проследяване на потребителското поведение онлайн, са бисквитките. Еволюцията на интернет, обаче, води до естествения им край – защото все повече потребители отказват да разрешат използването им и дори обратното, търсят начини да ги блокират. Затова Google (и не само те) се опитват да намерят други, по-ефективни начини.

Един от тях е FLoC – технология, която работи в браузъра ви (Chrome), анализира историята на сърфирането ви от последната седмица и ви причислява към групи с други потребители от цял свят с подобно на вашето поведение. Всяка група си има уникално FLoC ID, което може (и на практика е) споделяно с всяко приложение, с което взаимодействате в интернет през браузъра си.

Т.е. FLoC позволява т. нар. browser fingerprinting, а FLoC ID дава възможност рекламодателите по-лесно да ви идентифицират в браузъра и да ви профилират, като част от група, към която сте присъединени.

Как FLoC ви засяга като потребител

FLoC е нова технология със собствен алгоритъм за проследяване и анализиране на данните. Ако сте сред тестовите потребители на функционалността, това означава, че за периода на проучването ще бъдете проследявани както чрез FLoC, така и чрез традиционните бисквитки на трети страни (ако сте приели такива).

Как може да откажете да участвате в изпитването на FLoC

1. Ако искате да продължите да използвате Chrome, трябва да деактивирате бисквитките на трети страни. Това обаче може да затрудни навигацията в някои уебсайтове
2. Можете да използвате различен браузър: Понастоящем други браузъри – Firefox, Microsoft Edge, Brave, Vivaldi – твърдят, че нямат активиран FLoC. Firefox и Safari дори изключиха проследяването на трети страни по подразбиране още преди години
3. Ако притежавате уебсайт с достъп до API на FLoC или ако Chrome установи, че страницата ви обслужва реклами, автоматично ще бъдете включени в проучването. Можете изрично да откажете, като изпратите HTTP response header: Permissions–Policy: interest–cohort=()

След 21 септември 2021 г. много уебсайтове няма да могат да се зареждат коректно или изобщо на устройства с по-стар Android.

Причината: Изтича DST Root X3 сертификатът, използван от Let’s Encript за криптиране на връзката между уеб браузъра и уеб сървъра (HTTPS (SSL/TLS). Към момента организацията е издала сертификационни вериги на над 50 млн. уебсайта по света.

Let’s Encript са готови с нов root сертификат, който обаче няма да работи за софтуери, неактуализирани след 2016 г. Това включва и версиите на Android преди 7.1.1, които са 33,8% от всички устройства с Android.

Възможно решение е да инсталирате най-новата версия на Firefox, за да получите достъп до техните собствени root сертификати, които работят и при остарели операционни системи. Firefox Mobile поддържа Android 5.0 и по-нова версия.

Прочетете повече по темата тук.

Проведе се най-голямото и престижно хакерско състезание в Китай – Tianfu Cup.

Всички успешни експлойти са докладвани на съответните доставчици на софтуер, съгласно регламента на състезанието. Очакваме пачовете!

Many mature and hard targets have been pwned on this year’s contest. 11 out of 16 targets cracked with 23 successful demos:
Chrome, Safari, FireFox
Adobe PDF Reader
Docker-CE, VMware EXSi, Qemu, CentOS 8
iPhone 11 Pro+iOS 14, GalaxyS20
Windows 10 2004
TP-Link, ASUS Router
👍

— TianfuCup (@TianfuCup) November 8, 2020

Firefox съхранява твърде дълго в кеша си лични съобщения за потребители. Това може да е опасно, ако използвате услугата на обществени устройства, или ако предоставяте компютъра си на други хора.

Новината дойде след публична дискусия между двете организации, започнала с публикация в блога на Twitter. Компанията предупреди, че е променила начина, по който кешира информацията в браузъра. Освен съдържанието на съобщението, се кешират и файлове, изпращани през личните съобщения в Twitter. Така те могат лесно да бъдат достъпени.

За да се предпазите от изтичане на данни, препоръчваме да използвате менюто Preferences > Privacy & Security > History > Clear history when Firefox closes > [Settings…] – и да селектирате всичко.

Повече информация може да прочетете в блога на Sophos Naked Security.

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

Забавянето се дължи на API (Application Programming Interface), чиято поддръжка е изоставена от всички браузъри, освен Chrome. Въпреки това, компанията използва неподдържания софтуерен елемент за последния дизайн на YouTube.

YouTube page load is 5x slower in Firefox and Edge than in Chrome because YouTube’s Polymer redesign relies on the deprecated Shadow DOM v0 API only implemented in Chrome. You can restore YouTube’s faster pre-Polymer design with this Firefox extension: https://t.co/F5uEn3iMLR

— Chris Peterson (@cpeterso) July 24, 2018

Новият дизайн на уебсайта използва библиотеката Polymer, версия 1, която поддържа единствено Shadow DOM v0. Новите версии на библиотеката – 2 и 3 – биха разрешили проблема, тъй като поддържат Shadow DOM v1 – API, с което могат да работят и двата конкурента на Chrome.

През месец Май, YouTube сподели, че през сайта преминават близо 2 милиарда потребители всеки месец. С над 400 часа нови видеа всяка минута, би било неетично от страна на Google да дава функционално предимство на Chrome чрез внедряването на неподдържани технологии.

Това, което Питърсън предлага като решение на проблема е преминаването към предишния дизайн YouTube. Докато самия сайт не предлага такава функционалност, тя може да бъде постигната чрез външни добавки за Firefox и Edge.

Към момента липсва коментар от страна на интернет гиганта, както и от създателите на всички засегнати браузъри.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.

Миналата година бе съобщено, че Mozilla Foundation планира да обедини сили с HaveIBeenPwned.com (HIBP) – популярен сайт за уведомяване при компрометиране на лични данни.

Целта на колаборацията е да се изпращат предупреждения на потребителите директно в браузъра, в случай, че бъде посетен уебсайт, който е бил компрометиран. Потребителите ще получават и уведомление дали идентификационните им данни са били част от изтичането на информация.

Тази опция за информиране при нередности вече е факт, но в малко по-различен формат.

Have You Been Pwned?

Firefox обяви стартирането на уебсайт, наречен The Firefox Monitor, който ще информира потребителя ако неговият имейл адрес е изтекъл онлайн или е станал част от пробив в сайт, в са използвани входни данни включващи имейл и парола. Както беше обявено, услугата работи в партньорство с HaveIBeenPwned (HIBP) и компанията за IT сигурност Cloudflare.

Новината бе съобщена на 25 юни 2018 г., но сайтът все още е в процес на разработка.

За потребителите, които се притесняват, че личните им данни сега биха изтекли в друга посока при проверката, от Mozilla обявиха, че са разработили начин, чрез който проверката ще става без личните данни да напускат браузъра.

От това, което нашия екип научи, разбрахме, че най-вероятно проверката ще става чрез изчисляването на hash стойност. След това, тя ще бъде изпращана за проверка към сайта и ако съвпадне с друга стойност в базата данни, то вие ще бъдете уведомени. Изпратените hash данни няма да бъдат запазвани.

През следващата седмица Mozilla ще покани поне 250 000 потребители, които ще могат да се възползват от услугата. Ако сте потребител на Firefox, не забравяйте да посетите The Firefox Monitor следващата седмица.

Това наистина е чудесна новина за потребителите, чиито идентификационни данни са компрометирани, но те няма да разберат до момента, в който информацията им бива използвана за злонамерени цели.

Що се отнася до уеб сайтовете, за тях това е „лоша“ новина, която може да ги накара да вложат повече  ресурси в мерки за сигурност, които биха им спестили това неудобство.

Как да направите личните си данни по-трудни за кражба

Какво можете да направите, за да избегнете изтичане на идентификационни данни, които използвате в различни уеб сайтове. (Форуми, Онлайн Магазини и т.н.)?

За съжаление, единственото което можете да направите е да не използвате една и съща парола за вход в различни уеб приложения. Добра практика е използването на различна парола за всяка уеб услуга. За да ви е по-лесно запомнянето, ще ви предложим следния пример:

Разделете паролите, които използвате на две части.

• Първа част – основна част, която никога не се променя и която винаги бихте могли да запомните.
• Втора част – променлива част, която създавате за всеки сайт на базата на името на сайта (може да използвате и друг артефакт).

Така ако основната част на паролата ви е “password” (никога не използвайте такава основна част ;) ), и посещавате сайт freedomonline.bg.

То паролата ви за вход би могла да изглежда по следния начин:

password_fr33d0mOnline

Надяваме се, че схванахте идеята.

Бъдете винаги в крак с новините от света на информационната сигурност – станете наши фенове във Facebook.