URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 107883
[ Назад ]
Исходное сообщение
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено opennews , 12-Май-16 09:42 
Юристы Mozilla направили (https://blog.mozilla.org/blog/2016/05/11/advanced-disclosure.../) в Окружной суд западного округа штата Вашингтон требование (https://blog.mozilla.org/press/files/2016/05/Mozilla-Motion-...) обязать правоохранительные органы раскрыть информацию об уязвимости, фигурирующей в одном из криминальных разбирательств.


Данная уязвимость была успешно использована для деанонимизации пользователя через проведение атаки на Tor Browser. Атака была совершена в соответствии с ордером суда в процессе сбора доказательств.  Проблема состоит в том, что детали использованной уязвимости не разглашаются и проблема с большой вероятностью остаётся неисправленной в кодовой базе Firefox, которая используется и в Tor Browser, что ставит под угрозу миллионы добропорядочных пользователей.

В настоящий момент судья уже постановил предоставить информацию об атаке стороне защиты подозреваемого, которая может стать источником утечки сведений об ещё не исправленной уязвимости. Mozilla настаивает, что суд должен запретить правоохранительным органам утаивать сведения о неисправленных уязвимостях, и просит обязать раскрыть подробности и разработчикам Firefox, предоставив возможность выпустить исправление до попадание информации в третьи руки.


Инцидент также демонстрирует, что использование Tor Browser не гарантирует сохранение анонимности в случае взлома браузера - получив доступ к системе атакующие могут получить доступ ко всем данным пользователя и информацию об основном канале связи. Для обеспечения надёжной защиты следует использовать дополнительный слой изоляции, скрывающий параметры соединения, благодаря запуску Tor Browser в виртуальном окружении с фиктивными адресами и внешней блокировкой трафика, передаваемого не через Tor. Например, подобный уровень защиты обеспечивает (https://www.opennet.dev/opennews/art.shtml?num=42115) дистрибутив  Whonix (https://www.whonix.org/).

URL: https://blog.mozilla.org/blog/2016/05/11/advanced-disclosure.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=44408

Содержание
Сообщения в этом обсуждении
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено The same anonymous , 12-Май-16 09:42 
Это же надо, код открытый а посмотреть не могут!
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 09:45 
Толи дело проприетарный либо совсем забили на безопасность, либо так же в свой собственный код посмотреть не могут.
"Негра!"
Отправлено GrammarNarziss , 12-Май-16 11:41 
«то ли дело», бестолочь
"Негра!"
Отправлено МОШЕЙНИК , 12-Май-16 11:42 
Чьё дело? Толи.
"Негра!"
Отправлено 808 , 13-Май-16 01:50 
столочь
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 09:46 
> посмотреть не могут!

Посмотреть могут. А вот найти - нет :)

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 09:54 
Тут как нельзя к стати фраза Кличко: "не все могут посмотреть, вернее посмотреть могут все, но не все могут увидеть".
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Какаянахренразница , 12-Май-16 10:25 
Спортсмены вообще отличаются глубокими философскими мыслями.

"Если просто смотреть, то много можно увидеть" © Йоги Бэрра, бейсболист-созерцатель

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 11:46 
А ещё я туда ем.
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Анончег , 12-Май-16 23:34 
Не туда, а в неё.
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Анонизмус , 12-Май-16 13:07 
s/p/c/ ?
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 17:16 
Спостсмены вообще отличаются глубокими философскими мыслями.

"Если псосто смотреть, то много можно увидеть" © Йоги Бэрра, бейсболист-созерцатель

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 15:18 
Угу. И иногда раздражающими пробелами в образовании.
"Бестолочь!"
Отправлено GrammarNarziss , 12-Май-16 11:42 
«кстати», позорище
"Бестолочь!"
Отправлено OramahMaalhur , 12-Май-16 13:10 
К чему? К стати.
"Бестолочь!"
Отправлено Аноним , 12-Май-16 14:02 
Он же запятыми не выделил, т е ты прав =)
"Бестолочь!"
Отправлено Аноним , 14-Май-16 22:54 
формально — нет, а по смыслу — да
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 14:45 
Классиков с ошибками цитировать? Позор!

"А сегодня в завтрашний день не все могут смотреть. Вернее, смотреть могут не только лишь все. Мало, кто может это делать."(с) Владимир Кличко

PS: Владимир, кстати, предсказатель: он предсказал на несколько месяцев вперед свое падение с велосипеда, но сам же и забыл о том, что нужно было "готовиться к земле"...
Вот с памятью у него действительно проблемы.

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 15:28 
Хороший клип сняли по этой песне
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аосос , 18-Май-16 08:05 
Ссылку давай.
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 13-Май-16 23:40 
> Тут как нельзя к стати фраза Кличко: "не все могут посмотреть, вернее
> посмотреть могут все, но не все могут увидеть".

Если что, эта фраза впрямую относится ко всему СПО. Миллионы глаз якобы пырятся в код, а реально никто не читает сорц перед компиляцией. НИ-КОГ-ДА. Только песдеть горазды на форумах.

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 31-Май-16 10:21 
То ли дело закрытый код, ты ведь эту мысль проталкиваешь, Васенька?
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 02-Июн-16 02:39 
> Если что, эта фраза впрямую относится ко всему СПО. Миллионы глаз якобы
> пырятся в код, а реально никто не читает сорц перед компиляцией.
> НИ-КОГ-ДА. Только песдеть горазды на форумах.

А ты не много на себя берешь, рассказывая за всех и никогда? Я вот код почитал и нашел там увесистый баг. Теперь ты лжец, официально.

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 11:19 
"Видишь суслика?" "Нет" "И я не вижу. А он есть!"
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 12:26 
Так пусть к Толе и пристают, чо к госоргану пристали, которому работать надо?
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 11:03 
Почему бы вам самим не посмотреть в код и не указать людям на уязвимость? Вам будут очень благодарны.
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 13-Май-16 23:40 
> Почему бы вам самим не посмотреть в код и не указать людям
> на уязвимость? Вам будут очень благодарны.

Потому что и ты ни разу не читал ни единого сорца линя, верно? А мешки-то стоя-а-а-ат.....

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 12:36 
> Это же надо, код открытый а посмотреть не могут!

судя по постоянно падающему качеству продуктов, у них там write-only код

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено дрыщ , 12-Май-16 09:50 
Поясните пожалуйста, об использовании "уязвимости" в ПО. Откуда пользователь знает, что это именно "уязвимость"? Если программа так написана разработчиком, может она так и должна работать, пользователь ведь не знает. Само признание это уязвимостью лежит на разработчике, а не на пользователе, разве не так?
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено ADR , 12-Май-16 10:10 
Если вы поставили входную дверь, а через нее ходят посторонние люди, без ключей, это уязвимость?
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено дрыщ , 12-Май-16 10:27 
Да, уязвимость для меня, потому что я ее поставил. Но проходящий мимо человек не считает ее уязвимостью, он не в курсе, просто открывает.
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Lain_13 , 14-Май-16 05:14 
…отвёрткой и считает, что это норм. Все двери так и открываются же, разве нет?
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено дрыщ , 16-Май-16 15:29 
Прежде чем такую фигню писать прочел бы мой первый коммент
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Lain_13 , 16-Май-16 15:58 
Если у ПО есть нештатное поведение, приводящее к исполнению нежелательного кода на системе пользователя или позволяющее получить несанкционированный пользователем доступ к приватным данным, то это уязвимость независимо от того, что думает по этому поводу разработчик данного ПО. И поверь, браузеры устроены так, что «случайно» или «по незнанию» ни первого, ни второго сделать не выйдет. Такое нештатное поведение нужно специально искать. Вообще есть исключения, но обычно это публично известные задокументированные бэкдоры. Так, например, если ты поставил себе роутер и не поменял на нём стандартный пароль администратора, то ССЗБ. Ты должен был это сделать и в руководстве практически наверняка об этом было сказано.
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Какаянахренразница , 12-Май-16 10:27 
> Если вы поставили входную дверь, а через нее ходят посторонние люди, без
> ключей, это уязвимость?

Да определение двери. Если она поставлена, чтобы предотвратить вход посторонних, то да, это уязвимость. А если она тупо для того, чтобы не сквозило, то нет.

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Какаянахренразница , 12-Май-16 10:29 
> Само признание это уязвимостью лежит на разработчике, а не на
> пользователе, разве не так?

Ну, в принципе, да. Если разраб говорит "так было задумано", то это вроде и не уязвимость.

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Etch , 12-Май-16 10:36 
...а бэкдор
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Какаянахренразница , 12-Май-16 10:39 
Тоже верно :-)
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Какаянахренразница , 12-Май-16 12:37 
> простите, ваш анус уязвим или это бэкдор ?

Спросите у разраба.

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Нанобот , 12-Май-16 13:55 
>проблема ... ставит под угрозу миллионы добропорядочных пользователей

это проблема мозилки, а не ФБР. требовать через суд от ФБР помощи в исправлении - глупость

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено lastvegas , 12-Май-16 16:14 
Это у нас стереотип менталитета. Вот представьте: "Telegram подал в суд на ФСБ...", даже думать об этом страшно.
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 18:44 
Как челобитную царю подаешь, холоп ?!!
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аосос , 18-Май-16 08:07 
> Это у нас стереотип менталитета. Вот представьте: "Telegram подал в суд на
> ФСБ...", даже думать об этом страшно.

Это у тебя стереотип менталитета по поводу стереотипа менталитета.

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено ACCA , 15-Май-16 22:43 
Не глупость, а особенность юридической системы США. Тому есть два основания
  - закон о свободе  информации https://en.wikipedia.org/wiki/Freedom_of_Information_Act_(Un...)
  - интересы тех, кто содержит ФБР (налогоплательщики)

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено User , 12-Май-16 14:39 
> требовать через суд от ФБР помощи в исправлении

Помощь не требуют, а просят. Мозила имеет право требовать у ФБР, т.к. это касается их продукта.Будет ли удовлетворено требовате(?).

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 15:20 
> Будет ли удовлетворено требование(?).

Это как захочет ФБР... Суд с юристами мозилы ничего не решают.

Если ФБР захочет понравится и показаться беленькими и пушистыми, то передадут мозиле пару дыр которые им уже не нужны, а самые хорошие всё равно себе оставят, чтобы лазить по чужим компам.

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Анонимный Алкоголик , 13-Май-16 06:55 
> клоун: Передадут на каком основании? Пусть выкупят. Суду предшествует период внесудебного
> урегулирования. И судя по всему он был такой:
> - Отдайте.
> - Купите.
> - Засудим!

FBI приватизировали? >:-)

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 12-Май-16 22:21 
Как известно нельзя получать информацию преступными методами. В саша такая информация даже не рассматривается судом. Интересно, будут ли фбровцы привлечены к ответсвтенности? Ведь использование уязвимости чтобы залезть на удаленный комп является преступлением
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено maximnik0 , 13-Май-16 09:59 
> Как известно нельзя получать информацию преступными методами. В Cша такая информация даже
> не рассматривается судом. Интересно, будут ли фбровцы привлечены к ответственности? Ведь
> использование уязвимости чтобы залезть на удаленный комп является преступлением

В США конгресс решил и верховный суд постановление подтвердил ,что преступления в интернете из-за межнациональных границ практически не раскрываемые.И поэтому разрешил по ордерам выданным в США следить за компьютерами подозреваемых за пределами США, а по антеристическому акту признана законной и взлом и установка следящих программ.Другое дело
что почему-то  пресса не интересуется как  фбр потом доказывает что не залила к примеру детскую порнографию на компьютер подозреваемого ......


"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 13-Май-16 18:25 
Никак не доказывает. Где это видано, чтобы в ходе каждого судебного заседания обвинение доказывало, что строго оно придерживалось УПК в ходе следственных действий. Это у защиты должны быть доказательства обратного: что вот, налицо грубое извращение социа^H^H^H^H^H законности, допущенное отдельными сотрудниками, требуем исправить перегибы.
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Алкаш , 13-Май-16 07:34 
Ясное дело жабаскрипт подвел
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено IZh. , 13-Май-16 10:22 
На хабре была статья, как надо нормально шифроваться. В общем, без пары последовательных VPN'ов с подключением по RDP к виртуалке, в которой на голой винде крутится TOR, и которая периодически восстанавливается без образа, не обойтись. И всё это, естественно, оплачивается биткоинами.

А просто TOR -- это так, на торренты зайти.

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 13-Май-16 23:42 
> На хабре была статья, как надо нормально шифроваться. В общем, без пары
> последовательных VPN'ов с подключением по RDP к виртуалке, в которой на
> голой винде крутится TOR, и которая периодически восстанавливается без образа, не
> обойтись. И всё это, естественно, оплачивается биткоинами.

Которые в твоей стране, внезапно, уже тоже вне закона.

> А просто TOR -- это так, на торренты зайти.

Да-да, анонимный иксперд по безопасности набигае.....

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Аноним , 14-Май-16 22:59 
в какой это стране торренты вне закона, иксперд?
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено горожанин , 15-Май-16 23:45 
Он про биткойны, деревня
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Анонимный Алкоголик , 18-Май-16 07:36 
> в какой это стране торренты вне закона, иксперд?

Он про страну, в которой Надзор вне закона, не торренты. А сажает вас Надзор, да...

"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Azaza , 15-Май-16 02:13 
Почему мозила фоундэйшн решили, что была использована уязвимость в их продукте, а не отследили его ноду?
"Mozilla в суде добивается раскрытия уязвимости, применённой ..."
Отправлено Azaza , 15-Май-16 02:16 
>>Today, we filed a brief in an ongoing criminal case asking the court to ensure that, if our code is implicated in a security vulnerability, that the government must disclose the vulnerability to us before it is disclosed to any other party.

Как-то слабовато. Фбр скажут, мол, нет уязвимости в вашем браузере, и что тогда?