The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В ночных сборках Firefox реализована блокировка скриптов для..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от opennews (??), 07-Мрт-19, 21:57 
В состав ночных сборок (https://www.mozilla.org/en-US/firefox/channel/desktop/#nightly) Firefox, на основе которых  14 мая будет сформирован релиз Firefox 67, включена (https://blog.nightly.mozilla.org/2019/03/05/these-weeks-in-f.../) поддержка опций (https://bugzilla.mozilla.org/show_bug.cgi?id=1527917) для блокирования  JavaScript-вставок, осуществляющих майнинг криптовалют, а также кода для отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Для включения новых режимов блокировки в конфигуратор добавлены соответствующие настройки.


Блокировка осуществляется (https://bugzilla.mozilla.org/show_bug.cgi?id=1515806) по дополнительным категориям (https://github.com/mozilla-services/shavar-list-creation-config) в списке Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации. Код для майнинга криптовалют, как правило, внедряется на сайты в результате взломов (https://www.opennet.dev/opennews/art.shtml?num=49941) или используется на сомнительных сайтах как метод монетизации, что приводят к существенному увеличению нагрузки на процессор в системе пользователя.


Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как  разрешение экрана (https://www.opennet.dev/opennews/art.shtml?num=46046), список поддерживаемых MIME-типов, специфичные параметры в заголовках  (HTTP/2 (https://www.opennet.dev/opennews/art.shtml?num=47821) и HTTPS (https://www.opennet.dev/opennews/art.shtml?num=42943)), анализ установленных плагинов и шрифтов (https://www.opennet.dev/opennews/art.shtml?num=26635), доступность определённых Web API, специфичные для видеокарт особенности (https://www.opennet.dev/opennews/art.shtml?num=48736) отрисовки при помощи WebGL и Canvas, манипуляции (https://www.opennet.dev/opennews/art.shtml?num=47902) с CSS,  анализ особенностей работы с мышью (https://www.opennet.dev/opennews/art.shtml?num=44027) и клавиатурой (https://www.opennet.dev/opennews/art.shtml?num=42685).


Кроме того, из Tor Browser в ночные сборки  Firefox перенесена (https://bugzilla.mozilla.org/show_bug.cgi?id=1407366) поддержка техники блокирования идентификации "letterboxing", добавляющая в каждой вкладке отступы  между рамкой окна и отображаемым контентом для предотвращения привязки к размеру видимой области. Отступы добавляются с расчётом приведения разрешения к значению кратному 128 и 100 пикселей по горизонтали и вертикали. В случае произвольного изменения размера окна пользователем, размер видимой области становится фактором, достаточно для идентификации разных вкладок в одном окне браузера. Приведение видимой области к типовому размеру не позволяет осуществить данную привязку. Для включения противостояния идентификации в about:config предусмотрена настройка "privacy.resistFingerprinting".


Из других изменений, недавно добавленных в ночные сборки Firefox можно отметить:


-  Добавление на панель новой кнопки с аватаром, предоставляющей доступ к управлению учётной записью в сервисе Firefox Account и оценки статуса синхронизации (Firefox Sync).


-  При выводе рекомендаций при заполнении форм входа добавлена кнопка "View Saved Logins", позволяющая просмотреть параметры сохранённых учётных записей в менеджере паролей;


URL: https://blog.nightly.mozilla.org/2019/03/05/these-weeks-in-f.../
Новость: https://www.opennet.dev/opennews/art.shtml?num=50274

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В ночных сборках Firefox реализована блокировка скриптов для..."  –13 +/
Сообщение от Аноним (1), 07-Мрт-19, 21:57 
Что-то полезное добавили, я удивлён.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (-), 08-Мрт-19, 00:50 
Я удивлен что ты удивлен.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "В ночных сборках Firefox реализована блокировка скриптов для..."  +1 +/
Сообщение от Kuromi (ok), 08-Мрт-19, 00:51 
Это по большей части не их заслуга, а наработки TOR и disconnect.me, но да, хорошо что сделали.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Tita_M (ok), 08-Мрт-19, 17:57 
Так вроде веб-майнинг на спад давно пошёл? Поздновато мозила спохватилась. А ещё кто-то бывший из мозиловцев ругал антивирусы, что мол не нужны, но они как раз и быстрее всего реагировали на эту угрозу.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

33. "В ночных сборках Firefox реализована блокировка скриптов для..."  +2 +/
Сообщение от Kuromi (ok), 08-Мрт-19, 21:14 
> Так вроде веб-майнинг на спад давно пошёл? Поздновато мозила спохватилась. А ещё
> кто-то бывший из мозиловцев ругал антивирусы, что мол не нужны, но
> они как раз и быстрее всего реагировали на эту угрозу.

Разработчики браузеров (кстати, не только Мозилл, но и парни из Хромиума жаловались) ругают на антивирусы не потому что "не нужны", а что считают себя "голубой кровью" и лезут везде не считаясь ни с кем. В Мозилле например много случаев когда падения баузеров вызваны инжектом библиотек антивируса, причем частенько, самым грубым образом. А еще есть "внедреж" SSL сертфиикатов для перехвата трафика и тому подобное. Но когда глючит брауер юзвери ругают браузер, а не антивирус "который всегда не причем".

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

2. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Stax (ok), 07-Мрт-19, 22:22 
Запрет майнинга это замечательно (лишь бы работал нормально). Когда заходишь на сайт, оставляешь вкладку где-то в фоне, а она начинает 100% ядра жрать на майнере - бесит! Причем никто не застрахован (в свое время, например, форумы hwbot долго вот так "майнили" пользователей).

На любом ресурсе могут решить внезапно немного помонетизировать пользователей - достаточно всего лишь дописать include с какого-нибудь coinhive в сорцы страницы и все, деньги текут.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В ночных сборках Firefox реализована блокировка скриптов для..."  +14 +/
Сообщение от Аноним (-), 08-Мрт-19, 00:48 
Это чтож за сайты такие посещаешь? Прям домохозяйка.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

16. "В ночных сборках Firefox реализована блокировка скриптов для..."  –7 +/
Сообщение от Тот_Самый_Анонимус (?), 08-Мрт-19, 07:43 
О, илитарии подтянулись.
Причём с дутым самомнением что с ними это точно не случится.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "В ночных сборках Firefox реализована блокировка скриптов для..."  +6 +/
Сообщение от Большой Матвей (?), 08-Мрт-19, 13:39 
И Вам привет, товарищ гуманитарий!

А почему собственно с нами должно что-то случиться? Может Вы еще и беспорядочные пoлoвые связи практикуете? Тогда чему удивляться? Не ходите на неизвестные сайты, и ничего не случится. А если кто-то из знакомых или друзей посоветовал вам такой сайт, так занесите его в игнор.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

27. "В ночных сборках Firefox реализована блокировка скриптов для..."  +1 +/
Сообщение от Stax (ok), 08-Мрт-19, 14:38 
> И Вам привет, товарищ гуманитарий!
> А почему собственно с нами должно что-то случиться? Может Вы еще и
> беспорядочные пoлoвые связи практикуете? Тогда чему удивляться? Не ходите на неизвестные

Проблема в том, что от этого никто не застрахован. Очередной баг в wordpress/phpbb/drupal/Vbulletin/что там еще - и на ваш якобы "нормальный" сайт подсаживают майнера. Как это и было с hwbot (https://www.overclock.net/forum/45-networking-security/16498...).

Между прочим, весьма уважаемый ресурс в определенных кругах. Например, статистика разгона различных компонентов у них лучшая в интернете, ну и это один из самых известных ресурсов по спортивному разгону, бенчмаркам и прочим. Но на нагруженном 24/7 ресурсе постоянно обновлять форумный софт они не смогли, и вляпались в уязвимость в их Vbulletin - и к ним на страницы заинджекитили майнеров. Причем они их убрали (https://community.hwbot.org/topic/172372-on-the-topic-of-bro.../) а через пару недель там опять были инжекты, убрать которые удалось в итоге только полной миграцией с Vbulletin на некий Invision Community - на что ушло несколько месяцев. И при этом такая миграция, видимо, оказалось проще, чем обновлять Vbulletin с 3 до 5 версии.

Что, думаете они единственные такие? На большинстве недорогих или бесплатных CMS или движках форума обновления рано или поздно требуются обновления между мажорными версиям. И это БОЛЬ. Вот прямо БОООООООЛЬ. Ведь авторы движков внезапно осознают, что старые схемы в БД кривые и немасштабируемые; что хочется перейти на какой-нибудь Bootstrap; что хочется сделать новую, более совершенную систему тем и т.п. И начинается, что для перехода на новую версию требуется мигрировать базу (и что-то обязательно идет не так), ломаются все кастомизации, летят настройки. Админ сайта, который на это готов уделять не больше пары часов в неделю чешет репу и оставляет старую версию, ведь нельзя сломать на две недели сайт, потерять стиль и прочее. А уязвимости в старой версии никто не исправляет. И понеслось...


> сайты, и ничего не случится. А если кто-то из знакомых или
> друзей посоветовал вам такой сайт, так занесите его в игнор.

Вот смотрите. Ваша жена (если нет - предположите, что есть) наверняка ходит на всякие galya.ru/woman.ru/littleone и иже с ними. Вы думаете, там работают крутые IT перцы, которые каждый раз после вот такого https://www.opennet.dev/opennews/art.shtml?num=48495 или такого https://www.opennet.dev/opennews/art.shtml?num=49318 идут и ставят все обновления? И постоянно обновляют мажорные версии? Постоянно переделывая вырвиглазный дизайн под новые движки? Вот завтра-послезавтра очередную дырочку найдут в каком-нибудь Drupal и все пользователи этого сайта будут до поры, до времени майнить. А вы лично - ничего не сможете сделать. Ваша жена не прекратит пользоваться форумом только потому, что он немного лагает.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним84701 (ok), 10-Мрт-19, 03:06 
> Но  на нагруженном 24/7 ресурсе постоянно обновлять форумный софт они не смогли, и вляпались в уязвимость в их Vbulletin - и к ним на страницы заинджекитили майнеров.

Да не, это vBulletin-щики забили. Видел полгода назад на другом, регулярно посещаемом мною, ресурсе -- в течении пары месяцев несколько раз заинжективали майнеров, перенаправляльщиков и прочую шелуху, vBulletin был то ли 3.8, то ли 4, "поддерживаемый лицензионный".
Обновлений не было,  были вроде бы "workaround"ы -- но это нужно сидеть и мониторить фултайм (лицензия-то c 200+$ совсем не копейки стоит, а получается типа "платная самоохраняемая стоянка").
уязвимости кстати до сих пор пачками идут
https://packetstormsecurity.com/files/151929/vBulletin-4.2.3...
https://cxsecurity.com/issue/WLB-2019030003

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

12. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Kuromi (ok), 08-Мрт-19, 00:52 
В принципе превентивных мер вроде NoScript было бы и так достаточно.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

18. "В ночных сборках Firefox реализована блокировка скриптов для..."  +1 +/
Сообщение от anonimbl (?), 08-Мрт-19, 09:48 
бытует мнение, что umatrix лучше справляется с блокировкой скриптов. а в компании с ublock и вовсе вырезает практически весь хлам.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

29. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Kuromi (ok), 08-Мрт-19, 16:36 
> бытует мнение, что umatrix лучше справляется с блокировкой скриптов. а в компании
> с ublock и вовсе вырезает практически весь хлам.

Возможно у меня синдром утенка, не спорю. Пока что мне хвататет и NoScript

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

3. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (3), 07-Мрт-19, 22:27 
Кому полезное, кому каждый раз выключать новую ерунду что бы мюблоки не дублировало :D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В ночных сборках Firefox реализована блокировка скриптов для..."  +1 +/
Сообщение от Аноним (4), 07-Мрт-19, 22:49 
Coinhive же закрылся, вы чё.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "В ночных сборках Firefox реализована блокировка скриптов для..."  +1 +/
Сообщение от Аноним (5), 07-Мрт-19, 22:56 
Дык. Один закрылся, десяток по его стопам. Лишним не будет, тем более отключчаемо.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от CZ (??), 07-Мрт-19, 23:48 
Жив coinhive. Сайт работает.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Kuromi (ok), 08-Мрт-19, 00:58 
С сайта Койнхайв
"Our miner uses WebAssembly and runs with about 65% of the performance of a native Miner."
Полагаю подобного подхода придерживаются и другие майнеры, так что javascript.options.wasm=false вам в помощь
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (15), 08-Мрт-19, 07:25 
Чтобы вместо ускоренного исполнялся обычеый js и окончательно всё завесил? Так себе метод.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Kuromi (ok), 08-Мрт-19, 16:35 
> Чтобы вместо ускоренного исполнялся обычеый js и окончательно всё завесил? Так себе
> метод.

Либо альтернативно, не обнаружив WASM в браузеер скрипт скажет "Ой, древность какая-то, а не браузер" и завершится. Как вариант там может вообще не быть не-WASM реализации.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

14. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Kuromi (ok), 08-Мрт-19, 01:00 
Если верить https://krebsonsecurity.com/2019/02/crytpo-mining-service-co.../ то закрываются как раз 8-ого марта.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

23. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (-), 08-Мрт-19, 13:37 
Фиг там. Это чума распространяется и множится с каждым днем!
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Нуб (?), 07-Мрт-19, 23:50 
>блокирования...кода для отслеживания пользователей с помощью методов скрытой идентификации

если я пользуюсь юблоком с юматриксом - мне это оставлять включенным, или дублирование функционала?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (-), 08-Мрт-19, 00:50 
Пофиг, дублируй, лишним не будет.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (17), 08-Мрт-19, 09:03 
А как кнопку добавить статуса синхронизации? У меня ночная сборка но её нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (22), 08-Мрт-19, 13:34 
Забей и дождись пока в основную сборку добавят. Куда торопиться?
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

31. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (17), 08-Мрт-19, 20:01 
Основную нет смысла использовать. У меня и ночная уже несколько месяцев работает отлично.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

19. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Fedd (ok), 08-Мрт-19, 10:28 
privacy.resistFingerprinting вроде уже давно был
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "В ночных сборках Firefox реализована блокировка скриптов для..."  –1 +/
Сообщение от Аноним (20), 08-Мрт-19, 12:24 
Правильно, телеметрить юзера должна только Мозила, я за СПО-зонд и точка!11
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "В ночных сборках Firefox реализована блокировка скриптов для..."  +1 +/
Сообщение от Аноним (21), 08-Мрт-19, 13:32 
Телеметрить тебя будет гугол, деточка.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

25. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (25), 08-Мрт-19, 13:47 
Два года ждал леттербоксинг
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (-), 08-Мрт-19, 14:13 
Что это?
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

36. "В ночных сборках Firefox реализована блокировка скриптов для..."  +/
Сообщение от Аноним (36), 09-Мрт-19, 17:16 
То же самое что и фингербоксинг
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "В ночных сборках Firefox реализована блокировка скриптов для..."  –1 +/
Сообщение от Аноним (35), 08-Мрт-19, 22:27 
Почему не сделать в качестве плагина ?

Зачем все тащит в браузер ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру