The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость"  +/
Сообщение от opennews (??), 20-Июн-19, 21:17 
Седом за выпусками Firefox 67.0.3 и 60.7.1 опубликованы (https://www.mozilla.org/en-US/firefox/67.0.4/releasenotes/) дополнительные корректирующие релизы 67.0.4 и 60.7.2, в которых устранена вторая 0-day уязвимость (CVE-2019-11708), позволяющая обойти механизм sandbox-изоляции. Проблема позволяет через манипуляцию с IPC-вызовом Prompt:Open открыть web-контент в дочернем процессе, в котором не используется sandbox. В сочетании с другой уязвимостью данная проблема позволяет обойти все уровни защиты и организовать выполнение кода в системе.


Выявленные в последних двух выпусках Firefox уязвимости до своего исправления  были использованы (https://twitter.com/SecurityGuyPhil/status/1141466335592869888) для организации атаки на сотрудников биржи криптовалют Coinbase, а также применялись (https://objective-see.com/blog/blog_0x43.html) для распространения вредоносного ПО для платформы macOS. Утверждается (https://twitter.com/5aelo/status/1141273394723414016), что информация о первой уязвимости была направлена в Mozilla  участником проекта Google Project Zero  ещё 15 апреля и 10 июня была исправлена (https://hg.mozilla.org/releases/mozilla-beta/rev/109cefe117f...) в бета-версии Firefox 68 (вероятно атакующие проанализировали опубликованное исправление и подготовили эксплоит, воспользовавшись ещё одной уязвимостью для обхода sandbox-изоляции).

URL: https://www.mozilla.org/en-US/firefox/67.0.4/releasenotes/
Новость: https://www.opennet.dev/opennews/art.shtml?num=50913

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +4 +/
Сообщение от Аноним (2), 20-Июн-19, 21:18 
Ого, как теперь жить? Я тут пароли ввожу от карты, а фф оказывается уязвимый был всё это время.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +21 +/
Сообщение от анонимус (??), 20-Июн-19, 21:30 
Любой браузер уязвим в любой момент времени. Вопрос только в том, кому известно об этих уязвимостях.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –6 +/
Сообщение от Kuromi (ok), 20-Июн-19, 21:31 
Пользоваться ночнушками, например. Во первых туда все заплатки безопасности прилетают первыми, т.к. свежие билды и так каждые 12-24 часа выходят,а во вторых как правило объем изменений в коде по сравнению с релизными таков, что эксплойты либо просто не работают либо не работают в своей "конфигурации по умолчанию", а специально ночнушки никто таргетить не станет.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +8 +/
Сообщение от VINRARUS (ok), 20-Июн-19, 21:40 
> туда все заплатки безопасности прилетают первыми

А уязвимости за 3 месяца до релиза. xD

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

41. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –10 +/
Сообщение от Аноним (41), 21-Июн-19, 00:14 
опять дырко браузер отличился, так еще и закрывали пц долго
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

92. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Kuromi (ok), 21-Июн-19, 18:46 
>> туда все заплатки безопасности прилетают первыми
> А уязвимости за 3 месяца до релиза. xD

Там принцип неуловимого джо помогает. Вроде как пользователей ночнушки не более 10 тысяч, плюс минум тысяча, ориентировочно (такая инфа в багзилле проскакивала). Обычные пользователи опять же ночнушку не ставят. Злоумышленникам такя аудитрия неинтересна.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

3. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость"  +/
Сообщение от Анимайзер (?), 20-Июн-19, 21:30 
> уязвимости до своего исправления  были использованы для организации атаки на сотрудников биржи криптовалют Coinbase, а также применялись для распространения вредоносного ПО для платформы macOS.

Понятно, зачем атака была произведена на криптобиржу и хомячков МакОС, а вот почему так унизили пользователей винды? Ей пользуются одни нищие, с которых нельзя ничего поиметь?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость"  +/
Сообщение от Аноним (34), 20-Июн-19, 23:46 
"ничего кроме анализов". Ну то есть, реально кроме телеметрии и привязок ID взять с виндопальзователей нечего.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

49. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость"  +1 +/
Сообщение от пох. (?), 21-Июн-19, 06:37 
возможно - встроенный антивирус начинал верещать (не на сам эксплойт, а на тех троянцев что он приносил). А возможно и невстроенный, хоть и встречается нынче раз в сто лет, вызвал достаточные основания не лезть в эту систему- если ты планируешь спереть все денежки горе-майнеров, глупо рисковать засветить дырку ради васянских кошелок на яндекс-деньгах.

А в макоси "вирусов нет" же ж.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

60. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость"  +/
Сообщение от Аноним (60), 21-Июн-19, 08:41 
10 старушек - уже рубль.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

65. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимость"  –1 +/
Сообщение от Кергуду (?), 21-Июн-19, 09:07 
Пользователи винды устанавливают АВ с проактивными защитами и прочими автосандбоксами. Скучные они.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от Аноним (-), 20-Июн-19, 21:32 
>уязвимости до своего исправления были использованы для организации атаки на сотрудников биржи криптовалют
>а также применялись для распространения вредоносного ПО для платформы macOS.

Гениально! Дыра известна с апреля! Теперь это называется  0-day уязвимость?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от Аноним (9), 20-Июн-19, 21:42 
Когда дыра известна, но не исправлена, это и есть 0-day.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +16 +/
Сообщение от Аноним (-), 20-Июн-19, 21:53 
Это новый тип уязвимости - 0-пох уязвимость, когда о критической уязвимости всем известно но разрабам пох.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

61. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от Аноним (60), 21-Июн-19, 08:42 
Древний как компьютеры тип уязвимости.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

37. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от AnonPlus (?), 21-Июн-19, 00:04 
Дыра не была публично известна - раз. Она не была критическрй, поскольку надо ещё пробить песонницу  - два. Поэтому, её решиои исправлять в 68 версии, не в текущей.

После того, как дыру исправили она стала публично известна - раз. И некто имел в загашниках способ пробить песочницу, а это уже делает дыру весьма опасной.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от пох. (?), 20-Июн-19, 21:42 
"никогда не было, и вот, опять!"

кто там гнал на "ужосные уйозвимости в flash"?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +7 +/
Сообщение от Sluggard (ok), 20-Июн-19, 22:02 
По делу же гнали. Или, если в браузере есть свои уязвимости, нужно ему ещё и флэшовых добавить?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

52. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от пох. (?), 21-Июн-19, 06:47 
флэшовые принадлежат - флэшу. Хочешь гуйни и киношечек в вебе - ставишь. Работаешь с чувствительными данными - от админа прилетает линейкой по рукам. Хочешь вручную контролировать, где можно, где нет - контролируешь. Причем код исполняется в изолированном процессе с жестко ограниченным api. Выбор на стороне пользователя, а не "так решили горе-разработчики, ищите стопиццотый аддон чтоб вернуть как было".
И в браузере нет тонны ненужного кода, написанного левой задней - не так давно пришлось ознакомиться, п-ц просто.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

16. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 20-Июн-19, 22:03 
Не то, чтоб никогда, но у ff действительно история удивительно чистая на 0-day.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +3 +/
Сообщение от Sluggard (ok), 20-Июн-19, 22:26 
Мозилловцы, порой, сами создают себе изрядный геморрой на ровном месте. Например, решив, что PDF надо просматривать в браузере, и накостылив yблюдочный PDF.js, который как раз 0-day уязвимостью в своё время отличился.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от Ordu (ok), 20-Июн-19, 22:40 
> Мозилловцы, порой, сами создают себе изрядный геморрой на ровном месте. Например, решив,
> что PDF надо просматривать в браузере, и накостылив yблюдочный PDF.js, который
> как раз 0-day уязвимостью в своё время отличился.

Ну таким образом рассуждая, можно любых разработчиков записать в ту же группу людей, которые создают себе проблем сами своими же руками в своём же процессе разработки.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от Sluggard (ok), 20-Июн-19, 22:46 
А что, любые разработчики вклеивают в свой софт js-соплями какой-то левый функционал?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

59. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 21-Июн-19, 08:39 
"Левый" это в смысле тебе не нужно? Давай оценим насколько широко используется PDF.js среди пользователей ff?
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

69. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от Sluggard (ok), 21-Июн-19, 10:27 
Левый — это посторонний. Просмотр документов и сканов — это необходимый браузеру функционал? На Оперу в своё время наезжали за комбайновость, потому что там есть встроенный почтовик, IRC и торрент-клиент, хотя всё перечисленное имеет прямое отношение к сети.
Что любопытно, встроенный функционал чтения RSS, опять же имеющий отношение к интернету, из Огнелиса убрали.
Ну и да, давай, оцени. )
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

82. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от Ordu (ok), 21-Июн-19, 13:48 
> Левый — это посторонний. Просмотр документов и сканов — это необходимый браузеру
> функционал? На Оперу в своё время наезжали за комбайновость, потому что
> там есть встроенный почтовик, IRC и торрент-клиент, хотя всё перечисленное имеет
> прямое отношение к сети.

Да. И FF начался с того, что из Mozilla Suit сделали несколько отдельных продуктов.

> Что любопытно, встроенный функционал чтения RSS, опять же имеющий отношение к интернету,
> из Огнелиса убрали.

Ну rss с самого начала был говностандартом, которым мало лишь кто научился пользоваться. Гики всякие преимущественно.

Разработка идёт за пользователем, а не наоборот. Даже когда разработчик пытается предложить пользователю что-то новое, он всё равно идёт за пользователем, потому как если пользователь откажется кушать, то проект пойдёт в deprecated. Ты можешь такое видеть где угодно -- у Mozilla, у Google, у Ubuntu, у кого угодно ещё. Подобных ошибок нет только у тех, кто не пытается творить.

> Ну и да, давай, оцени. )

Ты пользуешься IRC? Тогда тебе проще будет прогуляться до #pdfjs на irc.mozilla.org и задать этот вопрос там. Если подобная статистика существует, тебе подскажут где её посмотреть можно.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

94. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от пох. (?), 21-Июн-19, 20:12 
ff начался, если кто не знал, или забыл, с того, что некая мелкая лавочка по съемкам хомпорно (timewarner) выгнала разработчиков netscape (которую зачем-то купила, видимо, не разбираясь особо в сортах кондомов, предполагала что может применить в своем производственном процессе - но оказалось что для этой цели они не подходят) на мороз.

А разделение на netscape gold и не-gold (без встроенного телевизора и умывальника) было примерно с 98го года (в 96м нетскейп 1 и 2 были просто-браузерами)

Ничего нового альтернативные разработчики альтернативной мурзилы в этом месте не придумали.

> Ну rss с самого начала был говностандартом, которым мало лишь кто научился пользоваться.

чему там было "учиться пользоваться"? Тыкать в оранжевую кнопочку в строке статуса - "учиться пользоваться" ?

Похоже, вы о нем тоже в газете Икра прочитали, да?

> Разработка идёт за пользователем, а не наоборот.

вот и пришли - от 90% интернета к скольки там - еще 4, или уже 3?
Потому что сферический пользователь в вакууме - он вообще один-единственный, хранится в парижской палате мер и весов, где-то рядом с эталонным ненужно.


Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

95. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 21-Июн-19, 20:51 
>> Ну rss с самого начала был говностандартом, которым мало лишь кто научился пользоваться.
> чему там было "учиться пользоваться"? Тыкать в оранжевую кнопочку в строке статуса
> - "учиться пользоваться" ?

Да. Я так и не понял смысла в неё тыкать. Несколько раз пытался подписываться на rss, но кончалось каждый раз обычными подписками в почту. Нахрена нужен rss я так и не понял.

> Похоже, вы о нем тоже в газете Икра прочитали, да?

Не, где я только нём не читал. Особенно когда анонимы начали ныть, что их эрэсэсу лишают.

>> Разработка идёт за пользователем, а не наоборот.
> вот и пришли - от 90% интернета к скольки там - еще
> 4, или уже 3?
> Потому что сферический пользователь в вакууме - он вообще один-единственный, хранится в
> парижской палате мер и весов, где-то рядом с эталонным ненужно.

При чём здесь сферический пользователь в вакууме? У мозиллы есть пользовательская база, и мозилла уделяет немало сил на изучение этой самой базы.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

101. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (101), 22-Июн-19, 09:53 
> Несколько раз пытался подписываться на rss, но кончалось каждый раз обычными подписками в почту.

Для подписки на RSS, внезапно, нужен агрегатор. В FF никогда полноценного агрегатора не было, только простая гляделка лент (она и сейчас есть).

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

103. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 22-Июн-19, 10:17 
>> Несколько раз пытался подписываться на rss, но кончалось каждый раз обычными подписками в почту.
> Для подписки на RSS, внезапно, нужен агрегатор. В FF никогда полноценного агрегатора
> не было, только простая гляделка лент (она и сейчас есть).

Вот я о том же. Чтобы пользоваться RSS надо сложно разобираться в том, как им пользоваться. Я пытался пару раз минут по десять. Так и не понял, что за софтина мне нужна, судя по всему для этого требовалось двигаться методом проб и ошибок, то есть устанавливать всё подряд, и смотреть что это такое. Бр-р-р. Зачем все эти сложности, если можно подписку в почту оформить? Или даже просто кинуть интересный сайт в закладки и эпизодически туда ходить, смотреть что нового там появилось.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

24. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от anon_number_2 (?), 20-Июн-19, 23:09 
about:config
pdfjs.disabled=true
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

27. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Sluggard (ok), 20-Июн-19, 23:18 
Давно. Смысла сказанного это не отменяет.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

45. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Анонимный пользователь Интернета (?), 21-Июн-19, 00:59 
А как нужно было поступить? Писать свой велосипед с дырами пять лет? Вызывать неизвестное приложение на стороне пользователя, которого у него может и не быть? Может быть скачивать и пусть пользователь сам разбирается? Сделали (хоть и не идеально и не с первого раза) то, что было востребовано пользователями. И правильно сделали.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

50. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от пох. (?), 21-Июн-19, 06:41 
> А как нужно было поступить?

использовать плагин от адоба, не?

Ах, да, да, он же npapi, запретить-запретить. Ну вот и жрите.

> Вызывать неизвестное приложение на стороне пользователя

известное приложение.
> которого у него может и не быть?

которое ему в этом случае предлагается скачать, причем без js и прочих пищалкоперделок - семантика встроена в html с 96го года.

> Может быть скачивать и пусть пользователь сам разбирается?

именно так. При этом у пользователя, всерьез опасающегося за свою приватность, плагина не будет, и проблем тоже. Остальных все равно вые..т, кстати, это и к вам, молодой человек, относится.

P.S. обратите, кстати, внимание - это решение в результате радостно подхватили хромой и йож - и что-то вот нет у них толп уязвимостей в этом месте. Возможно потому, что они это сделали не на html5, единственном знакомом девелоперам мурзилы язычке?

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

63. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от Ordu (ok), 21-Июн-19, 08:45 
> использовать плагин от адоба, не?

Не. Идёт вразрез с миссией Mozilla. Интернет должен быть свободным.

> известное приложение.

Неизвестное. Может быть даже несуществующее. Мы даже не знаем установлено ли оно.

> которое ему в этом случае предлагается скачать, причем без js и прочих пищалкоперделок - семантика встроена в html с 96го года.

То есть, Mozilla должна рекомендовать пользователю скачать пропиетарь совершенно иного производителя? Тут возникает проблема с разделением отвественности. Если Mozilla порекомендовала плугин, и этот плугин оказался дыряв (это же Adobe, в нём дыр по-любому больше чем в PDF.js), то не виновата ли мозилла в том, что она порекомендовала это? Одно дело нести ответственность за свои баги, и немного иное -- нести ответственность за чужие.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

81. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от Аноним (101), 21-Июн-19, 13:48 
> Mozilla должна рекомендовать пользователю скачать пропиетарь совершенно иного производителя?

Ну уж этим-то они не брезгуют. Блоб какой-нибудь скачать без ведома пользователя для них — милое дело. Ну типа циска зуб даёт, что он из вот этих вот исходников собран, а у джентльменов принято верить на слово.


pref("media.gmp-gmpopenh264.enabled", false);
pref("media.gmp-manager.updateEnabled", false);

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

87. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 21-Июн-19, 14:54 
>> Mozilla должна рекомендовать пользователю скачать пропиетарь совершенно иного производителя?
> Ну уж этим-то они не брезгуют. Блоб какой-нибудь скачать без ведома пользователя
> для них — милое дело. Ну типа циска зуб даёт, что
> он из вот этих вот исходников собран, а у джентльменов принято
> верить на слово.
> 
 
> pref("media.gmp-gmpopenh264.enabled", false); 
> pref("media.gmp-manager.updateEnabled", false); 
>

Ну да. И скачивать плугины от adobe они когда-то предлагали. Всему своё время.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

96. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +2 +/
Сообщение от Аноним (96), 21-Июн-19, 21:18 
> использовать плагин от адоба, не?

Лол. В нём ещё больше уязвимостей всегда было. А pdfjs отличился только однажды, вроде. А с усилением урезания прав дочерних процессов он безопаснее, чем десктопные читалки. Особенно чем адобный, который наиболее таргетируют.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

56. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (56), 21-Июн-19, 07:37 
А зачем вообще браузеру заботиться о том, чтобы можно было смотреть какой-то отдельный формат? Почему они тогда не сделали плагины для просмотра .doc, .docx, .psd, .dwg?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

58. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от iPony129412 (?), 21-Июн-19, 08:10 
Ну потому что PDF считается стандартом для документов. Вот и всё.
Пользователем удобно. Реализация не особо сложная (относительно).
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

70. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от Sluggard (ok), 21-Июн-19, 10:31 
> Ну потому что PDF считается стандартом для документов. Вот и всё.
> Пользователем удобно. Реализация не особо сложная (относительно).

А MP3/FLAC — считается стандартом для музыки в lossy/lossless. И уж музыку слушает явно больше людей, чем читает PDF. Надо срочно пилить MUSIC.js, ибо ваистену.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

71. Скрыто модератором  –2 +/
Сообщение от пох. (?), 21-Июн-19, 10:59 
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

74. Скрыто модератором  –1 +/
Сообщение от iPony129412 (?), 21-Июн-19, 11:04 
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

80. Скрыто модератором  –1 +/
Сообщение от пох. (?), 21-Июн-19, 13:41 
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

72. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от iPony129412 (?), 21-Июн-19, 11:02 
"бабий" аргумент.
MP3/FLAC поддерживается большинством браузеров.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

62. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от Аноним (60), 21-Июн-19, 08:45 
Я подозреваю, что в других ридерах, особенно в акробат-ридере, уязвимостей побольше было. А этот написан на memory-safe языке.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

29. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Дон Ягон (ok), 20-Июн-19, 23:30 
> Не то, чтоб никогда, но у ff действительно история удивительно чистая на 0-day.

Была.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

66. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 21-Июн-19, 09:29 
>> Не то, чтоб никогда, но у ff действительно история удивительно чистая на 0-day.
> Была.

Пока ещё и остаётся. "Удивительно чистая на 0-day" не значит, что там не было 0-day, их просто там было меньше чем у конкурентов. И несколько дополнительно найденных не меняют этих раскладов.

Если каждая новость меняет эти расклады в твоей голове, значит у тебя слишком слабые модели реальности, с недостаточной предсказательной силой. Подумай об этом.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

67. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от пох. (?), 21-Июн-19, 09:45 
> не значит, что там не было 0-day,

угу, просто они на этом не палились

в том числе и потому, что делать из найденной уязвимости работающий эксплойт - ради 2.6% не всем было интересно.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

88. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Дон Ягон (ok), 21-Июн-19, 16:14 
> их просто там было меньше чем у конкурентов

В абсолютных значениях или в процентах? Как по мне, без учёта разной популярности ff и chromium это сравнение имеет мало смысла. Ну да, субъективно в ff меньше всякой стыдобы находили, чем в том же chromium, вопрос в том, насколько это полезное знание.

> Если каждая новость меняет эти расклады в твоей голове

Не меняет. Это ехидство.
Например, потому что абсолютно чистая история уязвимостей никак не гарантирует их не обнаружения в будущем. Может их нет (едва ли), а может плохо искали.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

89. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 21-Июн-19, 17:47 
>> их просто там было меньше чем у конкурентов
> В абсолютных значениях или в процентах? Как по мне, без учёта разной
> популярности ff и chromium это сравнение имеет мало смысла.

Почему же? Какая мне разница, как пользователю, почему в браузере меньше дыр находят?

> Например, потому что абсолютно чистая история уязвимостей никак не гарантирует их не
> обнаружения в будущем. Может их нет (едва ли), а может плохо
> искали.

Это называется капитуляция перед неопределённостью. Отказ делать какие-либо предсказания, под предлогом невозможности. То есть это вообще отказ от идеи иметь какую-либо модель реальности.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

90. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Дон Ягон (ok), 21-Июн-19, 18:37 
> Почему же? Какая мне разница, как пользователю, почему в браузере меньше дыр находят?

Потому что в том случае, если они там есть, но не найдены, есть вероятность, что их найдёт кто-то очень умный и попробует воспользоваться ими не сообщая об этом широкой ответственности. Т.е. официально дыры нет, а по-факту - да.

> Это называется капитуляция перед неопределённостью. Отказ делать какие-либо предсказания, под предлогом невозможности. То есть это вообще отказ от идеи иметь какую-либо модель реальности.

Про модель реальности - слишком сильное заявление.
Про капитуляцию перед неопределённостью - в какой-то степени да.
Мне не очень интересно, когда найдут очередной 0day, просто уже потому, что вопрос звучит как "когда", а не "если".
Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
Совершенствовать архитектуру в сторону безопасности, если ты разработчик.

Гадать, найдут новую дыру или не найдут и затронет она меня или нет мне не очень интересно. Да, статистика по уязвимостям в какой-то степени показательна и хорошая статистика может быть следствием правильной архитектуры и высокого качества кода. А может быть следствием меньшей популярности или ещё каких-то причин. Поэтому, к такой статистике нужно относиться аккуратно и не обманываться ей. Отсутствие дыр в прошлом не гарантирует их отсутствия в будущем. Да и в настоящем.

И да, ff использую не из-за того, что думаю, что он менее дыряв, а из-за того, что несмотря на деградацию ff в этом плане в последние годы он всё ещё сильно-сильно удобнее в плане юзабилити, интерфейс хромого же слишком убог и ориентирован на одноклеточных. И почти некастомизируем.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

93. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 21-Июн-19, 19:08 
>> Почему же? Какая мне разница, как пользователю, почему в браузере меньше дыр находят?
> Потому что в том случае, если они там есть, но не найдены,
> есть вероятность, что их найдёт кто-то очень умный и попробует воспользоваться
> ими не сообщая об этом широкой ответственности. Т.е. официально дыры нет,
> а по-факту - да.

Эта вероятность есть и для популярного браузера, но там ищут интенсивнее, чаще находят (при равном количестве багов в коде) и значит чаще оказывается, что есть известные лишь некоторым баги, которые эксплуатируются.

Хотя здесь нужно учесть ещё один фактор: уязвимости выкупают всякие там гуглы, выплачивая награды. У непопулярного браузера уязвимости позволяют криминалу заработать меньше денег, значит при прочих равных их выгоднее сдавать открыто за награды. Но это при прочих равных, если награды равны. А они с большой вероятностью не равны. Как учесть это я не знаю -- надо изучать кто и какие награды выплачивает.

>> Это называется капитуляция перед неопределённостью. Отказ делать какие-либо предсказания, под предлогом невозможности. То есть это вообще отказ от идеи иметь какую-либо модель реальности.
> Про модель реальности - слишком сильное заявление.

Почему же? Потому что это лишь маленький кусочек модели реальности? Но единой модели реальности нет ни у кого, все используют много маленьких моделек под разные случаи. Или даже не конкретными моделями, а принципами построения моделей под конкретные случаи.

> Про капитуляцию перед неопределённостью - в какой-то степени да.
> Мне не очень интересно, когда найдут очередной 0day, просто уже потому, что
> вопрос звучит как "когда", а не "если".

Не, вопрос звучит "как часто". Ответом на вопрос "когда" будет неопределённость. Может быть эта неопределённость будет выражена распределением вероятности по времени, или ещё чем-нибудь в этом роде, но это будет неопределённость. Но фишка в том, что на вопрос "как часто" найти ответ проще, и этот ответ имеет вполне себе практическую значимость.

Я поясню про эту практическую значимость на всякий случай. Если в браузере нашли 0-day, то это не конец света, это не значит, что на мне лично это как-то скажется. Что мой браузер словит эксплоит и окажется уязвимым ему. Во-первых, я могу не посетить нужную страничку, во-вторых, аддоны могут порезать или модификации в about:config, в-третьих, эксплоит может просто не сработать -- эксплоиты они такие, могут взять и не сработать по каким-нибудь странным причинам, типа того, что у меня браузер не той версией компилятора собран, или версии библиотек не те используются, или процессор не той марки. То есть 0-day не обязательно что-то плохое именно для меня, но есть вероятность, что он окажется плох. И теперь мы приходим к тому, что чем чаще 0-day находят, тем больше шансов мне словить эксплоит который сработает в моей системе. То есть, если строго математически это формулировать, то здесь чтобы говорить о вероятности, надо задать промежуток времени, и всё это будет звучать примерно так: чем выше частота нахождения 0-day, тем выше вероятность получить эксплоит в течение года.

> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер
> из под отдельного пользователя, вырезать js и пр. условным umatrix везде,
> где хоть как-то можно и т.п.

Одно другому совершенно не мешает.

> Гадать, найдут новую дыру или не найдут и затронет она меня или
> нет мне не очень интересно.

Зря. Если тебе не безразлично, наличие багов и влияние их на твою жизнь, то имеет смысл попытаться принимать решения учитывая их ожидаемое влияние.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

99. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Дон Ягон (ok), 22-Июн-19, 01:48 
> Эта вероятность есть и для популярного браузера, но там ищут интенсивнее, чаще находят (при равном количестве багов в коде) и значит чаще оказывается, что есть известные лишь некоторым баги, которые эксплуатируются.

Да. Но как мне кажется, это как раз история про то, что популярные проукты всегда в бОльшей степени под прицелом, а не про то, больше или меньше там дыр.

>> Про модель реальности - слишком сильное заявление.
> Почему же? Потому что это лишь маленький кусочек модели реальности?

И поэтому тоже, но в бОльшей степени потому что модель реальности на основе только лишь статистики о прошлых уязвимостях, в контексте прогнозирования проблем в будущем как минимум не полна, а, возможно, и вообще некорректна. Нужно учитывать кучу других факторов, связанных с развитием конкретного проекта. Например, если программа уже не развивается, а только поддерживается, новый функционал не добавляется, только багфиксы и исправления уязвимостей. Даже если раньше в ней находили много (и часто) дыр, совершенно не факт, что тендеция сохранится. Или, например, сменился разработчик/коллектив разработчиков программы и, в отличие от старого, новые - более "продвинутые в безопасности" люди. Ну или наоборот - в обоих вариантах мы попадаем в ситуацию, когда обобщённый прошлый опыт не помогает нам предсказать будущее. На мой взгляд, статистика и не для этого.

>> Про капитуляцию перед неопределённостью - в какой-то степени да.
>> Мне не очень интересно, когда найдут очередной 0day, просто уже потому, что вопрос звучит как "когда", а не "если".
> Не, вопрос звучит "как часто".

Про статистику см. выше.

> Ответом на вопрос "когда" будет неопределённость.

Тут главное не "когда именно", а то, что "когда", а не "если", т.е. варианта что "события не случится (= уязвимость не найдут)" нет. Это, конечно, некоторое преувеличение и, опять же, всё во многом зависит от ситуации в конкретном проекте; суть - в любом развивающемся сложном проекте рано или поздно найдут дыры, а если и не найдут, то они почти наверняка есть.

> Но фишка в том, что на вопрос "как часто" найти ответ проще

Ну и что? Искать надо не там, где светло, а там, куда указывает контекст ситуации.

> и этот ответ имеет вполне себе практическую значимость.

Только вместе с какими-то другими знаниями о проекте, без них это гадание на кофейной гуще.

> Я поясню про эту практическую значимость на всякий случай. <и далее по тексту до следующего цитирования>

С этим согласен.

> чем выше частота нахождения 0-day, тем выше вероятность получить эксплоит в течение года.

Число (и частота нахождения) уязвимостей - это не результат бросания игральной кости, а результат работы каких-либо людей и не?налаженных процессов. Прекращение финансирования исследователей безопасности/падение популярности продукта может сильно повлиять и на число уязвимостей продукта, и на число внезапно обнаруженных дыр.
Да и не понятно, с какого дня начинать год отсчитывать.
А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, оная "невысокая вероятность", как по мне, будет слабым утешением.
Мне кажется, проще исходить из того, что твой браузер заведомо имеет нераскрытые дыры и готовиться к плохому сценарию.

>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
> Одно другому совершенно не мешает.

И не помогает. Повторюсь, считаю, что стастика о уязвимостях имеет смысл только вместе с другими знаниями о том, что происходит с проектом.

>> Гадать, найдут новую дыру или не найдут и затронет она меня или нет мне не очень интересно.
> Зря. Если тебе не безразлично, наличие багов и влияние их на твою жизнь, то имеет смысл попытаться принимать решения учитывая их ожидаемое влияние.

Повторюсь, считаю, что надёжнее не гадать, а сразу исходить из того, что браузер потенциально(ли?) дыряв. Современный веб слишком сложен.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

100. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 22-Июн-19, 08:18 
>>> Про модель реальности - слишком сильное заявление.
>> Почему же? Потому что это лишь маленький кусочек модели реальности?
> И поэтому тоже, но в бОльшей степени потому что модель реальности на
> основе только лишь статистики о прошлых уязвимостях, в контексте прогнозирования проблем
> в будущем как минимум не полна, а, возможно, и вообще некорректна.

Любая модель некорректна. По определению. Любая модель начинается с того, что большая часть реальности тупо игнорируется. Когда я оцениваю безопасность того или иного браузера, я не учитываю фазу луны или изменение численности алтайских тигров.

> Нужно учитывать кучу других факторов, связанных с развитием конкретного проекта. Например,
> если программа уже не развивается, а только поддерживается, новый функционал не
> добавляется, только багфиксы и исправления уязвимостей. Даже если раньше в ней
> находили много (и часто) дыр, совершенно не факт, что тендеция сохранится.
> Или, например, сменился разработчик/коллектив разработчиков программы и, в отличие от
> старого, новые - более "продвинутые в безопасности" люди. Ну или наоборот
> - в обоих вариантах мы попадаем в ситуацию, когда обобщённый прошлый
> опыт не помогает нам предсказать будущее. На мой взгляд, статистика и
> не для этого.

Что из этого имеет отношение к firefox или к chrome? То есть, я абсолютно согласен с тем, что надо учитывать все возможные влияющие факты. Но я не вижу никаких таких фактов относящихся к ff или chrome.

>> Но фишка в том, что на вопрос "как часто" найти ответ проще
> Ну и что? Искать надо не там, где светло, а там, куда
> указывает контекст ситуации.

Мечты-мечты. Там где темно ты ничего не найдёшь. Вся наука построена на измерении, если измерение произвести невозможно, то не будет и науки.

>> чем выше частота нахождения 0-day, тем выше вероятность получить эксплоит в течение года.
> Число (и частота нахождения) уязвимостей - это не результат бросания игральной кости,
> а результат работы каких-либо людей и не?налаженных процессов.

Да, мы моделируем пояеление уязвимостей игральной костью, потому что мы не в состоянии промоделировать эти процессы во всех их сложности. Движение молекул газа вполне детерминировано, но термодинамика моделироует это движение игральной костью, и это позволяет перейти от микропараметров, типа положения и скорости движения молекул к макропараметрам, типа давления, объёма и температуры, и даже получить вполне детерминированные законы термодинамики. Это только в ООП есть непреложное правило, что модель реальности должна иметь ту же структуру, что и реальность, но даже там игральная кость используется налево и направо, чтобы промоделировать те части реальности, которые не удаётся промоделировать правильно.

> Прекращение финансирования
> исследователей безопасности/падение популярности продукта может сильно повлиять и на
> число уязвимостей продукта, и на число внезапно обнаруженных дыр.

Как это повлияет в данном конкретном случае? Если ты критикуешь модель посредством указания на то, что она игнорирует какие-то существенные части реальности, то тебе необходимо показать, почему они существенны _при данном применении модели_.

> Да и не понятно, с какого дня начинать год отсчитывать.

С любого. С какого тебе удобнее. На мой взгляд удобнее всего отсчитывать от сегодня. Во-всяком случае, если я сегодня пытаюсь принять решение о том, оставаться ли мне на ff или переходить на другой браузер, то грядущий рисковый период начинается сегодня.

> А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day,
> оная "невысокая вероятность", как по мне, будет слабым утешением.

И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к тому, что я должен выбирать браузер с большей частотой нахождения дыр в нём?

>>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
>> Одно другому совершенно не мешает.
> И не помогает.

Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у тебя исходно вероятность меньше, то после снижения она будет ещё меньше.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

104. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Дон Ягон (ok), 22-Июн-19, 14:45 
> Любая модель некорректна. По определению. Любая модель начинается с того, что большая часть реальности тупо игнорируется. Когда я оцениваю безопасность того или иного браузера, я не учитываю фазу луны или изменение численности алтайских тигров.

Не связанные части реальности и не должны учитываться моделью. Тигры никак не могут повлиять на число дыр в проекте. Разве что сожрут всех разработчиков, но я предлагаю не впадать в глупые крайности.
Тем не менее, учитывать надо максимум того, что можно учитывать.

> Что из этого имеет отношение к firefox или к chrome? То есть, я абсолютно согласен с тем, что надо учитывать все возможные влияющие факты. Но я не вижу никаких таких фактов относящихся к ff или chrome.

Пример был больше абстрактный. Но например, вот в хроме внедряют изоляюцию между сайтами, путём запихивания обработки каждого в отдельный процесс. Потенциально это может положительно сказаться на безопасности и снизить вероятность ущерба от некоторых атак.
Как по мне, куда важнее учитывать подобные внедрения, а не статистику.

>> Ну и что? Искать надо не там, где светло, а там, куда указывает контекст ситуации.
> Мечты-мечты. Там где темно ты ничего не найдёшь. Вся наука построена на измерении, если измерение произвести невозможно, то не будет и науки.

Безопасность, к сожалению, нельзя измерить, или, по крайней мере, нельзя измерить просто.
Мерять количество дыр за единицу времени можно, или какие-то ещё метрики считать, но смысл в этом есть только если тебе надо нетривиально выпендриться перед не очень умным начальством.

> Да, мы моделируем пояеление уязвимостей игральной костью, потому что мы не в состоянии промоделировать эти процессы во всех их сложности. Движение молекул газа вполне детерминировано, но термодинамика моделироует это движение игральной костью, и это позволяет перейти от микропараметров, типа положения и скорости движения молекул к макропараметрам, типа давления, объёма и температуры, и даже получить вполне детерминированные законы термодинамики. Это только в ООП есть непреложное правило, что модель реальности должна иметь ту же структуру, что и реальность, но даже там игральная кость используется налево и направо, чтобы промоделировать те части реальности, которые не удаётся промоделировать правильно.

Законы термодинамики - это констатация неизменяемого положения вещей. Нет, понятно, например, что давление зависит от температуры и т.п., но тут есть именно что явные закономерности, из которых можно вывести закон. И можно провести эксперименты, подтверждающими эти законы. Собственно, эти законы являются законами именно потому, что подтверждаются экспериментами. А не наоборот.
В случае с уязвимостями в программах у нас нет такого закона, и нет в первую очередь "в природе", а не в науке. Нет закономерностей. Примеры приводил в прошлом сообщении. С молекулами газа не бывает таких внезапностей, которые случаются с программой (детищем несовершенных и допускающих ошибки людей). Газ - это "физика", разработка ПО - социальный процесс (в числе прочего). Законы физики наблюдаются сами по себе, социальные законы выдумываются людьми для обслуживания своих интересов и хотелок. От последнего зависит востребованность ПО, со всеми очевидными последствиями. С молекулами газа такое не получится.

>> Прекращение финансирования исследователей безопасности/падение популярности продукта может сильно повлиять и на число уязвимостей продукта, и на число внезапно обнаруженных дыр.
> Как это повлияет в данном конкретном случае? Если ты критикуешь модель посредством указания на то, что она игнорирует какие-то существенные части реальности, то тебе необходимо показать, почему они существенны _при данном применении модели_.

Ну. В том же хроме много чего находят, потому что больше исследуют. В ff меньше, и исследований меньше. Сложность проектов сравнимая. Стоит ли закладываться на то, что никто не захочет вдруг поискать и найти? И что он не преуспеет?

>> Да и не понятно, с какого дня начинать год отсчитывать.
> С любого. С какого тебе удобнее. На мой взгляд удобнее всего отсчитывать от сегодня. Во-всяком случае, если я сегодня пытаюсь принять решение о том, оставаться ли мне на ff или переходить на другой браузер, то грядущий рисковый период начинается сегодня.

Ну я вот пробовал тут недавно перейти на iridium, и до конца ещё не отказался от этой идеи. Но пока на ff обратно всецело откатился. Строгая изоляция сайтов - это хорошо, подумал я, но в конце концов лиса менее популярна и дыры там находят реже. Да и изоляцию сайтов тоже пилят вроде бы уже.
Ага.
Ну и как, помогла мне твоя статистика уязвимостей за прошлый год? Не далее как сейчас 2 0-day подряд. А то, что лично меня не взломали - так это зависит ещё от кучи факторов, а не только от наличия уязвимостей. Например, ещё от того, как оперативно вышли исправления. Или от того, кто нашёл дыру - какиры или исследователи условного гугла.

>> А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, оная "невысокая вероятность", как по мне, будет слабым утешением.
> И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к тому, что я должен выбирать браузер с большей частотой нахождения дыр в нём?

Чем больше дыр, тем меньше дыр.
Пока я вижу, что ff копирует идеи, связанные с безопасностью из chrome. Например, режим строгой изоляции страниц - https://www.opennet.dev/opennews/art.shtml?num=50106 . Chrome был спроектирован с безопасностью в уме, ff приходится переделывать.
А вообще, рассуждения о том, почему одна лишь статистика уязвимостей в отрыве от других знаний бесполезна, я уже много раз тут писал.
Потому что в зависимости от обстоятельств, большое количество найденных дыр в единицу времени может говорить как о том, что код пишут сапожники и бездари, так и о том, что проект сложный и его активно исследуют специалисты по ИБ.

>>>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
>>> Одно другому совершенно не мешает.
>> И не помогает.
> Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у тебя исходно вероятность меньше, то после снижения она будет ещё меньше.

Я утверждаю, что адекватно посчитать эту вероятность нельзя. А следовательно и нет смысла.
Проще исходить из того, что браузер ненадёжен и строить модель угроз исходя из этого, а не гадать на кофейной гуще.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

105. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 22-Июн-19, 15:54 
> Ну и как, помогла мне твоя статистика уязвимостей за прошлый год? Не
> далее как сейчас 2 0-day подряд.

Тебе не приходилось читать про теорию игр? Или про её обобщения в виде всяких там теорий принятия решений в неопределённых условиях? Когда ты действуешь исходя из неопределённостей, ты неизбежно будешь ошибаться. От этого никуда уйти не удастся. Но при этом можно ошибаться чаще или реже.

> В случае с уязвимостями в программах у нас нет такого закона, и нет в первую очередь "в природе", а не в науке. Нет закономерностей.

Нет, ты хоть что мне говори, но это всё очень похоже на стандартную эпистемологическую панику технаря, который в кои то веки столкнулся с реально сложной проблемой. Если наука не может тебе предложить готовой закономерности, то всё на что тебе приходится полагаться -- это на базовые философские принципы, типа принципа индукции. Это, понятно, делать надо аккуратно, но у тебя нет другого выхода. В том смысле, что много очень умных людей работали над философией, над тем откуда берётся знание, и многие из них очень скептически относились к принципу индукции, но в конечном итоге они пришли к выводу, что один из базовых принципов. Возьми того же Нассима Талеба, который со своим Чёрным Лебедем как раз критикует бездумное применение индукции -- он ведь не говорит о том, что от индукции надо отказаться, он говорит о том, что её использовать надо осторожнее.

И да, Нассим Талеб называет реализацию твоих сомнений вида "стоит ли закладываться на то, что никто не захочет вдруг поискать и найти" "чёрными лебедями" (это его аналогия с европейцами, которые веками видели лебедей, и все лебеди были белыми, а потом европейцы добрались до Австралии, и выпали в осадок, их мировоззрение порушилось, потому что они встретили чёрного лебедя). Но проблема в том, что если ты придашь "чёрным лебедям" больший приоритет нежели индукции, то ты потеряешь способность вообще здраво принимать решения.

Индукция работает на удивление хорошо: если мы видим статистическую закономерность, которая выполняется некоторое время, то скорее всего она будет выполняться ещё некоторое время, мы можем на это полагаться. Да, там есть много граблей, на которые можно наступить, типа подгонки закономерности под данные, недостаточная статистическая значимость, и много-много других, наука имеет огромный опыт хождения по этим граблям, и есть учебники, которые подводят итог этому опыту позволяя вновь народившимся личинкам учёных, перенять этот опыт за четыре курса бакалавриата, не тратя сотни лет на повторение истории развития науки. Но я к чему это всё, я готов принять критику (и с радостью выслушаю критику), которая укажет на недостаточную статистическую значимость моих выводов, или на то, что я опираюсь на biased данные. Или, например, что эти два 0-day, по сути своей, новая вещь для mozilla, что таких косяков в ff ещё не находили никогда, и есть основания полагать, что их там тысячи. То есть, что произойдёт что-то типа того, что произошло с intel'ом и side-channel attacks: десятилетями всё было спокойно, а потом вдруг каждый месяц по паре дыр, и конца-края этому не видно.

Я с радостью услышу такого рода критику, это будет очень познавательно и вероятно позволит мне улучшить свои предсказательные модели будущего. Но всё что я вижу на данный момент: неопределённость -- такая неопределённость, и как ни крути, но снизить риск в 0 невозможно. Я _знаю_, что снизить риск в ноль невозможно. Но между нулевым риском и стопроцентным риском, есть континуум промежуточных значений.

А до тех пор, пока я не вижу этого "чёрного лебедя", я предпочитаю принимать решения исходя из того, что его нет. Это безопасно в данном случае, в том смысле, что если он приключится, я всегда могу пересчитать все свои выводы, и сменить браузер. Невидимого чёрного лебедя действительно имеет смысл учитывать тогда, когда ты влезаешь в какое-то мероприятие, с невыносимо сложной стратегией выхода, то есть туда, откуда вылезти будет сложно. Например, если ты принимаешь решение о том, в какой вуз поступать -- это решение, которое будет сложно изменить в течение нескольких лет, и отыграть его назад потом будет очень сложно. Есть шансы просто потерять деньги и время, затраченные на обучение. Особенно это интересно будет, если ты оплачиваешь это обучение образовательным кредитом -- можно остаться без полезного образования, без профессии, но с существенным долгом, если вдруг случится что-то, что выбранную тобою специальность сделает невостребованной.

>>> А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, оная "невысокая вероятность", как по мне, будет слабым утешением.
>> И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к тому, что я должен выбирать браузер с большей частотой нахождения дыр в нём?
> Чем больше дыр, тем меньше дыр.
> Пока я вижу, что ff копирует идеи, связанные с безопасностью из chrome.
> Например, режим строгой изоляции страниц - https://www.opennet.dev/opennews/art.shtml?num=50106
> . Chrome был спроектирован с безопасностью в уме, ff приходится переделывать.

И чё? Да какая мне разница, кто с кого скопировал?

> А вообще, рассуждения о том, почему одна лишь статистика уязвимостей в отрыве
> от других знаний бесполезна, я уже много раз тут писал.

Из других знаний, которые реально стоит учесть, ты упомянул изоляцию сайтов в Chrome. Да, это вполне валидный аргумент. Но я его предпочитаю игнорировать, потому что это не первое "революционное" изменение в chrome, нацеленное на повышение безопасности. Оно вполне укладывается в тренды постоянного повышения уровня защиты Chrome, и я не вижу как именно это изменение вдруг эти тренды сломает. Оно не выглядит для меня тем самым "чёрным лебедем", который нарушит статистику так, что (допустим) в течение года в хроме найдут меньше дыр чем в ff. В ff тоже есть тренды постоянного наращивания защиты.

Что может изменить положение дел -- это резкий рост популярности ff, который приведёт к повышению активности поиска дыр в ff. Но это то, чего мы не наблюдаем.

> Потому что в зависимости от обстоятельств, большое количество найденных дыр в единицу
> времени может говорить как о том, что код пишут сапожники и
> бездари, так и о том, что проект сложный и его активно
> исследуют специалисты по ИБ.
>>>>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
>>>> Одно другому совершенно не мешает.
>>> И не помогает.
>> Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у тебя исходно вероятность меньше, то после снижения она будет ещё меньше.
> Я утверждаю, что адекватно посчитать эту вероятность нельзя. А следовательно и нет
> смысла.

Ну, во-первых, можно. Я бы рекомендовал начать с чтения Judea Pearl. Я читал его "Probabilistic Reasoning in Intelligent Systems", которая считается вообще-то классическим трудом, по которому учили не одно поколение студентов. Ещё у него есть книжка с многообещающим названием "Causality: Models, Reasoning, and Inference", но её я не читал, поэтому не рискну рекомендовать.

Pearl'а, вероятно, будет недостаточно, но есть всякие там Think Bayes, которые разбирают вполне практические задачи, показывая как на практике применять все эти идеи.

Если математика в голову сложно лезет, то тогда можно вообще не читать Pearl'а, можно сразу взяться за Think Bayes. Мне кажется его можно освоить и без досконального знания теории.

Во-вторых, не обязательно считать вероятности. Очень часто их можно сравнить между собой не высчитывая. И очень часто знания того, какая вероятность больше, а какая меньше, достаточно для принятия решения. Это кстати мне очень напомнило препода по матану, который нам с первого курса втирал одну мысль: что все эти сложные выкладки, которые учат проделывать в школе, с тем чтобы получить в качестве ответа точное число -- это совершенно бесполезная вещь в матане, где мы берём функцию, раскладываем в ряд Тейлора, затем выкидываем из него почти все слагаемые, оставляя несколько первых, и дальнейшие рассуждения строим на них. Точное значение функции очень часто не важно, чаще надо знать, больше это значение некоего известного нам числа или меньше его. Или достаточно сравнить два неизвестных числа. Он особенно длинную речь на эту тему прочитал, когда разбирал идею теоремы о двух милиционерах^W полицейских, суть которой сводится к тому, что мы берём неудобную нам функцию, наличие предела у которой хотим доказать, заменяем её двумя удобными функциями, одна из которых больше неудобной, а другая меньше. И если эти две удобные функции стремятся к одному и тому же пределу, то они как два полицейский ограничивающие движения арестованного, не пустят неудобную функцию за пределы узкого коридора и "вынудят" её придти к тому же пределу. Никого кроме школьного учителя математики не волнует точность промежуточных вычислений, всем важна точность конечного результата.

А, в-третьих, что за пораженческие настроения? В век, когда вокруг нас начинают появляться реально сложные устройства, которые реально принимают решения, в том числе и решения основанные на неопределённых данных, говорить о том, что эта задача практически неразрешима, это примерно то же самое, что в начале XX века говорить о том, что железо не может заниматься арифметикой. Принятие решений в неопределённых условиях уже давно уважаемая область человеческой деятельности, со вполне практическими результатами, которые можно наблюдать во многих автоматизированных системах, как ходящих на механических ногах, летающих на электрических моторах, так и принимающих решения о том, какие акции продавать, а какие покупать.

> Проще исходить из того, что браузер ненадёжен и строить модель угроз исходя
> из этого, а не гадать на кофейной гуще.

В третий раз скажу тебе: одно другому не мешает. Я именно что рассматриваю браузер как нечто ненадёжное. Но это не мешает мне сравнивать ненадёжности разных браузеров, и выбирать браузер с учётом результатов этого сравнения. umatrix не является панацеей и от всех угроз не спасёт.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

106. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Дон Ягон (ok), 22-Июн-19, 18:46 
> Тебе не приходилось читать про теорию игр? Или про её обобщения в виде всяких там теорий принятия решений в неопределённых условиях? Когда ты действуешь исходя из неопределённостей, ты неизбежно будешь ошибаться. От этого никуда уйти не удастся. Но при этом можно ошибаться чаще или реже.

Приходилось. Не понятно, зачем принимать решение в неопределённых условиях, если можно узнать больше информации? В идеале можно даже самому код изучить, опенсорс же, ну правда с учётом сложности и объёма кодовой базы обоих браузеров, это одному человеку нереально.
Собственно, сандбоксы и прочие режимы строгой изоляции - это "капитуляция перед неизвестностью" примерно того же рода, что упомянутый мной запуск браузера из под отдельного пользователя.
Вопрос собственно в том, почему статистику мы должны ставить выше прочих знаний о программе. В то время как статистика уязвимостей - это результат всего того, что происходит с проектом и только. Всего - не только внутреннего устройства и архитектуры, а вообще, всего, в т.ч. популярности программы и социальной ситуации вокруг неё.
Если я сейчас напишу браузер, у него будет 100% хорошая история уязвимостей, хотя очевидно, что он будет дыряв (на самом деле, он будет убог, да и вообще я не напишу браузер, но это мысленный эксперимент).

> Нет, ты хоть что мне говори, но это всё очень похоже на стандартную эпистемологическую панику технаря, который в кои то веки столкнулся с реально сложной проблемой.

Всё может быть. Мне же кажется, что ты пытаешься рационализировать выбор ff в качестве своего браузера. Я сам убеждённый лисолюб (хотя изменял лисе с palemoon, было дело) и хромиуомом и его сортами не могу пользоваться без тазика для рвоты. Но, как мне кажется, я пытаюсь видеть не только хорошие сторны ff, но и недостатки и проблемы. Пользоваться лисой полагая, что она, вероятно, более дырявая мне религия позволяет.

> Возьми того же Нассима Талеба, который со своим Чёрным Лебедем как раз критикует бездумное применение индукции -- он ведь не говорит о том, что от индукции надо отказаться, он говорит о том, что её использовать надо осторожнее.

Талеба я очень котирую, да. Но всё же, чёрный лебедь - это неизвестное по своей сути событие, а уязвимость - известное. Поэтому я не про лебедя. И не про то, что нужно отказываться от индукции. А про то, что сами по себе числа ничего не говорят, их надо трактовать с учётом ситуации в и вокруг проекта. Иначе это просто бесполезные числа.

> если ты придашь "чёрным лебедям" больший приоритет нежели индукции, то ты потеряешь способность вообще здраво принимать решения.

Решения можно принимать не только перебирая возможные события, но и исходя из того, что ты собираешься защищать. И от кого. Мне не важно, как у меня украдут банковские данные, например, мне важно, чтобы этого не произошло.

> Индукция работает на удивление хорошо: если мы видим статистическую закономерность, которая выполняется некоторое время, то скорее всего она будет выполняться ещё некоторое время, мы можем на это полагаться. Да, там есть много граблей, на которые можно наступить, типа подгонки закономерности под данные, недостаточная статистическая значимость, и много-много других, наука имеет огромный опыт хождения по этим граблям

Утверждаю, что на основе одной только статистичейской закономерности нельзя делать однозначный вывод о том, что событие и дальше будет повторяться и на это можно будет полагаться.
Стрелки часов передвигаются снова и снова (отличная статистика), потом садится батарейка и всё заканчивается. Знание о батарейке помогло мне предсказать остановку стрелок, статистика не помогла им двигаться бесконечно.

> Но всё что я вижу на данный момент: неопределённость -- такая неопределённость, и как ни крути, но снизить риск в 0 невозможно. Я _знаю_, что снизить риск в ноль невозможно. Но между нулевым риском и стопроцентным риском, есть континуум промежуточных значений.

Я предлагаю не оценивать риск наступления того или иного события (нахождение критической дыры), а исходить из того, что и от кого мы защищаем. Браузеры _по_умолчанию_ дырявы. Моя модель проще, а результат даёт как минимум такой же.

> А до тех пор, пока я не вижу этого "чёрного лебедя", я предпочитаю принимать решения исходя из того, что его нет.

А его и нет.

>>>> А когда таки случится "невысокая вероятность" и ты всё-таки станешь жертвой 0-day, оная "невысокая вероятность", как по мне, будет слабым утешением.
>>> И чё? Есть какое-то рассуждение, которое исходя из этого соображения приведёт к тому, что я должен выбирать браузер с большей частотой нахождения дыр в нём?
>> Чем больше дыр, тем меньше дыр.
>> Пока я вижу, что ff копирует идеи, связанные с безопасностью из chrome.
>> Например, режим строгой изоляции страниц - https://www.opennet.dev/opennews/art.shtml?num=50106
>> . Chrome был спроектирован с безопасностью в уме, ff приходится переделывать.
> И чё? Да какая мне разница, кто с кого скопировал?

Одни развивают архитектуру в сторону безопасности и ведут исследования, другие копипастят. В одном случае экспертиза, накопление опыта и развитие кадров. Во втором - копипастинг. Грубо говоря.

>> А вообще, рассуждения о том, почему одна лишь статистика уязвимостей в отрыве от других знаний бесполезна, я уже много раз тут писал.
> Из других знаний, которые реально стоит учесть, ты упомянул изоляцию сайтов в Chrome.

Это только пример и отнюдь не единственное, что надо учитывать.

> Да, это вполне валидный аргумент. Но я его предпочитаю игнорировать, потому что это не первое "революционное" изменение в chrome, нацеленное на повышение безопасности. Оно вполне укладывается в тренды постоянного повышения уровня защиты Chrome, и я не вижу как именно это изменение вдруг эти тренды сломает. Оно не выглядит для меня тем самым "чёрным лебедем", который нарушит статистику так, что (допустим) в течение года в хроме найдут меньше дыр чем в ff.

Статистика нахождения дыр в chrome, как по мне, в значительно бОльшей степени связана с его бОльшей популярностью и как следствие бОльшей привлекательностью как цели для атаки.
Для сравнения такой статистики (и не только) сильно желателен паритет в доле инсталляций.

> В ff тоже есть тренды постоянного наращивания защиты.

Да, кое как зачесались. Посмотрим что будет.

> Что может изменить положение дел -- это резкий рост популярности ff, который приведёт к повышению активности поиска дыр в ff. Но это то, чего мы не наблюдаем.

А стоило бы, потому что иначе ff рискует вообще загнуться.

>[оверквотинг удален]
>> времени может говорить как о том, что код пишут сапожники и
>> бездари, так и о том, что проект сложный и его активно
>> исследуют специалисты по ИБ.
>>>>>> Проще и правильнее, как мне кажется, принимать превентивные меры, например, запускать браузер из под отдельного пользователя, вырезать js и пр. условным umatrix везде, где хоть как-то можно и т.п.
>>>>> Одно другому совершенно не мешает.
>>>> И не помогает.
>>> Помогает. Все эти umatrix'ы снижают вероятность пострадать от дыр. Но если у тебя исходно вероятность меньше, то после снижения она будет ещё меньше.
>> Я утверждаю, что адекватно посчитать эту вероятность нельзя. А следовательно и нет
>> смысла.
> Ну, во-первых, можно. Я бы рекомендовал начать с чтения Judea Pearl.

Это уже схоластика. Я ничего не имею против Джуда Перла и его трудов, но имею против их применимости для решения обсуждаемого вопрса.

> Во-вторых, не обязательно считать вероятности. Очень часто их можно сравнить между собой не высчитывая. И очень часто знания того, какая вероятность больше, а какая меньше, достаточно для принятия решения.

Повторюсь: если мы хотим защититься, считать вероятность возникновения дыры в том или ином браузере не нужно, это чёрная магия и вангование. Нужно защищать то, что тебе важно. При помощи статистики мы можем попробовать оценить частоту и пр. ошибок за тот или иной период и попытаться предположить, какие действия участников и пользователей проекта к этому привели. Можем попытаться предположить, что нас ожидает, исходя из корреляции статистики и наших знаний о проекте. Хотя это тоже вангование какой-то степени, но в этом уже случае можно начинать говорить о чёрных лебедях - реально непредсказуемых событиях, которых никто не ждал, не предполагал и не мог измыслить.

> А, в-третьих, что за пораженческие настроения?

Это не пораженчество, это констатация того, что дыры есть и будут, как и прочие ошибки.
В крайнем случае, можно довести до практически полного совершенства какой-то ограниченный и неразвиваемый функционал.

> В век, когда вокруг нас начинают появляться реально сложные устройства, которые реально принимают решения, в том числе и решения основанные на неопределённых данных, говорить о том, что эта задача практически неразрешима, это примерно то же самое, что в начале XX века говорить о том, что железо не может заниматься арифметикой.

Достижение в том, что сложные устройства могут сами принимать решения, а не в том, что они принимают всегда правильные решения. Задача выбора из двух стуль^W браузеров одного единственно верного неразрешима, даже если ограничиться только одним критерием - безопасностью.
Как по мне, просто не нужно загонять себя в рамки такой постановки вопроса и решать непосредственно свои проблемы.

>> Проще исходить из того, что браузер ненадёжен и строить модель угроз исходя из этого, а не гадать на кофейной гуще.
> В третий раз скажу тебе: одно другому не мешает. Я именно что рассматриваю браузер как нечто ненадёжное. Но это не мешает мне сравнивать ненадёжности разных браузеров, и выбирать браузер с учётом результатов этого сравнения.

Я тоже сравниваю ненадёжность браузеров, и тоже делаю выводы. Но опираюсь не только на статистику, а ещё на знания об архитектуре проектов, про их сообщества и аудиторию.

> umatrix не является панацеей и от всех угроз не спасёт.

Это очевидно. Это просто пример.

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

107. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Ordu (ok), 22-Июн-19, 20:19 
>[оверквотинг удален]
> браузеров, это одному человеку нереально.
> Собственно, сандбоксы и прочие режимы строгой изоляции - это "капитуляция перед неизвестностью"
> примерно того же рода, что упомянутый мной запуск браузера из под
> отдельного пользователя.
> Вопрос собственно в том, почему статистику мы должны ставить выше прочих знаний
> о программе. В то время как статистика уязвимостей - это результат
> всего того, что происходит с проектом и только.
> Всего - не
> только внутреннего устройства и архитектуры, а вообще, всего, в т.ч. популярности
> программы и социальной ситуации вокруг неё.

В дискуссии на опеннете ссылаться на процесс разработки? С точки зрения опеннета, это детская наивность и безнадёжно теоретическое философствования. Но процесс разработки -- это скорее о long term перспективах проекта. Процесс разработки не может изменить ситуацию с багами кардинально. При этом крайне сложно предсказать вещи типа "firefox активно используется в Coinbase, и поэтому атака на него может принести кучу бабла, которое легко отмыть".

Не, я согласен с тем, что учитывать надо как можно больше информации. Но это не бесплатно. Это одна из тех истин, о которой, на мой взгляд, забыл Фридман запиливая свою экономическую теорию поверх "рациональных ожиданий", которые направляют действия игроков на рынке. Учёт всё большего и большего объёма информации небесплатен, он требует времени, скилла, и возможно других ресурсов. Это то, что крупным организациям даётся гораздо лучше мелких и тем более лучше чем индивидуалам. Чтобы учесть всю доступную информацию по firefox'у и по chrome'у, чтобы сравнить их, потребуется нанять нескольких человек (или несколько десятков?), с тем чтобы они полгода или год наблюдали бы за происходящим и вообще всячески собирали бы информацию. Спорили бы о структуре причинно-следственного графа, вероятно даже проводили бы специальные исследования, чтобы эту структуру выяснить. Это за пределами моих финансовых возможностей. Но даже если бы я мог бы такое сделать, я бы скорее всего не стал бы, потому что я вряд ли получу что-то существенное в результате. Всё что я получу -- это то, что если ситуация изменится, то я узнаю об этом, допустим, на полгода раньше. С какой вероятностью за эти полгода я пострадаю от уязвимости в браузере? Точнее даже не так, если я на полгода раньше сменю браузер, то насколько я снижу вероятность пострадать от уязвимости за эти полгода? Каковы ожидаемые потери, если я пострадаю? Помножаем разницу в вероятностях на потери, сравниваем с затратами на исследование, и задаём вопрос: стоит ли оно того?

Понятно, что между столь тщательным исследованием и полаганием на статистику уязвимостей есть прорва промежуточных вариантов, которые будут дешевле, но дадут меньшее снижение вероятности пострадать от уязвимости. Но и тем не менее, на фоне этого, вариант полагаться на частоты появления уязвимостей -- это неплохой способ справляться с проблемой.

> Если я сейчас напишу браузер, у него будет 100% хорошая история уязвимостей,
> хотя очевидно, что он будет дыряв (на самом деле, он будет
> убог, да и вообще я не напишу браузер, но это мысленный
> эксперимент).

Ну да. Это о недостаточной статистической значимости. Это если вероятность того, что кто-то будет искать баг настолько низка, то чтобы судить по статистике багов о бажности кода, потребуются тысячи лет накопления статистики. Но firefox не таков, его история тянется назад в начало 90-х, и за эту историю были серьёзные изменения и в команде разработчиков, и в принципах построения процесса разработки, и в положении дел на "рынке" браузеров.

>> Нет, ты хоть что мне говори, но это всё очень похоже на стандартную эпистемологическую панику технаря, который в кои то веки столкнулся с реально сложной проблемой.
> Всё может быть. Мне же кажется, что ты пытаешься рационализировать выбор ff
> в качестве своего браузера.

Нет. Я его выбираю не из-за багов. Мне нравится позиция Mozilla, мне нравится то, что Mozilla делает. Я в частности фанат rust'а. Я вижу активное развитие ff, которое темпами своими превосходит всё, что можно было бы ожидать от проекта такого возраста. Google со всеми его миллиардами не может сравниться темпами разработки браузера с Mozilla. А процесс разработки? Да Mozilla вывела FOSS на совершенно новый уровень, и если кому-то хочется вести FOSS проект, то ему следует изучить то, как Mozilla это делает, и перенять если не всё, то большую часть того.

Я говорю о именно статистике багов, потому что:

а) об этом разговор: если ты вернёшься в начало треда, ты увидишь там что он начался именно с этой статистики; придерживаться темы дискуссии -- это правило хорошего тона. То есть я допускаю возможность смены темы и ухода в сторону, но... я не могу это объяснить, у меня есть чувство прекрасного по отношению к дискуссии, и оно мне подсказывает когда и как можно менять тему, а когда нет. Как это чувство работает я пока не понял.

б) все остальные известные мне факты о mozilla и firefox, кроме статистики, мало говорят о вероятности ещё одного 0-day в ближайший месяц или год. Они скорее про long term предсказания.


> Талеба я очень котирую, да. Но всё же, чёрный лебедь - это
> неизвестное по своей сути событие, а уязвимость - известное.

А я не про уязвимость, как таковую, а про события меняющие статистические тренды. Вот взяли мы N точек и на основании них написали функцию, предсказывающую эти точки в будущем. Это будет работать, пока этой функции не придёт чёрный лебедь.

> А про то, что сами по себе числа ничего не
> говорят, их надо трактовать с учётом ситуации в и вокруг проекта.
> Иначе это просто бесполезные числа.

Ну да, но как я говорю, я не вижу что ещё такого легкодоступного можно учесть, чтобы делать предсказания о количестве 0-day на протяжении ближайшего года.

>[оверквотинг удален]
> того, что ты собираешься защищать. И от кого. Мне не важно,
> как у меня украдут банковские данные, например, мне важно, чтобы этого
> не произошло.
>> Индукция работает на удивление хорошо: если мы видим статистическую закономерность, которая выполняется некоторое время, то скорее всего она будет выполняться ещё некоторое время, мы можем на это полагаться. Да, там есть много граблей, на которые можно наступить, типа подгонки закономерности под данные, недостаточная статистическая значимость, и много-много других, наука имеет огромный опыт хождения по этим граблям
> Утверждаю, что на основе одной только статистичейской закономерности нельзя делать однозначный
> вывод о том, что событие и дальше будет повторяться и на
> это можно будет полагаться.
> Стрелки часов передвигаются снова и снова (отличная статистика), потом садится батарейка
> и всё заканчивается. Знание о батарейке помогло мне предсказать остановку стрелок,
> статистика не помогла им двигаться бесконечно.

А я утверждаю, что кроме как через использование статистической закономерности мы вообще не можем делать никаких выводов о реальности. Часы может и остановятся через пару лет, когда сядет батарейка, но пару лет я буду прав относительно своих предсказаний о траектории движения стрелок. А если я пронаблюдаю десяток остановившихся часов, я смогу делать предсказания об остановке стрелок, даже не зная ничего о батарейке.

Не, про батарейку знать полезнее, но тут мы возвращаемся к вопросу: что мы такого знаем про фф, что может изменить наши предсказания на основании статистики?

>> Но всё что я вижу на данный момент: неопределённость -- такая неопределённость, и как ни крути, но снизить риск в 0 невозможно. Я _знаю_, что снизить риск в ноль невозможно. Но между нулевым риском и стопроцентным риском, есть континуум промежуточных значений.
> Я предлагаю не оценивать риск наступления того или иного события (нахождение критической
> дыры), а исходить из того, что и от кого мы защищаем.
> Браузеры _по_умолчанию_ дырявы. Моя модель проще, а результат даёт как минимум
> такой же.

Твоя модель не говорит о том, каким браузером лучше пользоваться, если безопасность для нас имеет высокий приоритет. Мой способ принятия решения предлагает то же, что и твой -- всякие там контейнеры, кастомизированные сборки ff и зависимостей, кастомизация в about:config, аддоны режущие скрипты и cross-site запросы. Но помимо этого он предлагает ещё выбрать ff, вместо хрома, потому что в ff меньше багов находят.

> Одни развивают архитектуру в сторону безопасности и ведут исследования, другие копипастят.
> В одном случае экспертиза, накопление опыта и развитие кадров. Во втором
> - копипастинг. Грубо говоря.

Мозилла развивает массу своего уникального опыта -- они аж целый rust породили на этом. А в копипастинге есть свои плюсы: делать что-то по следам других проще, можно заранее видеть грядущие грабли.

>>> А вообще, рассуждения о том, почему одна лишь статистика уязвимостей в отрыве от других знаний бесполезна, я уже много раз тут писал.
>> Из других знаний, которые реально стоит учесть, ты упомянул изоляцию сайтов в Chrome.
> Это только пример и отнюдь не единственное, что надо учитывать.

Может быть, но мне приходится выуживать это "не единственное" из тебя клещами. Теперь я вижу два момента -- изоляция сайтов и копипастинг. Если их будет ещё штуки три, я возьму паузу на обдумывание: каждая из этих вещей в одиночку не может серьёзно изменить ситуацию, даже если я ошибаюсь с оценкой их влияния на реальность. Но если их будет пять штук, и ошибаться во всех случаях я буду одинаково сильно и в одну и ту же сторону, то тогда я ошибусь и с конечным выводом.

>> Да, это вполне валидный аргумент. Но я его предпочитаю игнорировать, потому что это не первое "революционное" изменение в chrome, нацеленное на повышение безопасности. Оно вполне укладывается в тренды постоянного повышения уровня защиты Chrome, и я не вижу как именно это изменение вдруг эти тренды сломает. Оно не выглядит для меня тем самым "чёрным лебедем", который нарушит статистику так, что (допустим) в течение года в хроме найдут меньше дыр чем в ff.
> Статистика нахождения дыр в chrome, как по мне, в значительно бОльшей степени
> связана с его бОльшей популярностью и как следствие бОльшей привлекательностью как
> цели для атаки.
> Для сравнения такой статистики (и не только) сильно желателен паритет в доле
> инсталляций.

Я скажу ещё раз: мне не столь интересно количество дыр в коде, сколь интересна частота нахождения дыр. Реальная частота нахождения дыр, а не какая-то теоретически возможная.

>> Что может изменить положение дел -- это резкий рост популярности ff, который приведёт к повышению активности поиска дыр в ff. Но это то, чего мы не наблюдаем.
> А стоило бы, потому что иначе ff рискует вообще загнуться.

Не спорю. И это тема для совершенно другого разговора.

> Это уже схоластика. Я ничего не имею против Джуда Перла и его
> трудов, но имею против их применимости для решения обсуждаемого вопрса.

А у нас нет других способов. Ну, то есть, у человека есть нейросетки в голове, но они примерно так и работают, если копнуть поглубже.

>> Во-вторых, не обязательно считать вероятности. Очень часто их можно сравнить между собой не высчитывая. И очень часто знания того, какая вероятность больше, а какая меньше, достаточно для принятия решения.
> Повторюсь: если мы хотим защититься, считать вероятность возникновения дыры в том или
> ином браузере не нужно, это чёрная магия и вангование. Нужно защищать
> то, что тебе важно.

Да никто же не спорит. Но тут встаёт вопрос: что делать? Как защищать? Выдернуть сетевой шнур?

>> В век, когда вокруг нас начинают появляться реально сложные устройства, которые реально принимают решения, в том числе и решения основанные на неопределённых данных, говорить о том, что эта задача практически неразрешима, это примерно то же самое, что в начале XX века говорить о том, что железо не может заниматься арифметикой.
> Достижение в том, что сложные устройства могут сами принимать решения, а не
> в том, что они принимают всегда правильные решения. Задача выбора из
> двух стуль^W браузеров одного единственно верного неразрешима, даже если ограничиться
> только одним критерием - безопасностью.
> Как по мне, просто не нужно загонять себя в рамки такой постановки
> вопроса и решать непосредственно свои проблемы.

Если мы не будем загонять себя в рамки, когда пытаемся принимать решение, или когда ведём дискуссию в интернете, то мы никогда не придём к сколь-нибудь осмысленному решению. Человек таким образом думает: он изолирует кусочек реальности, и работает с ним. Если бы у нас были бы бесконечные вычилительные способности в голове, то может быть у нас были бы более крутые способы. Но поскольку мозги конечны, нам приходится урезать число размерностей в задаче, выкидывая из рассмотрения то одни, то другие. Тебе не приходилось сталкиваться с матаном в размерностях выше 3? Там единственный способ пережить экзамен -- научится анализировать проблемы, крутя в голове не R^n, а сечение этого R^n трёхмерным подпространством.

>>> Проще исходить из того, что браузер ненадёжен и строить модель угроз исходя из этого, а не гадать на кофейной гуще.
>> В третий раз скажу тебе: одно другому не мешает. Я именно что рассматриваю браузер как нечто ненадёжное. Но это не мешает мне сравнивать ненадёжности разных браузеров, и выбирать браузер с учётом результатов этого сравнения.
> Я тоже сравниваю ненадёжность браузеров, и тоже делаю выводы. Но опираюсь не
> только на статистику, а ещё на знания об архитектуре проектов, про
> их сообщества и аудиторию.

Если честно, я не уверен, что я понимаю, о каких выводах идёт речь. Ты ведь о том, что браузер надо запускать в контейнере, пользоваться аддонами, править about:config на повышение безопасности, так? Или о том, что для повышения безопасности надо выбирать Chrome? Этого ты не говорил вроде, но просто вот эта твоя фраза и настойчивость в споре, как-то не увязывается с тем, что ты говоришь, и заставляет задуматься, что я чего-то упустил.

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

108. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Дон Ягон (ok), 22-Июн-19, 22:40 
> В дискуссии на опеннете ссылаться на процесс разработки? С точки зрения опеннета, это детская наивность и безнадёжно теоретическое философствования. Но процесс разработки -- это скорее о long term перспективах проекта.

Про long term - да. Про теоретическое философствование - ну я не предлагаю глубокого погружения, очевидно, хотя, при наличии возможностей это плюс.

> Процесс разработки не может изменить ситуацию с багами кардинально.

Ну вообще-то только он и может. Баги делают люди, определяют, какие компоненты будут и как будут сделаны тоже люди.

> Не, я согласен с тем, что учитывать надо как можно больше информации. Но это не бесплатно.

Если не закапываться в хардкорные нюансы, то может быть и не очень дорого. По крайней мере, примерно представлять модель безопасности каждого браузера желательно, как по мне. Сейчас оба идут к сандбоксам и изоляции, но у этих путей разная история, это тоже стоит иметь ввиду.

> Чтобы учесть всю доступную информацию по firefox'у и по chrome'у, чтобы сравнить их, потребуется нанять нескольких человек (или несколько десятков?)
> Помножаем разницу в вероятностях на потери, сравниваем с затратами на исследование, и задаём вопрос: стоит ли оно того?

Всё верно. Не стоит. Поэтому я считаю, что можно достаточно свободно выбирать между chrome и ff не чрезмерно сильно уделяя внимание всем нюансам. Проще сразу не доверять браузеру и запускать его в изолированном окружении, для важных данных использовать отдельный инстанс браузера из под другого пользователя или в контейнере, или даже другой браузер. В общем, работать над тем, чтобы компрометация браузера не принесла лично тебе непоправимых проблем.

> Понятно, что между столь тщательным исследованием и полаганием на статистику уязвимостей есть прорва промежуточных вариантов, которые будут дешевле, но дадут меньшее снижение вероятности пострадать от уязвимости. Но и тем не менее, на фоне этого, вариант полагаться на частоты появления уязвимостей -- это неплохой способ справляться с проблемой.

Как по мне - это только иллюзия, что какая-то проблема решается.
Проще смириться с тем, что дыры неизбежны и использовать тот браузер, что удобнее лично тебе.

>> Если я сейчас напишу браузер, у него будет 100% хорошая история уязвимостей, хотя очевидно, что он будет дыряв (на самом деле, он будет убог, да и вообще я не напишу браузер, но это мысленный эксперимент).
> Но firefox не таков, его история тянется назад в начало 90-х

Сложно сказать, плюс это или минус. Так или иначе, имхо, у ff сейчас технический долг связанный с моделью безопасности и изоляцией сайтов.

> Я говорю о именно статистике багов, потому что:
> а) об этом разговор: если ты вернёшься в начало треда, ты увидишь там что он начался именно с этой статистики; придерживаться темы дискуссии -- это правило хорошего тона. То есть я допускаю возможность смены темы и ухода в сторону, но... я не могу это объяснить, у меня есть чувство прекрасного по отношению к дискуссии, и оно мне подсказывает когда и как можно менять тему, а когда нет. Как это чувство работает я пока не понял.

Да, речь о статистике уязвимостей. И о том, стоит ли только из этой статистики делать выводы и принимать решения.

> б) все остальные известные мне факты о mozilla и firefox, кроме статистики, мало говорят о вероятности ещё одного 0-day в ближайший месяц или год. Они скорее про long term предсказания.

Я не возьмусь делать прогнозы. С одной стороны, интуитивно кажется, что лимит на такую редкую вещь, как 0-day rce исчерпан, с другой, если бы я говорил также после 67.0.3, но перед 67.0.4 было бы смешно.

>> Талеба я очень котирую, да. Но всё же, чёрный лебедь - это неизвестное по своей сути событие, а уязвимость - известное.
> А я не про уязвимость, как таковую, а про события меняющие статистические тренды. Вот взяли мы N точек и на основании них написали функцию, предсказывающую эти точки в будущем. Это будет работать, пока этой функции не придёт чёрный лебедь.

Севшая батарейка в часах - не чёрный лебедь, а не учтённое статистикой реальное положение вещей.
Речь о том, что чтобы статистика позволяла нам делать достаточно точные предсказания, надо чтобы модель реальности включала в себя достаточное количество важных для ситуации переменных.
В ситуации с часами это батарейка, с браузерами всё гораздо сложнее, просто засчёт того, что сильно больше переменных. При этом, природа нежелательного события понятна - это та или иная уязвимость, т.е. это не чёрный лебедь. Но учесть всё равно не получится и что-то будет упущено.

> Ну да, но как я говорю, я не вижу что ещё такого легкодоступного можно учесть, чтобы делать предсказания о количестве 0-day на протяжении ближайшего года.

Я не знаю, что мне делать с этим предсказанием. И как оно мне поможет, когда меня всё же взломают.

> А я утверждаю, что кроме как через использование статистической закономерности мы вообще не можем делать никаких выводов о реальности.

Статистика позволяет обобщить знания о реальности, всё так. Но на основании этих данных нельзя сделать предсказания, если нет модели, объясняющую такой статистики ("физический" закон; батарейка в часах; популярность/качество кода/модель безопасности браузера).

> Часы может и остановятся через пару лет, когда сядет батарейка, но пару лет я буду прав относительно своих предсказаний о траектории движения стрелок. А если я пронаблюдаю десяток остановившихся часов, я смогу делать предсказания об остановке стрелок, даже не зная ничего о батарейке.

В принципе всё так, но зачем предпочитать такую форму обратного инжиниринга обобщению для себя других знаний о проекте - мне не понятно.

> Не, про батарейку знать полезнее, но тут мы возвращаемся к вопросу: что мы такого знаем про фф, что может изменить наши предсказания на основании статистики?

1) В ff не только находят меньше уязвимостей, но и он сильно менее популярный.
2) Chrome сделан с мыслью о sandboxинге и выделении отдельного типа процесса под разные задачи. В нём около 6 (кажется), типов процессов, в ff - два. В используемой мной ОС, например, каждый процесс хромого можно наделить только нужными ему привеллегиями. В ff тоже, но так как их всего два, получается, менее результативно, остаётся больше кода, имеющего ненужные ему полномочия.
Для других ОС это в целом тоже справедливо, вероятно, используются другие механизмы ОС для сандбоксинга/изоляции.
3) Chrome гораздо больше исследуется на наличие дыр. В силу своей популярности, так что это отчасти повторение пункта 1.
4) В развитие безопасности chrome инвестируют деньги и человечесские ресурсы. См. про кадры и опыт vs копипаста.


> Твоя модель не говорит о том, каким браузером лучше пользоваться, если безопасность для нас имеет высокий приоритет.

Именно. Я думаю, что принципиальной разницы нет. В обоих случаях нужно изолировать браузеры от важных данных или ещё как либо ограничивать возможность лишиться важного с компрометацией браузера.

> Мой способ принятия решения предлагает то же, что и твой -- всякие там контейнеры, кастомизированные сборки ff и зависимостей, кастомизация в about:config, аддоны режущие скрипты и cross-site запросы. Но помимо этого он предлагает ещё выбрать ff, вместо хрома, потому что в ff меньше багов находят.

А я выбираю ff потому что мне с ним сильно удобнее. И привычнее, наверное.
С точки зрения безопасности мне проще считать, что оба дырявы.

> Может быть, но мне приходится выуживать это "не единственное" из тебя клещами.

Чуть выше привёл 4 примера, как обобщение своих мыслей на этот счёт. Допускаю, что что-то забыл.

> Если их будет ещё штуки три, я возьму паузу на обдумывание

Дело ваше, но я бы не стал. Пока привыкните к хромому, ff уже может успеть нагнать его (например).

> Я скажу ещё раз: мне не столь интересно количество дыр в коде, сколь интересна частота нахождения дыр. Реальная частота нахождения дыр, а не какая-то теоретически возможная.

Частота нахождения дыр может показывать частоту поиска дыр, а не частоту появления дыр. Не вижу смысла закладываться на сорт "безопасности через сокрытие".

>> Это уже схоластика. Я ничего не имею против Джуда Перла и его трудов, но имею против их применимости для решения обсуждаемого вопрса.
> А у нас нет других способов. Ну, то есть, у человека есть нейросетки в голове, но они примерно так и работают, если копнуть поглубже.

Как именно работает мозг всё-таки пока досконально не ясно. Нейросети - сильный шаг вперёд, но очевидно, что до искусственного мозга ещё далеко. Так что я бы относился к этому осторожнее, имхо, последнее слово на счёт того, как работает мозг ещё далеко не сказано.

>> Повторюсь: если мы хотим защититься, считать вероятность возникновения дыры в том или ином браузере не нужно, это чёрная магия и вангование. Нужно защищать то, что тебе важно.
> Да никто же не спорит. Но тут встаёт вопрос: что делать? Как защищать? Выдернуть сетевой шнур?

Главным образом, не класть всё в одну корзину, диверсифицировать риски. Снижать вероятность атаки, снижать вред от гипотетической успешно проведённой атаки.
Исходя из того, что именно и от кого нужно защищать тебе.

> Если мы не будем загонять себя в рамки, когда пытаемся принимать решение, или когда ведём дискуссию в интернете, то мы никогда не придём к сколь-нибудь осмысленному решению.

Не. Я про то, что не нужно принимать решение о браузере загоняя себя в рамки проблем безопастности и статистики уязвимостей. Идеально безопасное прокрустово ложе хуже, чем слегка дырявый браузер, потому что "прокрустово ложе" никто не будет использовать.

> Если честно, я не уверен, что я понимаю, о каких выводах идёт речь. Ты ведь о том, что браузер надо запускать в контейнере, пользоваться аддонами, править about:config на повышение безопасности, так?

В частности. Ну я выбрал примерно такой вариант, да. У кого-то другие требования, он выберет что-то более подходящее себе.

> Или о том, что для повышения безопасности надо выбирать Chrome? Этого ты не говорил вроде, но просто вот эта твоя фраза и настойчивость в споре, как-то не увязывается с тем, что ты говоришь, и заставляет задуматься, что я чего-то упустил.

Я думаю, что chrome, а скорее его обезгугленые форки, стоит держать в уме. Там есть вещи, сделанные хорошо и правильно. На мой взгляд.
Как по мне, ff проигрывают хрому в плане архитектуры, обеспечивающей безопасность (невзирая на статистику), поэтому оглядываться на конкурента есть смысл. Переходить на него не могу рекомендовать, ибо сам не смог без страданий. Но и использовать ff стоит учитывая, что не всё ладно в датском королевстве. Не обманывая себя верой в излишнюю защищённость.
На всякий - это моё ИМХО и попытки обосновать его. Я осознаю, что могу быть не прав. Как по причинам, которые озвучиваешь ты, так и ещё по каким-то.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

10. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +9 +/
Сообщение от Аноним (-), 20-Июн-19, 21:50 
С апреля известна и эксплуатируется! Где же трангендер-кодеры?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +8 +/
Сообщение от Sluggard (ok), 20-Июн-19, 21:58 
Правят имена переменных на агендерные и пишут где-нибудь очередной CoC.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

35. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (34), 20-Июн-19, 23:47 
всё так. На большее их не хватает
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

39. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от AnonPlus (?), 21-Июн-19, 00:06 
Откуда информация, что эксплуатируется с апреля? В апреле ребята из Project Zero её нашли и приватно сообщили в Mozilla.

Эксплуатируется с 10 июня, когда выкатили фикс и его смог проанализровать атакующий.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

83. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (101), 21-Июн-19, 13:51 
Они заняты. Разбираются, кто из них he, а кто she.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

85. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от пох. (?), 21-Июн-19, 14:10 
это харассмент! Срочно вызывайте гендерную полицию!

(IT оно!)

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

13. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от Аноним (13), 20-Июн-19, 21:58 
Не исправляют - плохо. Исправляют - тоже плохо, так как можно проанализировать патч и раскурячить некоторую часть пользователей. Получается, что security through obscurity в некотором смысле обоснована.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +3 +/
Сообщение от Ordu (ok), 20-Июн-19, 22:05 
Ну да. Ты помнишь скандалы вокруг политики Торвальдса, в отношении исправлений дыр в ядре, когда он категорически отказывался специальным образом обозначать патчи дыр и выделять их из общего потока коммитов? Вот по той самой причине.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (101), 20-Июн-19, 22:58 
Да просто надо одновременно или с минимальной задержкой выпускать исправление для разрабатываемой и стабильной версий.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от Аноним (21), 20-Июн-19, 22:47 
Переживаю за torbrowser.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (-), 20-Июн-19, 23:32 
Через пару дней выкатят обновление.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от Анонимemail (23), 20-Июн-19, 23:07 
Народ, прошу прощения за оффтоп, но зная, что сдесь относительно много людей и не зная куда можно написать, спрошу сдесь.

Суть такова, есть у кого аддон к браузеру Мозилла, который блокирует автозагрузку комментариев на Youtube?

Такая штука есть в некоторых аддонах, но мне нужно именно такой аддон, без других функций.

И аддон должен работать на Мозилле 48-й версии.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Anonimous (?), 20-Июн-19, 23:16 
переходи на brave, там комментарии по-умолчанию не работают, и починить это мне не удалось.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Анонимemail (23), 20-Июн-19, 23:22 
Да не, нужно на эту версию.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (-), 20-Июн-19, 23:39 
>Суть такова, есть у кого аддон к браузеру Мозилла, который блокирует автозагрузку комментариев на Youtube?

Выключи Куки дурашка

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

33. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Sluggard (ok), 20-Июн-19, 23:46 
Попробуй https://addons.mozilla.org/ru/firefox/addon/no-youtube-comments там как раз версия 48+ указана.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

36. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от Анонимemail (23), 20-Июн-19, 23:51 
Этот аддон просто вырубает комменты, а мне нужно отключить их автозагрузку, но с возможностью вручную их показать.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Sluggard (ok), 21-Июн-19, 00:05 
Просто не скролль вниз страницу видео, на YouTube же комменты подгружаются через js.
Ну и это https://addons.mozilla.org/en-US/firefox/addon/shut-up-comme.../ так делает вроде.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

40. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Sluggard (ok), 21-Июн-19, 00:07 
То есть, изначально комменты не загружаются, а по клику на значок расширения — начинают грузиться и отображаться.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

98. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Sluggard (ok), 21-Июн-19, 22:40 
Прикольно, вышеназванный аддон ShutUp работает в т.ч. на ЛОРе. Я сегодня долго не мог врубиться, почему мой коммент не добавляется в топик... %)
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

44. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (13), 21-Июн-19, 00:59 
Выпили комментарии через твои собственные правила в блокировщике рекламы, а еще лучше выпили весь ютуб к чертям
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

46. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Дегенератор (ok), 21-Июн-19, 02:04 
Браузер Майкрософт слышал, браузер Гугл слышал. А шо такое браузер Мозилла?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

64. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от Аноним (60), 21-Июн-19, 08:49 
noscript. Портит гoвносайты, вроде документации ведроида, документации tensoflow, kaggle и прочие, которые специально сделаны  так, чтобы не работать без js.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

75. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Айран (?), 21-Июн-19, 11:34 
запретить в ублок
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

84. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (84), 21-Июн-19, 14:07 
YouTube Classic
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от Anonimous (?), 20-Июн-19, 23:13 
Зашёл в новость лишь для того, чтоб узнать в какой именно версии они эту уязвимость туда засунули. Кажется еслиб они перестали "разрабатывать" браузер, он был бы в разы безопаснее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +1 +/
Сообщение от Пистон (?), 21-Июн-19, 12:58 
> Кажется еслиб они перестали "разрабатывать" браузер, он был бы в разы безопаснее.

Гендерные садомиты не одобряют.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

97. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (96), 21-Июн-19, 21:39 
В 38. Так что и Palemoon с 27 версии (обновлён до Firefox 38 ESR) вероятно ее имеет.
> Assuming this[1] test for sparse indexes with extra properties in the unfixed version of the file as part of the bugged code, the annotations suggest that the bug MIGHT have been (partially?) introduced by this[2] changeset. If so, that means all versions of Firefox >= 38.0a1 (21 Apr 2015) might be vulnerable to the bug.

https://news.ycombinator.com/item?id=20221327

> Кажется еслиб они перестали "разрабатывать" браузер, он был бы в разы безопаснее.

Не был бы.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

31. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +2 +/
Сообщение от Аноним (31), 20-Июн-19, 23:34 
67.04 а потом будет и .05 вообще складывается впечатление что это LTS релиз.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от Аноним (-), 21-Июн-19, 00:25 
Кто-то ещё на на Chrome или форках? Серьёзно?
Чего-то ждёте? Может быть, чуда?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от Аноним (-), 21-Июн-19, 00:43 
Да, если в хроме найдут уязвимость,это уже почти-что чудо.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

102. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (101), 22-Июн-19, 09:56 
https://www.cvedetails.com/product/15031/Google-Chrome.html?...
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

47. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (47), 21-Июн-19, 04:18 
Прокси то можно в хром настроить или гугл пока так и не сделал интерфейс для этого?
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

48. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от iPony129412 (?), 21-Июн-19, 06:21 
Не пользуюсь проксями. Ну вообще давным давно без проблем можно было настроить либо расширением, либо опцией запуска.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

51. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от microsoft (?), 21-Июн-19, 06:43 
мы сделали. Зачем браузеру какой-то особоотдельный от остальной системы интерфейс?

Аааа, вы про свои полтора процента? Ну извените...

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

54. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (-), 21-Июн-19, 07:15 
Вообще, это подход гнома, что прокси указывается в центре настроек для всех приложений. Хром только зачем-то последовал этому.
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

53. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (-), 21-Июн-19, 07:11 
Можно, он юзает системный прокси.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

55. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от Аноним (55), 21-Июн-19, 07:31 
А в чем проблема, уже давно браузер в контейнере Hyper-V, и пусть себе там обвыполняется произвольными кодами)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от пох. (?), 21-Июн-19, 10:00 
PS C:\Windows\system32> Get-SpeculationControlSettings
For more information about the output below, please refer to https://support.microsoft.com/help/4074629
...
что он там у тебя говорит про Enabled?


reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v "MinVmVersionFor
CpuBasedMitigations"
- что, "параметр не найден", да? А как дысал, как дысал...

P.S. догадайтесь, зачем я всю эту хрень знаю

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

73. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (73), 21-Июн-19, 11:02 
Подскажите не-программисту, а отключение js в about:config решает проблему?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от Аноним (76), 21-Июн-19, 12:35 
А в Ubuntu всё ещё 67.0.2 . Это ВСЁ, что надо знать о мейнтейнерах Ubuntu. Аргументация очень простая - "не нравится - собирай сам или вали на другой дистрибутив".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (76), 21-Июн-19, 12:36 
Вернее 67.0.3
Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

79. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –1 +/
Сообщение от Анимайзер (?), 21-Июн-19, 13:16 
> А в Ubuntu всё ещё 67.0.2 . Это ВСЁ, что надо знать о мейнтейнерах Ubuntu

А как же snap? Его и придумали, чтобы получать напрямую самые свежие версии ПО от разработчиков в обход мейнтейнерам. Или всё хорошо на бумаге, а в реальности оказалось не совсем так, как задумывалось?

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

86. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  –2 +/
Сообщение от пох. (?), 21-Июн-19, 14:17 
> А как же snap? Его и придумали, чтобы

головой не думать, пoправил, не благодари

все хорошо со снапом, не плачьте:
% snap find mozilla
Name Version Publisher Notes Summary
firefox 67.0.4-1 mozilla - Mozilla Firefox web browser

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

91. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от анонимчик (?), 21-Июн-19, 18:38 
в void уже прилетело
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

109. "В Firefox 67.0.4 и 60.7.2 устранена ещё одна 0-day уязвимост..."  +/
Сообщение от Аноним (-), 08-Июл-19, 17:59 
https://netmarketshare.com/browser-market-share.aspx?options...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру