The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Firefox 57.0.3 с устранением отправки отчётов о крахе без согласия пользователя

28.12.2017 22:53

Подготовлен корректирующий выпуск Firefox 57.0.3, в котором устранена проблема, связанная с приватностью. Детали исправления пока доступны только ограниченному кругу разработчиков и не разглашаются публично. Судя по имеющейся в открытом доступе информации, проблема касается поведения системы отправки отчётов о крахах браузера, которая отправляла отчёты без явного включения данной функции пользователем.

Напомним, что в настройках Firefox имеется опция, разрешающая отправку отчётов о крахах на серверы Mozilla, но по умолчанию данная опция выключена, так как в отчёты вместе с данными о состоянии браузера в момент краха может попасть конфиденциальная информация пользователя, например, содержимое заполненных форм и закрытых областей web-сервисов.

Дополнение: Открыт публичный доступ к отчёту с описанием проблемы. Отправка без явной активации производилась из-за ошибки, появившейся в Firefox 52. Для избежания возможных утечек информации Mozilla удалила со своих серверов все накопленные с момента выхода Firefox 52 данные, связанные с обработкой дампов с информацией о крахах.

  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: В Firefox реализовано отложенное выполнение стороннего кода отслеживания перемещений
  3. OpenNews: Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
  4. OpenNews: Обновление Firefox 57.0.1
  5. OpenNews: В Firefox 58 будет запрещён прямой переход на URL "data:"
  6. OpenNews: В Firefox планируют выводить предупреждение при посещении ранее взломанных сайтов
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/47824-firefox
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (51) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 23:01, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +30 +/
    Ага, "баг". Так я и поверил. Вангую что принудительно включали отправку после такого глубокого рефакторинга, и наловив большую часть отчетов, теперь отключают как выполнившую свое предназначение функцию.
     
     
  • 2.33, Отражение луны (ok), 15:46, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Повсюду коварство и заговоры, как жить?
     

  • 1.2, AS (??), 23:24, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    и ещё это http://www.opennet.dev/opennews/art.shtml?num=47821
    под шумок поправили
     
     
  • 2.11, Анм (?), 08:10, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Каким образом?
     
  • 2.50, Аноним (-), 14:07, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Может тебе еще мозги поправили под шумок? Хотя нет, не похоже.
     

  • 1.3, Аноним (-), 23:37, 28/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Пора ставить ESR 52 (https://askubuntu.com/a/977140/66509).
     
     
  • 2.4, Аноним (-), 00:09, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    ESR 52 обновился с тем же багфиксом.
     

  • 1.5, Аноним (-), 00:41, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надеюсь, отправляли вместе с дампом памяти?
     
     
  • 2.10, Kuromi (ok), 02:35, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Там минидапм отправляется, обычно не более мегабайта в размере.
     
     
  • 3.25, Аноним (-), 13:27, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос не в размере, а в том, что в него попадает.
     
  • 3.26, Аноним (-), 13:36, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Мал килобайт, да дорог!
     

  • 1.6, виндотролль (ok), 00:59, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    В момент выхода 57 перешел с него + pentadactyl на qutebrowser дома и на работе. Не знаю печали с тех пор.
     
     
  • 2.27, freehck (ok), 13:37, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    pentadactyl хорошо, но что на счёт adblock-а?
     
     
  • 3.37, виндотролль (ok), 19:06, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > pentadactyl хорошо, но что на счёт adblock-а?

    ublock, конечно, не хватает. Есть блокирование по hostname. На практике оказалось, что это терпимо. Ютуб не блочит, но мне не критично, тем более, что можно открыть видео в mpv.

     
     
  • 4.51, username (??), 14:12, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема в  трубе а не в браузере.
     
  • 2.34, DiabloPC (ok), 16:05, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > qutebrowser

    Как-то слишком по спартански )))
    Я на qupzilla слинял - пока к нему претензий нету....

     
     
  • 3.47, Аноним (-), 11:52, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > пока к нему претензий нету....

    тык ведь там же Qt вместо православного Gtk+ ?

     
     
  • 4.48, DiabloPC (ok), 11:55, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > тык ведь там же Qt вместо православного Gtk+ ?

    Так и у меня ж не гном, а сатанистская плазма ;)



    ======================НА ПРАВАХ РЕКЛАМЫ======================
    Переходите на сторону зла! У нас есть бесплатные печеньки! =)


     
     
  • 5.56, freehck (ok), 01:19, 01/01/2018 [^] [^^] [^^^] [ответить]  
  • +/


    > ======================НА ПРАВАХ РЕКЛАМЫ======================
    > Переходите на сторону зла! У нас есть бесплатные печеньки! =)

    Печеньки это хорошо. Нынче печеньку не отдашь серваку -- не авторизует, гад. :)
    PS: С Новым Годом!

     

  • 1.7, Аноним (-), 01:20, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Нет уже никаких сил иронизировать.
    Просто. Спасите. Этот. Браузер. Кто-нибудь. Пожалуйста.
     
     
  • 2.8, Аноним (-), 01:57, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Для форка нужно что-то прямо совсем бомбическое. Сливает все вводимые данные и клики в Майкрософт, например. Или майнит биткойны.
     
  • 2.14, slump64 (ok), 09:49, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И ведь ничего сложного в этом нет, нужно не добавлять что-то а убирать! Убрать покет, скриншоты и прочую мишуру, браузер ведь и так быстрый с серво. Добавить больше кастомизации, вернуть старые функции на отсутствие которых жалуются пользователи и готово!
     
     
  • 3.29, Аноним (-), 14:05, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На генту есть простое решение - собираешь тор браузер и отключаешь в нем ТОР.Получается огнелис с поддержкой всего нужного и патчами торбраузера. По-идее на винду можно так же поставить бинарники тора и поотключать собственно тор.
     
     
  • 4.49, slump64 (ok), 13:53, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    или можно просто скачать firefox ESR?
     
     
  • 5.55, Аноним (-), 16:38, 31/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > или можно просто скачать firefox ESR?

    ESR даже не блочит canvas fingerprint

     

  • 1.9, Kuromi (ok), 02:34, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ах вот оно что! А я-то думаю почему у меня на Ночнушке крашрепорты наоборот, не отправляются ссылаясь на throttling (обычно попасть под него это редкость). А тут все понятно - слишком много шло с 57-ого.
     
  • 1.12, Анм (?), 08:22, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Мало кто знает, что даже при отключенной отправке отчетов об использовании, они постоянно создаются и обновляются в профиле (и фокс торморзит), но в абоут конфиг можно отключить это.
    Давно уже без конфига юзать фокс невозможно.

    browser.tabs.crashReporting.sendReport;false
    Стояло тру на необновленной версии почему-то

    Можно ещ урл всякие там поудалять, тогда некуда будет слать.

     
     
  • 2.36, Anonymoustus (ok), 17:16, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо, добрый человек.
     

  • 1.13, Аноним (-), 09:14, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Mozilla реально думают, что кто-то еще верит их отмазкам про "случайно неотключаемые функции"?
    По следующим обновлением, видимо, выяснится, что FF "из-за ошибки" сливал логины и пароли пользователей.
     
     
  • 2.38, Нанобот (ok), 20:04, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Я верю
     

  • 1.15, Аноним (-), 09:57, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    фанатики мазилки как всегда молча проглотят и продолжат пользоваться их "браузером"
     
     
  • 2.17, DmA (??), 10:14, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Firefox вроде худшее из зол - тут хотя бы думаешь, что плохое поведение браузера можно перенастроить через about:config и плагины :) Разработчики правда знают, что это не так :(
     
     
  • 3.18, DmA (??), 10:15, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Firefox вроде худшее из зол - тут хотя бы думаешь, что плохое
    > поведение браузера можно перенастроить через about:config и плагины :) Разработчики правда
    > знают, что это не так :(

    Ой, очепятка.
    Firefox вроде ЛУЧШЕЕ из зол - тут хотя бы думаешь, что плохое поведение браузера можно перенастроить через about:config и плагины :) Разработчики правда знают, что это не так :(

     
     
  • 4.19, Аноним (-), 10:35, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > > Утечка идентификаторов пользователя через встроенный в браузер менеджер паролей (актуально только для firefox)
    > firefox лучшее из зол)))
    > > Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
    > firefox лучшее из зол)))
    > > Выпуск Firefox 57.0.3 с устранением отправки отчётов о крахе без согласия пользователя
    > firefox лучшее из зол)))

    Ok

     
     
  • 5.20, DmA (??), 11:16, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> > Утечка идентификаторов пользователя через встроенный в браузер менеджер паролей (актуально только для firefox)
    >> firefox лучшее из зол)))
    >> > Некоторым пользователям Firefox навязано непонятное дополнение Looking Glass
    >> firefox лучшее из зол)))
    >> > Выпуск Firefox 57.0.3 с устранением отправки отчётов о крахе без согласия пользователя
    >> firefox лучшее из зол)))
    > Ok

    Инфа о косяках в остальных браузерах не мозолит глаза потому, что это закрытый софт ,а закрыто оно, потому что там ничего нет для пользователей...

     
  • 2.24, Ordu (ok), 13:18, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Молча или не молча, но проглотим: выбора-то нет. Не на хром же переходить -- тот в плане сбора приватной информации ещё хуже. А против клонов оперы у меня религиозное неприятие: с детства фанаты оперы вызывали у меня отвращение, и я не считаю для себя возможным уподобляться им хоть в чём-то.
     
     
  • 3.28, user (??), 13:58, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А что здесь думают про https://textbrowser.github.io/dooble/ ?
     
     
  • 4.30, Ordu (ok), 14:14, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю, что думают. Я ничего не думаю, в первый раз вижу его. Смущает отсутствие в ченджлогах упоминаний аддонов, наводит на мысль, что аддонов нет, а мне не нужен браузер без аддонов. Складывается ощущение, что на андроиде он не работает. И ни слова про DeveloperTools или чём-то схожем: сегодняшний браузер -- это операционная система, и без возможности ковыряться в кишочках вебстраниц, он превращается в один большой чёрный ящик, даже несмотря на наличие сорцов.
     
  • 4.42, Аноним (-), 01:04, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    это вообще не браузер.
     
  • 3.31, Аноним (-), 14:43, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://github.com/gcarq/inox-patchset
    Просто оставлю это здесь.
     
     
  • 4.32, Ordu (ok), 15:42, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > https://github.com/gcarq/inox-patchset
    > Просто оставлю это здесь.

    Да, я о том же. Chromium шлёт информацию тоннами, и нам тут ориентированные на безопасность анонимы доказывают, что надо отказываться от firefox'а в пользу хрома, потому что mozilla нарушает приватность пользователей. Хы.

     

  • 1.16, DmA (??), 10:11, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Сейчас с выпуском каждой новой программы или релиза в описании возможностей больше нужен список чего оно не точно не может сделать...Например, эта программа точно не сможет послать ваши файлы с компьютера или пароли в Интернет. Но думаю, что почти всех программ этот список будет пуст.
    Вообще вводить какую-то критическую  для пользователя информацию(пароли,кредитки итд) в любых современных браузера просто небезопасно. Считайте, что клавиатура вашего компьютера принадлежит ещё вам, а вот всё что видите на экране можно считать общеизвестной информацией! Вы сели за компьютер - значит вы собираетесь какую-то информацию о себе поведать миру сами не всегда это подозревая, что у вас получится выдать о себе :)
     
  • 1.21, Аноним (-), 11:59, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Простите, а бывают "крахи с согласия пользователя"? Спасибо.
     
     
  • 2.22, Аноним (-), 12:13, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если под еулой галочку поставил.
     
  • 2.23, DmA (??), 12:24, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Простите, а бывают "крахи с согласия пользователя"? Спасибо.

    тут речь об отсылке данных работы в браузере на сайты мозиллы без согласия пользователя, точнее пользователь ставит галочку "не отсылать разведданные никуда", а браузер всё равно шлёт!

     
     
  • 3.35, Аноним (-), 16:48, 29/12/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Точно, неправильно распарсил новость :) Спасибо! С наступающим!
     

  • 1.40, Аноним (-), 23:02, 29/12/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всегда включаю эту отправку. Исхожу из той логики, что раз лисичка споткнулась на чём-то, значит это может и повториться, чего мне очень не хотелось бы. Исходя из этого, я, как пользователь этого ПО, заинтересован в том, чтобы разработчики хотя бы знали о проблеме.
     
     
  • 2.43, Аноним (-), 01:06, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раньше отправлял, даже баг на багтрекере создал и связал с крешами. Долько всем как всегда.
     
  • 2.46, разработчик (?), 09:41, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не ссы, мы о твоих проблемах как не знали, так и не знаем (и знать не хотим).

    Отчеты анализирует робот туповатенький. Если твой крэш уникален - он его просто отбросит, нахрен ты не нужен, с тобой возиться. Если падает у каждого пятого, как надысь с бразильскими банковскими плагинами вышло - то статистика и без тебя наберется.

    А вот твои пароли-кредитки-что-там-еще попало в крэшдамп могут кому-то пригодиться. А что роботы занимаются анализом крэшей не для этого - так это временно. До первого попавшего на бабки разработчика с доступом куда надо, они ж все честнейшие люди.
    Ну или для удачливого хакера с улицы.

     
  • 2.52, Аноним (-), 15:11, 30/12/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Разработчикам лисы с версии этак 24 было наплевать и на мнение рядовых пользователей, и на их проблемы от всяких суперфич. Поэтому в свое время и возникло столько дополнений для возврата вырезанного функционала.
     

  • 1.57, Аноним (-), 21:24, 01/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у меня такая проблема. Когда я собрал Firefox, я могу сразу запустить его из директории исходников. "cd dist/bin", "./firefox". И он работает. Но если я делаю "mach package", создаётся пакет. И уже этот Firefox может внезапно вылететь или зависнуть. Как так? Я им и отчётов много отправил.

    Tor Browser, кстати, не подвержен.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру