Новости про браузеры

Microsoft отказывается от Edge

В Сети стали быстро распространяться слухи, что компания Microsoft хочет отказаться от своего браузера Edge и перейти на Chromium.

Отмечается, что в Рэдмонде решили отказаться от EdgeHTML, а вместо него создают новый браузер на основе Chromium, движка, широко известному благодаря Google Chrome.

Microsoft Edge
Microsoft Edge

Этот обозреватель получил кодовое имя Anaheim, и он придёт на смену Edge в Windows 10 в качестве обозревателя по умолчанию. Будет ли Anaheim использовать имя Edge, или будет выпущен под новым названием, пока неизвестно. Также неизвестно, получит ли новый браузер и новый интерфейс.

Браузер Edge с момента своего релиза в 2015 году практически не использовался. Компания Microsoft создала принципиально новый движок EdgeHTML, который и лежит в основе браузера. Несмотря на неплохую скорость работы и лёгкую переделку аддонов из Chrome, разработчики так и не заинтересовались его возможностями, а пользователи не оценили скорость.

Firefox предупредит об утечке на сайте

Компания Mozilla последнее время активно работает над повышением приватности в своём браузере. Новая инициатива в браузере Firefox позволит узнать об утечках на сайте.

Теперь пользователи Firefox Quantum будут получать уведомление в том случае, если посещаемый сайт недавно допустил утечку данных. Всплывающее сообщение будет содержать отчёт о природе и объёме уязвимости с возможностью перехода на сервис Firefox Monitor для уточнения деталей. Изменения будут доступны пользователям браузера постепенно в ближайшие недели.

Firefox
Firefox

Используя Firefox Monitor пользователи смогут проверить, был ли их электронный адрес частью утечки данных, сверяясь по базе HIBP. Этот сервис, после запуска в сентябре, получил заметную популярность, на него уже подписались сотни тысяч пользователей. На фоне популярности сервис получил интерфейс с 26 новыми языками.

Пользователи получат лишь однократное уведомление об утечке данных на посещаемом сайте, чтобы не раздражать людей. Также функционал можно отключить во всплывающем окне. Уведомление будет отображаться только в случае, если утечка произошла менее 12 месяцев назад.

Функцию «не отслеживать» игнорируют все

Если вы думаете, что включив в своём браузере функцию «не отслеживать», за вами перестанут следить рекламные и социальные сети — вы ошибаетесь.

Согласно недавнему исследованию Forrester Research, большинство вэбсайтов игнорируют флаг «Do Not Track». Самые популярные сайты интернета, от Google и Facebook до Pornhub и xHamster никогда не обрабатывали эту опцию. К примеру, в Facebook сообщили, что хотя они и игнорирую функцию, они позволяют людям управлять своими данными для показа рекламы.

Браузер Google Chrome давно позволяет отключить слежку, но сам Google полностью игнорирует запросы.

Do Not Track
Do Not Track

Джонатан Мэйер, профессор прикладных компьютерных наук в Принстонском университете заявил, что «не отслеживать» оказался провальным экспериментом. «Вопрос лишь в том, когда придёт время объявить о провале и двигаться дальше, исключив функцию из веб-браузеров». Сам Мэйер потратил 4 года на продвижение функции «Do Not Track», так что неудивительно, что он разочарован.

Данную функцию корректно обрабатывают лишь несколько сайтов. Самые известные из них — Pinterest и Medium. К примеру, Pinterest не использует сторонние данные для целевой рекламы посетителям, которые не хотят быть отслеженными. Что касается Medium, то он не отсылает эти данные третьим сторонам.

Chrome 70 может заблокировать ряд популярных сайтов

Новая версия браузера Google Chrome запланирована к выходу на 16 октября, и обозреватели предупреждают о проблеме, с которой могут столкнуться его пользователи.

Дело в том, что в Google решили отозвать сертификаты безопасности выданные Symantec. Решение принято после того, были выявлены несоответствия инфраструктуры стандартам безопасной выдачи сертификатов у Symantec. Дело в том, что Symantec разрешил множеству компаний выпускать сертификаты, несмотря на явные нарушения безопасности внутри этих организаций.

Google Chrome
Google Chrome

Часть этих сертификатов Google уже отменила в июне 2016 года. Теперь, с релизом Chrome 70 любые сертификаты, выданные агентствами VeriSign, Thawte, Equifax и другими, окажутся недействительными.

Исследователь Скотт Хельме недавно провёл анализ сайтов, которые попадут под запрет. Оказалось, что в их число входят финансовые учреждения, например, Federal Bank of India, Penn State Federal, правительственные ресурсы Тель-Авива и даже сайт Ferrari.

При этом отмечается, что ограничения могут не затронуть некоторые субдомены, так что доступ может быть ограничен не ко всем сайтам, а лишь к некоторым их разделам.

Windows 10 будет отговаривать пользователей от других браузеров

В качестве эксперимента в очередной сборке Windows 10 компания Microsoft решила выдавать пользователям уведомление в случае, если они хотят поставить Google Chrome или Mozilla Firefox.

Это лишь эксперимент, и он не планируется ко включению в финальную версию ОС в октябре, однако такая возможность не исключается в будущем. Идея заключается в том, чтобы лишний раз привлечь внимание пользователей и отговорить их от установки сторонних обозревателей. Сообщение появляется при инсталляции конкурирующего решения.

Microsoft Edge

«У вас уже есть Microsoft Edge — самый безопасный, быстрейший браузер для Windows 10». У сообщения есть два варианта для выбора: открыть Edge или продолжать установку.

При отказе будет продолжена установка стороннего браузера. Отключить функцию можно через настройки со ссылкой к ним прямо в сообщении.

Вряд ли такая инициатива придёт по нраву пользователем. Такое действие компании по продвижению своего обозревателя выглядит несколько жалко. Сейчас доля Edge составляет лишь 4%.

Поддельное расширение Mega для Chrome привело к массовой утечке пользовательских данных

Сервис Mega является шифрованным облачным хранилищем данных. Но оказалось, что оно имеет большую уязвимость, и всё из-за расширения для браузера Chrome.

Из-за установки поддельного приложения из Chrome Web Store, содержащего вредоносный код, пользователи потеряли свои данные учётных записей и ключи от криптокошельков.

Компания Mega дала ряд пояснений: «4 сентября 2018 года в 14:30 неизвестные злоумышленники загрузили в магазин Google Chrome троянскую версию расширения MEGA для Chrome версии 3.39.4».

Кроме Mega вредоносное расширение было нацелено на сайты, такие как Amazon, Live (Microsoft), Github и Google, перехватывая учётные записи пользователей. Также оно воровало приватные ключи от кошельков криптовалют, нацелившись на такие сервисы, как MyEtherWallet, MyMonero, и Idex.market.

Логотип Mega
Логотип Mega

В Mega добавили: «Если вы посещали любой из этих сайтов, или использовали другое расширение, отсылающее учтённые данные простым текстом по POST запросам, по прямому подчинению или через фоновый процесс XMLHttpRequest (MEGA в их число не входит), пока троянская версия была активна, учтите, что ваши учётные данные скомпрометированы через этот сайт и/или приложения».

Пока расследование показывает, что вся перехваченная информация была направлены на некий украинский сервер. Каким образом хакерам удалось получить доступ к учётной записи Mega в Chrome Web Store, компания пока не знает.

Отмечается, что «спустя 4 часа после выявления уязвимости, троянское расширение было обновлено Mega до чистой версии 3.39.5 с принудительным автообновлением».

Firefox будет предлагать сайты на основе выбора ИИ

Программа Firefox Test Pilot вывела в свет множество интересных идей. Новый эксперимент Mozilla, тестируемый по этой же программе, получил название Advance. Он будет представлять собой сервис на основе искусственного интеллекта, который пытается предсказать, что за страницу вы захотите посмотреть следующей.

Разработка Advance ведётся совместно с Laserlike, стартапом машинного обучения, который также строит свою систему поиска контента, его обнаружения и персонализации. Благодаря ему Firefox сможет предположить, что за страница может оказаться вам интересной. Выбор будет сделан на основе постоянного изучения ваших предпочтений, пока вы путешествуете по Интернету. Эта функция будет работать на кулинарных рецептах, сообщениях в блогах и новостях, всяком контенте, который позиционируется как необходимый к изучению.

Работа технологии Advance на примере кулинарных рецептов
Работа технологии Advance на примере кулинарных рецептов

Mozilla известна своим отношением к пользовательским данным и безопасности, так что даже используя ИИ, она продолжает относится к ним с предельной осторожностью. Эксперимент Advance доступен опционально, пользователи могут остановить сбор данных в любой момент, а при желании и вовсе удалить всю собранную информацию.

Chrome, Firefox и Opera блокируют приложение Stylish

Многим пользователям нравится плагин Stylish, который позволяет модифицировать внешний вид веб сайтов. Он доступен для многих браузеров и загружен более двух миллионов раз, но теперь он оказался под пристальным вниманием безопасников.

Дело в том, что этот плагин был выкуплен SimilarWeb в январе 2017 года, и новый владелец внёс большие изменения в политику безопасности, превратив плагин в инструмент перехвата данных. Плагин Stylish начал шпионить за пользователями и отправлять на свои сервера данные о посещаемых сайтах, результатах поиска Google, а также об укороченной и хэшированной версии IP, типе пользовательского агента и т.д.

Плагин Stylish
Плагин Stylish

Программный инженер Роберт Хитсон заявил, что Stylish собирает историю браузера из Chrome с января 2017 года, а из Firefox с марта. Даже когда сбор данных был раскрыт, ни Google, ни Mozilla, ни Opera не предприняли каких-либо действий, пока Хитсон не опубликовал документ. Спустя пару дней Mozilla, Google и Opera забанили Stylish. Официального ответа от разработчиков плагина не поступало.

Вся эта история в очередной раз демонстрирует, что браузерные расширения, даже популярные, могут не быть безопасными.

Mozilla начинает тестировать функцию безопасности Firefox Monitor

Компания Mozilla начала работу над новой функцией безопасности для Firefox, которая позволяет выяснить, были ли аккаунты пользователей взломаны или компрометированы. Решение основано на ресурсе Троя Ханта Have I been Pwned (HIBP), который индексирует утечки данных.

Первичная разработка Троя была доработана и теперь тестируется на 250 000 пользователей, большая часть из которых живёт в США. После теста Firefox Monitor будет доступна для всех пользователей.

Firefox Monitor
Firefox Monitor

Технология Firefox Monitor создана для контроля учётных записей и повышения безопасности пользователей Интернета, включая тех, кто пользуется другими браузерами, однако через Firefox стоит рассчитывать на дополнительный удобный функционал. Для проверки утечки пользователи должны будут ввести адрес своего почтового ящика на сайте Firefox Monitor и увидеть, были ли данные компрометированы и какие именно данные.

Адрес электронной почты будет проверен по базе HIBP, однако проверка будет проводится через CloudFlare особым образом, чтобы предотвратить передачу персональных данных. После проверки вебсайт предложит лучшее решение, чтобы обезопасить свою учётную запись от утечки.

Также Mozilla планирует запустить сервис, который будет предупреждать пользователей о новых брешах, в которых фигурируют их персональные данные.

Chrome, Edge и Firefox скоро могут лишится паролей благодаря стандарту WebAuthn

В скором времени, благодаря стандарту WebAuthn, обозреватели интернета могут лишиться паролей. Сейчас его уже поддерживает Firefox, а браузеры Chrome и Edge готовятся к его реализации.

Разрабатываемый World Wide Web Consortium (W3C) и FIDO Alliance стандарт WebAuthn является API, который позволяет разработчикам лучше реализовывать новый стандарт безопасного логина FIDO2, который использует разные методы аутентификации, включая биометрику и USB брелоки. Их применение позволяет исключить использование паролей.

Ключ аппаратной защиты

Такой шаг позволит решить проблему путаницы паролей и фишинговых сайтов, позволяя осуществлять операции с онлайн сервисами намного безопаснее.

Технология WebAuthn уже давно находится в разработке, но чтобы стать популярной ей нужно заручиться поддержкой браузеров. Крупнейшие игроки рынка уже заявили об этом. Исключением является Apple, которая пока не сообщила о поддержке технологии в Safari, хотя компания и является одним из разработчиков API.

Вход в онлайн сервисы с помощью аппаратного ключа не является чем-то новым. Такой подход часто используют правительственные организации, однако для этого требуется специализированный донгл и драйвер. Технология WebAuthn унифицирует эту систему, позволяя применять общедоступные библиотеки.