Новости про Mozilla и безопасность

Подразделение компании Privacy Not Included проводит исследования различных смарт-устройств, от медицинских и носимой электроники до устройств умного дома. Теперь были исследованы 25 брендов автомобилей и определены наихудшие из них.

Возглавляет антирейтинг — Tesla. Всё из-за частых автомобильных аварий, включая смертельные, вызванные неправильной работой автопилота. Кроме того, с приватностью у Tesla также ужасное положение. Далее следуют Nissan и Kia, которые, кроме прочего, собирают информацию о сексуальной жизни владельца, а Hyundai обещает исполнять «законные запросы, формальные и неформальные», на передачу данных о владельце автомобиля правительственным и силовым органам.

Далее идут Renault, Dacia и BMW за «как минимум жутковатые» опции. Исследователи не смогли подтвердить, что Renault, которая владеет Dacia, шифрует собираемые данные пользователей, а также установили, что незначительно выходит за пределы законодательства о безопасности персональных данных, в сравнении с другими. В список попала и BMW за то, что не сообщает о продаже данных сторонним компаниям для рекламы, в то время как другие производители делают это открыто. Конечно, возможна она и не торгует данными, но специалисты в этом сомневаются.

Для составления этого рейтинга Mozilla потратила 600 часов, исследуя соглашения о приватности и изучая работу ПО компаний. «К сожалению, пользователи очень слабо могут управлять [безопасностью]. Вы можете просто не использовать приложение или подключенные устройства, но это просто означает, что ваша машине не работает так, как должна», — заявила Джен Калтрайдер, директор Privacy Not Included. «У потребителей практически нулевой контроль и возможности в плане приватности, разве что можно купить старшую модель. Регуляторы и создатели политик отстают на этом фронте».

Дело в том, что поддержка старых стандартов часто необходима для доступа к правительственным сайтам с информацией о распространении COVID-19, которые так и не обновились до TLS 1.2 или TLS 1.3.

Представитель разработчиков отметил: «Мы вернули изменения на неопределённый период времени для улучшения доступа к критически важным правительственным сайтам, распространяющим информацию о COVID-19».

Поддержка TLS 1.0 и TLS 1.1 была прекращена в версии Firefox 74.0, которая вышла 10 марта. Целью отказа от старых протоколов было повышение безопасности соединения. Сайты без поддержки TLS 1.2 или TLS 1.3 покажут страницу с ошибкой загрузки по причине низкой безопасности с предложением включить TLS 1.0 и TLS 1.1 для этого сайта.

В октябре 2018 года все крупные производители браузеров, включая Microsoft, Google, Apple и Mozilla объявили об отказе от протоколов TLS 1.0 и TLS 1.1, выпущенных более 10 лет назад. Лаборатория Qualys SSL Labs установила, что 97% исследованных сайтов поддерживают TLS 1.2 и TLS 1.3, решив отказаться от старых версий в угоду новым, более безопасным. Сама же Mozilla заявляла, что лишь 1,2% всех подключений осуществляются по протоколам TLS 1.0 или TLS 1.1.

Тем не менее, по данным Netcraft на март 2020 года, в мире существует 850 000 сайтов, которые по-прежнему используют устаревшие стандарты TLS 1.0 и TLS 1.1. Они подвергают пользователей широкому спектру криптографических атак, позволяя хакерам расшифровывать трафик.

Организация Mozilla сообщила, что начала осуществлять шифрованные подключения DNS over HTTPS (DoH) в своём браузере Firefox по умолчанию, правда, пока только в США.

Развёртывание будет проходить в течение нескольких недель для того, чтобы убедиться в стабильности работы. После завершения широкого тестирования, пользователи Firefox получат последнюю версию браузера с включённой защитой DNS.

Суть защиты в том, что DoH шифрует запросы к серверам доменным имён, так что ни провайдер, ни хакер не может знать, какой сайт вы запросили.

В настоящее время Mozilla поддерживает два доверенных сервера имён. Это Cloudflare и NextDNS. Другие провайдеры могут добавиться к этому списку позднее, однако пока приходиться полагаться на них.

По умолчанию DoH работает только в США, однако самостоятельно его можно включить в любой стране. Для этого в меню Настройки нужно перейти в раздел «Параметры сети», нажать кнопку «Настроить…» и включить «DNS over HTTPS».

Таким образом, теперь установить плагины Avast или AVG из хранилища Mozilla больше нельзя. Ни Avast Online Security и SafePrice, ни AVG Online Security и SafePrice, больше недоступны. При этом сами плагины пока не запрещены, так что ими можно свободно пользоваться.

Создатель AdBlock Plus Владимир Палант опубликовал анализ работы расширения Avast в октябре 2019 года на своём персональном сайте. Он выявил, что расширения Avast передают данные материнской компании, и эти данные куда шире, чем требовалось бы для работы расширения. Так, расширение отсылает полные адреса страницы, заголовка страницы, рефералы и прочие данные по запросу. Данные собираются при открытии страницы и при переключении вкладки. На странице поиска передаётся также каждая ссылка.

Пока переговоры между Mozilla и Avast о работе плагина не ведутся, и если ситуация не изменится, средства Avast могут быть полностью заблокированы в Firefox.

В сборке Nightly Firefox технология DoH появилась в 2018 году, а в финальных сборках она стала доступна несколько месяцев назад. Сейчас её можно включить вручную. Целью работы было повышение интеграции с Firefox с DoH. Проведя эксперименты, разработчики смогли выявить и устранить возможные проблемы, не нарушив комфорт пользователей и работу промышленных сетей.

В результате было решено внедрять DoH в «выпадающем режиме». Это означает, что, если при использовании DoH не удастся получить доменное имя, Firefox вернётся к использованию DNS, указанному операционной системой. Также, если Firefox выявляет наличие родительского контроля или политики предприятия, Firefox отключит шифрованный доступ к DNS.

В Mozilla уже начинают постепенно подключать DNS-over-HTTPS в Firefox по умолчанию на территории США.

Сообщается, что будет обновлён встроенный менеджер паролей, который будет переименован в Firefox Lockwise. Он будет автоматически предупреждать пользователей о том, есть ли среди сохранённых логинов ранее взломанные.

При вводе в адресной строке about:logins можно будет посмотреть, какие из логинов замечены в утечке данных. Ввод логина будет сопровождаться следующим уведомлением: «Пароль был украден с веб-сайта с тех пор, как вы последний раз обновляли детали вашего входа». Также будет предложено обновить пароль, для сохранности данных.

Обозреватель Firefox 70 будет выпущен 22 октября 2019 года.

Первичная разработка Троя была доработана и теперь тестируется на 250 000 пользователей, большая часть из которых живёт в США. После теста Firefox Monitor будет доступна для всех пользователей.

Технология Firefox Monitor создана для контроля учётных записей и повышения безопасности пользователей Интернета, включая тех, кто пользуется другими браузерами, однако через Firefox стоит рассчитывать на дополнительный удобный функционал. Для проверки утечки пользователи должны будут ввести адрес своего почтового ящика на сайте Firefox Monitor и увидеть, были ли данные компрометированы и какие именно данные.

Адрес электронной почты будет проверен по базе HIBP, однако проверка будет проводится через CloudFlare особым образом, чтобы предотвратить передачу персональных данных. После проверки вебсайт предложит лучшее решение, чтобы обезопасить свою учётную запись от утечки.

Также Mozilla планирует запустить сервис, который будет предупреждать пользователей о новых брешах, в которых фигурируют их персональные данные.

Главная идея контекстной идентификации заключается в разделении данных с вебсайтов по индивидуальным контейнерам. Каждый из этих контейнеров используется для посещения сайтов персональной направленности, профессиональной деятельности, для совершения банковских операций или покупок. Всё это должно повысить безопасность работы с данными.

К примеру, если вы посещаете заражённый сайт в небанковском контейнере, то злоумышленники не смогут украсть вашу финансовую информацию, такую как кукисы, необходимые для автоматической аутентификации на сайте банка, хранящиеся в контейнере для банкинга. Каждый из четырёх представленных контейнеров будет содержать собственные кукисы, кэш, indexedDB и localStorage. Персональный контейнер не сможет получить данные из рабочего, однако множество персональных могут обмениваться информацией между собой.

Имеющиеся функции добавления новой вкладки или окна будут работать как обычно, открывая контейнеры общего назначения. Чтобы открыть специальные контейнеры вам придётся нажать на соответствующий пункт меню. Все эти специализированные контейнеры-вкладки будут отличаться по цвету, так что у вас не возникнет путаницы. Также тип контейнера будет обозначен в конце адресной строки.

По мнению разработчиков, данный подход позволит обезопасить и упростить работу в интернете людям, которые используют один и тот же сайт с разными учётными записями из разных браузеров, позволив сохранить свои персоналии разделёнными. Также контейнеры станут промежуточным этапом использования браузера в обычном и приватном режиме, когда все данные пользователя удаляются после закрытия окна.

Современная концепция приватного сёрфинга, не предусматривающего использования постоянных кукисов и истории началась ещё в 2005 году в браузере Apple Safari. Сейчас почти все разработчики браузеров предлагают подобный анонимный режим, однако он не обеспечивает активную защиту от трекинга своих пользователей, и в Mozilla хотят это исправить.

«Наша гипотеза заключается в том, что когда вы открываете окно для конфиденциального сёрфинга, вы даёте понять, что хотите иметь больший контроль над приватностью, чем сейчас обеспечивается возможностями приватного сёрфинга», — пояснила компания в своём анонсе. «Экспериментальная модификация приватного сёрфинга, готовая сейчас для тестирования, активно блокирует элементы сайтов, которые могут быть использованы для учёта посещений разных сайтов. В их число входят такие элементы как контент, аналитика, социальные и прочие сервисы, которые могут собирать данные без вашего ведома». Также в пресс-релизе отмечено, что для разрешения возможных проблем с работой сайтов, вызванной новыми блокировками браузера, в пре-бета версию Firefox включён центр управления, который содержит важные настройки безопасности.

Тем не менее, новые возможности пока описываются лишь как предназначенные «только для тестирования» и не обеспечивают полной конфиденциальности. Однако Mozilla надеется с его помощью привлечь на свою сторону пользователей, которые в последние годы предпочли браузер Chrome.

Согласно исследованиям Fortune, примерно 30% всего интернет трафика в Северной Америке защищено HTTPS. В другом отчёте компании Sandvine сказано, что более 50% мирового трафика проходит по шифрованным соединениям.

И для того, чтобы организации и бизнес охотнее переходили к шифрованному подключению, Firefox решила разработать двухэтапный план. Во-первых, будет установлена дата, после которой сайты, не имеющие HTTPS подключения, не смогут пользоваться новыми функциями Firefox. Во-вторых, Firefox будет постепенно отключать доступ к функциям браузера для тех сайтов, которые не используют шифрование соединения.

В отключенные функции не попадут такие вещи как CSS и другие функции отрисовки страницы. Эти незащищённые сайты смогут использовать собственные эффекты. Однако они не смогут получить доступ к принципиально новым функциям, таким как доступ к аппаратному обеспечению компьютера.

В Mozilla отмечают, что использование HTTPS — это вопрос не только шифрования. Этот протокол обеспечивает большую целостность и повышает доверительное отношение к сайту, поскольку посетители будут точно знать ещё до загрузки страницы, что их ожидает.

А подтверждение этому концепту есть. Подобный подход уже опробован в Pirate Browser от The Pirate Bay, который использует сеть Tor для доступа к запрещённым ресурсам, да и сам Tor Browser построен на Firefox.

По информации The Daily Dot, ряд технологических компаний ведёт переговоры с Tor, при этом сама Mozilla рассмотрит идею «режима приватного просмотра», который обеспечивается проектом Tor. Согласно статье, одна из компаний, которой на самом деле является Mozilla, ищет возможности добавления Tor к своему существующему механизму приватного просмотра. Сама же Mozilla сделала заявление, в котором ни подтвердила, ни опровергла данную информацию.

Если же это действительно произойдёт, это оставит ЦРУ, АНБ и прочие службы безопасности по всему миру абсолютно беспомощными, поскольку технология Tor сделает невозможным сбор данных посредством таких методов как Prism или Tempora.

Тем не менее, несмотря на столь достоверные слухи, пока говорить о внедрении Tor в Mozilla не приходится.

И вот вскоре после этого Mozilla объявила о блокировке поддельного дополнения Microsoft .NET Framework Assistant. Вредоносный компонент был удалён автоматически, так что пользователям не потребуется проводить никаких действий. «Мы отключили мошенническое дополнение Microsoft .NET Framework Assistant, использовавшее Advanced Power как часть своих атак», — заявил представитель Mozilla в своей рассылке. После чего он дал традиционные рекомендации в плане безопасности, вроде использования многоуровневой системы защиты, которая включает антивирус, а также отказ от установки неизвестных приложений.

Что касается самого ботнета, то он уже успел собрать более 12 500 компьютеров. Киберпреступники используют вредоносное ПО для слежения за сайтами, которые посещает инфицированная машина в попытках внедрить уязвимости SQL кода. После чего они используют найденные уязвимости для получения информации из баз данных вебсайтов.

По словам авторов, плагин, названный Lightbeam, делает возможным «определять отдельные третьи стороны в пространстве и времени, устанавливая, когда они подключаются к вашей онлайн активности и предоставлять вам способы связи между этими отдельными просмотрами в Паутине». Суть в том, что когда вы листаете интернет, вся ваша активность постоянно отслеживается третьими сторонами на сайтах, которые вы посещаете, зачастую никак не указывая и не предупреждая об этом.

Новый плагин предоставляет интерактивную визуализацию каждого стороннего элемента на сайте, посещаемом вами, увеличивая диаграмму в размерах с каждым посещённым ресурсом. Вся собираемая статистика хранится локально и может быть окончательно удалена вместе с плагином.

Сама Mozilla достаточно давно озадачилась слежкой в интернете и надеется хоть немного осветить эту проблему с помощью плагина Lightbeam, дав пользователям простой инструмент отслеживания бесконечного числа подключений, которое проходит через ваш браузер каждый день.