Новости про браузеры

Windows 10 будет отговаривать пользователей от других браузеров

В качестве эксперимента в очередной сборке Windows 10 компания Microsoft решила выдавать пользователям уведомление в случае, если они хотят поставить Google Chrome или Mozilla Firefox.

Это лишь эксперимент, и он не планируется ко включению в финальную версию ОС в октябре, однако такая возможность не исключается в будущем. Идея заключается в том, чтобы лишний раз привлечь внимание пользователей и отговорить их от установки сторонних обозревателей. Сообщение появляется при инсталляции конкурирующего решения.

Microsoft Edge

«У вас уже есть Microsoft Edge — самый безопасный, быстрейший браузер для Windows 10». У сообщения есть два варианта для выбора: открыть Edge или продолжать установку.

При отказе будет продолжена установка стороннего браузера. Отключить функцию можно через настройки со ссылкой к ним прямо в сообщении.

Вряд ли такая инициатива придёт по нраву пользователем. Такое действие компании по продвижению своего обозревателя выглядит несколько жалко. Сейчас доля Edge составляет лишь 4%.

Поддельное расширение Mega для Chrome привело к массовой утечке пользовательских данных

Сервис Mega является шифрованным облачным хранилищем данных. Но оказалось, что оно имеет большую уязвимость, и всё из-за расширения для браузера Chrome.

Из-за установки поддельного приложения из Chrome Web Store, содержащего вредоносный код, пользователи потеряли свои данные учётных записей и ключи от криптокошельков.

Компания Mega дала ряд пояснений: «4 сентября 2018 года в 14:30 неизвестные злоумышленники загрузили в магазин Google Chrome троянскую версию расширения MEGA для Chrome версии 3.39.4».

Кроме Mega вредоносное расширение было нацелено на сайты, такие как Amazon, Live (Microsoft), Github и Google, перехватывая учётные записи пользователей. Также оно воровало приватные ключи от кошельков криптовалют, нацелившись на такие сервисы, как MyEtherWallet, MyMonero, и Idex.market.

Логотип Mega
Логотип Mega

В Mega добавили: «Если вы посещали любой из этих сайтов, или использовали другое расширение, отсылающее учтённые данные простым текстом по POST запросам, по прямому подчинению или через фоновый процесс XMLHttpRequest (MEGA в их число не входит), пока троянская версия была активна, учтите, что ваши учётные данные скомпрометированы через этот сайт и/или приложения».

Пока расследование показывает, что вся перехваченная информация была направлены на некий украинский сервер. Каким образом хакерам удалось получить доступ к учётной записи Mega в Chrome Web Store, компания пока не знает.

Отмечается, что «спустя 4 часа после выявления уязвимости, троянское расширение было обновлено Mega до чистой версии 3.39.5 с принудительным автообновлением».

Firefox будет предлагать сайты на основе выбора ИИ

Программа Firefox Test Pilot вывела в свет множество интересных идей. Новый эксперимент Mozilla, тестируемый по этой же программе, получил название Advance. Он будет представлять собой сервис на основе искусственного интеллекта, который пытается предсказать, что за страницу вы захотите посмотреть следующей.

Разработка Advance ведётся совместно с Laserlike, стартапом машинного обучения, который также строит свою систему поиска контента, его обнаружения и персонализации. Благодаря ему Firefox сможет предположить, что за страница может оказаться вам интересной. Выбор будет сделан на основе постоянного изучения ваших предпочтений, пока вы путешествуете по Интернету. Эта функция будет работать на кулинарных рецептах, сообщениях в блогах и новостях, всяком контенте, который позиционируется как необходимый к изучению.

Работа технологии Advance на примере кулинарных рецептов
Работа технологии Advance на примере кулинарных рецептов

Mozilla известна своим отношением к пользовательским данным и безопасности, так что даже используя ИИ, она продолжает относится к ним с предельной осторожностью. Эксперимент Advance доступен опционально, пользователи могут остановить сбор данных в любой момент, а при желании и вовсе удалить всю собранную информацию.

Chrome, Firefox и Opera блокируют приложение Stylish

Многим пользователям нравится плагин Stylish, который позволяет модифицировать внешний вид веб сайтов. Он доступен для многих браузеров и загружен более двух миллионов раз, но теперь он оказался под пристальным вниманием безопасников.

Дело в том, что этот плагин был выкуплен SimilarWeb в январе 2017 года, и новый владелец внёс большие изменения в политику безопасности, превратив плагин в инструмент перехвата данных. Плагин Stylish начал шпионить за пользователями и отправлять на свои сервера данные о посещаемых сайтах, результатах поиска Google, а также об укороченной и хэшированной версии IP, типе пользовательского агента и т.д.

Плагин Stylish
Плагин Stylish

Программный инженер Роберт Хитсон заявил, что Stylish собирает историю браузера из Chrome с января 2017 года, а из Firefox с марта. Даже когда сбор данных был раскрыт, ни Google, ни Mozilla, ни Opera не предприняли каких-либо действий, пока Хитсон не опубликовал документ. Спустя пару дней Mozilla, Google и Opera забанили Stylish. Официального ответа от разработчиков плагина не поступало.

Вся эта история в очередной раз демонстрирует, что браузерные расширения, даже популярные, могут не быть безопасными.

Mozilla начинает тестировать функцию безопасности Firefox Monitor

Компания Mozilla начала работу над новой функцией безопасности для Firefox, которая позволяет выяснить, были ли аккаунты пользователей взломаны или компрометированы. Решение основано на ресурсе Троя Ханта Have I been Pwned (HIBP), который индексирует утечки данных.

Первичная разработка Троя была доработана и теперь тестируется на 250 000 пользователей, большая часть из которых живёт в США. После теста Firefox Monitor будет доступна для всех пользователей.

Firefox Monitor
Firefox Monitor

Технология Firefox Monitor создана для контроля учётных записей и повышения безопасности пользователей Интернета, включая тех, кто пользуется другими браузерами, однако через Firefox стоит рассчитывать на дополнительный удобный функционал. Для проверки утечки пользователи должны будут ввести адрес своего почтового ящика на сайте Firefox Monitor и увидеть, были ли данные компрометированы и какие именно данные.

Адрес электронной почты будет проверен по базе HIBP, однако проверка будет проводится через CloudFlare особым образом, чтобы предотвратить передачу персональных данных. После проверки вебсайт предложит лучшее решение, чтобы обезопасить свою учётную запись от утечки.

Также Mozilla планирует запустить сервис, который будет предупреждать пользователей о новых брешах, в которых фигурируют их персональные данные.

Chrome, Edge и Firefox скоро могут лишится паролей благодаря стандарту WebAuthn

В скором времени, благодаря стандарту WebAuthn, обозреватели интернета могут лишиться паролей. Сейчас его уже поддерживает Firefox, а браузеры Chrome и Edge готовятся к его реализации.

Разрабатываемый World Wide Web Consortium (W3C) и FIDO Alliance стандарт WebAuthn является API, который позволяет разработчикам лучше реализовывать новый стандарт безопасного логина FIDO2, который использует разные методы аутентификации, включая биометрику и USB брелоки. Их применение позволяет исключить использование паролей.

Ключ аппаратной защиты

Такой шаг позволит решить проблему путаницы паролей и фишинговых сайтов, позволяя осуществлять операции с онлайн сервисами намного безопаснее.

Технология WebAuthn уже давно находится в разработке, но чтобы стать популярной ей нужно заручиться поддержкой браузеров. Крупнейшие игроки рынка уже заявили об этом. Исключением является Apple, которая пока не сообщила о поддержке технологии в Safari, хотя компания и является одним из разработчиков API.

Вход в онлайн сервисы с помощью аппаратного ключа не является чем-то новым. Такой подход часто используют правительственные организации, однако для этого требуется специализированный донгл и драйвер. Технология WebAuthn унифицирует эту систему, позволяя применять общедоступные библиотеки.

Firefox 58 ускорится за счёт потоковой компиляции

Чуть более месяца назад Mozilla выпустила Firefox Quantum (версия 57), которая демонстрирует нешуточный прирост в скорости работы. В версии 58 разработчики продолжат курс на ускорение, которое будет достигнуто за счёт потоковой компиляции и нового двухпоточного компилятора WebAssembly.

«Если вы начинаете компилировать код раньше, то вы и закончите компилировать его раньше», — в блоге Mozilla сообщили об очевидной вещи. Разработчики пояснили, что загружаемый код страницы не попадает браузеру целиком, а приходит пакетами, размещаемыми в буфере. После загрузки в ArrayBuffer создаётся .wasm файл, который и компилируется.

Mozilla Firefox

Однако в Mozilla решили, что можно приступить к компиляции раньше, не дожидаясь полной загрузки .wasm и передавая код страницы в WebAssembly по строкам.

Но ведь нас интересует производительность. По словам разработчиков, она заметно возрастёт. На настольных ПК Firefox будет компилировать 30—60 МБ кода WebAssembly в секунду, а на мобильных устройствах — 8 МБ/с. Это означает прирост в 10—15 раз.

Браузер Firefox 58 будет выпущен во вторник 23 января.

Mozilla рассказала о магии Firefox 57 Quantum

Фонд Mozilla, выпустив браузер Firefox 57 с кодовым именем Quantum, удивил всех скоростью его работы. Раньше разработчики всегда сообщали об ускорении от версии к версии, но заметить изменения не прибегая к тестам было сложно. В версии Quantum изменения оказались разительными.

Благодаря им Mozilla рассчитывает вернуть Firefox утраченные позиции на рынке. Но что стоит за таким увеличением производительности, было не ясно. Теперь же один из инженеров пояснил суть.

Оказывается при загрузке страницы новый Firefox откладывает загрузку скриптов из доменов трекинга, снижая общее время активной загрузки страницы и рендера контента. Инженер Хонза Бамбас придумал эту идею, которую назвал «затягивание». Этот метод позволяет более эффективно использовать канал связи, средства ввода-вывода и CPU для загрузки изображений и скриптов, работающих на сайте. В результате запрашиваемая страница оказывается загружена быстрее, чем могла бы быть при получена при обычном подходе.

Firefox Quantum

Бамбас отметил, что решение не нарушает стандартов HTML, а правильно построенные сайты будут показываться точно так же. Браузер Firefox 57 ничего не ломает, по крайней мере, на хорошо спроектированных сайтах, а лишь ускоряет их работу.

Но что если сайт построен неверно? Это может вызвать проблемы. Если вы столкнулись с проявлением ошибок на сайтах, или хотите опробовать работу браузера в старом режиме, то затягивание можно отключить, набрав в адресной строке about:config и переключить параметр set network.http.tailing.enabled на false.

Браузер Puffin со сжатием страниц выходит на Windows

Не сильно хорошо известный, но всё же неплохой браузер Puffin теперь стал доступен для Windows в бета версии, предложив компьютерам те же возможности, что и мобильным телефонам.

Главными преимуществами обозревателя Puffin являются высокая скорость, приватность и безопасность. Все эти функции обеспечиваются облачным бэк-эндом, который сжимает данные сайта для передачи.

Подобно Opera Mini, Puffin использует облачные вычисления для подготовки и сжатия веб-страниц. Это не только уменьшает расход трафика на лимитных подключениях, но и заметно ускоряет загрузку. К примеру, в Puffin страница CNN загружается в 4 раза быстрее, чем на Microsoft Edge. Также в ускорении свою роль играет «революционный движок JavaScript».

Сравнение Puffin и Edge

Кроме того, облачное подключение обеспечивает безопасность сёрфинга в открыты WiFi сетях, поскольку передаваемые через сервера Puffin данные уже зашифрованы. Правда, сами разработчики ничего не говорят о доступе компании к этим данным.

Загрузить браузер довольно просто, благо, он есть в магазине приложений Windows 10. Разработчики обеспечивают поддержку обозревателя и в Windows 7.

Вэб-майнинг эволюционирует

После того, как Pirate Bay внедрила идею майнинга на сайте, многие другие ресурсы последовали её примеру. Однако чтобы прекратить нагружать ваш процессор, было достаточно закрыть в браузере вкладку. Теперь майнеры эволюционировали, и простого закрытия обозревателя недостаточно.

Антишпионский сервис Malwarebytes выявил новую форму вэб-майнера криптовалюты, который работает даже после закрытия браузера. Для этого использован примитивный трюк. Открываясь, страница с майнером исполняет скрипт со всплывающим окном, которое сворачивается в область за панелью задач возле часов в системном трее. Это предельно простое решение, но оно позволяет оставаться незамеченным долгое время, пока пользователь не обратит внимания на сгруппированные значки или не проверит диспетчер задач.

Сокрытие окна браузера

Аналитик Malwarebytes Жером Сегура сообщил: «Это всплывающее окно создано для обхода блокировщиков рекламы, и его намного сложнее обнаружить, потому что оно хитро прячется. Закрытие браузера кнопкой „X“ больше неэффективно».

Решением проблемы может стать внимательное слежение за потребляемыми ресурсами, контроль активности браузера в диспетчере задач, а для лучшей визуализации свёрнутого окна — отключение группировки и сокрытия значков системном трее.

Сегура отметил, что метод рассчитан на работу с Windows 7 и Windows 10 и браузером Chrome, но очевидно, что следующим шагом будет поддержка зловредом других обозревателей интернета.