Новости про Firefox и безопасность

Chrome, Firefox и Opera блокируют приложение Stylish

Многим пользователям нравится плагин Stylish, который позволяет модифицировать внешний вид веб сайтов. Он доступен для многих браузеров и загружен более двух миллионов раз, но теперь он оказался под пристальным вниманием безопасников.

Дело в том, что этот плагин был выкуплен SimilarWeb в январе 2017 года, и новый владелец внёс большие изменения в политику безопасности, превратив плагин в инструмент перехвата данных. Плагин Stylish начал шпионить за пользователями и отправлять на свои сервера данные о посещаемых сайтах, результатах поиска Google, а также об укороченной и хэшированной версии IP, типе пользовательского агента и т.д.

Плагин Stylish
Плагин Stylish

Программный инженер Роберт Хитсон заявил, что Stylish собирает историю браузера из Chrome с января 2017 года, а из Firefox с марта. Даже когда сбор данных был раскрыт, ни Google, ни Mozilla, ни Opera не предприняли каких-либо действий, пока Хитсон не опубликовал документ. Спустя пару дней Mozilla, Google и Opera забанили Stylish. Официального ответа от разработчиков плагина не поступало.

Вся эта история в очередной раз демонстрирует, что браузерные расширения, даже популярные, могут не быть безопасными.

Mozilla начинает тестировать функцию безопасности Firefox Monitor

Компания Mozilla начала работу над новой функцией безопасности для Firefox, которая позволяет выяснить, были ли аккаунты пользователей взломаны или компрометированы. Решение основано на ресурсе Троя Ханта Have I been Pwned (HIBP), который индексирует утечки данных.

Первичная разработка Троя была доработана и теперь тестируется на 250 000 пользователей, большая часть из которых живёт в США. После теста Firefox Monitor будет доступна для всех пользователей.

Firefox Monitor
Firefox Monitor

Технология Firefox Monitor создана для контроля учётных записей и повышения безопасности пользователей Интернета, включая тех, кто пользуется другими браузерами, однако через Firefox стоит рассчитывать на дополнительный удобный функционал. Для проверки утечки пользователи должны будут ввести адрес своего почтового ящика на сайте Firefox Monitor и увидеть, были ли данные компрометированы и какие именно данные.

Адрес электронной почты будет проверен по базе HIBP, однако проверка будет проводится через CloudFlare особым образом, чтобы предотвратить передачу персональных данных. После проверки вебсайт предложит лучшее решение, чтобы обезопасить свою учётную запись от утечки.

Также Mozilla планирует запустить сервис, который будет предупреждать пользователей о новых брешах, в которых фигурируют их персональные данные.

Chrome, Edge и Firefox скоро могут лишится паролей благодаря стандарту WebAuthn

В скором времени, благодаря стандарту WebAuthn, обозреватели интернета могут лишиться паролей. Сейчас его уже поддерживает Firefox, а браузеры Chrome и Edge готовятся к его реализации.

Разрабатываемый World Wide Web Consortium (W3C) и FIDO Alliance стандарт WebAuthn является API, который позволяет разработчикам лучше реализовывать новый стандарт безопасного логина FIDO2, который использует разные методы аутентификации, включая биометрику и USB брелоки. Их применение позволяет исключить использование паролей.

Ключ аппаратной защиты

Такой шаг позволит решить проблему путаницы паролей и фишинговых сайтов, позволяя осуществлять операции с онлайн сервисами намного безопаснее.

Технология WebAuthn уже давно находится в разработке, но чтобы стать популярной ей нужно заручиться поддержкой браузеров. Крупнейшие игроки рынка уже заявили об этом. Исключением является Apple, которая пока не сообщила о поддержке технологии в Safari, хотя компания и является одним из разработчиков API.

Вход в онлайн сервисы с помощью аппаратного ключа не является чем-то новым. Такой подход часто используют правительственные организации, однако для этого требуется специализированный донгл и драйвер. Технология WebAuthn унифицирует эту систему, позволяя применять общедоступные библиотеки.

Firefox скоро расскажет о взломе сайтов

Не так давно Mozilla существенно обновила свой браузер Firefox, назвав обновление проектом Quantum. Похоже, что скоро обозреватель получит ещё одну новую интересную функцию.

Совместно с «Have I been Pwned», сайтом, отслеживающем утечки данных, Mozilla планирует реализовать систему уведомлений о взломе посещаемого сайта. Пока функция находится на ранних этапах, однако заинтересованные пользователи могут посетить Github, скомпилировать код и добавить его в Firefox. Пока функция работает лишь с Firefox Developer Edition.

Взломано!

Сейчас не совсем ясно, как это всё будет работать. В мире есть огромное количество сайтов, которые были взломаны в то или иное время. Возможно, что пользователей будут уведомлять о недавней утечке, иначе сёрфинг рискует превратиться в постоянное закрывание сообщений.

Mozilla откажется от поддержки Windows XP и Vista

Разработчик браузера Firefox уже несколько лет пытается отказаться от поддержки Windows XP. И после того, как Microsoft уже два года не поддерживает эту ОС, настало время для более решительных шагов.

Начиная с весны, пользователи Firefox на операционных системах Windows XP и Vista будут принудительно переведены на схему выпусков ESR — Extended Support Release, которая часто используется большими компаниями и образовательными учреждениями. Данное изменение произойдёт автоматически через процесс обновления браузера.

Mozilla Firefox

У пользователей устаревших систем будет возможность задуматься над обновлением, поскольку выпускать обновления безопасности Mozilla будет лишь «до сентября 2017 года». Таким образом промышленные пользователи обозревателя должны понимать, что с осени этого года они лишатся обновлений Firefox, и уровень сетевой безопасности их предприятий будет быстро падать.

В Mozilla отметили, что браузер продолжит работать на старых ОС и после прекращения поддержки, однако обновлений в области безопасности больше не будет, поэтому предлагается «обновиться до версии Windows, поддерживаемой Microsoft».

Mozilla готовит контекстно разделяемые вкладки

Разработчик Mozilla выпустил новую ночную сборку браузера Firefox версии 50, в которой появилась возможность создавать изолированные вкладки, разделяющие персональные страницы, работу, банкинг и покупки.

Главная идея контекстной идентификации заключается в разделении данных с вебсайтов по индивидуальным контейнерам. Каждый из этих контейнеров используется для посещения сайтов персональной направленности, профессиональной деятельности, для совершения банковских операций или покупок. Всё это должно повысить безопасность работы с данными.

Контекстные контейнеры в Firefox

К примеру, если вы посещаете заражённый сайт в небанковском контейнере, то злоумышленники не смогут украсть вашу финансовую информацию, такую как кукисы, необходимые для автоматической аутентификации на сайте банка, хранящиеся в контейнере для банкинга. Каждый из четырёх представленных контейнеров будет содержать собственные кукисы, кэш, indexedDB и localStorage. Персональный контейнер не сможет получить данные из рабочего, однако множество персональных могут обмениваться информацией между собой.

Контекстные контейнеры в Firefox

Имеющиеся функции добавления новой вкладки или окна будут работать как обычно, открывая контейнеры общего назначения. Чтобы открыть специальные контейнеры вам придётся нажать на соответствующий пункт меню. Все эти специализированные контейнеры-вкладки будут отличаться по цвету, так что у вас не возникнет путаницы. Также тип контейнера будет обозначен в конце адресной строки.

По мнению разработчиков, данный подход позволит обезопасить и упростить работу в интернете людям, которые используют один и тот же сайт с разными учётными записями из разных браузеров, позволив сохранить свои персоналии разделёнными. Также контейнеры станут промежуточным этапом использования браузера в обычном и приватном режиме, когда все данные пользователя удаляются после закрытия окна.

Mozilla тестирует новый приватный режим в Firefox

Разработчик браузера Firefox, ассоциация Mozilla, объявила о начале тестирования новой системы приватного сёрфинга, пообещав сделать свой обозреватель лучшим решением для тех, кто не хочет быть отслеженным в Сети.

Современная концепция приватного сёрфинга, не предусматривающего использования постоянных кукисов и истории началась ещё в 2005 году в браузере Apple Safari. Сейчас почти все разработчики браузеров предлагают подобный анонимный режим, однако он не обеспечивает активную защиту от трекинга своих пользователей, и в Mozilla хотят это исправить.

Mozilla Firefox

«Наша гипотеза заключается в том, что когда вы открываете окно для конфиденциального сёрфинга, вы даёте понять, что хотите иметь больший контроль над приватностью, чем сейчас обеспечивается возможностями приватного сёрфинга», — пояснила компания в своём анонсе. «Экспериментальная модификация приватного сёрфинга, готовая сейчас для тестирования, активно блокирует элементы сайтов, которые могут быть использованы для учёта посещений разных сайтов. В их число входят такие элементы как контент, аналитика, социальные и прочие сервисы, которые могут собирать данные без вашего ведома». Также в пресс-релизе отмечено, что для разрешения возможных проблем с работой сайтов, вызванной новыми блокировками браузера, в пре-бета версию Firefox включён центр управления, который содержит важные настройки безопасности.

Тем не менее, новые возможности пока описываются лишь как предназначенные «только для тестирования» и не обеспечивают полной конфиденциальности. Однако Mozilla надеется с его помощью привлечь на свою сторону пользователей, которые в последние годы предпочли браузер Chrome.

Mozilla хочет уничтожить нешифрованный протокол HTTP

Компания Mozilla хочет сделать шифрованное HTTPS подключение основным средством соединения в интернете. В связи с чем ею была объявлена стратегия, согласно которой только сайты с HTTPS протоколом получат доступ ко всем функциям браузера.

Согласно исследованиям Fortune, примерно 30% всего интернет трафика в Северной Америке защищено HTTPS. В другом отчёте компании Sandvine сказано, что более 50% мирового трафика проходит по шифрованным соединениям.

И для того, чтобы организации и бизнес охотнее переходили к шифрованному подключению, Firefox решила разработать двухэтапный план. Во-первых, будет установлена дата, после которой сайты, не имеющие HTTPS подключения, не смогут пользоваться новыми функциями Firefox. Во-вторых, Firefox будет постепенно отключать доступ к функциям браузера для тех сайтов, которые не используют шифрование соединения.

HTTPS

В отключенные функции не попадут такие вещи как CSS и другие функции отрисовки страницы. Эти незащищённые сайты смогут использовать собственные эффекты. Однако они не смогут получить доступ к принципиально новым функциям, таким как доступ к аппаратному обеспечению компьютера.

В Mozilla отмечают, что использование HTTPS — это вопрос не только шифрования. Этот протокол обеспечивает большую целостность и повышает доверительное отношение к сайту, поскольку посетители будут точно знать ещё до загрузки страницы, что их ожидает.

Mozilla может включить шифрование Tor в браузер Firefox

Похоже, что Mozilla может пополнить список технологических компаний, неподконтрольных АНБ, после того как решит использовать технологию шифрования Tor в своём браузере.

А подтверждение этому концепту есть. Подобный подход уже опробован в Pirate Browser от The Pirate Bay, который использует сеть Tor для доступа к запрещённым ресурсам, да и сам Tor Browser построен на Firefox.

Поддержка Tor в Firefox

По информации The Daily Dot, ряд технологических компаний ведёт переговоры с Tor, при этом сама Mozilla рассмотрит идею «режима приватного просмотра», который обеспечивается проектом Tor. Согласно статье, одна из компаний, которой на самом деле является Mozilla, ищет возможности добавления Tor к своему существующему механизму приватного просмотра. Сама же Mozilla сделала заявление, в котором ни подтвердила, ни опровергла данную информацию.

Если же это действительно произойдёт, это оставит ЦРУ, АНБ и прочие службы безопасности по всему миру абсолютно беспомощными, поскольку технология Tor сделает невозможным сбор данных посредством таких методов как Prism или Tempora.

Тем не менее, несмотря на столь достоверные слухи, пока говорить о внедрении Tor в Mozilla не приходится.

Mozilla отключила поддельные дополнения

На прошлой неделе было объявлено о раскрытии ботнета под названием Advanced Power. Эта угроза основана на особой версии аддона Microsoft .NET Framework Assistant Firefox, которая позволяла угнать компьютер и превратить его в зомби, которые искали уязвимости на веб сайтах внедрением SQL кода.

И вот вскоре после этого Mozilla объявила о блокировке поддельного дополнения Microsoft .NET Framework Assistant. Вредоносный компонент был удалён автоматически, так что пользователям не потребуется проводить никаких действий. «Мы отключили мошенническое дополнение Microsoft .NET Framework Assistant, использовавшее Advanced Power как часть своих атак», — заявил представитель Mozilla в своей рассылке. После чего он дал традиционные рекомендации в плане безопасности, вроде использования многоуровневой системы защиты, которая включает антивирус, а также отказ от установки неизвестных приложений.

Панель управления Adaptive Power

Что касается самого ботнета, то он уже успел собрать более 12 500 компьютеров. Киберпреступники используют вредоносное ПО для слежения за сайтами, которые посещает инфицированная машина в попытках внедрить уязвимости SQL кода. После чего они используют найденные уязвимости для получения информации из баз данных вебсайтов.

Представлен плагин для Firefox показывающий, кто следит за вашим трафиком

Компания Mozilla разработала новый плагин для своего браузера, который способен изменить ваш взгляд на ежедневную активность в Сети.

По словам авторов, плагин, названный Lightbeam, делает возможным «определять отдельные третьи стороны в пространстве и времени, устанавливая, когда они подключаются к вашей онлайн активности и предоставлять вам способы связи между этими отдельными просмотрами в Паутине». Суть в том, что когда вы листаете интернет, вся ваша активность постоянно отслеживается третьими сторонами на сайтах, которые вы посещаете, зачастую никак не указывая и не предупреждая об этом.

Mozilla Lightbeam

Новый плагин предоставляет интерактивную визуализацию каждого стороннего элемента на сайте, посещаемом вами, увеличивая диаграмму в размерах с каждым посещённым ресурсом. Вся собираемая статистика хранится локально и может быть окончательно удалена вместе с плагином.

Сама Mozilla достаточно давно озадачилась слежкой в интернете и надеется хоть немного осветить эту проблему с помощью плагина Lightbeam, дав пользователям простой инструмент отслеживания бесконечного числа подключений, которое проходит через ваш браузер каждый день.

Microsoft: IE намного безопаснее Firefox и Chrome

Компания Microsoft готовится выпустить Windows 8.1 Preview с новой версией браузера Internet Explorer 11 и старается не упустить каждую возможность его пропиарить.

Однако на сей раз фирма решила вернуться к текущей версии IE10 и вооружившись исследованиями компании NSS Labs показала, что её собственный обозреватель безопаснее продукции конкурентов.

Стоит отметить, что NSS Labs — это «независимая организация по исследованиям в области безопасности и тестировании», так что этим результатам вполне можно доверять.

Согласно исследованиям, когда речь заходит о реальных атаках, браузер IE10 работает лучше своих конкурентов. По уверениям разработчиков, их собственный обозреватель блокирует не менее 99% вредоносного ПО.

Блокировка вредоносного ПО браузерами

Компания объявила: «Chrome, Firefox и Safari все используют API безопасного сёрфинга от Google для блокировки подозрительных ссылок с уровнем успеха примерно в 10%. Большинство защит Chrome происходит после того как пользователи уже загрузили подозрительное ПО в форме предупреждения. Для сравнения, фильтрация адресов SmartScreen в Internet Explorer 10 сама блокирует также много, как и Chrome, и когда добавлена репутация приложения, IE10 блокирует более 99% вредоносного ПО».

Что касается уровня уязвимостей, то и тут собственная разработка Рэдмонда уверенно держит преимущество. Так за этот год было найдена 41 уязвимость в IE, в то время как Google пришлось исправить 291 уязвимость, а 257 опасных ошибок было объявлено для Mozilla Firefox.

Ну а учитывая то, что Microsoft в ближайшее время выпустит IE11 со значительными модификациями в обозревателе, стоит ожидать ещё лучших результатов не только в безопасности, но и в скорости работы Internet Explorer.