Утащить кота в мешке

Менеджер паролей браузера Firefox позволял обходить собственную основную защиту — мастер-пароль.

Мастер-пароль требуется ввести прежде чем пользователь может получить доступ к своим сохранённым логинам и паролям. Логины в списке будут видны сразу, а пароли - только после ввода мастер-пароля. Однако, как выяснилось, из-за программного недочёта пользователь мог кликнуть по соответствующему логину правой кнопкой мыши и выбрать опцию «Скопировать пароль», после чего пароль копировался без ввода мастер-пароля.

В версии Firefox 68.0.2 это исправлено, теперь скопировать пароль просто так не получится.

Менеджер паролей Firefox - опциональный инструмент, однако по умолчанию он в браузере активирован. При этом мастер-пароль не установлен, так что все сохранённые пароли будут видны сразу, без дополнительных условий, что делает его практически бесполезным.

Посторонним в...

Менеджеры паролей тем или иным образом сегодня реализованы во всех браузерах. Google Chrome под Windows 10 по умолчанию требует пароль к текущей учётной записи пользователя; что касается Edge, то он глубоко интегрирован в операционную систему, так что сохранённые в нём пароли доступны там же, где и остальная информация об учётной записи текущего пользователя.

По умолчанию пароли скрыты, и для того, чтобы просмотреть их, также потребуется вводить пароль к учётной записи. Менеджер паролей Firefox отличается именно возможностью собственного мастер-пароля.

«Менеджер паролей - наиболее рекомендуемый метод хранения паролей для доступа к сетевым ресурсам: они хранятся в зашифрованном виде, так что прочитать их можно только зная мастер-пароль, - говорит Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. - Описываемый сценарий реализуем только тогда, когда у злоумышленника уже есть локальный доступ к чужой машине, а учитывая, что в большинстве случаев в браузерах включена функция автозаполнения, устранённая ошибка в Firefox мало на что влияла. Куда более важно - не допускать посторонних к своей учётной записи».

Как говорится в официальном заявлении, опубликованном на сайте Mozilla на трех языках: английском, русском и казахском, компании пошли на эти меры "в связи с достоверными сведениями", что в Казахстане интернет-провайдеры требуют от граждан установить "государственный сертификат на всех устройствах и в каждом браузере для доступа в Интернет", который после установки "позволяет правительству расшифровывать и читать" всю информацию, пересылаемую пользователями.

Схожее заявление появилось в официальном блоге Google. В нем говорится, что внедренные технические решения "будут блокировать сертификат, который Казахстан вынуждает установить". В компании сообщают, что пользователям не нужно предпринимать никаких действий. Кроме того, разработка включена в исходный код Chromium и со временем также заработает и для других браузеров, построенных на его основе.

"Мы не хотели бы прибегать к подобным действиям, однако защита пользователей и целостность Интернета – это базовый принцип существования Firefox", – процитировала Mozilla Маршалла Эрвина, старшего директора отдела доверия и безопасности.

"Мы приняли защитные меры от этой конкретной проблемы и всегда будем принимать меры для защиты наших пользователей по всему миру", – отметил Парис Табриз, старший директор по технологиям браузера Chrome.

Как отмечает Mozilla, попытка казахстанского правительства внедрить подобный корневой сертификат – вторая по счету. Первая была предпринята в 2015 году, но не удалась.

В компании Apple заявили, что в ее браузер Safari были встроены меры для блокировки "сертификата безопасности". В компании отметили, что Qaznet Trust Network исключен из списка доверенных сертификатов.

Внедрение так называемого "сертификата безопасности" началось в июле. Казахстанские пользователи получали сообщения от операторов связи с призывом установить Qaznet Trust Network на свои устройства. Представители различных ведомств настаивали, что это инструмент защиты от кибератак и противоправного контента.

Технологию подвергли критике специалисты по кибербезопасности и правозащитники. Они заявили, что он предназначен для перехвата данных и слежки, и высказали опасения, что с его помощью власти пытаются усилить контроль над интернетом в стране. Введение сертификата вызвало всплеск общественного недовольства и акции протеста.

В ночь на 7 августа президент Касым-Жомарт Токаев написал в ........, что сертификат вводил комитет национальной безопасности по его поручению для "тестирования" мер защиты от "вторжений извне". В КНБ введение сертификата также назвали "успешным тестированием" и сообщили, что в будущем его планируется использовать в случае "внешних киберугроз". Позднее на сайте ведомства были размещены инструкции по удалению сертификата с устройств.

Популярное ранее расширение позволяло скачать практически любые ресурсы с веб-страниц — от картинок до звуков. DownThemAll разбирало внутренности сайтов и позволяло выбрать что конкретно нужно скачать. Разработчик дополнения отмечает, что новая версия будет полностью переписана, однако некоторые функции останутся в прошлом из-за ограничений платформы WebExtensions.

Помимо этого, у Нильса Майера есть планы на Chrome-версию расширения и несколько нововведений, включая дополненную локализацию, поддержку drag-and-drop и расстановку приоритетов загрузки. Также будут реализованы массовые манипуляции файлами (выделение, загрузка, переименование, удаление). Приблизительная дата выпуска первой бета-версии DownThemAll для новых версий Firefox пока не называется. За обновлениями проекта можно следить на странице GitHub.

Браузер у 2 рази швидший, ніж звичайний Firefox. Він має мінімалістичний дизайн головного екрана і нижню панель навігації, а також функцію захисту від відстеження, яка активована за замовчуванням. Нещодавно, Mozilla випустила попередню версію цього експериментального браузера. Остаточна версія має вийти восени цього року.

APK-файл Firefox Preview 1.3 став доступний

Mozilla випустила останнє оновлення для браузера, в якому виправлено декілька помилок, а також з’явився новий віджет пошуку. Оновлена ​​версія доступна через магазин застосунків Google Play. Крім того, тепер ви можете додати віджет браузера на домашній екран, який дозволить вам почати пошук без будь-яких додаткових натискань. Щоб додати віджет, торкніться порожнього місця на головному екрані > Віджети > Firefox Preview. Завантажити APK-файл браузера можна за посиланням. На сайті версія 1.3, а у Google Play ще версія 1.2.

Firefox 69.0 в настоящее время уже можно получить через обновления OTA в установленном браузере. Также можно скачать сетевой или полный установщик на официальном FTP. И хотя крупных нововведений в этой версии нет, всё же Firefox 69 приносит некоторые улучшения для пользователей Windows и Mac.

В последнем случае речь идёт об увеличении времени автономной работы на компьютерах Mac в конфигурации с двумя графическими процессорами. В этом случае Firefox теперь выбирает более энергоэффективный GPU, что позволяет снизить потребление энергии при воспроизведении WebGL-контента. Также для пользователей MacOS браузер теперь отображает ход загрузки в Finder.

В Windows изменения проявились в повышении производительности. Теперь браузер позволяет пользователям правильно устанавливать уровни приоритета для того или иного контента. А ещё добавлена поддержка расширения HmacSecret для веб-аутентификации в системах Windows 10 May 2019 Update или более поздних версиях. Это расширение позволяет использовать Windows Hello.

Наконец, 69 вносит изменения в работу плагина Adobe Flash Player. Отныне его запуск придётся разрешать каждый раз при обнаружении Flash-содержимого на сайте. Таким образом, компания Mozilla продолжает путь к полному отказу от устаревшей и «дырявой» веб-технологии.

К слову, несколько дней назад разработчики выпустили крупное обновление почтовой программы Thunderbird под номером 68 под все поддерживаемые платформы.

В настоящее время более 20% пользователей Firefox имеют расширенную защиту отслеживания. В сегодняшнем обновлении мы ожидаем, что по умолчанию обеспечим защиту для 100% наших пользователей», – заявили представители компании.

Но стоит понимать, что Mozilla Firefox является не самым безопасным браузером, так как даже учитывая обновления, продукт компании Apple – Safari блокирует куда больше сторонних программ.

Коли захист активний, в адресному рядку відображається значок щита. Список заблокованих файлів доступний користувачам в розділі «Блокування контенту», пункт «Файли cookie». При бажанні їх можна розблокувати вручну.

Функція тестується з червня 2019 року на нових користувачах браузера.

DoH – новий мережевий протокол, який шифрує запити і відповіді системи доменних імен (DNS). Його основна перевага – приховування DNS-трафіку від інтернет-провайдера, додатків батьківського контролю, антивірусного програмного забезпечення, корпоративних брандмауерів і інших фільтрів трафіку.

При увімкненому DoH браузер буде ігнорувати налаштування DNS операційної системи.

Багато компаній виступають проти підтримки протоколу DoH в браузерах. Наприклад, провайдери відслідковують DNS-трафік, щоб блокувати небажані сайти, заборонені законом, або збирають історію відвідувань користувачів, щоб перепродати базу рекламодавцям. DoH їх цієї можливості позбавить.

Компанії-постачальники рішень для фільтрації корпоративного трафіку також піддали критиці протокол, який може використовуватися як механізм обходу брандмауера. Це може привести до хакерських атак і витоків корпоративної інформації.

Firefox пообіцяв автоматично відключати DoH, якщо на комп’ютері увімкнені засоби батьківського контролю або корпоративні додатки і фільтри трафіку.

Крім того, Mozilla працює спільно з провайдерами, щоб користувачі не використовували DoH як спосіб обходу блокування, встановленого законом тієї чи іншої країни.

Про доступність нововведення в інших країнах поки не повідомляється.

Эта технология позволяет шифровать DNS-трафик, хотя в браузере функцию можно будет отключить и использовать обычные DNS-запросы. Вероятно, так поступят пользователи систем родительского контроля и корпоративных сетей, поскольку в них есть система проверок для автоматического отключения DoH.

Подобная технология может быть полезной для защиты от утечек данных через DNS-серверы провайдеров. Также её можно применять против MITM-атак, подмены DNS-трафика, обхода блокировок на уровне доменных имён и так далее. Ведь актуальный стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, однако от перехвата или подмены данных не защищает.

Активация DoH в about:config производится с помощью переменной network.trr.mode, которая появилась в Firefox 60. При значении 0 DoH полностью отключается. Значение 1 позволяет автоматически выбирать между DNS или DoH в зависимости от того, что работает быстрее. При 2 используется DoH по умолчанию, а DNS как запасной вариант. При значении 3 задействован только DNS over HTTPS. Наконец, если задать параметр 4, то активируется режим зеркалирования, при котором DoH и DNS функционируют параллельно. При этом используется DNS-сервер CloudFlare, хотя его можно изменить.

В частности, специалисты компании Mozilla отметили, что намереваются сделать данную платформу более интерактивной и легкой в управлении, таким образом раскрывая перед потенциальными разработчиками новые горизонты. Помимо этого, в новой версии Firefox Test Pilot появится возможность заниматься разработкой программ и алгоритмов, напрямую не связанных с программной средой браузера Firefox, что рассматривается многими в качестве действительно приятного бонуса и поощрения со стороны разработчиков.

Также стало известно о том, что в новой версии платформы появится собственный VPN-сервис, который, в отличие от множества альтернативных сервисов подобного рода от других компаний, нацелен на обеспечение максимального уровня пользовательской защиты и защиты их данных. Возможно, все это будет продемонстрировано в первом бета-тесте обновленной платформы, но, с другой стороны, большая часть пользователей предполагает, что на самом деле Mozilla хочет преподнести еще пару технических сюрпризов перед релизом платформы.

Как бы то ни было, а пока остается лишь дожидаться известий относительно обновления и функционала платформы – потому что она обещает быть действительно интересной и необычной. К тому же, еще ранее компания Mozilla подготовила небольшой комплекс новых функций и возможностей, связанных с разработкой сторонних программных продуктов и алгоритмов, а потому стоит дожидаться также параллельного обновления этого стандартного функционала Firefox Test Pilot.

А вот ветка ESR будет поддерживаться по-старому. В ней обновления будут выходить раз в год, после чего поддерживаться ещё три месяца после формирования следующей ESR-ветки. Корректирующие же патчи будут выходить каждые четыре недели.

Что касается нового ESR-релиза, то им станет Firefox 78, запланированный на июнь 2020 года. Кроме того, разработка SpiderMonkey и Tor Browser также перейдёт на четырёхнедельный цикл разработки.

В компании заявили, что хотят выпускать новые версии чаще, чтобы ускорить процесс развёртывания новых возможностей, более гибко планировать разработку и оперативно реагировать на изменения.

Правда, это сократит время на тестирование всех предварительных версий, но в Mozilla хотят отказаться от схемы «две беты в неделю» и использовать схему, применяемую для ночных сборок. А обновления релизной версии будут сначала запускать для малой группы пользователей, после чего их развернут уже для всех.

Надо сказать, что пользователи неоднозначно восприняли эту инициативу. И в этом есть своя логика — уменьшение времени тестирования обычно приводит к ухудшению результата и качества кода. Примером тому может быть Windows 10.

Браузер також має мінімальний дизайн, який дозволяє швидше запускати програму. Він має такі функції, як колекції, які допомагають вам повернутися до повсякденних завдань, обмінюватися завданнями між пристроями і заповнити перелік справ. Ви також можете синхронізувати свої закладки, збережені логіни, історію переглядів і багато іншого на всіх своїх пристроях. Оновлення до Firefox Preview 2.0 дає можливість запускати приватний перегляд прямо на головному екрані, відкривати посилання в приватній вкладці за замовчуванням і керувати відтворенням мультимедіа.

Повний список змін Firefox Preview 2.0:

додайте браузер в ролі віджету пошуку на головному екрані
додайте ярлик сайту на домашній екран
надішліть вкладку з браузера на інший пристрій
запустіть приватний перегляд на головному екрані
більше контролю над очищенням різних типів даних перегляду
повідомлення про відтворенні аудіо/відео з можливістю призупинення або відтворення
натисніть і утримуйте адресний рядок, щоб скопіювати, вставити або вставити і перейти за посиланням
вхід в облікові записи Firefox одним дотиком, якщо ви вже увійшли в інший браузер Firefox на тому ж пристрої
покращення доступності

Аудит проводился с использованием правил, изложенных в руководстве для «современных безопасных браузеров», которое BSI опубликовало в сентябре нынешнего года. BSI обычно использует данное руководство для консультирования правительственных учреждений и частных компаний в выборе безопасных браузеров.

Согласно BSI, Firefox - единственный браузер, поддерживающий все указанные в руководстве минимальные требования. Другие браузеры не соответствовали некоторым требованиям, поскольку в них отсутствовала поддержка механизма мастер-паролей (Chrome, IE, Edge), встроенный механизм обновления (IE), возможность заблокировать сбор телеметрии (Chrome, IE, Edge), поддержка правила ограничения домена (IE), поддержка политики защиты контента (IE), поддержка целостности субресурсов (IE), поддержка профилей браузера и различных конфигураций (IE, Edge), а также организационная прозрачность (Chrome, IE, Edge).

Отже, перше, що ви помітите після встановлення Firefox 70 – це нова іконка, представлена ​​Mozilla кілька місяців тому. Крім того, ви помітите, що всі вбудовані сторінки браузера тепер підтримують системний темний режим, а новий «екран вітання» допоможе вам швидше налаштувати браузер. Меню панелі інструментів облікових записів було оновлено і реорганізовано, щоб надати користувачам швидший доступ до функцій і служб облікових записів.

Більшість поліпшень у Firefox 70 приховані, оскільки Mozilla включила базовий інтерпретатор для виконання байт-коду JavaScript, щоб поліпшити загальну продуктивність браузера. Для користувачів macOS браузер пропонує ефективніший композитор, який значно знижує енергоспоживання. Користувачі Windows за замовчуванням включають WebRender для пристроїв з низькою роздільною здатністю і вбудованою графікою Intel. Для веб-розробників він надає аудит доступності клавіатури і симулятор дефіциту кольору для систем з включеним WebRender на панелі спеціальних можливостей.

Підтримуються дві нові властивості CSS, які дозволяють веб-розробникам контролювати стан і розмір ліній оформлення тексту, а новий режим багаторядкового редактора допомагає їм писати фрагменти коду і швидше виконувати їхню ітерацію в WebConsole.

В отчете о заблокированных отслеживающих технологиях также будут указаны все попытки создания цифрового отпечатка с целью идентификации пользователя и попытки установки майнера криптовалюты. Кроме того, Firefox теперь позволяет проверять хранящиеся в менеджере паролей Firefox Lockwise учетные данные на предмет утечки, поскольку браузер может сверять содержимое менеджера с имеющимися у него списками утекших данных.

Функция блокировки отслеживающих технологий Enhanced Tracking Protection (ETP) по умолчанию включена во всех версиях Firefox, начиная с Firefox 69, вышедшего в сентябре нынешнего года. Функция «Protection Report» («Отчет о защите»), отображающая информацию о заблокированных ETP скриптах, впервые появилась в ночной сборке Firefox 69. Как она работает, показано в видео ниже.

Отчет ETP включает:

* Данные по количеству заблокированных попыток отметить пользователя с помощью cookie-файлов, установки криптовалютных майнеров, снятия цифровых отпечатков и использования межсайтовых трекеров;

* Данные о потенциально небезопасных и скомпрометированных паролях;

* Сведения об учетных данных, безопасно хранящихся в Firefox Lockwise.