Новости Firefox Опции

[hook]

Mozilla выпустила свой рейтинг конфиденциальности гаджетов. Чем он может быть интересен для Вас?



Как уже не раз писали ранее, многие подключенные к Интернету устройства не так безопасны, как им бы следовало быть. Некоторые из них собирают персональные данные и передают их третьим лицам, при этом они не всегда сообщают вам о том, что делают.
Именно по этой причине новый отчет Mozilla о конфиденциальности устройств под названием * privacy not included report должен представлять повышенный интерес. Исследователи в области безопасности проанализировали несколько популярных устройств и оценили, насколько они безопасны, и можно ли им доверять свои персональные данные. Эти устройства, несомненно, очень популярны среди новогодних и рождественских подарков, а потому мы надеемся, что вам будет интересно ознакомиться с результатами этого исследования.
Каждое устройство оценивалось по 4 ключевым направлениям для оценки того, является ли устройство «ужасным» с точки зрения конфиденциальности данных или нет:
Может ли оно шпионить за вами? Имеет ли владелец устройства полный контроль над камерой, микрофоном и данными о своем местоположении.
Что устройство знает о вас? Передает ли оно ваши данные третьим лицам? Шифруются ли данные при передаче?
Можете ли вы контролировать устройство? Можно ли изменить пароль или удалить данные, которое оно собирает?
Беспокоится ли производитель о пользователе? Регулярно ли он предоставляет обновления безопасности? Какова поддержка клиентов?
Вероятно, что процесс оценки более сложный, но успешно пройдя все четыре теста, устройство получает от Mozilla награду “Minimum Security Standards”, гарантирующую наличие минимально необходимых стандартов безопасности.
«Умные» колонки и игровые консоли показывают хорошие результаты
Согласно отчету, «умные» колонки всех основных производителей (Amazon Echo, Google Home, Apple HomePod, Sonos One) получили очень высокие оценки, причем большинство из них смогли получить награду. То же самое касается и большинства популярных игровых приставок – Nintendo Switch, Sony PlayStation 4 и Microsoft Xbox One.
Впрочем, другие подключенные устройства не так хороши. На игрушке Evo Robot можно заблокировать камеру, микрофон и данные о местоположении, но при этом она может передавать ваши персональные данные третьим лицам без видимых на то причин. Всегда популярный Nest Thermostat также не смог получить награду, провалив тест «Может ли устройство шпионить за мной».
Отчет Mozilla показывает, как сложно сделать подключенное к Интернету устройство с правильным уровнем безопасности и как некоторые производители искажают правила доступа к информации, которую вы хотели бы сохранить в тайне.
Что это значит для вас?
Отчет * privacy not included report в настоящий момент содержит список всего из 74 устройств, поэтому он далек от абсолютной полноты картины. Вполне возможно, что многие имеющиеся у вас устройства не представлены в нем и не оценены. Но все же отчет является весьма полезным и наглядным.
Когда в следующий раз вы захотите купить подключенное устройство, вы можете использовать результаты тестов Mozilla, чтобы проверить, какое устройство является более безопасным и менее «жутким». Задайте себе, например, такие вопросы:

Могу ли я заблокировать доступ к камере, микрофону и данным о местоположении?
Могу ли я изменить пароль на устройстве, заданный по умолчанию?
Передает ли устройство/приложение мои данные третьим лицам?
Насколько регулярно устройство обновляется патчами безопасности?
Могу ли я удалить данные, собранные устройством и хранящиеся на нем?
Ответив на эти вопросы, вы сможете выбрать подходящее устройство и повысить безопасность ваших персональных данных.

Чтобы подробнее узнать о подключенных к Интернету устройствах и безопасности, пожалуйста, смотрите другие статьи в блоге Panda Security

Оригинал статьи:

Mozilla releases their gadget “creepiness” ratings – what do they mean for you?

securitylab.ru

[hook]

Mozilla запустила функцию ключа восстановления для учетных записей Firefox



Пользователи могут генерировать ключ, который служит вторичным способом дешифрования данных. Компания Mozilla объявила о запуске новой опции восстановления для учетных записей Firefox - пользовательской системы, включенной в браузер. Теперь пользователи могут генерировать одноразовый ключ восстановления, привязанный к их учетной записи, который они могут использовать для восстановления доступа к данным Firefox, если пароль был забыт. Учетные записи Firefox включены во все последние версии браузера. Большинство пользователей знакомы с данной системой через Firefox Sync, которая синхронизирует данные Firefox, такие как пароли, историю просмотров, открытые вкладки, закладки, установленные настройки и общие параметры браузера между несколькими версиями Firefox. Однако, в то время как Sync выполняет фактическую синхронизацию, учетные записи Firefox лежат в ее основе и являются системой, которая управляет идентификаторами пользователей браузера. В случаях, когда пользователь потерял устройство, он больше не мог загружать и расшифровывать свои предыдущие данные браузера без пароля учетной записи Firefox. С выходом функции восстановления пользователи могут генерировать ключ, который служит вторичным способом дешифрования данных, если пароль учетной записи Firefox забыт.
Ключ восстановления Firefox похож на коды восстановления, предоставляемые при двухфакторной аутентификации в большинстве online-сервисов. Пользователям Firefox придется записывать их на бумаге или хранить в текстовом файле (предпочтительно зашифрованном) где-то в интернете или на устройстве. По словам представителей Mozilla, ключ восстановления можно использовать только один раз, и пользователям придется генерировать новый ключ после того, как они используют предыдущий. Инструкции по созданию ключей приведены на странице поддержки Firefox

securitylab.ru

Проблема в Firefox может привести к сбою в работе браузера и ПК



Уязвимость затрагивает операционные системы macOS, Linux и Windows. Исследователь безопасности Сабри Хаддуш (Sabri Haddouche) обнаружил в браузере Mozilla Firefox уязвимость, позволяющую добиться сбоя в работе программы и, в ряде случаев, всей операционной системы. Проблема затрагивает операционные системы macOS, Linux и Windows. В случае с Windows уязвимость является несколько более опасной, чем в других ОС, так как помимо сбоя в работе браузера, она может привести к зависанию всей операционной системы, требуя перезагрузки устройства. В то же время проблема не затрагивает версию браузера для ОС Android и iOS. «Скрипт генерирует файл (blob), который содержит чрезвычайно длинное имя, и предлагает пользователю загрузить его каждую миллисекунду», - пояснил специалист. «Таким образом, он наводняет канал IPC (Inter-Process Communication) между дочерним элементом Firefox и основным процессом, что приводит к зависанию браузера», - добавил он. Исследователь уведомил сотрудников Mozilla о проблеме, а также опубликовал PoC-код на портале GitHub. Напомним, ранее Хаддуш обнаружил опасную уязвимость в движке WebKit, используемом для отображения интернет-страниц. С помощью данной проблемы возможно заставить любой iPhone и iPad зависнуть и перезагрузиться

securitylab.ru

Firefox будет по умолчанию блокировать все трекеры



Функции блокировки скриптов для майнинга, трекинга и снятия цифровых отпечатков появятся уже в ближайшие месяцы. В новых версиях браузера Firefox компания Mozilla будет по умолчанию блокировать скрипты для межсайтового и другого трекинга, вредоносные майнеры и скрипты для получения цифровых отпечатков. Новые функции будут реализованы в ближайшие месяцы в рамках трех новых инициатив, главной целью которых является защита конфиденциальности пользователей, блокировка вредоносных скриптов и увеличение скорости загрузки web-страниц. Скрипты для межсайтового трекинга будут блокироваться по умолчанию, начиная с Firefox 65. Это станет возможным благодаря удалению файлов cookie и блокировке доступа к хранилищу для сторонних скриптов. Помимо межсайтового трекинга, новые версии браузера будут по умолчанию блокировать вредоносные скрипты, в том числе майнеры наподобие Coinhive и скрипты для снятия цифровых отпечатков (идентификации пользователей на основе характеристик их устройств и других данных). Функция блокировки майнеров криптовалюты по умолчанию уже реализована в других браузерах, в частности в Opera. В настоящее время протестировать новые функции можно в «ночной» сборке Firefox 63. Для этого нужно зайти в «Центр управления» (слева от адресной строки), выбрать раздел «Блокировка контента» и поставить галочки напротив соответствующих опций.

securitylab.ru

Новая версия Firefox больше не доверяет TLS-сертификатам Symantec



Обновленная политика была реализована в Firefox Nightly 63 и перейдет в раннюю бета-версию браузера в начале сентября. Компания Mozilla выпустила первую версию своего браузера, не принимающую TLS-сертификаты от удостоверяющего центра Symantec. Когда интернет-пользователь попадает на какую-либо страницу с сертификатом от УЦ Symantec, новая версия Firefox отображает уведомление безопасности. Новая политика была реализована в Firefox Nightly 63 и перейдет в раннюю бета-версию браузера в начале следующего месяца. Согласно графику выхода новых версий, релиз окончательной сборки состоится 23 октября текущего года. Mozilla последовала примеру Google, исключившей сертификаты Symantec из списка доверенных в Chrome 70 Canary – «ночной» сборке браузера для разработчиков, вышедшей 20 июля. Теперь при попадании пользователя на страницу с сертификатом Symantec браузер отображает сообщение о небезопасном подключении. Нововведение будет реализовано в бета-версии Chrome, которая выйдет 20 сентября, а также в стабильной сборке, запланированной к выходу на 16 октября. Mozilla и Google решили исключить цифровые сертификаты от удостоверяющих центров Symantec из списка доверенных по результатам расследования допущенных ими нарушений. Браузеры перестанут доверять сертификатам, выпущенным всеми УЦ Symantec: GeoTrust, Thawte и RapidSSL. Администраторы сайтов, использующих сертификаты от любого из этих УЦ, должны заменить их. На данный момент сертификатами Symantec пользуются многие крупные компании, бренды и организации, в том числе Sony PlayStation Store, сервис online-банкинга Морского федерального Кредитного союза США, эстонский банк LHV Pank, канадская телекоммуникационная компания Freedom, Первый национальный банк ЮАР, японский сайт Intel и пр.

securitylab.ru

В Firefox 63 появится защита от браузерных майнеров криптовалюты



Помимо этого, планируется расширить функционал множества инструментов для обеспечения безопасности. Разработчики Mozilla Firefox намерены расширить в версии браузера Firefox 63 функционал безопасности, в том числе добавить защиту от скриптов для майнинга криптовалюты на web-страницах. Команда Mozilla планирует расширить возможности системы блокирования отслеживания перемещений, добавить блокирование внешних JavaScript-скриптов, изображений и iframe-страниц с сайтов, занесенных в черный список disconnect.me, а также внедрить защиту от скриптов, применяемых для идентификации пользователя. Помимо этого, планируется сделать более доступными настройки управления приватностью, в частности включить блокировку отслеживания можно будет через контекстное меню, выводимое при клике на пиктограмме информации о сайте в адресной строке. Кроме того, в настройках блокировки отслеживания появится возможность выборочного включения блокировки счетчиков, различных виджетов, скриптов для майнинга, а также трекеров рекламных сетей.

securitylab.ru

Пользователи пожаловались на проблемы с сертификатами после установки Firefox 65



В основном проблема проявляется на устройствах с установленными антивирусными решениями Avast или AVG. Форум техподдержки Mozilla наводнили сообщения пользователей с жалобами на то, что после обновления до версии Firefox 65, выпущенной 29 января, они не могут получить доступ к сайтам, в том числе работающим по протоколу HTTPS. При попытке открыть сайты Linkedin, Facebook, Twitter или какого-либо другого интернет-ресурса браузер выдает сообщение о небезопасном соединении (ошибка сертификата SEC_ERROR_UNKNOWN_ISSUER). При этом возможность добавить исключения для сертификата отсутствует. В основном проблема проявляется на устройствах с установленными антивирусными решениями Avast или AVG. Предположительно, причина неполадки может быть связана с тем, что антивирусы пытаются установить собственные сертификаты, тем самым нарушая подключение к сайтам. В связи с жалобами компания Mozilla приостановила автоматическое обновление до версии Firefox 65 на компьютерах под управлением Windows. Пользователям, столкнувшимся с подобной ситуацией, рекомендуется изменить настройки about:config в Firefox (установить значение true для параметра security.enterprise_roots.enabled) либо отключить функции сканирования зашифрованных соединений в настройках антивируса.

securitylab.ru

Firefox начнет предупреждать о MitM-атаках



Нововведение появится в версии Firefox 66, релиз которой запланирован на середину марта 2019 года. Разработчики Firefox готовят новую функцию безопасности, которая будет предупреждать пользователей об атаках «человек посередине». Как ожидается, нововведение появится в версии Firefox 66, запланированной к выпуску в середине марта нынешнего года. Согласно сообщению на странице техподдержки Mozilla, в случаях, когда «нечто в системе или сети перехватывает соединение и внедряет сертификаты, расцениваемые Firefox как недоверенные» браузер будет выдавать сообщение об ошибке ("MOZILLA_PKIX_ERROR_MITM_DETECTED"). Данная ошибка может появляться в ситуациях, когда на устройстве работает локальное ПО, например, антивирусы или инструменты для web-разработки, заменяющие официальные TLS сертификаты собственными для сканирования HTTPS-трафика или анализа зашифрованного трафика. Для примера, совсем недавно с подобной ситуацией столкнулись пользователи, обновившиеся до версии Firefox 65, – браузер блокировал все сайты на компьютерах с установленным антивирусным ПО Avast или AVG. Ошибка также может выдаваться в случаях заражения устройства вредоносным ПО, которое устанавливает собственные сертификаты для перехвата трафика, или в ситуациях, когда интернет-провайдер или злоумышленник, находящийся в той же сети, перехватывает трафик и заменяет сертификаты. Изначально функционал должен был появиться в версии Firefox 65, однако его реализация была отложена из-за технических нюансов. Firefox станет вторым браузером, предупреждающим пользователей об угрозе MitM-атаки. Впервые данная функция появилась в Google Chrome 63, релиз которого состоялся в декабре 2017 года. Атака «человек посередине» или атака посредника (Man in the middle, MITM) - обобщенное название для различных методик, направленных на получение доступа к трафику в качестве посредника. Суть атаки проста: преступник тайно перехватывает трафик с одного компьютера и отправляет его конечному получателю, предварительно прочитав и изменив в свою пользу.

securitylab.ru