Mozilla запустила функцию ключа восстановления для учетных записей Firefox
Пользователи могут генерировать ключ, который служит вторичным способом дешифрования данных. Компания Mozilla объявила о запуске новой опции восстановления для учетных записей Firefox - пользовательской системы, включенной в браузер. Теперь пользователи могут генерировать одноразовый ключ восстановления, привязанный к их учетной записи, который они могут использовать для восстановления доступа к данным Firefox, если пароль был забыт. Учетные записи Firefox включены во все последние версии браузера. Большинство пользователей знакомы с данной системой через Firefox Sync, которая синхронизирует данные Firefox, такие как пароли, историю просмотров, открытые вкладки, закладки, установленные настройки и общие параметры браузера между несколькими версиями Firefox. Однако, в то время как Sync выполняет фактическую синхронизацию, учетные записи Firefox лежат в ее основе и являются системой, которая управляет идентификаторами пользователей браузера. В случаях, когда пользователь потерял устройство, он больше не мог загружать и расшифровывать свои предыдущие данные браузера без пароля учетной записи Firefox. С выходом функции восстановления пользователи могут генерировать ключ, который служит вторичным способом дешифрования данных, если пароль учетной записи Firefox забыт.
Ключ восстановления Firefox похож на коды восстановления, предоставляемые при двухфакторной аутентификации в большинстве online-сервисов. Пользователям Firefox придется записывать их на бумаге или хранить в текстовом файле (предпочтительно зашифрованном) где-то в интернете или на устройстве. По словам представителей Mozilla, ключ восстановления можно использовать только один раз, и пользователям придется генерировать новый ключ после того, как они используют предыдущий. Инструкции по созданию ключей приведены на странице поддержки Firefox
securitylab.ru
Проблема в Firefox может привести к сбою в работе браузера и ПК
Уязвимость затрагивает операционные системы macOS, Linux и Windows. Исследователь безопасности Сабри Хаддуш (Sabri Haddouche) обнаружил в браузере Mozilla Firefox уязвимость, позволяющую добиться сбоя в работе программы и, в ряде случаев, всей операционной системы. Проблема затрагивает операционные системы macOS, Linux и Windows. В случае с Windows уязвимость является несколько более опасной, чем в других ОС, так как помимо сбоя в работе браузера, она может привести к зависанию всей операционной системы, требуя перезагрузки устройства. В то же время проблема не затрагивает версию браузера для ОС Android и iOS. «Скрипт генерирует файл (blob), который содержит чрезвычайно длинное имя, и предлагает пользователю загрузить его каждую миллисекунду», - пояснил специалист. «Таким образом, он наводняет канал IPC (Inter-Process Communication) между дочерним элементом Firefox и основным процессом, что приводит к зависанию браузера», - добавил он. Исследователь уведомил сотрудников Mozilla о проблеме, а также опубликовал PoC-код на портале GitHub. Напомним, ранее Хаддуш обнаружил опасную уязвимость в движке WebKit, используемом для отображения интернет-страниц. С помощью данной проблемы возможно заставить любой iPhone и iPad зависнуть и перезагрузиться
securitylab.ru
Firefox будет по умолчанию блокировать все трекеры
Функции блокировки скриптов для майнинга, трекинга и снятия цифровых отпечатков появятся уже в ближайшие месяцы. В новых версиях браузера Firefox компания Mozilla будет по умолчанию блокировать скрипты для межсайтового и другого трекинга, вредоносные майнеры и скрипты для получения цифровых отпечатков. Новые функции будут реализованы в ближайшие месяцы в рамках трех новых инициатив, главной целью которых является защита конфиденциальности пользователей, блокировка вредоносных скриптов и увеличение скорости загрузки web-страниц. Скрипты для межсайтового трекинга будут блокироваться по умолчанию, начиная с Firefox 65. Это станет возможным благодаря удалению файлов cookie и блокировке доступа к хранилищу для сторонних скриптов. Помимо межсайтового трекинга, новые версии браузера будут по умолчанию блокировать вредоносные скрипты, в том числе майнеры наподобие Coinhive и скрипты для снятия цифровых отпечатков (идентификации пользователей на основе характеристик их устройств и других данных). Функция блокировки майнеров криптовалюты по умолчанию уже реализована в других браузерах, в частности в Opera. В настоящее время протестировать новые функции можно в «ночной» сборке Firefox 63. Для этого нужно зайти в «Центр управления» (слева от адресной строки), выбрать раздел «Блокировка контента» и поставить галочки напротив соответствующих опций.
securitylab.ru
Новая версия Firefox больше не доверяет TLS-сертификатам Symantec
Обновленная политика была реализована в Firefox Nightly 63 и перейдет в раннюю бета-версию браузера в начале сентября. Компания Mozilla выпустила первую версию своего браузера, не принимающую TLS-сертификаты от удостоверяющего центра Symantec. Когда интернет-пользователь попадает на какую-либо страницу с сертификатом от УЦ Symantec, новая версия Firefox отображает уведомление безопасности. Новая политика была реализована в Firefox Nightly 63 и перейдет в раннюю бета-версию браузера в начале следующего месяца. Согласно графику выхода новых версий, релиз окончательной сборки состоится 23 октября текущего года. Mozilla последовала примеру Google, исключившей сертификаты Symantec из списка доверенных в Chrome 70 Canary – «ночной» сборке браузера для разработчиков, вышедшей 20 июля. Теперь при попадании пользователя на страницу с сертификатом Symantec браузер отображает сообщение о небезопасном подключении. Нововведение будет реализовано в бета-версии Chrome, которая выйдет 20 сентября, а также в стабильной сборке, запланированной к выходу на 16 октября. Mozilla и Google решили исключить цифровые сертификаты от удостоверяющих центров Symantec из списка доверенных по результатам расследования допущенных ими нарушений. Браузеры перестанут доверять сертификатам, выпущенным всеми УЦ Symantec: GeoTrust, Thawte и RapidSSL. Администраторы сайтов, использующих сертификаты от любого из этих УЦ, должны заменить их. На данный момент сертификатами Symantec пользуются многие крупные компании, бренды и организации, в том числе Sony PlayStation Store, сервис online-банкинга Морского федерального Кредитного союза США, эстонский банк LHV Pank, канадская телекоммуникационная компания Freedom, Первый национальный банк ЮАР, японский сайт Intel и пр.
securitylab.ru
В Firefox 63 появится защита от браузерных майнеров криптовалюты
Помимо этого, планируется расширить функционал множества инструментов для обеспечения безопасности. Разработчики Mozilla Firefox намерены расширить в версии браузера Firefox 63 функционал безопасности, в том числе добавить защиту от скриптов для майнинга криптовалюты на web-страницах. Команда Mozilla планирует расширить возможности системы блокирования отслеживания перемещений, добавить блокирование внешних JavaScript-скриптов, изображений и iframe-страниц с сайтов, занесенных в черный список disconnect.me, а также внедрить защиту от скриптов, применяемых для идентификации пользователя. Помимо этого, планируется сделать более доступными настройки управления приватностью, в частности включить блокировку отслеживания можно будет через контекстное меню, выводимое при клике на пиктограмме информации о сайте в адресной строке. Кроме того, в настройках блокировки отслеживания появится возможность выборочного включения блокировки счетчиков, различных виджетов, скриптов для майнинга, а также трекеров рекламных сетей.
securitylab.ru
Пользователи пожаловались на проблемы с сертификатами после установки Firefox 65
В основном проблема проявляется на устройствах с установленными антивирусными решениями Avast или AVG. Форум техподдержки Mozilla
наводнили сообщения пользователей с жалобами на то, что после обновления до версии Firefox 65, выпущенной 29 января, они не могут получить доступ к сайтам, в том числе работающим по протоколу HTTPS. При попытке открыть сайты Linkedin, Facebook, Twitter или какого-либо другого интернет-ресурса браузер выдает сообщение о небезопасном соединении (ошибка сертификата SEC_ERROR_UNKNOWN_ISSUER). При этом возможность добавить исключения для сертификата отсутствует. В основном проблема проявляется на устройствах с установленными антивирусными решениями Avast или AVG. Предположительно, причина неполадки может быть связана с тем, что антивирусы пытаются установить собственные сертификаты, тем самым нарушая подключение к сайтам. В связи с жалобами компания Mozilla приостановила автоматическое обновление до версии Firefox 65 на компьютерах под управлением Windows. Пользователям, столкнувшимся с подобной ситуацией, рекомендуется изменить настройки about:config в Firefox (установить значение true для параметра security.enterprise_roots.enabled) либо отключить функции сканирования зашифрованных соединений в настройках антивируса.
securitylab.ru
Firefox начнет предупреждать о MitM-атаках
Нововведение появится в версии Firefox 66, релиз которой запланирован на середину марта 2019 года. Разработчики Firefox готовят новую функцию безопасности, которая будет предупреждать пользователей об атаках «человек посередине». Как ожидается, нововведение появится в версии Firefox 66, запланированной к выпуску в середине марта нынешнего года. Согласно сообщению на странице техподдержки Mozilla, в случаях, когда «нечто в системе или сети перехватывает соединение и внедряет сертификаты, расцениваемые Firefox как недоверенные» браузер будет выдавать сообщение об ошибке ("MOZILLA_PKIX_ERROR_MITM_DETECTED"). Данная ошибка может появляться в ситуациях, когда на устройстве работает локальное ПО, например, антивирусы или инструменты для web-разработки, заменяющие официальные TLS сертификаты собственными для сканирования HTTPS-трафика или анализа зашифрованного трафика. Для примера, совсем недавно с подобной ситуацией столкнулись пользователи, обновившиеся до версии Firefox 65, – браузер блокировал все сайты на компьютерах с установленным антивирусным ПО Avast или AVG. Ошибка также может выдаваться в случаях заражения устройства вредоносным ПО, которое устанавливает собственные сертификаты для перехвата трафика, или в ситуациях, когда интернет-провайдер или злоумышленник, находящийся в той же сети, перехватывает трафик и заменяет сертификаты. Изначально функционал должен был появиться в версии Firefox 65, однако его реализация была отложена из-за технических нюансов. Firefox станет вторым браузером, предупреждающим пользователей об угрозе MitM-атаки. Впервые данная функция появилась в Google Chrome 63, релиз которого состоялся в декабре 2017 года. Атака «человек посередине» или атака посредника (Man in the middle, MITM) - обобщенное название для различных методик, направленных на получение доступа к трафику в качестве посредника. Суть атаки проста: преступник тайно перехватывает трафик с одного компьютера и отправляет его конечному получателю, предварительно прочитав и изменив в свою пользу.
securitylab.ru