The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Демонстрация неэффективности внедрения в Firefox проверки до..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от opennews (ok) on 26-Ноя-15, 12:59 
Дэн Стиллман (Dan Stillman), разработчик браузерного дополнения Zotero (https://www.zotero.org/), выступил (http://danstillman.com/2015/11/23/firefox-extension-scanning...) с критикой навязываемой проектом Mozilla обязательной проверке дополнений по цифровой подписи. Напомним, что под предлогом (https://www.opennet.ru/opennews/art.shtml?num=41655) борьбы с распространением вредоносных и шпионящих за пользователями дополнений, начиная с Firefox 43 Mozilla переходит (https://www.opennet.ru/opennews/art.shtml?num=42949) к схеме обязательной проверки дополнений по цифровой подписи.


Дэн Стиллман попытался доказать, что  переход к использованию только подписанных дополнений приведёт лишь к сложностям для разработчиков, и никак не повлияет на безопасность, а быть может даже ухудшит ситуацию с распространением уязвимых дополнений. В частности, процесс верификации подразумевает обязательную загрузку всех дополнений, в том числе поставляемых через сторонние каналы распространения, на сайт Mozilla для прохождения автоматизированной или ручной проверки. Первая проблема в том, что в случае невозможности применить автоматизированную проверку ручная проверка занимает (https://blog.mozilla.org/addons/2015/11/04/add-ons-update-73/) в среднем семь недель. Возникновение подобных задержек не только затягивает поставку новых выпусков, но и мешает оперативной доставке обновлений с устранением уязвимостей и серьёзных ошибок.


Вторая проблема в том, что авторы вредоносных дополнений могут легко обмануть тесты автоматизированной системы проверки. Для демонстрации своего заявления  Стиллман подготовил прототип вредоносного дополнения, которое благодаря применению нехитрых приёмов скрытия вредоносной активности, успешно прошло автоматизированную проверку и было заверено цифровой подписью Mozilla. При этом дополнение осуществляло перехват запросов к сайтам, открываемым через HTTPS и собирало данные о паролях вводимых в web-формы, после чего отправляло полученные сведения на внешний HTTP-сервер. Более того, успешно прошедшее тестирование дополнение позволяло запустить в системе произвольный процесс при открытии определённого URL или загрузить JavaScript-код с внешнего сервера и выполнить его с привилегиями браузера.


При попытке привлечь внимание к проблеме разработчиков из Mozilla, лидер команды Mozilla по взаимодействию с разработчиками дополнений, указал на то, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности, что позволит блокировать большинство вредоносных дополнений. Созданное демонстрационное дополнение было занесено в чёрный список, но никаких действий по блокированию показанных проблем предпринято не было - для повторного успешного тестирования и обхода чёрного списка потребовалось лишь поменять идентификатор дополнения.


Доводы Стиллмана также подтверждает недавно проведённое исследование (http://labs.detectify.com/post/133528218381/chrome-extension...) дополнений в каталоге приложений Chrome, показавшее неэффективность уже внедрённых в каталоге Chrome механизмов проверки дополнений и заверения по цифровой подписи. Исследование показало, что ряд популярных дополнений, насчитывающих сотни тысяч пользователей, нарушают требования по соблюдению приватности, отслеживают перемещения пользователя  и передают полученную статистику вовне. При этом, важно то, что подобный сбор данных производится независимо от применения специальных дополнений для блокирования отслеживания перемещений и инкогнито-режимов.


URL: http://danstillman.com/2015/11/23/firefox-extension-scanning...
Новость: http://www.opennet.ru/opennews/art.shtml?num=43398

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +46 +/
Сообщение от A.Stahl (ok) on 26-Ноя-15, 12:59 
>большинство авторов вредоносных дополнений ленивы

Это они-то ленивы?! Да они не могут быть ленивыми уже просто по сути своей деятельности! Ленивый там далеко не уедет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от eRIC (ok) on 26-Ноя-15, 14:09 
> Это они-то ленивы?! Да они не могут быть ленивыми уже просто по
> сути своей деятельности! Ленивый там далеко не уедет.

скорее всего имелось в виду что они не будут заморачиваться с цифровой подписью и тратить время время :) типа пират будет получать легальность своего ПО чтобы потом грабить :)

да конечно, если вор захочет воровать, он и постарается и не полениться получить эти цифровые подписи чтобы не вызывало никаких подозрений...


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +12 +/
Сообщение от Anonymous_ on 26-Ноя-15, 14:12 
> большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности

ага, у меня аж глаза на лоб полезли.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +12 +/
Сообщение от Michael Shigorin email(ok) on 26-Ноя-15, 14:34 
>>большинство авторов вредоносных дополнений ленивы
> Это они-то ленивы?!

Сами они ленивы.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

42. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Sluggard (ok) on 26-Ноя-15, 22:04 
Отсюда мы поняли, что Миша является автором вредоносных дополнений для Firefox. =)
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

48. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Ноя-15, 00:46 
> Отсюда мы поняли, что Миша является автором вредоносных дополнений для Firefox. =)

"Железная логика, а теперь докажите" (ц) наш класрук и математик в ФМШ

А ведь всерьёз оторопел, когда увидел такой довод.  И он именно что в лучшем разе ленивый.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

49. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от Sluggard (ok) on 27-Ноя-15, 00:48 
>> Отсюда мы поняли, что Миша является автором вредоносных дополнений для Firefox. =)
> "Железная логика, а теперь докажите" (ц) наш класрук и математик в ФМШ  

А чего ты оскорбился тогда? За авторов малвари обидно?
«Не верю!» ©
=)))

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

50. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Ноя-15, 00:56 
> А чего ты оскорбился тогда? За авторов малвари обидно?

Не оскорбился, а оторопел.  За мозиллу обидно.  И за нас, ейных юзеров.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

51. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Sluggard (ok) on 27-Ноя-15, 01:00 
> Не оскорбился, а оторопел.  За мозиллу обидно.  И за нас,
> ейных юзеров.

ESR до весны поддерживается. Проживём.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

78. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от IB on 20-Дек-15, 00:18 
Марш учить формальную логику, в частности смысл Forall и Exists.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

3. "Демонстрация неэффективности внедрения в Firefox проверки до..."  –4 +/
Сообщение от Аноним (??) on 26-Ноя-15, 13:14 
>Для демонстрации своего заявления Стиллман ... успешно прошло автоматизированную проверку  ... дополнение осуществляло перехват запросов ... собирало данные о паролях вводимых в web-формы, после чего отправляло полученные сведения на внешний HTTP-сервер.

Хорошая "демонстрация",  а сообщил он о ней  через сколько мегабайт  полученых данных ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Аноним (??) on 26-Ноя-15, 13:19 
Сходил по ссылке к новости, я так понял он этот плагин не пытался  продвинут в реальный мир, и не факт, что его бы не заблочили почти сразу после релиза.

Линкиз статьи на исходники
https://github.com/dstillman/amo-validator-bypass

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Демонстрация неэффективности внедрения в Firefox проверки до..."  –8 +/
Сообщение от Аноним (??) on 26-Ноя-15, 13:18 
Пиар zotero, ящитаю.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от xPhoenix (ok) on 26-Ноя-15, 13:23 
Вижу решение: Mozilla создаёт каталог приложений, в котором подписанные и проверенные дополнения отмечены специальным значком. Если пользователь ставит неподписанное или непро... WAIT, OH SHI~ Да ведь уже прямо сейчас всё так и работает!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от cmp (ok) on 26-Ноя-15, 15:15 
это не решение, а булшит, такое же как и "специальные значки" для https - долбозвончиков и так разведут на пароли.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

67. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от ZiNk (ok) on 28-Ноя-15, 12:58 
Долбозвончиков и так разведут. Отдельную сборку с ФФ, например, сделают и поставят вместо основной юзеру. А в ФФ вместо того чтобы вынести хранилище настроек секьюрити куда-нибудь с доступом только для администраторов пытается переложить с больной головы на здоровую.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

9. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от iPony on 26-Ноя-15, 13:57 
Shumway то когда подпишут? (единственное расширение ради которого у меня стоит фурифокс)
https://github.com/mozilla/shumway/issues/2329
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +3 +/
Сообщение от Аноним (??) on 26-Ноя-15, 14:35 
А нельзя добавить в браузер нормальную систему безопасности с разветвленной структурой прав на действия и уровнями доверия (по сути, файервол для дополнений)? И подписывать дополнение с уже настроенным профилем безопасности?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от Efrem on 26-Ноя-15, 18:37 
Все бы хорошо. Но домохозяйки не разбирутся. А у браузера аудитория не только продвинутые пользователи. Сколько замечал когда установило кому то антивирус на комп, он даже потом их по русски спрашивает, ни кто из них не разбирается и просто жмут ОК. Наверно такоэие вопросы боятся вводить что бы аудиторию не растирять.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

70. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от AlexYeCu_not_logged on 28-Ноя-15, 14:14 
Откуда у домохозяек фаерфокс?
У них Хром, а то и вовсе ИЕ. Ну или Сафари, ежди Мак купили.
Фаерфокс жив до сих пор только за счёт технически грамотных пользователей, которым нужны настраиваемость и функционал в браузере.
Рано или поздно Мозилловцы похоронят и то, и другое, после чего Лиса издохнет, ибо кроме этих двух дисциплин она ничем более похвастаться не может.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

61. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от АнонимУася on 27-Ноя-15, 10:29 
Нужно вообще убрать маркет дополнений и выпилить все к чертям. Все, что пользователь ставит сам - пусть ставит, на свой страх  и риск. Предупредить его 3 раза при установке и все! А то как мыши на поле кактусов.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

15. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +3 +/
Сообщение от rshadow (ok) on 26-Ноя-15, 14:54 
Давно надо делать допуски для дополнений аналогично андроидам и айфонам: лезет в сеть - спросить у пользователя можно или нет, и адрес показать. 95% плагинам сеть не нужна априори.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Демонстрация неэффективности внедрения в Firefox проверки до..."  –2 +/
Сообщение от Аноним (??) on 26-Ноя-15, 15:03 
Ну дык сейчас им нужно просто быстро пепевести всех на подписи и детально проверять дополнения нету ресурсов, а потом пусть постепенно закручивают гайки, а популярные дополнения проверяют и вручную.
Я надеюсь, что слив данных на сторону не считается сабжевыми компаниями нормальным. (ведь они сами это делают)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +6 +/
Сообщение от Sluggard (ok) on 26-Ноя-15, 15:12 
С нетерпением ждём в комментах тех, кто с таким упоением доказывал нужность подписанных дополнений. Мол, обязательные подписи и пользователя защитят, и Мозилла репутацию сохранит.
Ну-ну.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от qwerty (??) on 27-Ноя-15, 01:20 
Таки это скорее плюс чем минус, даже с учётом того, что проверку можно обойти. Теперь хакерам придется приложить хоть какие-то усилия, а не просто разместить ссылку на своём сайте. Ну а что мы собственно теряем? Для программистов решения по использованию неподписанных будет, хоть какое-нибудь. А простым пользователям оно не нужно.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

53. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +2 +/
Сообщение от Sluggard (ok) on 27-Ноя-15, 01:24 
> Таки это скорее плюс чем минус, даже с учётом того, что проверку
> можно обойти. Теперь хакерам придется приложить хоть какие-то усилия, а не
> просто разместить ссылку на своём сайте. Ну а что мы собственно
> теряем? Для программистов решения по использованию неподписанных будет, хоть какое-нибудь.
> А простым пользователям оно не нужно.

Руление Мозиллой парком дополнений каждого пользователя — это не круто. Завтра они с гуглом подпишут контракт, и выкинут из магазина всё, что блокирует гугловую рекламу, и заодно дополнения режущие рекламу на YouTube (или позволяющие с него качать), вроде YouTube Center. И что простому пользователю делать?

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

54. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от qwerty (??) on 27-Ноя-15, 01:33 
>> Таки это скорее плюс чем минус, даже с учётом того, что проверку
>> можно обойти. Теперь хакерам придется приложить хоть какие-то усилия, а не
>> просто разместить ссылку на своём сайте. Ну а что мы собственно
>> теряем? Для программистов решения по использованию неподписанных будет, хоть какое-нибудь.
>> А простым пользователям оно не нужно.
> Руление Мозиллой парком дополнений каждого пользователя — это не круто. Завтра они
> с гуглом подпишут контракт, и выкинут из магазина всё, что блокирует
> гугловую рекламу, и заодно дополнения режущие рекламу на YouTube (или позволяющие
> с него качать), вроде YouTube Center. И что простому пользователю делать?

Во первых даже в Chrome не блокируют блокировщики рекламы.

А во вторых для youtube есть замечательная утилита youtube-dl. Кроме того встроенные инструменты разработчика по своей сути позволяют увидеть и скопировать ссылку на любое медиа. Это если забыть о различных сниферах.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

55. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от Sluggard (ok) on 27-Ноя-15, 01:37 
> Во первых даже в Chrome не блокируют блокировщики рекламы.

А вот YouTube Center из гугловского магазина вылетел только так.

> А во вторых для youtube есть замечательная утилита youtube-dl. Кроме того встроенные
> инструменты разработчика по своей сути позволяют увидеть и скопировать ссылку на
> любое медиа. Это если забыть о различных сниферах.

Ага, то есть подписи и контроль Мозиллы дарят нам радость костылей. Костыли дарят, от говна не уберегают.
Очень круто, очень полезно!

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

58. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от iPony on 27-Ноя-15, 07:42 
Если какой-то ресурс сильно козлит, то просто надо валить с этого ресурса.
Введет ютюб drm повсеместно на видео, и нормальную проверку, что пользователь посмотрел вступительный рекламный ролик (хотя бы тупо проверка по времени на сервере).

Тоже плакать будешь?

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

62. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Sluggard (ok) on 27-Ноя-15, 14:35 
Ты не путаешь наличие рекламы на ресурсе и возможность с помощью расширения в браузере её убрать? На ОпенНете тоже реклама есть, не вижу, чтоб ты свалил.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

64. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от xxblx (ok) on 28-Ноя-15, 02:29 
Так себе сравнение. На опеннете не заставляют перед чтением новости 5 секунд смотреть только на рекламу.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

66. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Sluggard (ok) on 28-Ноя-15, 11:56 
Масштабы разные на много порядков, вот и не заставляют.
Суть не в том, вообще. И не в конкретных сайтах.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

69. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от AlexYeCu_not_logged on 28-Ноя-15, 14:11 
Завтра?
На Андроиде уже есть неотключаемая хренобенька с Яндекс-поиском, делающая андроидовый фокс абсолютно непригодным к использованию.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

19. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от anonimous on 26-Ноя-15, 16:16 
Спасибо, Кэп!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +4 +/
Сообщение от klalafuda on 26-Ноя-15, 16:19 
> При этом, несмотря на то, что автоматизироанная проверка создаёт лишь видимость безопасности, внедрение обязательного применения цифровых подписей никто не собирается отменять - лидер команды Mozilla по взаимодействию с разработчиками дополнений, указал на то, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности, что позволит блокировать большинство вредоносных дополнений.
> особенно в контексте того, что код можно сгенерировать на лету и выполнить через eval().

Конечно не будут. Они скорее сольют реальный код бекдора с удаленного хоста одним из миллиона способов и запустят его. В результате само дополнение будет (практически) чисто как слеза младенца и пройдет любые проверки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +2 +/
Сообщение от IZh. on 26-Ноя-15, 17:27 
А что делать с локальными дополнениями? Допустим, у меня есть дополнения, которые я не хочу выкладывать в маркет, а хочу использовать на своих компах. Я теперь не смогу их установить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от Sluggard (ok) on 26-Ноя-15, 18:07 
Dev-версия Огнелиса позволяет ставить неподписанные. Ну и ещё, кажется, обещали в ночнушках.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

24. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Аноним (??) on 26-Ноя-15, 18:11 
Юзать ночнушку или самосборку фокса. если дать возможность отключать проверку в конфигах, то вирусня так и будет делать.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

25. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от IZh. on 26-Ноя-15, 18:12 
Ну, можно было бы предусмотреть что-то типа опции командной строки, чтобы установить без проверки.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от Sluggard (ok) on 26-Ноя-15, 18:39 
Достаточно запретить неподписанным расширениям менять значения в about:config, и левая вирусня ничего сделать не сможет. А для подписанных расширений, типа постоянно лазящего туда CTR, можно выводить предупреждения и/или запросы.
Это всё обсуждалось уже. Вирусня — отмазки.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

28. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Ан (??) on 26-Ноя-15, 19:04 
>Достаточно запретить неподписанным расширениям менять значения в about:config

А зачем расширениям самим туда лазить? Вирусня тупо залезет в конфиг лисы и сама изменит нужные ей настройки, и если там можно вырубить проверку подписей она это сделает и тогда засунет своё расширение благополучно.
Если речь о самой установке вредоносных расширений не подписанных, то тогда нужно не только about:config запрещать менять, а отрубить им пол API, но тогда возникает вопрос а нафига эти кастрированные API вообще содержать там проще выпилить саму возможность работы не подписанного? Лучше тогда сразу реализовывать нормальный механизм с запросом привилегий у юзера, но если юзер ничерат не знает он все равно всё разрешит.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +2 +/
Сообщение от Sluggard (ok) on 26-Ноя-15, 19:14 
> А зачем расширениям самим туда лазить? Вирусня тупо залезет в конфиг лисы
> и сама изменит нужные ей настройки, и если там можно вырубить
> проверку подписей она это сделает и тогда засунет своё расширение благополучно.

И это обсуждалось тоже. Если у тебя уже вирусня на машине — тебя уже поимели.
Если не было, и ты сам сперва отключил проверку подписи, а потом поставил непонятно что непонятно откуда — ты сам виноват, знал на что идёшь (и не надо кивать на «обычных» пользователей, они в about:config не лазают).

> Если речь о самой установке вредоносных расширений не подписанных, то тогда нужно
> не только about:config запрещать менять, а отрубить им пол API, но
> тогда возникает вопрос а нафига эти кастрированные API вообще содержать там
> проще выпилить саму возможность работы не подписанного? Лучше тогда сразу реализовывать
> нормальный механизм с запросом привилегий у юзера, но если юзер ничерат
> не знает он все равно всё разрешит.

Речь о возможности отключить обязательную проверку подписи через about:config.
Насчёт запроса привилегий — разве что в дополнение к подписям (я про это выше писал), сами по себе привилегии ничего не решат.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

33. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Anonplus on 26-Ноя-15, 20:15 
>> И это обсуждалось тоже. Если у тебя уже вирусня на машине — тебя уже поимели.

У Mozilla нет цели избавлять юзера от вирусни. Это забота производителей антивирусных продуктов. Цель Mozilla - сделать так, чтобы вирусня на тачке юзера не лезла в браузер.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Sluggard (ok) on 26-Ноя-15, 20:19 
> У Mozilla нет цели избавлять юзера от вирусни. Это забота производителей антивирусных
> продуктов. Цель Mozilla - сделать так, чтобы вирусня на тачке юзера
> не лезла в браузер.

А зачем ей? Судя по комменту выше эта вирусня уже свободно в конфиги Огнелиса уже пишет (а значит уже скорее всего скоммуниздила куки, хранилище паролей и прочее). Это уже капец и никакими подписанными расширениями не решается.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Anonplus on 26-Ноя-15, 20:24 
Еще разок. Если малварь уже сперла куки, пароли и пошифровала домашнее порно юзера - это беда, но это проблема юзера. Цель Мозиллы - сделать так, чтобы даже в этом раскладе не допустить малварь до изменения веб-страниц, показываемых в браузере (вставка рекламы, фишинг, etc). И неотключаемая проверка подпискй - шаг к этой цели.

Для чего это надо? Например, для того, чтобы сберечь свою репутацию (юзер туп и гонит на Мозиллу, вместо того, чтобы гнать на себя). Или для того, чтобы уберечь юзера от фишинга даже в такой ситуации.

Ваша позиция "у него уже куки сперли, можно наcрать и бросить юзера совсем к xренам" - в маньшинстве.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от Sluggard (ok) on 26-Ноя-15, 20:31 
> Еще разок. Если малварь уже сперла куки, пароли и пошифровала домашнее порно
> юзера - это беда, но это проблема юзера. Цель Мозиллы -
> сделать так, чтобы даже в этом раскладе не допустить малварь до
> изменения веб-страниц, показываемых в браузере (вставка рекламы, фишинг, etc). И неотключаемая
> проверка подпискй - шаг к этой цели.

Уже показали, что это не работает — дополнения с подписью не гарантируют ничего.
Не то что от фишинга, даже от исполнения произвольного кода это не защищает.
Новость-то читал?
Хотя одно гарантирует — Мозилла сможет по своему усмотрению диктовать юзеру, какие расширения ему можно использовать.
К чему бы это? =)

> Для чего это надо? Например, для того, чтобы сберечь свою репутацию (юзер
> туп и гонит на Мозиллу, вместо того, чтобы гнать на себя).
> Или для того, чтобы уберечь юзера от фишинга даже в такой
> ситуации.

Для чего это — я сказал. Работает оно только как анальный ограничитель.

> Ваша позиция "у него уже куки сперли, можно наcрать и бросить юзера
> совсем к xренам" - в маньшинстве.

Меня ничуть не печалит, что я не из большинства.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

36. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Anonplus on 26-Ноя-15, 20:28 
Малварь, спирающая куки это один вид. Малварь, шифрующая файлы - это другой вид. Малварь, лезущая крутить баннеры в браузер это третий вид.

Достаточное число малверписателей предпочитает не трогать куки с паролями, а крутить себе рекламу. Тише, беспалевнее (юзеры очень часто не понимают, что это вирусня) и статья другая, чем за угон платежного акка.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от Sluggard (ok) on 26-Ноя-15, 20:33 
> Достаточное число малверписателей предпочитает не трогать куки с паролями, а крутить себе
> рекламу. Тише, беспалевнее (юзеры очень часто не понимают, что это вирусня)
> и статья другая, чем за угон платежного акка.

И при чём тут подпись расширений? Которая всё равно не пашет.

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

43. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +2 +/
Сообщение от IZh. on 26-Ноя-15, 22:47 
Если вирус уже на компе, то ничто нему не помешает попытаться подменить браузер на пропатченный (например, с отключенной проверкой цифровой подписи). ИМХО, подписи практически бесполезны в качестве защиты со стороны компа (поможет только отсутствие прав у пользователя на перезапись бинарника браузера и изменения иконки на рабочем столе, чтобы другой браузер не запускался). Поэтому я считаю, что было бы вполне нормальным разрешать установку дополнений через командную строку с опцией --no-signature-check или подобной.

Цифровая подпись может лишь защитить от случайной установки аддона, когда пользователь зашёл на сайт, а сайт ему и предложил поставить аддон "for better user experience".

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

46. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 27-Ноя-15, 00:42 
> Достаточно запретить неподписанным расширениям менять значения в about:config

никакакое расширение не должно иметь возможности  что-то менять в конфиге.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

47. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Sluggard (ok) on 27-Ноя-15, 00:43 
> никакакое расширение не должно иметь возможности  что-то менять в конфиге.

Половина функций CTR этим занимается. Удобно для лентяев.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

39. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Аноним (??) on 26-Ноя-15, 20:57 
Будет не брендирования версия ФФ.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

22. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от IZh. on 26-Ноя-15, 17:32 
А, вообще, имхо, с дополнениями пора как с полноценными приложениями обращаться -- запускать в отдельном контейнере, и просто блокировать вызываемое API в зависимости от наличия/отсутствия подписи, а также от запрашиваемых прав в манифесте.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +3 +/
Сообщение от тоже Аноним email(ok) on 26-Ноя-15, 19:05 
Угу, андроиду это здорово помогает бороться с малварью.
Идеальный вариант! В том смысле, что в реальной жизни не работает.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

32. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +3 +/
Сообщение от IZh. on 26-Ноя-15, 19:25 
> Угу, андроиду это здорово помогает бороться с малварью.
> Идеальный вариант! В том смысле, что в реальной жизни не работает.

Всё зависит от того, как реализовать. Что угодно можно сделать хорошо или плохо.

Вот, например, есть аддон, который иконки на статус баре переставляет, как пользователю нравится. Он не пользуется никаким "опасными" API, имеющими доступ к пользовательским данным. Теоретически, такой аддон можно было бы и без подписи запускать, при условии, что вызов "опасного" API для него запрещён.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

41. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от тоже Аноним email(ok) on 26-Ноя-15, 21:24 
Правда, практически второй такой аддон будет переставлять иконки так, как нравится рекламной сети, подсовывая свое благоухающее вместо домашней.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

45. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 27-Ноя-15, 00:40 
> В том смысле, что в реальной жизни не работает.

ну так как это сделали уроды из гугла оно, конечно, никогда работать не будет. Т.е. где можно разрешить сразу всё или запретить сразу всё. Но придурки из мозиллы лучше всё равно сделать не смогут.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

30. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от Ан (??) on 26-Ноя-15, 19:14 
Все пытаются решить проблемы тех кто не хочет разбираться в правилах безопасности и соответственно готов всё разрешить и делают это путём решения за него что хорошо, а что плохо, но незадача в том что ресурсов на такое решение(с приемлемой скоростью) не хватает даже у гугла.
А технически хорошее решение нешарящих будет пугать и/или те выработают рефлекс всё равно всё разрешать.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

74. "Демонстрация неэффективности внедрения в Firefox проверки до..."  –1 +/
Сообщение от Kodir (ok) on 30-Ноя-15, 17:41 
"Дополнения" - они и имеют смысл только при полном доступе к кишкам каркаса! Тут важно другое: грануляция API (т.е. насколько точно можно ограничивать возможности плагина) и мощность контроля за действиями плагина (т.е. не ОТРЕЗАТЬ функциональность, а выдавать её, контролируя что плагин делает).
Скажем, плагин скачивания картинок - выдавать не полный доступ в сеть, а только по HTTP и только GET запросы + полный фильтр кукисов. И попутно мониторить, куда плагин лазиет (запрещая доступ к конкретным ресурсам). Тогда даже самый гнусный зловред заемучается вылезать к малварь-сайтам.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

40. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +5 +/
Сообщение от Михрютка (ok) on 26-Ноя-15, 20:59 
вот что бывает, когда об комфорте для содомитов начинают заботиться больше, чем об пользе для традиционных пользователей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Chrome"  +/
Сообщение от Дмитрий email(??) on 27-Ноя-15, 04:50 
В Хроме eval() и много чего ещё просто не работает в расширениях. Даже простой <script> блок с кодом не работает, нужно выносить в файл.
Плюс там есть permissions, которые можно отредактировать в файле manifest.json. Файл лежит в ~/.config/google-chrome/<profile>/Extensions/<extension_id>/<version>
Я так и делаю -- качаю расширение, убираю ненужные пермишны и автоапдейт и пользуюсь на здоровье.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Chrome"  +/
Сообщение от Аноним (??) on 27-Ноя-15, 08:49 
> В Хроме eval() и много чего ещё просто не работает в расширениях.

Его можно выполнить на уровне открываемых сайтов, подставив из расширения код на загруженную страницу, которую браузер успешно выполнит в контексте этой страницы. Именно так баннеры заменяют и подставляют код для отслеживания.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

57. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Аноним (??) on 27-Ноя-15, 07:18 
Следующий шаг это общедоступный скрипт для беззаботного прохождения их автоматической проверки, постоянно обновляемый. Раз они упёртые и правды якобы не видят.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +1 +/
Сообщение от tdykunlogged on 27-Ноя-15, 09:43 
Кто-то уже предлагал только дополнения с свободным открытым кодом?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Нимано on 27-Ноя-15, 17:49 
> Кто-то уже предлагал только дополнения с свободным открытым кодом?

Я предлагал. Но РМС не поддержал и выкатил более безопасное решение :(
https://www.stallman.org/stallman-computing.html

> I am careful in how I use the Internet.
> I generally do not connect to web sites from my own machine, aside from a few sites I have some special
> relationship with. I usually fetch web pages from other sites by sending mail to a program (see
> git://git.gnu.org/womb/hacks.git) that fetches them, much like wget, and then mails them back to me. Then
> I look at them using a web browser, unless it is easy to see the text in the HTML page directly. I usually try
> lynx first, then a graphical browser if the page needs it (using konqueror, which won't fetch from other sites
> in such a situation).
> I occasionally also browse unrelated sites using IceCat via Tor. Except for rare cases, I do not identify
> myself to them. I think that is enough to prevent my browsing from being connected with me.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Dzmitry (??) on 28-Ноя-15, 09:58 
В chrome всегда можно глянуть код. .crx файл это просто zip. См ~/.config/google-chrome/<profile>/Extensions
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

68. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от фраг норода on 28-Ноя-15, 13:53 
Ну и какое это всё имеет значение если xpi. адин хрен бодро хавается бразухой без всяких подписей? жывотные блджад..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Аноним (??) on 28-Ноя-15, 17:24 
из всех дополнений юзаю ток ublock origin, климакс у автора вроде прошел, так что вполне безопасно, режет как надо.....на остальное мне пофиг.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +2 +/
Сообщение от Штольман on 29-Ноя-15, 06:44 
Нужен репозиторий с сорцами дополнений. А блобы в браузере найух не нужны
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Онаним on 03-Дек-15, 16:43 
А разве браузерные дополнения сейчас не на JavaScript?
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

76. "Демонстрация неэффективности внедрения в Firefox проверки до..."  +/
Сообщение от Онаним on 03-Дек-15, 16:42 
Они там что, с дуба рухнули? Обязательная проверка в свободном браузере? На IceWeasel чтоли переходить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру