forum.opennet.ru - "Обновление Firefox 68.0.2" (43)

"Обновление Firefox 68.0.2"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Обновление Firefox 68.0.2"	+/–
Сообщение от opennews (??), 14-Авг-19, 21:12
Опубликовано корректирующее обновление Firefox 68.0.2 (https://www.mozilla.org/en-US/firefox/68.0.2/releasenotes/) в котором устранено несколько проблем: - Устранена уязвимость (CVE-2019-11733), позволяющая скопировать сохранённые пароли без ввода мастер-пароля. При использовании в диалоге Saved Logins ('Page Info/ Security/ View Saved Password)' предложенной в контекстном меню опции 'copy password', копирование в буфер обмена осуществляется без необходимости ввода пароля (диалог ввода пароля выводится, но данные копируются в буфер обмена независимо от правильности введённого пароля); - Решена проблема (https://bugzilla.mozilla.org/show_bug.cgi?id=1565542) с загрузкой изображений после перезагрузки страницы (ошибка проявлялась в том числе в Google Maps); - Исправлена ошибка (https://bugzilla.mozilla.org/show_bug.cgi?id=1560228), приводившая к обрезанию некоторых спецсимволов в конце поискового запроса в адресной строке (например, удалялись знак вопроса и символ "#"); - Разрешено (https://bugzilla.mozilla.org/show_bug.cgi?id=1565942) загружать шрифты через URL "file://" при открытии страницы с локального носителя; - Решена проблема (https://bugzilla.mozilla.org/show_bug.cgi?id=1567105) с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул); - Устранена ошибка (https://bugzilla.mozilla.org/show_bug.cgi?id=1567614), приводящая к сбою при запуске внешних приложений, настроенных как обработчики определённых URI. URL: https://www.mozilla.org/en-US/firefox/68.0.2/releasenotes/ Новость: https://www.opennet.ru/opennews/art.shtml?num=51284
Ответить \| Правка \| Cообщить модератору

Оглавление

quote Решена проблема с выводом на печать сообщений из web-приложения Outlook , Аноним (1), 21:12 , 14-Авг-19, (1) –3

Потому что некрософт хочет, чтобы ты юзал Chrome , Аноним (7), 21:37 , 14-Авг-19, (7) +2
Если винда, то может причина в том, что хром использует системное хранилище серт, goga (??), 21:47 , 14-Авг-19, (9)

Т е они хранятся не зашифрованные Прелестно , Аномномномнимус (?), 21:18 , 14-Авг-19, (2) +3

они хранятся в памяти браузера - незашифрованные, потому что иначе пришлось бы х, пох. (?), 21:34 , 14-Авг-19, (5) +3

нет, в оригинале написано locally stored passwords can be copied to the clipboar, Я (??), 21:42 , 14-Авг-19, (8)

ты в это copy не попадешь, оно просто тебе не покажется, пока не введешь пароль , пох. (?), 21:54 , 14-Авг-19, (10) +4
А в новости здесь написано больше Фраза процитированная тобой может противоречит, Ordu (ok), 00:28 , 15-Авг-19, (20)
ну, удачи тогда вытащить пароли из key4 db лежит в профилях без знания мастер п, OpenEcho (?), 00:47 , 15-Авг-19, (22)

Зачем копировать Просто отобразил и на телефон сфоткнул - сделано для людей И, Дегенератор (ok), 06:57 , 15-Авг-19, (26) –2

так там тоже master потребуется - при каждой попытке посмотреть кстати, чего-то , пох. (?), 10:39 , 15-Авг-19, (29) +2

Я тоже на относительно старой версии попробовал скопировать без отображения - не, Fedd (ok), 17:53 , 15-Авг-19, (40)

Когда-то так было, потом сделали только по паролю , Fedd (ok), 17:50 , 15-Авг-19, (39)

так и должно быть, Аноним (33), 14:33 , 15-Авг-19, (33)

Если мастер пароль не установлен, то нет, не шифруются вовсе , Kuromi (ok), 22:25 , 14-Авг-19, (11)

не смотрел что там наколбасили в db4 - но на почве знакомства с db3 - осуждаю Та, пох. (?), 11:13 , 15-Авг-19, (31) +1

Про пароли не понял, они же хранятся в зашифрованном контейнере Ну так по крайн, Я (??), 21:32 , 14-Авг-19, (3)

После этого в расшифрованном виде , Аноним (15), 23:15 , 14-Авг-19, (15)

Так нельзя делать, в любой книжке по безопасности написано что пароль нельзя хра, Аноним (33), 14:36 , 15-Авг-19, (34)

Эй, это же мозилла Они за то, что нельзя держать в команде двух белых гетеросeк, Аноним (37), 17:25 , 15-Авг-19, (37)
Сам пароль и не хранится , Fedd (ok), 17:47 , 15-Авг-19, (38)

Плюшевый какой-то master-password получается Я бы его переименовал в clown-pass, Аноним (4), 21:33 , 14-Авг-19, (4) –4

Какие Маргаритки такие и мастера , VINRARUS (ok), 23:08 , 14-Авг-19, (14)
Пароли хранятся зашифрованными При первом за текущую сессию обращении к паролям, AnonPlus (?), 23:21 , 14-Авг-19, (17) +4

А это поможет от специальным образом оформленных USB-устройств-эксплоитов А это, Аноним (4), 23:31 , 14-Авг-19, (18) –1

От этих проблем в любом случае страдает ЛЮБАЯ система, предполагающая использова, тоже Аноним (ok), 08:36 , 15-Авг-19, (28)
Поможет, если разработчики ОС об этом позаботились и ОС игнорирует устройства, п, AnonPlus (?), 15:20 , 15-Авг-19, (36)

Нужно просто внедрить PAKE в браузер и использовать его для всех сайтов Тогда м, Аноним (32), 11:41 , 15-Авг-19, (32)
Это очевидное нарушение безопасности со стороны авторов firefox У сайта есть пон, Аноним (33), 14:41 , 15-Авг-19, (35)

Да если посещаешь один сайт за сессию, а если десятки Мечтаю когда сделать что-, Fedd (ok), 18:10 , 15-Авг-19, (41)

Такими темпами они до 1000 версии при моей жизни догонят Предлагаю разрабам, ср, Аноним (6), 21:36 , 14-Авг-19, (6) –2

Предлагаю геометрическую прогресию , VINRARUS (ok), 23:17 , 14-Авг-19, (16)

взаимоисключающие параграфы, Аноним (12), 22:25 , 14-Авг-19, (12) –2
Сохранённые пароли в браузере Уникальная дурость для тру-линуксоида Впрочем, , user90 (?), 22:50 , 14-Авг-19, (13) –3

сейчас набигут шиндузоиды и скажут, что сохранять пароли надо Причем хранить их, Аноним (4), 23:40 , 14-Авг-19, (19) –2

Зачем дыры в процах, если можно просто читать память проверяется gdb -p firef, Аноним84701 (ok), 00:29 , 15-Авг-19, (21)
Надо Имелось ввиду использование GPG, отдельного ПО Сколько же тут хомячья пас, user90 (?), 08:30 , 15-Авг-19, (27) –1

Ок, расскажите, как именно это сделать чтобы работала автоподстановка и автосох, Stax (ok), 18:22 , 15-Авг-19, (43)

ныкайтесь, ныкайтесь глубже, пацаны - опять тот мальчик, с феноменальной памятью, пох. (?), 10:40 , 15-Авг-19, (30)

Не у него просто одинаковый пароль везде, Fedd (ok), 18:18 , 15-Авг-19, (42)

firefox 68 0 1 не собирается gcc-9 2 0 как только не шаманил ну ни как и все тут, Аноним (23), 02:01 , 15-Авг-19, (23) –1
в итоге поставил бинарный и все в порядке профиль только подкрутил вроде по скор, Аноним (23), 02:05 , 15-Авг-19, (24)

гентушники начали что-то подозревать, Аноним (25), 05:58 , 15-Авг-19, (25) +3

Сообщения [Сортировка по времени | RSS]

1. "Обновление Firefox 68.0.2" –3 +/–

Сообщение от Аноним (1), 14-Авг-19, 21:12

[quote]Решена проблема с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул[/quote]
Не совсем по теме, но может кто в курсе, -- почему web-приложение Outlook не работает в мобильной версии браузера? Подключение происходит по сертификату.
P.S. В Chrome работает.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Firefox 68.0.2" +2 +/–

Сообщение от Аноним (7), 14-Авг-19, 21:37

Потому что некрософт хочет, чтобы ты юзал Chrome!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

9. "Обновление Firefox 68.0.2" +/–

Сообщение от goga (??), 14-Авг-19, 21:47

Если винда, то может причина в том, что хром использует системное хранилище сертов?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление Firefox 68.0.2" +3 +/–

Сообщение от Аномномномнимус (?), 14-Авг-19, 21:18

>> без необходимости ввода пароля
Т.е. они хранятся не зашифрованные. Прелестно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Firefox 68.0.2" +3 +/–

Сообщение от пох. (?), 14-Авг-19, 21:34

они хранятся в памяти браузера - незашифрованные, потому что иначе пришлось бы хранить в той же памяти ключ шифрования. Или переспрашивать тебя о каждом сайте.
А тут речь о дополнительной проверке, когда ты мастер-пароль уже ввел, куда-то залез, но отвернулся поссать, а васян взял и попытался скопировать твой пароль от криптобиржи или просто посмотреть.
Чорт, жаль я раньше не знал что можно вводить любой - так эта проверка надоела...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление Firefox 68.0.2" +/–

Сообщение от Я (??), 14-Авг-19, 21:42

нет, в оригинале написано:
locally stored passwords can be copied to the clipboard thorough the 'copy password' context menu item without first entering the master password
получается просто не шифруют
https://www.mozilla.org/en-US/security/advisories/mfsa2019-24/

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Обновление Firefox 68.0.2" +4 +/–

Сообщение от пох. (?), 14-Авг-19, 21:54

ты в это copy не попадешь, оно просто тебе не покажется, пока не введешь пароль.
А когда оно показывается - да, все уже расшифровано, это просто мера защиты дополнительная.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Обновление Firefox 68.0.2" +/–

Сообщение от Ordu (ok), 15-Авг-19, 00:28

А в новости здесь написано больше:
> данные копируются в буфер обмена независимо от правильности введённого пароля, при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль
> требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль
> правильно введён мастер-пароль
Фраза процитированная тобой может противоречить этому, а может и нет: "without first entering the master password" очень хорошо переводится русской "без ввода пароля" -- такой перевод сохраняет исходную двусмысленность относительно того, к чему относится "first" -- к тому, что пароль вообще не вводился ни разу, или к тому, что он не был введён непосредственно перед операцией копирования.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

22. "Обновление Firefox 68.0.2" +/–

Сообщение от OpenEcho (?), 15-Авг-19, 00:47

>получается просто не шифруют
ну, удачи тогда вытащить пароли из key4.db(лежит в профилях) без знания мастер пароля

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

26. "Обновление Firefox 68.0.2" –2 +/–

Сообщение от Дегенератор (ok), 15-Авг-19, 06:57

>но отвернулся поссать, а васян взял и попытался скопировать твой пароль
Зачем копировать? Просто отобразил и на телефон сфоткнул - "сделано для людей"!
Именно по-этому этой какахой после месяца трахелова и перестал пользоваться. И толку с этого мастер-пароля, даже если его постоянно надо наяривать по 50 раз в день.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "Обновление Firefox 68.0.2" +2 +/–

Сообщение от пох. (?), 15-Авг-19, 10:39

> Зачем копировать? Просто отобразил и на телефон сфоткнул
так там тоже master потребуется - при каждой попытке посмотреть.
кстати, чего-то эти хорьки не договаривают - я попробовал сейчас на 68.0.1 - да, мне открылся диалог, где должны были быть пароли, но там ни паролей, ни логинов, пустое место. Кажется, васяну оставляется только возможность добавить туда еще и свой ;-)
А если ввести правильный master, а потом попробовать посмотреть на сами пароли - хрен там, ни неправильный пароль, ни esc не позволяют с ними ознакомиться "исключительно в целях безопастносте".

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

40. "Обновление Firefox 68.0.2" +/–

Сообщение от Fedd (ok), 15-Авг-19, 17:53

Я тоже на относительно старой версии попробовал скопировать без отображения - не вышло, видимо баг последних версий

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

39. "Обновление Firefox 68.0.2" +/–

Сообщение от Fedd (ok), 15-Авг-19, 17:50

Когда-то так было, потом сделали только по паролю

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Обновление Firefox 68.0.2" +/–

Сообщение от Аноним (33), 15-Авг-19, 14:33

> переспрашивать тебя о каждом сайте
так и должно быть

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Обновление Firefox 68.0.2" +/–

Сообщение от Kuromi (ok), 14-Авг-19, 22:25

Если мастер пароль не установлен, то нет, не шифруются вовсе.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "Обновление Firefox 68.0.2" +1 +/–

Сообщение от пох. (?), 15-Авг-19, 11:13

не смотрел что там наколбасили в db4 - но на почве знакомства с db3 - осуждаю.
Там вполне себе шифровалось. Другое дело что дефолтным ключом, который лежал где-то рядом.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

3. "Обновление Firefox 68.0.2" +/–

Сообщение от Я (??), 14-Авг-19, 21:32

Про пароли не понял, они же хранятся в зашифрованном контейнере!
Ну так по крайней мере я думал

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление Firefox 68.0.2" +/–

Сообщение от Аноним (15), 14-Авг-19, 23:15

> при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль)
После этого в расшифрованном виде.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

34. "Обновление Firefox 68.0.2" +/–

Сообщение от Аноним (33), 15-Авг-19, 14:36

Так нельзя делать, в любой книжке по безопасности написано что пароль нельзя хранить в памяти в расшифрованном виде, после использования его необходимо сразу очищать из памяти, в крайнем случае по таймауту.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

37. "Обновление Firefox 68.0.2" +/–

Сообщение от Аноним (37), 15-Авг-19, 17:25

Эй, это же мозилла! Они за то, что нельзя держать в команде двух белых гетеросeксуальных мужчин (а надежнее сразу выгнать из команды последнего оставшегося). Или за то, что нельзя использовать терминологию "master/slave". А вот в способе хранения паролей никакой выгоды для SJW нет, поэтому такая ерунда их не интересует.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

38. "Обновление Firefox 68.0.2" +/–

Сообщение от Fedd (ok), 15-Авг-19, 17:47

Сам пароль и не хранится

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

4. "Обновление Firefox 68.0.2" –4 +/–

Сообщение от Аноним (4), 14-Авг-19, 21:33

> скопировать сохранённые пароли без ввода мастер-пароля
Плюшевый какой-то master-password получается. Я бы его переименовал в clown-password, потому что никакими master (master, noun, pl. masters — someone who has control over something or someone) тут не пахнет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление Firefox 68.0.2" +/–

Сообщение от VINRARUS (ok), 14-Авг-19, 23:08

Какие Маргаритки такие и мастера.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

17. "Обновление Firefox 68.0.2" +4 +/–

Сообщение от AnonPlus (?), 14-Авг-19, 23:21

Пароли хранятся зашифрованными. При первом за текущую сессию обращении к паролям вы обязаны ввести верный ключ (чтобы не путать мастер-пароль и прочие пароли, далее мастер-пароль будет именоваться ключом), иначе пароли тупо не расшифруются. Это нельзя обойти никак, математику не обманешь.

Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными. Нетрудно понять почему: иначе пришлось бы либо хранить ключ в памяти (скверное решение), либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем (рай для параноика и куча недовольства со стороны большей части пользователей, которым нужно только защитить файл паролей от угона незашифрованным, а вот в пределах сеанса работы с браузером такой геморрой им нафиг не упёрся).

Но остаётся ещё сценарий "пользователь отошёл от ПК, браузер не закрыл, сеанс ОС не залочил, пароли расшифрованы, нужно как-то защитить их от коллеги по офису, который подбежит, откроет менеджер паролей и увидит". Поэтому для просмотра паролей через интерфейс менеджера паролей всё ещё нужно вводить ключ, но он уже их не расшифровывает (они расшифрованы ранее), а просто позволяет их копировать. Дополнительная мера защиты, которую и можно было обойти.

Но это так себе защита и полагаться на неё не следует. Отходя от ПК, нужно блокировать сеанс оперционной системы, а не оставлять недоброжелателям запущенный браузер и потенциальную возможность копаться в памяти процесса браузера (кто знает, что интересного там удастся выловить).
Ты можешь переименовывать что угодно во что угодно, хоть себя в Полиграфа Полиграфыча, но мастер-пароль надёжно выполняет свою функцию - хранить пароли на диске зашифрованными. А дальше уже пользователь клоун, если он ускакал, не залочив сеанс ОС.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Обновление Firefox 68.0.2" –1 +/–

Сообщение от Аноним (4), 14-Авг-19, 23:31

> блокировать сеанс оперционной системы
А это поможет от специальным образом оформленных USB-устройств-эксплоитов? А это поможет от хардварных кейлоггеров, когда нужно просто получить физический доступ к выключенному компу, который для установки включать даже и не потребуется?
Такой наивный, блин. Я даже при выходе из квартиры оставляю кое-что над дверью, чтобы потом определить, открывали ли дверь без моего ведома. А у него тут пароли торчат голой жопой в оперативку.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

28. "Обновление Firefox 68.0.2" +/–

Сообщение от тоже Аноним (ok), 15-Авг-19, 08:36

От этих проблем в любом случае страдает ЛЮБАЯ система, предполагающая использование паролей.
Мастер-пароль не решает ВСЕ проблемы безопасности, но его использование не создает НОВЫХ.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

36. "Обновление Firefox 68.0.2" +/–

Сообщение от AnonPlus (?), 15-Авг-19, 15:20

>> блокировать сеанс оперционной системы
> А это поможет от специальным образом оформленных USB-устройств-эксплоитов?
Поможет, если разработчики ОС об этом позаботились и ОС игнорирует устройства, подключённые во время блокировки сеанса.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

32. "Обновление Firefox 68.0.2" +/–

Сообщение от Аноним (32), 15-Авг-19, 11:41

Нужно просто внедрить PAKE в браузер и использовать его для всех сайтов. Тогда можно на все сайты ставить один и тот же пароль. И это будет безопасно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

35. "Обновление Firefox 68.0.2" +/–

Сообщение от Аноним (33), 15-Авг-19, 14:41

> Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными.
Это очевидное нарушение безопасности со стороны авторов firefox.
> либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем
У сайта есть понятие «сессии», обычно логин вводится один раз при начале сессии, а не для каждой страницы сайта. И требовать для этого мастер-пароль — абсолютно верно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

41. "Обновление Firefox 68.0.2" +/–

Сообщение от Fedd (ok), 15-Авг-19, 18:10

Да если посещаешь один сайт за сессию, а если десятки? Мечтаю когда сделать что-нибудь типа yubikey вместо пароля

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

6. "Обновление Firefox 68.0.2" –2 +/–

Сообщение от Аноним (6), 14-Авг-19, 21:36

Такими темпами они до 1000 версии при моей жизни догонят. Предлагаю разрабам, сразу +100 к версии делать, что показать крутость разработки

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление Firefox 68.0.2" +/–

Сообщение от VINRARUS (ok), 14-Авг-19, 23:17

Предлагаю геометрическую прогресию.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

12. "Обновление Firefox 68.0.2" –2 +/–

Сообщение от Аноним (12), 14-Авг-19, 22:25

>без ввода мастер-пароля
>требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль
взаимоисключающие параграфы

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Обновление Firefox 68.0.2" –3 +/–

Сообщение от user90 (?), 14-Авг-19, 22:50

Сохранённые пароли в браузере?? Уникальная дурость для тру-линуксоида. Впрочем, судя по каментам, тут таких мало..

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Обновление Firefox 68.0.2" –2 +/–

Сообщение от Аноним (4), 14-Авг-19, 23:40

сейчас набигут шиндузоиды и скажут, что сохранять пароли надо. Причем хранить их надо в голом виде в оперативке, чтоб любая приложуха их через дырявые процы смогла заполучить. Вот такие вот пошли у нас шиндузоиды. Впрочем, фф недалеко ушел от легендарной шиндо-уязвимости:
https://www.youtube.com/watch?v=DOeYqmVNaZE

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Обновление Firefox 68.0.2" +/–

Сообщение от Аноним84701 (ok), 15-Авг-19, 00:29

> сейчас набигут шиндузоиды и скажут, что сохранять пароли надо. Причем хранить их
> надо в голом виде в оперативке, чтоб любая приложуха их через дырявые процы смогла заполучить.
Зачем дыры в процах, если можно просто читать память? (проверяется gdb -p <firefox pid>)
И так ли надежней будет ввод ручками?
https://web.archive.org/web/20010612075533/http://www.acm.vt...
xspy, довольно известная в узких кругах демка, ЕМНИП 97 года. Работает до сих пор.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Обновление Firefox 68.0.2" –1 +/–

Сообщение от user90 (?), 15-Авг-19, 08:30

> сейчас набигут шиндузоиды и скажут, что сохранять пароли надо.
Надо. Имелось ввиду использование GPG, отдельного! ПО.
Сколько же тут хомячья пасется, б-же))

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

43. "Обновление Firefox 68.0.2" +/–

Сообщение от Stax (ok), 15-Авг-19, 18:22

Ок, расскажите, как именно это сделать (чтобы работала автоподстановка и автосохранение, разумеется)?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Обновление Firefox 68.0.2" +/–

Сообщение от пох. (?), 15-Авг-19, 10:40

ныкайтесь, ныкайтесь глубже, пацаны - опять тот мальчик, с феноменальной памятью!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

42. "Обновление Firefox 68.0.2" +/–

Сообщение от Fedd (ok), 15-Авг-19, 18:18

Не у него просто одинаковый пароль везде

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

23. "Обновление Firefox 68.0.2" –1 +/–

Сообщение от Аноним (23), 15-Авг-19, 02:01

firefox 68.0.1 не собирается gcc-9.2.0 как только не шаманил ну ни как и все тут падает с ошибкой в стеке rust ему видите ли не угоден перепробовал все версии rust а все одно и тоже падает может ebuld кривой?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Обновление Firefox 68.0.2" +/–

Сообщение от Аноним (23), 15-Авг-19, 02:05

в итоге поставил бинарный и все в порядке профиль только подкрутил вроде по скорости работает также зачем тогда под процессор затачивать вот я и думаю.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Обновление Firefox 68.0.2" +3 +/–

Сообщение от Аноним (25), 15-Авг-19, 05:58

гентушники начали что-то подозревать

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Обновление Firefox 68.0.2"	–3 +/–
Сообщение от Аноним (1), 14-Авг-19, 21:12
[quote]Решена проблема с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул[/quote] Не совсем по теме, но может кто в курсе, -- почему web-приложение Outlook не работает в мобильной версии браузера? Подключение происходит по сертификату. P.S. В Chrome работает.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	7. "Обновление Firefox 68.0.2"	+2 +/–
	Сообщение от Аноним (7), 14-Авг-19, 21:37
	Потому что некрософт хочет, чтобы ты юзал Chrome!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	9. "Обновление Firefox 68.0.2"	+/–
	Сообщение от goga (??), 14-Авг-19, 21:47
	Если винда, то может причина в том, что хром использует системное хранилище сертов?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Обновление Firefox 68.0.2"	+3 +/–
Сообщение от Аномномномнимус (?), 14-Авг-19, 21:18
>> без необходимости ввода пароля Т.е. они хранятся не зашифрованные. Прелестно.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Обновление Firefox 68.0.2"	+3 +/–
	Сообщение от пох. (?), 14-Авг-19, 21:34
	они хранятся в памяти браузера - незашифрованные, потому что иначе пришлось бы хранить в той же памяти ключ шифрования. Или переспрашивать тебя о каждом сайте. А тут речь о дополнительной проверке, когда ты мастер-пароль уже ввел, куда-то залез, но отвернулся поссать, а васян взял и попытался скопировать твой пароль от криптобиржи или просто посмотреть. Чорт, жаль я раньше не знал что можно вводить любой - так эта проверка надоела...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	8. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Я (??), 14-Авг-19, 21:42
	нет, в оригинале написано: locally stored passwords can be copied to the clipboard thorough the 'copy password' context menu item without first entering the master password получается просто не шифруют https://www.mozilla.org/en-US/security/advisories/mfsa2019-24/
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	10. "Обновление Firefox 68.0.2"	+4 +/–
	Сообщение от пох. (?), 14-Авг-19, 21:54
	ты в это copy не попадешь, оно просто тебе не покажется, пока не введешь пароль. А когда оно показывается - да, все уже расшифровано, это просто мера защиты дополнительная.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	20. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Ordu (ok), 15-Авг-19, 00:28
	А в новости здесь написано больше: > данные копируются в буфер обмена независимо от правильности введённого пароля, при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль > требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль > правильно введён мастер-пароль Фраза процитированная тобой может противоречить этому, а может и нет: "without first entering the master password" очень хорошо переводится русской "без ввода пароля" -- такой перевод сохраняет исходную двусмысленность относительно того, к чему относится "first" -- к тому, что пароль вообще не вводился ни разу, или к тому, что он не был введён непосредственно перед операцией копирования.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	22. "Обновление Firefox 68.0.2"	+/–
	Сообщение от OpenEcho (?), 15-Авг-19, 00:47
	>получается просто не шифруют ну, удачи тогда вытащить пароли из key4.db(лежит в профилях) без знания мастер пароля
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	26. "Обновление Firefox 68.0.2"	–2 +/–
	Сообщение от Дегенератор (ok), 15-Авг-19, 06:57
	>но отвернулся поссать, а васян взял и попытался скопировать твой пароль Зачем копировать? Просто отобразил и на телефон сфоткнул - "сделано для людей"! Именно по-этому этой какахой после месяца трахелова и перестал пользоваться. И толку с этого мастер-пароля, даже если его постоянно надо наяривать по 50 раз в день.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	29. "Обновление Firefox 68.0.2"	+2 +/–
	Сообщение от пох. (?), 15-Авг-19, 10:39
	> Зачем копировать? Просто отобразил и на телефон сфоткнул так там тоже master потребуется - при каждой попытке посмотреть. кстати, чего-то эти хорьки не договаривают - я попробовал сейчас на 68.0.1 - да, мне открылся диалог, где должны были быть пароли, но там ни паролей, ни логинов, пустое место. Кажется, васяну оставляется только возможность добавить туда еще и свой ;-) А если ввести правильный master, а потом попробовать посмотреть на сами пароли - хрен там, ни неправильный пароль, ни esc не позволяют с ними ознакомиться "исключительно в целях безопастносте".
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	40. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Fedd (ok), 15-Авг-19, 17:53
	Я тоже на относительно старой версии попробовал скопировать без отображения - не вышло, видимо баг последних версий
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору


	39. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Fedd (ok), 15-Авг-19, 17:50
	Когда-то так было, потом сделали только по паролю
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	33. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Аноним (33), 15-Авг-19, 14:33
	> переспрашивать тебя о каждом сайте так и должно быть
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	11. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Kuromi (ok), 14-Авг-19, 22:25
	Если мастер пароль не установлен, то нет, не шифруются вовсе.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	31. "Обновление Firefox 68.0.2"	+1 +/–
	Сообщение от пох. (?), 15-Авг-19, 11:13
	не смотрел что там наколбасили в db4 - но на почве знакомства с db3 - осуждаю. Там вполне себе шифровалось. Другое дело что дефолтным ключом, который лежал где-то рядом.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору

3. "Обновление Firefox 68.0.2"	+/–
Сообщение от Я (??), 14-Авг-19, 21:32
Про пароли не понял, они же хранятся в зашифрованном контейнере! Ну так по крайней мере я думал
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	15. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Аноним (15), 14-Авг-19, 23:15
	> при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль) После этого в расшифрованном виде.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	34. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Аноним (33), 15-Авг-19, 14:36
	Так нельзя делать, в любой книжке по безопасности написано что пароль нельзя хранить в памяти в расшифрованном виде, после использования его необходимо сразу очищать из памяти, в крайнем случае по таймауту.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	37. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Аноним (37), 15-Авг-19, 17:25
	Эй, это же мозилла! Они за то, что нельзя держать в команде двух белых гетеросeксуальных мужчин (а надежнее сразу выгнать из команды последнего оставшегося). Или за то, что нельзя использовать терминологию "master/slave". А вот в способе хранения паролей никакой выгоды для SJW нет, поэтому такая ерунда их не интересует.
	Ответить \| Правка \| ^ к родителю #34 \| Наверх \| Cообщить модератору


	38. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Fedd (ok), 15-Авг-19, 17:47
	Сам пароль и не хранится
	Ответить \| Правка \| ^ к родителю #34 \| Наверх \| Cообщить модератору

4. "Обновление Firefox 68.0.2"	–4 +/–
Сообщение от Аноним (4), 14-Авг-19, 21:33
> скопировать сохранённые пароли без ввода мастер-пароля Плюшевый какой-то master-password получается. Я бы его переименовал в clown-password, потому что никакими master (master, noun, pl. masters — someone who has control over something or someone) тут не пахнет.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	14. "Обновление Firefox 68.0.2"	+/–
	Сообщение от VINRARUS (ok), 14-Авг-19, 23:08
	Какие Маргаритки такие и мастера.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	17. "Обновление Firefox 68.0.2"	+4 +/–
	Сообщение от AnonPlus (?), 14-Авг-19, 23:21
	Пароли хранятся зашифрованными. При первом за текущую сессию обращении к паролям вы обязаны ввести верный ключ (чтобы не путать мастер-пароль и прочие пароли, далее мастер-пароль будет именоваться ключом), иначе пароли тупо не расшифруются. Это нельзя обойти никак, математику не обманешь. Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными. Нетрудно понять почему: иначе пришлось бы либо хранить ключ в памяти (скверное решение), либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем (рай для параноика и куча недовольства со стороны большей части пользователей, которым нужно только защитить файл паролей от угона незашифрованным, а вот в пределах сеанса работы с браузером такой геморрой им нафиг не упёрся). Но остаётся ещё сценарий "пользователь отошёл от ПК, браузер не закрыл, сеанс ОС не залочил, пароли расшифрованы, нужно как-то защитить их от коллеги по офису, который подбежит, откроет менеджер паролей и увидит". Поэтому для просмотра паролей через интерфейс менеджера паролей всё ещё нужно вводить ключ, но он уже их не расшифровывает (они расшифрованы ранее), а просто позволяет их копировать. Дополнительная мера защиты, которую и можно было обойти. Но это так себе защита и полагаться на неё не следует. Отходя от ПК, нужно блокировать сеанс оперционной системы, а не оставлять недоброжелателям запущенный браузер и потенциальную возможность копаться в памяти процесса браузера (кто знает, что интересного там удастся выловить). Ты можешь переименовывать что угодно во что угодно, хоть себя в Полиграфа Полиграфыча, но мастер-пароль надёжно выполняет свою функцию - хранить пароли на диске зашифрованными. А дальше уже пользователь клоун, если он ускакал, не залочив сеанс ОС.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	18. "Обновление Firefox 68.0.2"	–1 +/–
	Сообщение от Аноним (4), 14-Авг-19, 23:31
	> блокировать сеанс оперционной системы А это поможет от специальным образом оформленных USB-устройств-эксплоитов? А это поможет от хардварных кейлоггеров, когда нужно просто получить физический доступ к выключенному компу, который для установки включать даже и не потребуется? Такой наивный, блин. Я даже при выходе из квартиры оставляю кое-что над дверью, чтобы потом определить, открывали ли дверь без моего ведома. А у него тут пароли торчат голой жопой в оперативку.
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	28. "Обновление Firefox 68.0.2"	+/–
	Сообщение от тоже Аноним (ok), 15-Авг-19, 08:36
	От этих проблем в любом случае страдает ЛЮБАЯ система, предполагающая использование паролей. Мастер-пароль не решает ВСЕ проблемы безопасности, но его использование не создает НОВЫХ.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	36. "Обновление Firefox 68.0.2"	+/–
	Сообщение от AnonPlus (?), 15-Авг-19, 15:20
	>> блокировать сеанс оперционной системы > А это поможет от специальным образом оформленных USB-устройств-эксплоитов? Поможет, если разработчики ОС об этом позаботились и ОС игнорирует устройства, подключённые во время блокировки сеанса.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	32. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Аноним (32), 15-Авг-19, 11:41
	Нужно просто внедрить PAKE в браузер и использовать его для всех сайтов. Тогда можно на все сайты ставить один и тот же пароль. И это будет безопасно.
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	35. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Аноним (33), 15-Авг-19, 14:41
	> Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными. Это очевидное нарушение безопасности со стороны авторов firefox. > либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем У сайта есть понятие «сессии», обычно логин вводится один раз при начале сессии, а не для каждой страницы сайта. И требовать для этого мастер-пароль — абсолютно верно.
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	41. "Обновление Firefox 68.0.2"	+/–
	Сообщение от Fedd (ok), 15-Авг-19, 18:10
	Да если посещаешь один сайт за сессию, а если десятки? Мечтаю когда сделать что-нибудь типа yubikey вместо пароля
	Ответить \| Правка \| ^ к родителю #35 \| Наверх \| Cообщить модератору