The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Firefox 68.0.2

14.08.2019 20:54

Опубликовано корректирующее обновление Firefox 68.0.2 в котором устранено несколько проблем:

  • Устранена уязвимость (CVE-2019-11733), позволяющая скопировать сохранённые пароли без ввода мастер-пароля. При использовании в диалоге Saved Logins ('Page Info/ Security/ View Saved Password)' предложенной в контекстном меню опции 'copy password', копирование в буфер обмена осуществляется без необходимости ввода пароля (диалог ввода пароля выводится, но данные копируются в буфер обмена независимо от правильности введённого пароля, при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль);
  • Решена проблема с загрузкой изображений после перезагрузки страницы (ошибка проявлялась в том числе в Google Maps);
  • Исправлена ошибка, приводившая к обрезанию некоторых спецсимволов в конце поискового запроса в адресной строке (например, удалялись знак вопроса и символ "#");
  • Разрешено загружать шрифты через URL "file://" при открытии страницы с локального носителя;
  • Решена проблема с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул);
  • Устранена ошибка, приводящая к сбою при запуске внешних приложений, настроенных как обработчики определённых URI.


  1. Главная ссылка к новости (https://www.mozilla.org/en-US/...)
  2. OpenNews: Обновление Firefox 68.0.1
  3. OpenNews: Релиз Firefox 68
  4. OpenNews: В Firefox 70 планируют изменить отображение HTTPS и HTTP в адресной строке
  5. OpenNews: В ночные сборки Firefox добавлен режим строгой изоляции страниц
  6. OpenNews: В Firefox 70 страницы открытые по HTTP начнут помечаться как небезопасные
Лицензия: CC-BY
Тип: Программы
Ключевые слова: firefox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (43) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 21:12, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    [quote]Решена проблема с выводом на печать сообщений из web-приложения Outlook (ранее печатался только заголовок и нижний колонтитул[/quote]

    Не совсем по теме, но может кто в курсе, -- почему web-приложение Outlook не работает в мобильной версии браузера? Подключение происходит по сертификату.

    P.S. В Chrome работает.

     
     
  • 2.7, Аноним (7), 21:37, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Потому что некрософт хочет, чтобы ты юзал Chrome!
     
  • 2.9, goga (??), 21:47, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если винда, то может причина в том, что хром использует системное хранилище сертов?
     

  • 1.2, Аномномномнимус (?), 21:18, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >> без необходимости ввода пароля

    Т.е. они хранятся не зашифрованные. Прелестно.

     
     
  • 2.5, пох. (?), 21:34, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    они хранятся в памяти браузера - незашифрованные, потому что иначе пришлось бы хранить в той же памяти ключ шифрования. Или переспрашивать тебя о каждом сайте.

    А тут речь о дополнительной проверке, когда ты мастер-пароль уже ввел, куда-то залез, но отвернулся поссать, а васян взял и попытался скопировать твой пароль от криптобиржи или просто посмотреть.

    Чорт, жаль я раньше не знал что можно вводить любой - так эта проверка надоела...

     
     
  • 3.8, Я (??), 21:42, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    нет, в оригинале написано:
    locally stored passwords can be copied to the clipboard thorough the 'copy password' context menu item without first entering the master password  

    получается просто не шифруют
    https://www.mozilla.org/en-US/security/advisories/mfsa2019-24/

     
     
  • 4.10, пох. (?), 21:54, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ты в это copy не попадешь, оно просто тебе не покажется, пока не введешь пароль.

    А когда оно показывается - да, все уже расшифровано, это просто мера защиты дополнительная.

     
  • 4.20, Ordu (ok), 00:28, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А в новости здесь написано больше:

    > данные копируются в буфер обмена независимо от правильности введённого пароля, при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль
    > требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль
    > правильно введён мастер-пароль

    Фраза процитированная тобой может противоречить этому, а может и нет: "without first entering the master password" очень хорошо переводится русской "без ввода пароля" -- такой перевод сохраняет исходную двусмысленность относительно того, к чему относится "first" -- к тому, что пароль вообще не вводился ни разу, или к тому, что он не был введён непосредственно перед операцией копирования.

     
  • 4.22, OpenEcho (?), 00:47, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >получается просто не шифруют

    ну, удачи тогда вытащить пароли из key4.db(лежит в профилях) без знания мастер пароля

     
  • 3.26, Дегенератор (ok), 06:57, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >но отвернулся поссать, а васян взял и попытался скопировать твой пароль

    Зачем копировать? Просто отобразил и на телефон сфоткнул - "сделано для людей"!
    Именно по-этому этой какахой после месяца трахелова и перестал пользоваться. И толку с этого мастер-пароля, даже если его постоянно надо наяривать по 50 раз в день.

     
     
  • 4.29, пох. (?), 10:39, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Зачем копировать? Просто отобразил и на телефон сфоткнул

    так там тоже master потребуется - при каждой попытке посмотреть.

    кстати, чего-то эти хорьки не договаривают - я попробовал сейчас на 68.0.1 - да, мне открылся диалог, где должны были быть пароли, но там ни паролей, ни логинов, пустое место. Кажется, васяну оставляется только возможность добавить туда еще и свой ;-)

    А если ввести правильный master, а потом попробовать посмотреть на сами пароли - хрен там, ни неправильный пароль, ни esc не позволяют с ними ознакомиться "исключительно в целях безопастносте".

     
     
  • 5.40, Fedd (ok), 17:53, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже на относительно старой версии попробовал скопировать без отображения - не вышло, видимо баг последних версий
     
  • 4.39, Fedd (ok), 17:50, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Когда-то так было, потом сделали только по паролю
     
  • 3.33, Аноним (33), 14:33, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > переспрашивать тебя о каждом сайте

    так и должно быть

     
  • 2.11, Kuromi (ok), 22:25, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если мастер пароль не установлен, то нет, не шифруются вовсе.
     
     
  • 3.31, пох. (?), 11:13, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    не смотрел что там наколбасили в db4 - но на почве знакомства с db3 - осуждаю.
    Там вполне себе шифровалось. Другое дело что дефолтным ключом, который лежал где-то рядом.

     

  • 1.3, Я (??), 21:32, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про пароли не понял, они же хранятся в зашифрованном контейнере!
    Ну так по крайней мере я думал
     
     
  • 2.15, Аноним (15), 23:15, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > при этом требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль)

    После этого в расшифрованном виде.

     
     
  • 3.34, Аноним (33), 14:36, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так нельзя делать, в любой книжке по безопасности написано что пароль нельзя хранить в памяти в расшифрованном виде, после использования его необходимо сразу очищать из памяти, в крайнем случае по таймауту.
     
     
  • 4.37, Аноним (37), 17:25, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Эй, это же мозилла! Они за то, что нельзя держать в команде двух белых гетеросeксуальных мужчин (а надежнее сразу выгнать из команды последнего оставшегося). Или за то, что нельзя использовать терминологию "master/slave". А вот в способе хранения паролей никакой выгоды для SJW нет, поэтому такая ерунда их не интересует.
     
  • 4.38, Fedd (ok), 17:47, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сам пароль и не хранится
     

  • 1.4, Аноним (4), 21:33, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > скопировать сохранённые пароли без ввода мастер-пароля

    Плюшевый какой-то master-password получается. Я бы его переименовал в clown-password, потому что никакими master (master, noun, pl. masters — someone who has control over something or someone) тут не пахнет.

     
     
  • 2.14, VINRARUS (ok), 23:08, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какие Маргаритки такие и мастера.
     
  • 2.17, AnonPlus (?), 23:21, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Пароли хранятся зашифрованными. При первом за текущую сессию обращении к паролям вы обязаны ввести верный ключ (чтобы не путать мастер-пароль и прочие пароли, далее мастер-пароль будет именоваться ключом), иначе пароли тупо не расшифруются. Это нельзя обойти никак, математику не обманешь.

    Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными. Нетрудно понять почему: иначе пришлось бы либо хранить ключ в памяти (скверное решение), либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем (рай для параноика и куча недовольства со стороны большей части пользователей, которым нужно только защитить файл паролей от угона незашифрованным, а вот в пределах сеанса работы с браузером такой геморрой им нафиг не упёрся).

    Но остаётся ещё сценарий "пользователь отошёл от ПК, браузер не закрыл, сеанс ОС не залочил, пароли расшифрованы, нужно как-то защитить их от коллеги по офису, который подбежит, откроет менеджер паролей и увидит". Поэтому для просмотра паролей через интерфейс менеджера паролей всё ещё нужно вводить ключ, но он уже их не расшифровывает (они расшифрованы ранее), а просто позволяет их копировать. Дополнительная мера защиты, которую и можно было обойти.

    Но это так себе защита и полагаться на неё не следует. Отходя от ПК, нужно блокировать сеанс оперционной системы, а не оставлять недоброжелателям запущенный браузер и потенциальную возможность копаться в памяти процесса браузера (кто знает, что интересного там удастся выловить).

    Ты можешь переименовывать что угодно во что угодно, хоть себя в Полиграфа Полиграфыча, но мастер-пароль надёжно выполняет свою функцию - хранить пароли на диске зашифрованными. А дальше уже пользователь клоун, если он ускакал, не залочив сеанс ОС.

     
     
  • 3.18, Аноним (4), 23:31, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > блокировать сеанс оперционной системы

    А это поможет от специальным образом оформленных USB-устройств-эксплоитов? А это поможет от хардварных кейлоггеров, когда нужно просто получить физический доступ к выключенному компу, который для установки включать даже и не потребуется?

    Такой наивный, блин. Я даже при выходе из квартиры оставляю кое-что над дверью, чтобы потом определить, открывали ли дверь без моего ведома. А у него тут пароли торчат голой жопой в оперативку.

     
     
  • 4.28, тоже Аноним (ok), 08:36, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    От этих проблем в любом случае страдает ЛЮБАЯ система, предполагающая использование паролей.
    Мастер-пароль не решает ВСЕ проблемы безопасности, но его использование не создает НОВЫХ.
     
  • 4.36, AnonPlus (?), 15:20, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> блокировать сеанс оперционной системы
    > А это поможет от специальным образом оформленных USB-устройств-эксплоитов?

    Поможет, если разработчики ОС об этом позаботились и ОС игнорирует устройства, подключённые во время блокировки сеанса.

     
  • 3.32, Аноним (32), 11:41, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Нужно просто внедрить PAKE в браузер и использовать его для всех сайтов. Тогда можно на все сайты ставить один и тот же пароль. И это будет безопасно.
     
  • 3.35, Аноним (33), 14:41, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Дальше пароли в пределах текущей сессии хранятся в памяти расшифрованными.

    Это очевидное нарушение безопасности со стороны авторов firefox.

    > либо справшивать этот ключ при каждой попытке войти на очередной сайт с сохранёнными логином и паролем

    У сайта есть понятие «сессии», обычно логин вводится один раз при начале сессии, а не для каждой страницы сайта. И требовать для этого мастер-пароль — абсолютно верно.

     
     
  • 4.41, Fedd (ok), 18:10, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да если посещаешь один сайт за сессию, а если десятки? Мечтаю когда сделать что-нибудь типа yubikey вместо пароля
     

  • 1.6, Аноним (6), 21:36, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Такими темпами они до 1000 версии при моей жизни догонят. Предлагаю разрабам, сразу +100 к версии делать, что показать крутость разработки
     
     
  • 2.16, VINRARUS (ok), 23:17, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Предлагаю геометрическую прогресию.
     

  • 1.12, Аноним (12), 22:25, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >без ввода мастер-пароля
    >требуется, чтобы до этого в рамах текущего сеанса хоть один раз был правильно введён мастер-пароль

    взаимоисключающие параграфы

     
  • 1.13, user90 (?), 22:50, 14/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Сохранённые пароли в браузере?? Уникальная дурость для тру-линуксоида. Впрочем, судя по каментам, тут таких мало..
     
     
  • 2.19, Аноним (4), 23:40, 14/08/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    сейчас набигут шиндузоиды и скажут, что сохранять пароли надо. Причем хранить их надо в голом виде в оперативке, чтоб любая приложуха их через дырявые процы смогла заполучить. Вот такие вот пошли у нас шиндузоиды. Впрочем, фф недалеко ушел от легендарной шиндо-уязвимости:

    https://www.youtube.com/watch?v=DOeYqmVNaZE

     
     
  • 3.21, Аноним84701 (ok), 00:29, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > сейчас набигут шиндузоиды и скажут, что сохранять пароли надо. Причем хранить их
    > надо в голом виде в оперативке, чтоб любая приложуха их через дырявые процы смогла заполучить.

    Зачем дыры в процах, если можно просто читать память? (проверяется gdb -p <firefox pid>)
    И так ли надежней будет ввод ручками?
    https://web.archive.org/web/20010612075533/http://www.acm.vt.edu/~jmaxwell/programs/xspy/xspy.html
    xspy, довольно известная в узких кругах демка, ЕМНИП 97 года. Работает до сих пор.


     
  • 3.27, user90 (?), 08:30, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > сейчас набигут шиндузоиды и скажут, что сохранять пароли надо.

    Надо. Имелось ввиду использование GPG, отдельного! ПО.

    Сколько же тут хомячья пасется, б-же))

     
     
  • 4.43, Stax (ok), 18:22, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ок, расскажите, как именно это сделать (чтобы работала автоподстановка и автосохранение, разумеется)?
     
  • 2.30, пох. (?), 10:40, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ныкайтесь, ныкайтесь глубже, пацаны - опять тот мальчик, с феноменальной памятью!

     
     
  • 3.42, Fedd (ok), 18:18, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не у него просто одинаковый пароль везде
     

  • 1.23, Аноним (23), 02:01, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    firefox 68.0.1 не собирается gcc-9.2.0 как только не шаманил ну ни как и все тут падает с ошибкой в стеке rust ему видите ли не угоден перепробовал все версии rust а все одно и тоже падает может ebuld кривой?
     
  • 1.24, Аноним (23), 02:05, 15/08/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в итоге поставил бинарный и все в порядке профиль только подкрутил вроде по скорости работает также зачем тогда под процессор затачивать вот я и думаю.
     
     
  • 2.25, Аноним (25), 05:58, 15/08/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    гентушники начали что-то подозревать
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру