В Firefox-дополнении Web Security (https://addons.mozilla.org/en-US/firefox/addon/web-security/), насчитывающем более 220 тысяч установок и входившем (https://blog.mozilla.org/firefox/make-your-firefox-browser-a.../) в список рекомендованных Mozilla дополнений для охраны частной жизни пользователя (после инцидента дополнение уже удалено из этого списка), выявлена (https://www.ghacks.net/2018/08/15/mozilla-recommended-privac...) недокументированная сетевая активность, в результате которой на сторонний сервер отправлялись данные о всех страницах, открываемых пользователем.

Разработчики дополнения попытались оправдать отправку данных выполнением проверки URL по чёрным спискам на стороне сервера для блокирования сайтов с вредоносным контентом, но обычно для подобных целей отправляются хэши от URL, а на ссылки в открытом виде. Более того, отправка данных производилась в привязке к  идентификатору пользователя и также передавался прошлый URL, с которого был произведён переход на текущую страницу. Перед передачей данные скрывались при помощи шифрования. Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.

URL: https://www.ghacks.net/2018/08/15/mozilla-recommended-privac...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49143

• В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 08:49 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,A.Stahl, 08:54 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 11:20 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Dmitry77, 23:20 , 19-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,J.L., 12:24 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,user, 17:21 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,AntonAlekseevich, 12:51 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 12:59 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,AntonAlekseevich, 16:01 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,user, 17:21 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 18:00 , 16-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 19:40 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,AntonAlekseevich, 19:55 , 16-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 22:32 , 16-Авг-18
              • В Firefox-дополнении Web Security выявлена отправка информац...,AntonAlekseevich, 23:43 , 16-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 20:29 , 17-Авг-18
              • В Firefox-дополнении Web Security выявлена отправка информац...,AntonAlekseevich, 11:40 , 18-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 17:48 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,AntonAlekseevich, 20:08 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,kai3341, 14:32 , 17-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,AntonAlekseevich, 12:18 , 18-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Аноняшка, 08:49 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,A.Stahl, 08:55 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Аноняшка, 08:55 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 08:58 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,A.Stahl, 08:58 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Аноне, 08:58 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,Аноняшка, 09:02 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,Админ, 09:37 , 16-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,Роскомнадзор, 10:03 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,captcha 20168, 09:49 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 10:41 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 12:20 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,Анончик, 11:51 , 17-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,TrueMakeINSTALL, 11:57 , 17-Авг-18
              • В Firefox-дополнении Web Security выявлена отправка информац...,Michael Shigorin, 15:04 , 17-Авг-18
                • В Firefox-дополнении Web Security выявлена отправка информац...,Анонимный пользователь., 08:21 , 18-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 03:11 , 17-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Аноняшка, 09:03 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Михалыч, 09:13 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,Anonimus, 09:45 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,Анекдотмэн, 09:51 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,Michael Shigorin, 12:22 , 16-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 12:37 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,ivn86, 09:58 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 10:08 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,ivn86, 10:31 , 16-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним84701, 11:44 , 16-Авг-18
              • В Firefox-дополнении Web Security выявлена отправка информац...,ivn86, 12:56 , 16-Авг-18
                • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним84701, 13:23 , 16-Авг-18
                  • В Firefox-дополнении Web Security выявлена отправка информац...,ivn86, 13:53 , 16-Авг-18
                    • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним84701, 15:53 , 16-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,анноним, 13:10 , 16-Авг-18
              • В Firefox-дополнении Web Security выявлена отправка информац...,ivn86, 13:14 , 16-Авг-18
                • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 15:14 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,Michael Shigorin, 12:23 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Аноняшка, 09:00 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,max5775, 09:02 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 09:16 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 09:17 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Анонс, 09:30 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,odd.mean, 09:41 , 16-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,ryoken, 09:03 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 14:43 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 20:30 , 17-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,iZEN, 09:39 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 17:14 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 00:11 , 17-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,evkogan, 10:05 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 11:55 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Michael Shigorin, 12:26 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Wulframe, 15:29 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Maxim, 17:40 , 16-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 10:14 , 16-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 10:17 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 10:59 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,user, 11:34 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 11:56 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,A.Stahl, 12:04 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,user, 17:52 , 16-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,Степан Николаевич, 07:18 , 17-Авг-18
              • В Firefox-дополнении Web Security выявлена отправка информац...,ouicgw634t9078, 09:40 , 17-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Michael Shigorin, 12:27 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 13:48 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 16:13 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 13:48 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 12:39 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 11:05 , 17-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,тбдщ, 12:24 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Michael Shigorin, 12:29 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,тбдщ, 00:33 , 17-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,ник, 12:45 , 17-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,AnonPlus, 14:03 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,AnonPlus, 14:04 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,odd.mean, 14:46 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,Sw00p aka Jerom, 15:44 , 16-Авг-18
        • В Firefox-дополнении Web Security выявлена отправка информац...,odd.mean, 17:22 , 16-Авг-18
          • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 17:46 , 16-Авг-18
            • В Firefox-дополнении Web Security выявлена отправка информац...,odd.mean, 17:58 , 16-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 14:08 , 16-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 14:41 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Андроним, 15:18 , 16-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 15:25 , 16-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 16:09 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 16:14 , 16-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,нах, 17:37 , 16-Авг-18
      • В Firefox-дополнении Web Security выявлена отправка информац...,user, 17:54 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,нах, 17:36 , 16-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Pistrun, 18:14 , 16-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,KonstantinB, 05:03 , 17-Авг-18
    • В Firefox-дополнении Web Security выявлена отправка информац...,Pistrun, 14:46 , 17-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,ыы, 06:42 , 17-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,user, 17:49 , 17-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,bbbbbb, 08:49 , 17-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Аноним, 18:24 , 17-Авг-18
• В Firefox-дополнении Web Security выявлена отправка информац...,Pilat66, 00:16 , 18-Авг-18
  • В Firefox-дополнении Web Security выявлена отправка информац...,нах, 10:37 , 20-Авг-18

Никому верить нельзя

Мюллер: "Мне -- можно".

мертвым можете верить, если хотите

Можно верить коду

> Никому верить нельзя

ну что ты, мантейнерам линуксовых репозиториев - можно *сарказм*

"we have root"

Что за религия "о неверии кому-либо"?

здравый смысл

> здравый смысл

Так религия "здравый смысл" есть вера в науку, правду(пост-правду) и людям которые открыли свои глазки.

религия и пост-правда у тебя в методичке

А не оскорбляешь ли ты своим высказыванием чувств верующего?

Ты назвал его священную книгу методичкой, за это можно и партбилет на стол положить.

> религия и пост-правда у тебя в методичке

Если бы у меня была методичка по общению на тему религии и пост-правды, то может быть я почаще общался бы на такую тему, но увы это мой первый опыт общения на данную тему.

>но увы это мой первый опыт общения на данную тему.

И он неудачный. Не делай так больше.

> И он неудачный.

И могу сказать хорошо, что этот опыт неудачный.

> Не делай так больше.

Постараюсь, через силу но постараюсь такого более не допустить. (Общения на данную тему.)

> это мой первый опыт общения на данную тему

Смотри аккуратнее так данной темой, а то неровен час и опыт может стать последним на долгий срок.

> Смотри аккуратнее так данной темой, а то неровен час и опыт может стать последним на долгий срок.

Если честно мне плевать.
Давно процветает доносительство, и я прекрасно понимаю что после того что я написал на меня его уже накатали.
Увы страна в которой я живу уже давно хочет самоуничтожиться и доносительство(которое прилагается с пакетом имени [РосКомНадзор]) её разрушит как морально(Любое логичное умозаключение это станет как зло) так и физический(Людям жрать нечего потом начнут грызть себе подобных).

Сам-то понимаешь, что несешь?

> Сам-то понимаешь, что несешь?

Вопрос хороший и, да я понимаю что я пишу.

> Так религия "здравый смысл" есть вера в науку, правду(пост-правду) и людям которые открыли свои глазки.

Дурик, тебе в учебниках зачем доказательства приведены? Какая это `вера`, если она требует доказательств? Первое сентября ещё не наступило, но домашку тебе задам:

https://ru.wikipedia.org/wiki/%D0%9D%D0%...

А ещё полуркай критерий Поппера

> Дурик, тебе в учебниках зачем доказательства приведены?

Начало, прости, но оно похоже на "Ты что, умный что ли?".
Доказательства представлены в учебниках как готовый вывод.

> Какая это `вера`, если она требует доказательств?

Вера в доказательства требует доказательства.
Вера в правду либо пост-правду требует поиска истинной информации, отслеживания и реагирования на ложную информацию.
Вера в людей требует чтобы люди сами хотели верить в себя и других.

А вера направленная на недоверие всему, порочна, а последователи данной веры привыкают к культуре доносительства на тех кто не верит им.

Последний обрубок я комментировать не стану.
Ещё не хватало получить донос от вас, что станет последним звоночком между самоубийством после тюрьмы либо безработным до смерти.

А есть файерволл для Linux, позволяющий избегать подобних "недоработок"?)

Да, в линуксе есть файрволл.

и как его настроить, чтобы не было подобной "заботы о пользователе"?

Нужно запретить браузеру выход в интернет.

Закрыть коннекты к серверам сбора статистики.

Накрыть белым списком

как именно настроить белый списек, на уровне файрволла?

iptables -P INPUT DROP
iptables -P FORWARD REJECT
iptables -P OUTPUT REJECT

Это значительно упрощает нашу работу. Спасибо за информацию!

запретить всё, что не разрешено

https://github.com/evilsocket/opensnitch

> sudo make install

Руки бы за такое, да по самые ноги!

А что не так?

> А что не так?

Для профессионалов, которые знают, что делаю в системе те или иные команды, или действия - всё нормально.
А для попугаев и малограмотных пользователей - это страхи и не знание.

> Для профессионалов, которые знают, что делаю в системе те или иные команды,
> или действия - всё нормально.

(дружески) Чайник, успокойся -- а то из малограмотного станешь не попугаем, а ламером.  Те, кто высказывается о вреде головы в качестве единственной замены пакетному менеджеру, всего лишь давно прошли этап любовного вылизывания одного-единственного локалхоста.

>> Для профессионалов, которые знают, что делаю в системе те или иные команды,
>> или действия - всё нормально.
> (дружески) Чайник, успокойся -- а то из малограмотного станешь не попугаем, а
> ламером.  Те, кто высказывается о вреде головы в качестве единственной
> замены пакетному менеджеру, всего лишь давно прошли этап любовного вылизывания одного-единственного
> локалхоста.

Есть варианты, когда создание пакета избыточно. Это надо понимать. Надо понимать, как работает и собирается программа. Куда и что она ставит. Есть и вариант использования префиксов/"сборки по с одну директорию", а не размазывание по системе.
Естественно, что 90% это уже не надо. Пакетные менеджеры это очень хорошо, и отказываться от них не надо.
Но думать головой тоже полезно и повторять "не нужно" только потому что все это делают - бред.
Если это не понятно с твоим опытом, то чайник тут ты.

iptables -A OUTPUT -j DROP

какой бесполезный ответ! напоминает анекдот про Холмса и Ваисона на воздушном шаре, и маркетолога

я не знаю такой анекдот

ничего, я знаю!

https://www.anekdot.ru/id/82175/
https://pikabu.ru/story/remeyk_drevnego_anekdota_5694147

> https://pikabu.ru/story/remeyk_drevnego_anekdota_5694147

Отличный вариант, спасибо!

Топ-менеджер приземлился в воду в 80 км к западу от Джорджтауна, Малайзия. В принципе да, там большой трафик, только разговаривал он бы не с математиком, а с капитаном какого-нибудь судна.

//Математик

Сама идея безопасности открытого софта напоминает анекдот про неуловимого Джо.

А идея безопасности закрытого софта что напоминает?

> А идея безопасности закрытого софта что напоминает?

Религию -- остаётся только верить, что всё работает так, как сказали. Я написал конкретно про открытый софт. Есть толпы людей на форумах, для которых опенсорс это синоним безопасности, которые осилили прочитать ридми, но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе. В этом смысле Джо неуловим -- раз написано в ридми, что мы ничего не собираем, значит ничего не собирают, ведь никто в Интернете врать не будет, а они ещё и исходники выложили.

> Я написал конкретно про открытый софт. Есть толпы людей на форумах, для которых опенсорс это синоним безопасности, которые осилили прочитать ридми, но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе. В этом  смысле Джо неуловим -- раз написано в ридми, что мы ничего не собираем, значит ничего не собирают, ведь никто в Интернете врать не будет, а они ещё и исходники выложили.

И все бы хорошо, но … где на этот код  "нормально" посмотреть можно? Ни репозитория, ни публичного, прозрачного процесса разработки – вся открытость "для галочки".

Ставите расширение, смотрите исходники, если интересно:

unzip -l ~/.mozilla/firefox/*/extensions/contact@web-security.com.xpi

Причём замечу, что это будут исходники, которые выполняются непосредственно на Вашей машине.

> Ставите расширение, смотрите исходники, если интересно:
> unzip -l ~/.mozilla/firefox/*/extensions/contact@web-security.com.xpi
> Причём замечу, что это будут исходники, которые выполняются непосредственно на Вашей машине.

*Вздыхая*
Во-первых: зачем ставить (и тем более, выполнять), если можно просто скачать и распаковать?

% find /tmp/web_sec -iname "*.js" 
/tmp/web_sec/include/content.js
/tmp/web_sec/include/background.js
/tmp/web_sec/panel/panel.js
/tmp/web_sec/main.js
/tmp/web_sec/warning.js
/tmp/web_sec/data/bs.js

Во-вторых: я не зря писал, что тут эта открытость только для галочки, т.к. JS не "скроешь", а обфускация будет выглядеть подозрительно. Но вот то, что на таких условиях никто серьезно пытаться улучшить (а значит и серьезно изучать) не будет - вполне ожидаемо/логично.

На каких "таких" условиях? Вы действительно искренне верите, что наличие публичного репозитория или публичного процесса разработки убережёт Вас от подобных неожиданностей? Никогда не было такого, что в публичном проекте уязвимость внедрялась на глазах сотен разработчиков? Никогда не было такого, что при сборке публичного проекта ментейнер добавлял кое-что от себя?

> На каких "таких" условиях?

На "отсутствующих". Не зря на их странице речь о "free", но нигде не встречается "оpen".
См:
> но не осилили исходник, но их успокаивает мысль, что раз есть доступ к исходникам, значит никакой подставы быть не может в принципе

Я вам открою страшную тайну - доступ, в принципе, можно получить и к исходникам виндовс. Но можно ли окошко из-за этого считать опенсорсом?

Еще раз:
не нужно кивать на "облажавшееся" сферическо-вакуумное "сообщество просмотрщиков кода в сотню глаз в качестве хобби" - его просто-напросто нет.
Существуют заинтересованные индивидуумы/фирмы, которые дополняют/развивают понравившееся/необходимое им ПО. Как раз в таком случае (помимо заказного аудита) обычно и просматривается более-менее все.

Но вряд ли такой плагин:
> Users are often lured to open counterfeit websites of banks, by convincing emails. The free and easy to install Web
> Security add-on will help you detect these counterfeit sites so that you will not be decoyed to enter your sensitive
> information where it is not safe.

...
> A website get’s classified as “Hazardous” according to Creative Software Solutions GmbH’s judgment of it’s malicious code. A code is malicious when it can spy the user’s

с несколько стремными подпунктами в прайваси полиси
> Use Google Analytics
>   Integration and use of Facebook marketing services (Facebook and Custom Audiences)

будет интересен кому-то более-менее разбирающемуся, а если и будет, то на таких (т.е. "отсутсвующих") условиях развивать, а значит и копаться внутри, интереса мало.

> Вы действительно искренне верите, что наличие публичного репозитория
> или публичного процесса разработки убережёт Вас от подобных неожиданностей?
> Никогда не было такого, что в публичном проекте уязвимость внедрялась на глазах сотен разработчиков?
> Никогда не было такого, что при сборке публичного проекта ментейнер добавлял кое-что от себя?

А давайте без передергивания и домысливания.
Именно для открытых проектов "факапы" можно пересчитать по пальцам рук.
Встроить "сюрприз", при наличии VC и  заинтересованных (а значит, отслеживающих изменения) заметно сложнее, чем при выкатывании релиз-тарболов и намного сложнее, чем тупо в бинарник.
Поэтому да, я искренне верю в то, что словить "каку" в открытом, более-менее активно развивающемся проекте намного сложнее, чем в сравнимом, проприетарном ПО.

> Я написал конкретно про открытый софт.

Ты написал в таком контексте, будто это относится ТОЛЬКО к открытому софту. И сделал это намеренно, за что и схлопотал.

Что схлопотал? И я написал то, что хотел написать -- неуловимый Джо относится ТОЛЬКО к открытому софту, потому что никому нет дела до того, как оно работает, хоть и есть возможность проверить. В случае закрытого софта такой возможности нет.

Подобные сюрпризы существуют относительно не долго, в отличии от закрытого софта. Но и в закрытом софте ковыряются те кому это надо и интересно. Достаточно сравнить кол-во такой телеметрии в открытом и закрытом софте. Так что да, лучше по возможности использовать открытый софт. Не панацея, но шансов гораздо меньше, в закрытом софте это почти всегда присутствует

> А идея безопасности закрытого софта что напоминает?

Песню Лисы: "я б ночей не спала, всё бы кур стерегла, петушка как родного лелеяла".

те, кто чекнули, не успели пикнуть, и крякнулись?

Я бы чекнул, но ни умею

Где там такое? http://web-security.com

пардон, где там исходники вообще

Тип лицензии на странице дополнения написан: https://addons.mozilla.org/firefox/addon/web-security/

Исходники внутри shitty_addon.xpi (zip). JS же.

>>  входившем в список рекомендованных Mozilla

"У семи нянек..."

Можно подумать, эти ребята были не в курсе.

> "У семи нянек..."

14 сисек.

Фальшивые надежды. Кривые зеркала.

Ух ты, звучит как строчка из песни.

Фальшивые надежды. Кривые зеркала.

Звучит как строчка с песни. Такие вот дела.

Прямое нарушение соглашения о приватности, разве с ними нельзя судиться по этому поводу?
Вот в данном случае судебный троль очень бы пригодился.

а суть иска. какой ущерб? или давить на моральный?

> а суть иска. какой ущерб? или давить на моральный?

Введение в заблуждение -- точно, мошенничество -- возможно.  Эт сходу как не-юристу видно.

злоупотребление доверием с целью выгоды == мошенничество

По GDPR можно тупо большим штрафом наказать!

>Примечательно, что в прикреплённом к дополнению соглашении разработчики заверили пользователей, что дополнение ни в каком виде автоматически не собирает сведения о пользователях, а на деле всё оказалось наоборот.

И что, на них даже в суд не подали?

А знаете, что самое интересное? Это ни разу не техническая проблема.
Это проблема административно-уголовная. Если в достаточно большом числе стран, вот такой вот тайный сбор сведений станет уголовно наказуемым, с большими штрафами и приличными сроками - то количество таких случаев упадет порядка на два.
А если исследователям и тем кто находит такие закладки отстегивать хороший процент от этих штрафов, то не успеешь ты отправить приложение сборщик\червяк\майнер, как за тобой уже приедут.
Вот так, затрат - почти ноль, добавить статью в уголовный кодекс. А результат - отличный!

В России сейчас по законам наоборот. Все обязаны собирать всю информацию о пользователях и выдавать по первому требованию.

RTFM
http://constitution.kremlin.ru/

только вслух не читайте. чревато.

В Роскомнадзор ссылочку-то скиньте. Реставрация возможна только если все россияне, каждый по чуть-чуть, помогут выполоть демократическую заразу.

Назвать чекистов демократической заразой - это сильно.

как, мы разьве не эпоху Большого Террора восстанавливаем?

импортозамещение фашизма

> В России сейчас по законам наоборот. Все обязаны собирать всю
> информацию о пользователях и выдавать по первому требованию.

Раз уж ссылаетесь на законы -- будьте добры предоставить перечень конкретных нормативных актов, изучив которые, Вы такое ляпнули.

По умолчанию -- разумеется, балабол.

Постановление Правительства РФ от 26.06.2018 N 728 "Об утверждении Правил хранения организатором распространения информации в информационно-телекоммуникационной сети "Интернет" текстовых сообщений пользователей информационно-телекоммуникационной сети "Интернет", голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей информационно-телекоммуникационной сети "Интернет"".

Ну вот и выясняется, что а) не все б) не всю и в) не всем обязаны выдавать.

Достаточно почитать первоисточник.

https://habr.com/post/415647/

И много ты уже информации собрал и выдал? Или ты не все, тебя это не касается?

В европе сейчас закон новый, что каждый хостер присылает соглашение о принятие.

Не только Web Security. Другие расширения тоже отравляют историю посещений (судя по всему один и тот же автор(ы). Смотрите мои комменты под постом из статьи https://www.ghacks.net/2018/08/15/mozilla-recommended-privac...

> Не только Web Security. Другие расширения тоже отравляют историю
> посещений (судя по всему один и тот же автор(ы).

Спасибо за труды.

Мозиловцы таки забанили эти расширения https://bugzilla.mozilla.org/show_bug.cgi?id=1483995

да свали ты уже, в каждой дырке затычка

Дополнение, которое пробивает репутацию посещаемых сайтов по своей базе, сверяет посещённый адрес с базой на сервере. Удивительно.

>> для подобных целей отправляются хэши от URL

Так ведь заранее известно сопоставление "хэш = сайт", разве нет? Иначе, как тогда сервер выдаст вердикт, плохой это сайт или нет?

> "хэш = сайт", разве нет?

Не совсем. Вот два URL c хэшами md5:
https://www.opennet.ru/ (b2a306e2069f7fa1bbb1d44afe955975)
https://www.opennet.ru/opennews/art.shtml?num=49143 (426dfb7e3bf5ba085ef41554b11779cd)
Сайт один и тот же.

смотря кто список хешей составлял, разницы нет - отправил урл или хеш, хеш просто экономичнее и быстрее

Если аддон отправляет *только* хэши, то хотя бы не сольёт URLы, позволяющие явно определить юзера типа https://linkedin.com/BasilPupkin/edit а со стороны сервера все возможные URLы перехэшировать едва ли кто станет.
По-хорошему, серверу вообще должно быть достаточно хэшей от аддонов с рейтингами от юзеров. В качестве примера можно поглядеть на API haveibeenpwned.com, там одни хэши гуляют и всё норм работает.

А если сам аддон будет хэши делать, а сервер расшифрововать?

В смысле "расшифровывать"? Хэш-функция математически необратима. Прямо как тот фарш, который "невозможно провернуть назад". Можно только подобрать по совпадению хэшей предполагаемую начальную строку.

Ну всё равно до гугловской помойки (т.н. выбсторе) далеко. Пока что.

>список рекомендованных Mozilla дополнений для охраны частной жизни пользователя
>выявлена отправка информации о посещениях

Это все, что нужно знать о Mozilla в 2018.

Зря ты это написал. Сейчас тебя фанатики мозилловские заминусуют.

ну и поделом инфобез-дрoчилaм

Может тогда и ublock сливает?

Иди, проверь.

а смысл, сегодня проверит - не сливает, все ок.
Завтра савтоапдейтилось - слили.

мазила через пару месяцев извинится.

академик тоже пользователь?

есть слабенькая надежда, что, поскольку ему все еще приходится _скачивать_ базы - сливает он только сам факт что ты используешь ublock.

Но да, доверять никому нельзя.

>после инцидента дополнение уже удалено из этого списка

Выпустить бюллетень с уведомлением пользователей и извинениями? Удалить плагин из магазина? Нет?

Это что, попытка сохранить репутацию? Обосрлись ещё сильнее в итоге

>Удалить плагин из магазина? Нет?

"This add-on has been disabled by an administrator".

И то хорошо. На момент комментария он там ещё был

"Никогда такого небыло, и вот опять" (с)

хотели как лучше, а получилось как всегда

Ох плагин удалили, а то что сама Мозилла телеметрию союирает ничего, хозяину можно

В android-версии ничего не удалило, сам удалял.

"но обычно для подобных целей отправляются хэши от URL, а не ссылки в открытом виде"

Неужели непонятно, что, отправляя самому себе хэш от URL, серверная сторона знает какому URL этот хэш соответствует? То есть это ничего не меняет в плане приватности. Чисто работа на публику.

справедливости ради - не совсем. Во-первых, серверная сторона должна знать о существовании того url и заранее посчитать его хэш - что существенно ограничивает ее возможности тебя трекать - даже если предположить наличие там немерянных ресурсов для архивирования всего интернета в хэши, есть еще уникальные per-user и те, куда просто не пускают без авторизации.

во-вторых, отправляя урл вместо хэша - ты делишься им еще и с товарищ-майором и прочими васянами, а в случае с хэшами им придется самим похэшить "весь интернет", даже если ты их плейнтекстом шлешь, чтобы понять, к какому урлу какой хэш относится.