Mozilla FireFox

[student]

Mozilla переходит к включению по умолчанию DNS-over-HTTPS в Firefox

Разработчики Firefox объявили о завершении тестирования поддержки DNS поверх HTTPS (DoH, DNS over HTTPS) и намерении в конце сентября включить данную технологию по умолчанию для пользователей из США. Включение будет производиться поступательно, вначале для нескольких процентов пользователей, а в случае отсутствия проблем постепенно доводя до 100%. После охвата США будет рассмотрена возможность включения DoH и в других странах.

Проводимые в течение года тесты показали надёжность и хорошую производительность сервиса, а также позволили выявить некоторые ситуации, когда DoH может приводить к проблемам, и разработать решения для их обхода (например, разобраны проблемы с оптимизацией трафика в сетях доставки контента, родительским контролем и корпоративными внутренними DNS-зонами).

Спойлер   :

Важность шифрования DNS-трафика оценивается как принципиально важный фактор защиты пользователей, поэтому DoH решено включить по умолчанию, но на первом этапе только для пользователей из США. После активации DoH пользователю будет выведено предупреждение, которое позволит при желании отказаться от обращения к централизованным DoH-серверам DNS и вернуться к традиционной схеме отправки незашифрованных запросов к DNS-серверу провайдера (вместо распределённой инфраструктуры резолверов DNS, в DoH использована привязка к определённому DoH-сервису, который может рассматриваться как единая точка отказа).

При активации DoH возможно нарушение работы систем родительского контроля и корпоративных сетей, использующих доступную только для внутренней сети структуру имён DNS для преобразования интранет-адресов и корпоративных хостов. Для решения проблем с подобными системами добавлена система проверок, автоматически отключающих DoH. Проверки выполняются при каждом запуске браузера или при определении изменения подсети.

Автоматический возврат на использование штатного резолвера операционной системы также предусмотрен при возникновении сбоев при резолвинге через DoH (например, при нарушении сетевой доступности с провайдером DoH или возникновении сбоев в его инфраструктуре). Смысл подобных проверок сомнителен, так как никто не мешает атакующим, контролирующим работу резолвера или способным вмешаться в трафик, симулировать подобное поведение для отключения шифрования DNS-трафика. Проблема решена добавлением в настройки пункта "DoH always" (по молчанию не активен), при установке которого автоматическое отключение не применяется, что является разумным компромиссом.

Для определения корпоративных резолверов выполняются проверки нетипичных доменов первого уровня (TLD) и возвращение системным резолвером интранет-адресов. Для определения включения родительского контроля осуществляется попытка резолвинга имени exampleadultsite.com и если результат не совпадает с фактическим IP, считается, что активна блокировка взрослого контента на уровне DNS. В качестве признаков также проверяются IP-адреса Google и YouTube на предмет их подмены на restrict.youtube.com, forcesafesearch.google.com и restrictmoderate.youtube.com. Дополнительно Mozilla предлагает внедрить единый проверочный хост use-application-dns.net, который могут использовать интернет-провайдеры и сервисы родительского контроля в качестве метки для отключения DoH (если хост не определяется, Firefox отключает DoH).

Работа через единый DoH-сервис также потенциально может привести к проблемам с оптимизацией трафика в сетях доставки контента, которые выполняют балансировку трафика с использованием DNS (DNS-сервер CDN-сети формирует ответ, учитывая адрес резолвера и выдаёт ближайший хост для получения контента). Отправка DNS-запроса c ближайшего к пользователю резолвера в таких CDN приводит к возврату адреса ближайшего к пользователю хоста, но при отправке DNS-запроса с централизованного резолвера будет выдан адрес хоста, ближайший к серверу DNS-over-HTTPS. Тестирование на практике показало, что применение DNS-over-HTTP при использовании CDN практически не приводило к задержкам перед началом передачи контента (для быстрых соединений задержки не превышали 10 миллисекунд, а на медленных каналах связи наблюдалось даже ускорение работы). Для передачи резолверу CDN сведения о местоположении клиента также было рассмотрено применение расширения EDNS Client Subnet.

Напомним, что DoH может оказаться полезным для исключения утечек сведений о запрашиваемых именах хостов через DNS-серверы провайдеров, борьбы с MITM-атаками и подменой DNS-трафика, противостояния блокировкам на уровне DNS или для организации работы в случае невозможности прямого обращения к DNS-серверам (например, при работе через прокси). Если в обычной ситуации DNS-запросы напрямую отправляются на определённые в конфигурации системы DNS-серверы, то в случае DoH запрос на определение IP-адреса хоста инкапсулируется в трафик HTTPS и отправляется на HTTP-сервер, на котором резолвер обрабатывает запросы через Web API. Существующий стандарт DNSSEC использует шифрование лишь для аутентификации клиента и сервера, но не защищает трафик от перехвата и не гарантирует конфиденциальность запросов.

Для включения DoH в about:config следует изменить значение переменной network.trr.mode, которая поддерживается начиная с Firefox 60. Значение 0 полностью отключает DoH; 1 - используется DNS или DoH, в зависимости от того, что быстрее; 2 - используется DoH по умолчанию, а DNS как запасной вариант; 3 - используется только DoH; 4 - режим зеркалирования при котором DoH и DNS задействованы параллельно. По умолчанию используется DNS-сервер CloudFlare, но его можно изменить через параметр network.trr.uri, например, можно установить

Скрытый текст

Скрытый текст (вы должны войти под своим логином или зарегистрироваться ).
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

или

Скрытый текст

Скрытый текст (вы должны войти под своим логином или зарегистрироваться ).
У вас нет прав чтобы видеть скрытый текст, содержащейся здесь.

.

[student]

Mozilla тестирует прокси-сервис Private Network для Firefox
10.09.2019 23:22

Компания Mozilla отменила решение o сворачивании программы Test Pilot и представила новую функциональность для тестирования - Private Network. Private Network позволяет установить сетевое соединение через внешний прокси-сервис, работу которого обеспечивает компания Cloudflare. Весь трафик к прокси-серверу передаётся в зашифрованном виде, что позволяет использовать сервис для обеспечения защиты в случае работы в сетях, не заслуживающих доверия, например, при работе через публичные точки беспроводного доступа. Другим применением Private Network является скрытие реального IP-адреса от сайтов и рекламных сетей, подбирающих контент в зависимости от местоположения посетителя.

Спойлер   :

После активации новой возможности в панели появляется кнопка, позволяющая включить и отключить работу через прокси, а также оценить состояние подключения. Тестирование функции Private Network проводится только для пользователей настольной версии Firefox из США. Во время тестирование сервис предоставляется бесплатно, но финальный сервис скорее всего будет платным. Код дополнения, реализующего функциональность Private Network, распространяется под лицензией MPL 2.0. Соединения транслируются через прокси "firefox.factor11.cloudflareclient.com:2486".



Напомним, что Test Pilot предоставляет пользователям возможность оценить и протестировать экспериментальные функции, развиваемые для будущих выпусков Firefox. Для участия в программе необходимо установить специальное дополнение Test Pilot, в котором будет доступен список предлагаемых для тестирования возможностей. В процессе работы Test Pilot осуществляется сбор и отправка обезличенной статистики о характере работы с тестируемыми дополнениями.

[student]

Firefox научился обходить любые блокировки Роскомнадзора
11.09.2019, Ср, 14:55

Разработчики браузера Firefox провели успешные испытания протокола шифрованных запросов DNS-over-HTTPS. Запуск функции в браузере в перспективе означает возможность обхода любых блокировок, включая применяемую Роскомнадзором фильтрацию DPI.

Любые блокировки бессильны

Спойлер   :

Разработчики из Mozilla Corporation (дочерняя компания Mozilla Foundation), занимающейся созданием и продвижением браузеров Firefox и Thunderbird, сообщили об успешном испытании нового экспериментального протокола шифрования «DNS поверх HTTPS» (DNS-over-HTTPS, DoH). Он обеспечивает получение информации о домене (DNS) через криптографически защищенный протокол HTTPS.

В Mozilla также приняли решение о включении протокола DoH в Firefox по умолчанию в одну из следующих версий браузера, сообщили разработчики в своем блоге. Пока что функция будет доступна только пользователям браузера на территории США, о ее запуске в других странах информации пока нет.

Использование протокола DoH на практике означает возможность обхода любых блокировок запрещенных сайтов по DNS с помощью браузера Firefox, поскольку все DNS-запросы будут передаваться в зашифрованном виде, а блокировки по IP-адресу будут преодолеваться изменением IP заблокированного адреса.

Шифрование по протоколу DNS-over-HTTPS в перспективе также может оставить не у дел методику глубокой проверки и управления сетевым трафиком Deep Packet Inspection (DPI), взятую на вооружение Роскомнадзором, поскольку фильтрация пакетов зашифрованного https-трафика со множества IP-адресов потеряет смысл.

В ближайших планах Mozilla – запуск DoH в Firefox по умолчанию «для небольшого процента пользователей» в США, начиная с сентября 2019 г. На следующем этапе разработчики планируют отслеживать возможные проблемы, и только после их устранения будут подключать более широкую аудиторию: «Если все пойдет хорошо, мы сообщим вам, когда будем готовы к 100-процентному развертыванию».

Как это работает

Для блокировки сайтов провайдерам или регуляторам требуется знать доменное имя (URL), получаемое через DNS-запрос, и IP-адрес блокируемого ресурса. В случае, если DNS-запрос скрыт шифрованием – например, с помощью протокола DNS-over-HTTPS, провайдер не сможет блокировать конкретный ресурс из-за скрытого от него URL.


Сравнение нынешней системы DNS и DNS-over-HTTPS

Другой вид блокировки – по IP-адресу – регулярно практикуется провайдерами и регуляторами. В частности, Роскомнадзор блокировал и затем был вынужден разблокировать миллионы IP-адресов облачной площадки Amazon Web Services в рамках борьбы с мессенджером Telegram.

В случае, если заблокированный ресурс предоставит один IP-адрес для открытого DNS-запроса и другой для DNS-запроса с шифрованием по протоколу DNS-over-HTTPS, блокировки также станут бессильны. Техническими партнерами в этом могут выступать современные CDN-провайдеры (Content Delivery Network – сеть доставки контента), такие как, например, Cloudflare.


Схема работы протокола TLS 1.3 со включенным Encrypted SNI

Незашифрованный URL также может быть перехвачен через поле запроса SNI (Server Name Indication) – специального расширения протокола TLS, в котором есть возможность сообщить имя хоста в процессе «рукопожатия» для открытия криптографически защищенной SSL-сессии. Для этих целей разработан и уже внедрен в Firefox стандарт зашифрованной передачи имени хоста – Encrypted SNI (ESNI), где клиентская система получает публичный ключ сервера из DNS и производит шифрование всех данных еще до начала TLS-сессии. CDN-провайдер Cloudflare, который также поддерживает эту технологию, представил ее подробное описание в своем блоге.

Перспективы DoH в Firefox

Mozilla начала работать над протоколом DNS-over-HTTPS в 2017 г. С июня 2018 г. компания проводит эксперименты в Firefox для обеспечения достаточно высокой производительности браузера со включенным DoH.

Несмотря на планы включения в Firefox протокола DNS-over-HTTPS по умолчанию, разработчики браузера намерены продвигать новую функцию осторожно, с учетом всех существующих нюансов. В частности, протокол DoH будет автоматически отключен в случае, если пользователь выбрал в настройках браузера функцию родительского контроля.

В Mozilla пояснили, что работают с провайдерами функций родительского контроля, включая интернет-провайдеров, для добавления в их списки встроенной в Firefox системы родительского контроля – так называемого канареечного домена. Если Firefox определит, что канареечный домен заблокирован, то есть, включен родительский контроль, браузер автоматически отключит DoH.

На начальном этапе планируется развертывание DoH в резервном режиме: если поиск по доменному имени с использованием DoH не удался, Firefox откатится и вернется к настройкам операционной системы для определения DNS по умолчанию.

Точно так же Firefox отключит протокол DoH в случае, если обнаружит настройки корпоративных политик, запрещающих такие настройки.

[student]

Firefox переходит на сокращённый цикл подготовки релизов
17.09.2019 19:40

Разработчики Firefox объявили о сокращении цикла подготовки новых выпусков браузера до четырёх недель (ранее выпуски готовились 6-8 недель). Firefox 70 будет выпущен в соответствии со старым графиком 22 октября, затем через шесть недель 3 декабря будет подготовлен релиз Firefox 71, после чего последующие выпуски будут формироваться раз в четыре недели (7 января, 11 февраля, 10 марта и т.д.).

Ветка с длительным сроком поддержки (ESR) как и раньше будет выпускаться раз в год и поддерживаться ещё три месяца после формирования следующей ESR-ветки. Корректирующие обновления для ESR-ветки будут синхронизированы с обычными выпусками и также будут выпускаться раз в 4 недели. Следующим ESR-релизом станет Firefox 78, намеченный на июнь 2020 года. На 4-недельный цикл формирования релизов также будет переведена разработка SpiderMonkey и Tor Browser.

В качестве причины сокращения цикла разработки называется желание более оперативно доводить новые возможности до пользователей. Предполагается, что более частые выпуски позволят повысить гибкость планирования разработки продукта и реализации приоритетных изменений, соответствующих требованиям бизнеса и рынка. По мнению разработчиков четырёхнедельный цикл разработки позволяет добиться оптимального баланса между быстротой предоставления новых Web API и обеспечением качества и стабильности.

Сокращение времени на подготовку релиза приведёт к уменьшению времени тестирования бета-выпусков, ночных сборок и выпусков Developer Edition, что планируется компенсировать более частым формирования обновлений для тестовых сборок. Вместо подготовки двух новых бета-версий в неделю планируется адаптировать для бета-ветки схему частого выпуска обновлений, ранее применяемую для ночных сборок.

Для снижения риска возникновения непредвиденных проблем при добавлении некоторых значительных новшеств, связанные с ними изменения будут доводиться до пользователей релизов не разом, а постепенно - вначале возможность будет активироваться для небольшого процента пользователей, а потом доводиться до полного охвата или динамически отключаться при выявлении недоработок. Кроме того, для тестирования новшеств и принятия решений по их включению в основной состав в рамках программы Test Pilot пользователям будет предлагаться принять участие в проведении экспериментов, не привязанных к циклу подготовки релизов.

[student]

В Firefox добавлена поддержка работы в режиме киоска
07.10.2019 10:12

В ночные сборки Firefox, на основе которых 3 декабря будет сформирован релиз Firefox 71, добавлена поддержка запуска браузера в режиме интернет-киоска, который можно использовать для организации работы различных автономных терминалов, рекламных стендов, демонстрационных панелей и прочих систем, ограниченных работой с одним сайтом/web-приложением.

Новый режим активируется при указании в командной строке опции "--kiosk" и приводит к возможности работы только в полноэкранном режиме. Показ управляющих элементов интерфейса, всплывающих окон, контекстных меню и индикаторов состояния загрузки страницы (отображения ссылок и текущего URL) блокируется. Ввод с клавиатуры сильно ограничивается, например, отключается обработка клавиш Alt и Ctrl, что не позволяет выйти из браузера, переключиться на другое приложение или открыть другой сайт.

Не все задуманные возможности пока реализованы. Интеграция функций киоска разделена на две фазы. В первой фазе планируется добиться паритета в функциональности с режимом киоска, предоставляемом в браузере Chrome. Так как киоск в Chrome подразумевает работу без подключенной клавиатуры, связанные с клавиатурой ограничения, а также дополнительные блокировки навигации между окнами и вкладками, пока не добавлены и будут воплощены в будущем, во время реализации второй фазы. Из планов также отмечается намерение реализовать команду "--kiosk-printing", обеспечивающую мгновенный вывод указанной страницы на печать без отображения промежуточных диалогов.

Интересно, что предложение реализовать режим киоска было отправлено ещё 17 лет назад и было реализовано только сейчас. Ранее для организации работы интернет-киоска требовалось использование сторонних дополнений например, Modern Kiosk, Kiosk Link Blocker, Full Screen Multiple Monitor и Webflix) или применение специализированных дистрибутивов, таких как Webconverger и Porteus Kiosk.

[student]

Обновление Firefox 69.0.3 и расширение возможностей WebRender
11.10.2019 08:44

Опубликовано корректирующее обновление Firefox 69.0.3 в котором решена проблема с отображением диалога для загрузки файлов при клике на email в web-почте Yahoo. Дополнительно решены проблемы с загрузкой файлов, при запуске браузера в Windows 10 с включенным режимом родительского контроля.

Также можно отметить продолжение развития системы композитинга WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы. При использовании WebRender вместо встроенной в движок Gecko системы композитинга, обрабатывающей данные при помощи CPU, для выполнения операций сводной отрисовки элементов страницы используются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки и снизить нагрузку на CPU.

WebRender добавлен в ночные сборки мобильного браузера Firefox Preview (замена Firefox для Android) и активирован по умолчанию для устройств Pixel 2 (для других устройств в about:config требуется включение gfx.webrender.all). В WebRender также усовершенствована системы кэширования и отрисовки изображений. Переработан код для растеризации текста, что позволило добиться поддержки субпиксельного позиционирования текста на платформах Linux и Android.

При работе Firefox поверх Wayland реализован новый бэкенд, использующий механизм DMABUF для отрисовки в текстуры и организации совместного использования разными процессами буферов с этими текстурами, размещёнными в видеопамяти. Кроме того, добавлены оптимизации производительности декодирования изображений, использующие для ускорения инструкции SIMD и позволяющие сократить время преобразования форматов на 5-10%.

[student]

 Mozilla прекращает поддержку поисковых дополнений на базе технологии OpenSearch
16.10.2019 07:42

Разработчики компании Mozilla объявили о решении удалить из каталога дополнений к Firefox всех дополнений для интеграции с поисковыми системами, использующих технологию OpenSearch. Также сообщается об удалении в будущем поддержки XML-разметки OpenSearch из Firefox, которая позволяла сайтам определять сценарии для интеграции поисковых систем в панель поиска браузера.

Дополнения на базе OpenSearch будут удалены 5 декабря. Вместо OpenSearch для создания дополнений для интеграции с поисковыми системами рекомендуется использовать API WebExtensions. В частности, для переопределения настроек, связанных с поисковыми системами, следует использовать chrome_settings_overrides и новый синтаксис описания интерфейса с поисковой системой, похожий на OpenSearch, но определённый в формате JSON, а не XML.

[student]

 Mozilla развивает собственную систему машинного перевода
21.10.2019 07:14

Компания Mozilla в рамках проекта Bergamot приступила к созданию системы машинного перевода, работающей на стороне браузера. Проект позволит интегрировать в Firefox самодостаточный движок перевода страниц, не обращающийся к внешним облачным сервисам и обрабатывающий данные исключительно на системе пользователя. Главной целью разработки является обеспечение конфиденциальности и защита данных пользователя от возможных утечек при переводе содержимого открываемых в браузере страниц.

Разработка Bergamot ведётся в берлинском офисе Mozilla при участии исследователей из нескольких университетов Великобритании, Эстонии и Чехии. Разработку финансирует Евросоюз в рамках гранта, полученного по программе Horizon 2020. Размер гранта составляет три миллиона евро. Проект рассчитан на три года. В Mozilla открыта вакансия специалиста по системам машинного обучения для участия в разработке движка для перевода с одного языка на другой.

Из смежных разработок, имеющих отношение к проекту Bergamot, упомянуты:

   

Спойлер   :

Развиваемый в Эдинбургском университете фреймворк машинного перевода Marian, построенный на базе рекуррентной нейронной сети. Фреймворк написан на языке C++, может задействовать GPU для ускорения обучения и перевода, и поставляется под лицензией MIT.
    Созданный в Пражском университете инструментарий Neural Monkey для обработки информации на естественном языке с использованием методов последовательного машинного обучения. Проект применяет фреймворк TensorFlow и может использоваться для быстрого создания прототипов систем машинного перевода и классификации информации на естественном языке. Код доступен под лицензией BSD.
    Подготовленный в Шеффилдском университете проект QuEst++, применяемый для оценки и прогнозирования качества систем машинного перевода.
    Развиваемые в Mozilla синтезатор речи (TTS) и движок распознавания речи (Deep Speech)
    Финансируемый Евросоюзом проект ParaCrawl, накапливающий базу синхронных переводов различных фраз на разных языках, которую можно использовать для тренировки систем машинного обучения. Основой проекта является бот bitextor, который индексирует многоязычные web-сайты и автоматически находит одинаковые тексты, представленные на нескольких языках. База примеров параллельных переводов формируется для 24 языков, в том числе для русского (БД для русского языка занимает 637MB в сжатом виде и включает более 12 млн примеров перевода).

Разработка Bergamot началась в январе этого года, но наработки проекта пока недоступны для публичного тестирования. Тем не менее, несколько дней назад разработчики опубликовали видео с демонстрацией начального прототипа.

[youtube]https://youtu.be/ptmLzVeU0dk[/youtube]

Напомним, что в Firefox уже имеется встроенный механизм для перевода страниц, но он завязан на использовании внешних облачных сервисов (поддерживаются Google, Yandex и Bing) и не активирован по умолчанию (для включения в about:config следует изменить настройки "browser.translation"). Механизм перевода в том числе поддерживает автоматическое определение языка при открытии страницы на неизвестном языке и выводит специальный индикатор с предложением осуществить перевод страницы. Развиваемый в рамках проекта Bergamot прототип системы перевода использует этот же интерфейс для взаимодействия с пользователем, но вместо обращения к внешним сервисам запускается встроенный обработчик.

[student]

Браузер Firefox будет следить за следящими

Организация Mozilla Foundation выпустила новую версию своего браузера – Firefox 70. Ее заметным новшеством стала функция «Отчет о защите конфиденциальности» - Privacy Protection report. В левой части адресной строки браузера размещено изображение щита. Оно остается серым, если браузер не блокирует какие-либо нежелательные процессы, но цвет изменяется на лиловый, если включаются механизмы блокировки. Нажатие на значок щита открывает окно с информацией о заблокированных нежелательных процессах. К ним отнесены трекеры, отслеживающие историю браузера, межсайтовые механизмы отслеживания (позволяющие демонстрировать пользователю рекламу, связанную с контентом недавно посещенных сайтов), механизмы сбора «цифровых отпечатков», а также майнеры криптовалюты. Кроме того, менеджер паролей Firefox Lockwise сообщает о потенциально небезопасных паролях – это делается за счет сопоставления сохраненных паролей с имеющимися в распоряжении браузера базами учетных данных, раскрытых в результате крупных утечек.

Отчет выглядит весьма информативно и впечатляет количеством заблокированных попыток отслеживания даже на вполне безобидных сайтах. Но справедливости ради стоит сказать, что многие из перечисленных защитных функций стали доступны уже в более ранних версиях браузера. В Firefox 70 эта забота о безопасности и конфиденциальности пользователя стала лишь более наглядной и очевидной для него самого. Поэтому шаг, очевидно, является отчасти маркетинговым. Это вполне объяснимо, если учесть, что Firefox в последнее время несколько сдал позиции: по данным NetMarketShare за последний год доля Firefox рынке браузеров для настольных компьютеров снизилась с 10 до менее чем 9 процентов. Если же говорить о рынке браузеров в целом (с учетом мобильных устройств), то эта доля сейчас составляет всего 4 процента.

[student]

В Firefox будет прекращена поддержка прямой предустановки дополнений
01.11.2019 08:21

Разработчики Firefox приняли решение прекратить поддержку дополнений, устанавливаемых обходным путём через прямое копирование файлов в каталог с дополнениями (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ или ~/.mozilla/extensions/), обрабатываемый всеми экземплярами Firefox в системе (без привязки к пользователю). Подобный метод обычно применяется для предустановки дополнений в дистрибутивах, подстановки дополнений в момент установки в систему какого-то приложения или для обособленной поставки дополнения со своим инсталлятором.

В Firefox 73, намеченном на 11 февраля, подобные дополнения продолжат работать, но будут перенесены из общего для всех экземпляров браузера каталога в индивидуальные профили пользователей, т.е. будут преобразованы в формат, применяемый при установке через менеджер дополнений. Начиная с выпуска Firefox 74, который ожидается 10 марта, поддержка не привязанных к пользовательским профилям дополнений будет прекращена.

Разработчикам дополнений, устанавливаемых без привязки к профилю, рекомендуется перейти на распространение своих продуктов через штатный каталог дополнений addons.mozilla.org. Для установки отдельно загруженных дополнений вручную можно использовать опцию загрузки дополнения из файла, доступную в менеджере дополнений.

Причиной представленных изменений является возникновение проблем с подобными дополнениями у пользователей - подобные дополнения часто навязываются и активируются без явного согласия пользователя. При этом, так как дополнение не привязано к профилю пользователя, пользователь не может их удалить через штатный менеджер дополнений. Прямое копирование дополнений также часто используется для подстановки вредоносных дополнений в Firefox.

[student]

Firefox и Chrome объявили войну всплывающим уведомлениям

Корпорация Google и организация Mozilla Foundation намерены заблокировать появление всплывающих уведомлений в своих браузерах Firefox и Chrome. Эти уведомления, как правило, предлагают пользователю подписаться на посещаемый сайт, чтобы следить за обновлением контента. В теории эта опция вполне может быть полезна, но на практике лишь раздражает пользователей. Как показало проведенное Mozilla Foundation исследование, 99% таких предложений просто игнорируются пользователями, а 48% – отклоняются.

Но дело не только в раздражении. Всплывающие уведомления активно используются злоумышленниками. В некоторых случаях подписка на обновления сайта используется как условие для загрузки интересующего пользователя файла, просмотра видеоролика и даже для того, чтобы уйти с посещаемой страницы. В результате пользователей начинают атаковать бесконечными спам-сообщениями и рекламными баннерами, нередко продвигающими вредоносное ПО, а также рекламой сайтов для взрослых. При определенных условиях эти уведомления появляются на устройстве даже тогда, когда браузер вообще не используется.

Разработчики Firefox уже приняли первые меры борьбы со всплывающими уведомлениями. Начиная с версии браузера Firefox 70, опция отказа от подписки «не сейчас» заменена на куда более категоричную «никогда для этого сайта». Это означает, что при повторном посещении сайта уведомления на нем будут автоматически заблокированы браузером. А в версии Firefox 72, выход которой запланирован на январь будущего года, всплывающие уведомления будут полностью заблокированы. Вместо них в адресной строке будет отображаться значок, похожий на «пузырь», в которых пишутся диалоги в комиксах. Он будет означать, что данный сайт желает демонстрировать уведомления, и клик по нему откроет их демонстрацию. Аналогичное решение готовят и разработчики Chrome. В версии Chrome 79 (выход ожидается уже через несколько недель) будет также заблокирована демонстрация всплывающих уведомлений, а адресную строку дополнит символ колокольчика. Перечеркнутый колокольчик означает, что уведомления не будут показаны, клик снимает это перечеркивание, открывая возможность просматривать уведомления – если пользователь вдруг входит в число тех, кому это нужно.

[student]

Mozilla Foundation втрое увеличивает максимальную премию за найденные уязвимости

Организация Mozilla Foundation объявила об увеличении максимальной суммы вознаграждения, выплачиваемого исследователям за обнаруженные уязвимости в рамках программы bug bounty. Эта сумма выросла сразу втрое - теперь исследователи, обнаружившие уязвимость, которая позволяет удаленное исполнение произвольного кода в браузере Firefox или других сервисах и приложениях от Mozilla, вправе претендовать на премию до 15 000 долларов. Если учесть, что Mozilla Foundation является некоммерческой организацией, такое предложение следует признать достаточно щедрым. Тем не менее, по меркам технологической индустрии Mozilla теперь вышла на минимальный уровень премиальных выплат.

Ту же максимальную сумму вознаграждения предлагает за найденные уязвимости, например, сервис Snapchat. Twitter оценивает самые опасные уязвимости в 20 000 долларов, а DropBox – в 33 000. Если же говорить о крупных компаниях, то здесь ставки намного выше. Корпорация Intel, например, готова выплатить за наиболее опасные уязвимости до 100 000 долларов, а Microsoft – до 330 000 (при этом 15 000 – минимальная для компании сумма премии за критическую уязвимость). С недавних пор в эту «высшую лигу» вошла и китайская компания Huawei. Она объявила, что за найденные критические уязвимости в ее смартфонах (Mate, P, Nova, Y9 и Honor) исследователи будут получать премии до 220 000, а за уязвимости высокой степени риска – до 110 000. Это, между прочим, выше, чем аналогичные премии, установленные корпорацией Google (200 000 и 100 000 соответственно). Впрочем, нужно оговориться, что программа bug bounty компании Huawei является закрытой, участвовать в ней можно только по специальным приглашениям. Лидером по суммам выплат остается корпорация Apple: уязвимость, позволяющая удаленно взломать iPhone без каких-либо действий со стороны его пользователя, может принести удачливому исследователю 1 000 000 долларов.

[student]

В Firefox включена по умолчанию блокировка скрытых методов идентификации пользователя
25.11.2019 10:36

В ночных сборках Firefox, которые лягут в основу намеченного на 7 января выпуска Firefox 72, по умолчанию включена защита от отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Защита от скрытого отслеживания включена в применяемом по умолчанию стандартном режиме блокировки нежелательного контента и осуществляется по дополнительным категориям в списке Disconnect.me, включающим хосты, уличённые в использовании скриптов для скрытой идентификации.

Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

[student]

Компания Mozilla опубликовала финансовый отчёт за 2018 год
26.11.2019 10:35

Компания Mozilla опубликовала финансовый отчет за 2018 год. В 2018 году доходы Mozilla уменьшились на 112 млн долларов и составили 450 млн долларов, в то время как в 2017 году компания Mozilla заработала 562 млн долларов, в 2016 году - 520 млн долларов, в 2015 - 421 млн долларов, в 2014 - 329 млн долларов, в 2013 - 314 млн, 2012 - 311 млн.

429 млн из 450 млн получены благодаря отчислениям за использование поисковых систем (Baidu, DuckDuckGo, Google, Yahoo, Bing, Yandex), сотрудничеству с различными сервисами (Cliqz, Amazon, eBay) и размещению контекстных рекламных блоков на стартовой странице. В 2017 году размер подобных отчислений составил 539 млн. 6.3 млн долларов составили пожертвования, что на 100 тысяч меньше, чем в 2017 году. Объём средств, вложенных в инвестиции в 2018 году составил 368 млн долларов (в 2017 году 414 млн, в 2016 году - 329 млн, в 2015 году - 227 млн, в 2014 году - 137 млн).

Среди затрат доминируют расходы на разработку (277 млн долларов в 2018 против 259 млн в 2017 году, в режиме полного рабочего дня трудоустроено более 1000 сотрудников), поддержку сервисов (33.4 млн долларов в 2018 против 20.7 млн в 2017), маркетинг (53 млн долларов в 2018 против 66 млн в 2017) и административные расходы (86 млн долларов в 2018 и 74 млн в 2017). 4.8 млн долларов потрачено на выплату грантов (в 2017 году - 5.4 млн). Общая сумма затрат составила 451 млн долларов (в 2017 году - 421.8, в 2016 году - 360.6, в 2015 году - 337.7, в 2014 - 317.8, в 2013 - 295 млн, в 2012 - 145.4 млн). Размер активов на начало года - 514 млн долларов, на конец года - 523 млн долларов.

[student]

Браузер Firefox будет блокировать сбор цифровых отпечатков

Организация Mozilla Foundation объявила о том, что намерена включить в свой браузер Firefox функцию блокировки по умолчанию сбора цифровых отпечатков (так называемых digital fingerprints). Этим термином обозначается распространенный способ отслеживания активности пользователей в сети. Он подразумевает сбор информации о ряде важных параметров пользовательских устройств, включая разрешение экрана, используемые настройки языка и времени (часовой пояс), версию операционной системы и браузера, загруженные расширения и шрифты. Все эти данные позволяют создать уникальный «отпечаток», по которому пользователь в дальнейшем может быть идентифицирован при посещении различных вебсайтов.

Такие действия могут рассматриваться как посягательство на конфиденциальность пользователей, и в Mozilla Foundation не намерены с этим мириться. Кстати, функция блокировки сбора цифровых отпечатков доступна в браузере уже сейчас, но, чтобы активировать ее, пользователю необходимо перейти в настройки и в меню «приватность и защита» (Privacy & Security) выбрать пункт «Улучшенная защита от отслеживания» (Enhanced Tracking Protection). По умолчанию эта функция будет активирована в версии Firefox 72, выход которой запланирован на январь 2020 года.