После инцидента (https://www.opennet.me/opennews/art.shtml?num=49143) с отправкой дополнением "Web Security" информации об открываемых пользователем страницах, инженеры Mozilla провели расследование и выявили (https://bugzilla.mozilla.org/show_bug.cgi?id=1483995) ещё три дополнения (Browser Security, Browser Privacy и Browser Safety), которые также были заявлены как обеспечивающие дополнительную защиту конфиденциальных данных пользователя, а на деле отправляли на внешний сервер информацию о всех открываемых пользователем страницах (во всех случаях данные отправлялись на хост 136.243.163.73).Более того, в каталоге AMO выявлено ещё 19 дополнений, осуществляющих отправку на внешние серверы данных с историей посещений. Используемый в данных дополнениях код и метод отправки данных достаточно близок к коду из "Web Security", что свидетельствует о наличии единой схемы захвата персональных данных. Также отмечается, что потенциально данный код может быть использован для организации загрузки и выполнения кода с внешнего сервера. В настоящее время все проблемные дополнения удалены из каталога дополнений Firefox.
URL: https://bugzilla.mozilla.org/show_bug.cgi?id=1483995
Новость: https://www.opennet.me/opennews/art.shtml?num=49150
Вот это правильно!
И это только после того как поднялась шумиха вокруг них. Вот упомянут их авторы где-нибудь в длинном EULA о том, что данные отправляются и вернутся дополнения обратно.
> И это только после того как поднялась шумиха вокруг них. Вот упомянут
> их авторы где-нибудь в длинном EULA о том, что данные отправляются и вернутся дополнения обратно.Обычно таки, фантазии в EULA считаются недействительными, если они нарушают оф. законы/предписания.
Максимум - причина для односторонеего разрыва договора (но и то, "сильно зависит от").Иначе уже давно, в длинных ЕУЛА, особо ушлые пытались бы прятать "а так же, спустя 66,6 дней вы, вместе с потрохами, имуществом, семьею и душой, становитесь нашей собственностью на неограниченный срок! Бва-ха-ха-ха!".
>Иначе уже давно, в длинных ЕУЛА, особо ушлые пытались бы прятать "а так же, спустя 66,6 дней вы, вместе с потрохами, имуществом, семьею и душой, становитесь нашей собственностью на неограниченный срок! Бва-ха-ха-ха!".Ты не представляешь, как много народа залетает по этой причине, связавшись со страховщиками и кредитными организациями (особенно потребы).
>>Иначе уже давно, в длинных ЕУЛА, особо ушлые пытались бы прятать "а так же, спустя 66,6 дней вы, вместе с потрохами, имуществом, семьею и душой, становитесь нашей собственностью на неограниченный срок! Бва-ха-ха-ха!".
> Ты не представляешь, как много народа залетает по этой причине, связавшись со страховщиками и кредитными организациями (особенно потребы).Конечно не представляю. Просто не хватает фантазии представить, как кредитные организации выдают кредиты (а страховщики выплачивают страховую сумму) по End User License Agreement, вместо "полноценных" договоров …
С Банком часто вы подписываете договор присоединения(вариантов откахаться и получить услугу просто нет) при этом в этом договоре часто присутствуют фразы - текст размещён на оф сайте в разделе ...(без точного адреса) и изменения начинают действовать через n интервалов после размещения, при этом крупные Банки не раз ловили на не тех документах по тем адресам/публикациях задним числом и т.п. но особенности судебной системы таковы что бремя доказательства со стороны попавшего клиента гораздо тяжелее потерь от неожиданных изменений (один почти непроходимый квест предъявления доказательтств о том что документа небыло чего стоит).
Мне кажется вы путаете банки с микрокредитными организациями.
Вторые по сути не контроллируются ЦБ и творят вот такой вот беспредел.
Хотя проще указать всё в длиннющем договоре, часть людей по неведомым причинам их просто не читают перед тем как подписать.
>> End User License Agreement,
> С Банком часто вы подписываете договор присоединенияКлючевые слова тут: "подписываете договор". Остальное, извините, опять офтоп.
В #31 я как раз намекал на "большую разницу". Проблемы ЕУЛА начинаются еще с (идио^W обычной) практики ознакомления с ней только после приобретения софта, что делает ее в ряде стран вообще недействительной (хоть сто подтверждений "я согласен с этим соглашением" в инсталлятор встрой) или же переводит в область "общих условий заключений сделок".
Например, классический "запрет" на дисассемблинг/обратную разработку в любом виде, во многих странах недействителен, т.к. конфликтует с правом пользователя на (независимую/самостоятельную) проверку ПО.
Т.е. "нарушение" пользователем этого пункта даже не будет являтся достаточным поводом для расторжения договора купли-продажи/поддержки этого ПО.Ну и т.д. В общем, написать в ЕУЛА можно много чего, биты в байтах – они такие, все стерпят.
Mozilla заботится о нас! Я выбираю Firefox.
Нет, не правильно. Раньше, прежде чем дополнение попадало в каталог, сотрудники мозиллы полностью читали исходники, разбирались, как дополнение работает, и делали замечания по безопасности, а если сбор данных - так сразу ффтoпку, если есть сбор данных, то о публикации и речи не могло быть. Каждое обновление тоже модерировалось. С прекращением такой политики некоторе время назад каталог превратился в такую же помойку, как и каталог хрома. Вернее до каталога хрома ещё далеко, потому что расширения от хрома нельзя просто взять и залить в каталог мозиллы, нужен реинжиниринг, ето единственное, чть создаёт сейчас мало-мальское препятствие. Но бизнес оно не остановит.
Вы уверены что каждое обновление ревьюилось?
Это же огромны
огромный объём работы.
У них есть инструменты.
У нас есть такие приборы, но мы вам про них не расскажем.
они на гитхабе.
> были заявлены как обеспечивающие дополнительную защиту конфиденциальных данных пользователя, а на деле отправляли на внешний сервер информацию о всех открываемых пользователем страницахПонятно, они ведь с самим Firefox в этом конкурируют. Mozilla убирает конкурентов.
https://www.mozilla.org/ru/about/manifesto/
Ну и что? Я на свежеустановленной системе открываю wireshark и firefox и начинаются коннекта ко всему. Проводил я эксперимент. Точно также и Icecat, но правда в меньшей степени.
Та же херня. Из-за этого приходится ждать по 5+ минут, пока все прогрузится. Может это лечится где-то в недрах about:config?
user.js от pyllyukko ну и ghacks.
Только не забудь в первом грохнуть Safebrowsing.
Автоапдейты - по желанию.
>user.js от pyllyukkoПоставил - сбросил весь кэш, открытые вкладки, даже иконки. Хорошо, что хоть очистку истории успел выключить. На скорость запуска вообще никак не повлияло - до сих пор канал забит на полную, открыт только опеннет. Как-то пробовал просмотреть соединения wireshark'ом, но не нашел, как там показывать url сайтов, ибо по айпишникам я задолбаюсь банить.
Еще и js с флешем поломал, вообще няша. И даже шрифты в uMatrix. Завтра буду бекапить закладки, историю и начинать с нового профиля.
> Еще и js с флешем поломал, вообще няша. И даже шрифты в
> uMatrix. Завтра буду бекапить закладки, историю и начинать с нового профиля.Найди опцию с browser.display.use_document_fonts, установи в 1.
Wireshark урлы не покажет, ибо везде https. Надо mitmproxy.
См. https://spyware.neocities.org/articles/firefox.html
Он ещё проверяет обновления установленных расширений. Как вариант, отключить полностью автообновление всех расширений и других компонентов.
Кинь список, к чему у тебя коннектится.
> отправляли на внешний сервер информацию о всех открываемых пользователем страницахНе понимаю, зачем для этого надо ставить еще какой-то дополнительный плагин? когда это и так из коробки работает.
Если телеметрию продают одни - то другие тоже хотят продать эти же данные.
...и вернула Stylish
И правда вернула. Но технически к Stylish теперь не подкопаешься, ведь в самом хвосте трёхметровой простыни с описанием они честно указывают: "The browsing usage data collected includes: visited URLs, your Internet Protocol address, your operating system and the browser you are using, and the date and time stamp" и opt-out появился (где-нибудь на пятом уровне вложенности настроек).
а потом вдруг найдётся небольшой баг из-за которого опт-аут опция не читается из настроек.ребята извинятся и пофиксят.
А слабо шмазиле засудить разработчиков внедряющих отслеживания? И своих то же! ;)
Как вы себе это представляете? Засудить за нарушение правил размещения дополнения на сайте? Смешно. Пользлвателя, который, допустим, правила опеннета нарушил, тоже судить будем? Вот судья-то поржёт. Впрочем, это отсеется ещё до судьи, в суде есть секретари, задача которых - отсекать подобных фриков ещё на подходе.Засудить за передачу урлов? Не вариант, поскольку истцом должно быть пострадавшее лицо.
А какие именно дополнения?
+--------+-----------------------------------------------+
| id | guid |
+--------+-----------------------------------------------+
| 606008 | firefox@browser-security.de |
| 754752 | firefox@smarttube.io |
| 792317 | {0fde9597-0508-47ff-ad8a-793fa059c4e7} |
| 803454 | info@browser-privacy.com |
| 838232 | {d3b98a68-fd64-4763-8b66-e15e47ef000a} |
| 851519 | {36ea170d-2586-45fb-9f48-5f6b6fd59da7} |
| 855429 | youtubemp3converter@yttools.io |
| 857342 | simplysearch@dirtylittlehelpers.com |
| 857365 | extreme@smarttube.io |
| 866911 | selfdestructingcookies@dirtylittlehelpers.com |
| 868657 | {27a1b6d8-c6c9-4ddd-bf20-3afa0ccf5040} |
| 870028 | {2e9cae8b-ee3f-4762-a39e-b53d31dffd37} |
| 875642 | adblock@smarttube.io |
| 893908 | {a659bdfa-dbbe-4e58-baf8-70a6975e47d0} |
| 893912 | {f9455ec1-203a-4fe8-95b6-f6c54a9e56af} |
| 903467 | {8c85526d-1be9-4b96-9462-aa48a811f4cf} |
| 903479 | mail@quick-buttons.de |
| 915719 | youtubeadblocker@yttools.io |
| 915741 | extension@browser-safety.org |
| 928324 | contact@web-security.com |
| 938608 | videodownloader@dirtylittlehelpers.com |
| 960114 | googlenotrack@dirtylittlehelpers.com |
| 979089 | develop@quick-amz.com |
+--------+-----------------------------------------------+
adblock@smarttube.io - а это тот самый adblock или кто-то мимикрирует?
"adblock@smarttube.io" это "YouTube Download & Adblocker Smarttube".
это адрес электронной почты
> dirtylittlehelpers.comНу точно dirty.
Ну или googlenotrack@nowwetrack.com
борьба с конкурентами
- В Линуксе системд.
- В Фаерфоксе отслеживание.
- В жизни тлен.
А кто вас заставляет его ставить? Например, у меня в gentoo его нет и не было.
В чеи opennet смотриш?
тлен ставится по дефолту и выпилить его трудоемко
Кого "его"?! "Жизнь" женского рода, олух!
inetnum: 136.243.163.64 - 136.243.163.95
netname: SYNATIX-GMBH
descr: Synatix GmbH
Лишь бы побольше пользователей! Требования к дополнениям все падают и падают в угоду хипстерам. Скоро лиса превратиться в андроид-помойку.
> Требования к дополнениям все падают и падаютИ это в ответ на проведённый аудит и блокирование дополнений? Я чего-то не понимаю?
>> Требования к дополнениям все падают и падают
> И это в ответ на проведённый аудит и блокирование дополнений? Я чего-то
> не понимаю?"дополнения все падают и падают", и данные после падения отправляются (даже без требований ;)
> И это в ответ на проведённый аудит и блокирование дополнений?лолшта? Им принесли этот список (как и изначальное websecurity) на блюдечке, им оставалось только заблокировать аккунты - и они даже не смогли среагировать быстро, ведь без подтверждения уважаемых прближенных к менеджменту низзя!
> Я чего-то не понимаю?
вы, похоже, совсем ничего не понимаете.
Например что аудит надо проводить до того, как жаренного петуха внесут. Или что "recommended by mozilla" нынче означает "индусама адабряэ!" (за взятку, или ориентируясь на число даунлоадов, или дунул э...праны и его осенило - а хз его, индуса, знает) - то есть они не проверяют уже не только все что им валят на лопате, но даже то что сами же рекомендуют.
зато signed only, блокируем установку с гитхаба и личных сайтов и так далее, и тому подобное.
массовые расстрелы и этнические чистки еще могли бы спасти этот проект...
> лолшта? Им принесли этот список (как и изначальное websecurity) на блюдечке, им оставалось только заблокировать аккунтыИ? Новость о том, что аддоны заблочили, так? И в ответ начинается нытьё о том, что требования к аддонам падают.
Плюс у меня вопрос: в новости есть слова "инженеры mozilla провели расследование", и это не совсем вяжется с "им принесли список". Как так?
> Например что аудит надо проводить до того, как жаренного петуха внесут. Или что "recommended by mozilla" нынче означает "индусама адабряэ!" (за взятку, или ориентируясь на число даунлоадов, или дунул э...праны и его осенило - а хз его, индуса, знает) - то есть они не проверяют уже не только все что им валят на лопате, но даже то что сами же рекомендуют.
Ой ну да, конечно же. Мир несовершенен, и поэтому, сидя на диване, всегда можно усмотреть десяток вещей, которые люди должны были сделать иначе. Обрати внимание, ты возмущаешься наличием этих аддонов в списоке _после_ того, как mozilla их заблокировала. _До_ этого, ты не возмущался тем, что mozilla не проводит аудит. Таким образом, все твои мысли -- это мысли задним числом. И наличие этих мыслей ничего не знает.
> массовые расстрелы и этнические чистки еще могли бы спасти этот проект...
Как ты себе это представляешь? Ну, даже для мнения с дивана, это выглядит слишком неконкретно и неопределённо, чтобы быть мнением.
Прочухались.
До вебекстеншнз такого не было!Оно и понятно, макакам XUL был не по зубам, а в хтмл каждый школьник может.
Подход security через obscurity признан порочным уже очень-очень давно.
Это троллинг?
Нет сынок, это реальность.
> Подход security через obscurity признан порочным уже очень-очень давно.Причем здесь security, аноним? Ты еще про REST вспомни.
> До вебекстеншнз такого не было!Не ври
не, ну по двадцать штук разом - не было.к тому же тогда, помнится, между выкладыванием на сайт и появлением в списке проходило изрядно времени, может, правда заглядывали в код или хотя бы в сэндбоксе проверяли внешние признаки добропорядочного поведения.
Кто здесь про Wireshark гнал, мол Firefox все сливает? Проверял целый день соединения, ничего никуда не сливает. Доказательства будут, вашу мать?
Да не обращайте внимание. Тут все маньяки-конспирологи. Без пруфов кидаются гадостями на самый адекватный браузер из ныне имеющихся
А откуда FF узнает что некий сайт "заражен и распространяет вирусы"?Правильно, потому что сначала стучит URL внешнему сервису, а потом уже по ответу выводит предупреждение.
> Кто здесь про Wireshark гнал, мол Firefox все сливает? Проверял целый день соединения, ничего
> никуда не сливает.малыш, ты либо больной, либо не умеешь пользоваться wireshark (который для этой задачи, кстати, совершенно не нужен и бесполезен)
"доказательств" не будет, потому что нельзя отличить "добропорядочный" траффик от слива, не говоря уже о том, чтоб разобраться в границах "добропорядочности" даже когда уже явно обозначен факт.
Слив хэшей сайтов - это слив или еще нет? А не хэшей (в конце-концов, кого мы хотим обмануть этими хэшами?) А полных урлов (а вдруг сайт нормальный, но имеет части, доступные третьим лицам)? А контроль твоих посещений а-ля пресловутая история со сливом данных предназначенных для сорм - ведь исключительно чтобы проверить, не заходил ли ты на опасТный сайт?Половину этого мазила уже делает вполне официально и открыто. (ах, да, вы можете изменить тристатридцать удобно запоминаемых заклинаний где-то в недрах about:нафиг - нам не жалко, мы только что запилили 331ю, о которой вы еще не знаете)
Вторую половину вполне может делать втихаря, как уже не раз бывало, причем маскируя траффик под штатный - тоже может.
А как ты это делал? Ну, если посмотреть на количество соединений, которые делает браузер при загрузке современной странички, то там запросто может быть полсотни соединений с двумя десятками хостов. То есть, я не пытаюсь доказать, что фф сливает что-то или что он не сливает, мне просто техника интересна.
себя не заблокировали ещё?
Осталось ли хоть что-нибудь еще не отосланое:( ?
P.S Спрашивает знатоков счастливый пользователь Elinks