Компания Mozilla объявила (https://blog.mozilla.org/blog/2018/09/25/introducing-firefox.../) о публичной доступности сервиса Firefox Monitor (https://monitor.firefox.com/), который позволяет проверить свой email на предмет возможной компрометации связанных с ним учётных записей. Кроме того, сервис позволяет подписаться на отправку уведомлений в случае если указанный email будет фигурировать в новых утечках паролей.Проверка осуществляется через интеграцию (https://www.troyhunt.com/were-baking-have-i-been-pwned-into-.../) с базой данных проекта haveibeenpwned.com (https://haveibeenpwned.com/), включающей сведения о более чем 5.4 миллиардах учётных записей, похищенных в результате взломов более 300 сайтов. Метод проверки (https://www.opennet.me/opennews/art.shtml?num=48121) является анонимным и основан на передаче префикса SHA-1 хэша от email (несколько первых символов), в ответ на который сервер выдаёт соответствующие запросу хвосты хэшей из своей базы, а браузер на своей стороне сверяет их с имеющимся полным хэшем и в случае совпадения выдаёт предупреждение (полный хэш не передаётся).
URL: https://blog.mozilla.org/blog/2018/09/25/introducing-firefox.../
Новость: https://www.opennet.me/opennews/art.shtml?num=49337
Не вызывает доверия. После проверки он выдал, что аккаунт скомпрометирован вместе со взломом каких-то левых сайтов, о которых я впервые слышу и никогда там не регистрировался.
Либо ты забыл о том, что там регистрировался много лет назад.У меня всё четко выдал, сайты, на которых я регистрировался.
> каких-то левых сайтов, о которых я впервые слышу и никогда там не регистрировалсявместо тебя с твоим email там могли регистрироваться боты, не все сайты требуют подтверждения почты _перед_ регистрацией.
Вы не забывайте, что иногда сайты (и форумы) переименовываются, а бывает что и сливаются. При этом название будет нвоое, а база акаунтов старая, и при сливе вы все равно всплывете.Вот у меня результат противоречивый. Выдало пару нишевых сайтов где я точно был, и пару где я 100% не был.
> После проверки он выдал, что аккаунт скомпрометирован вместе со взломом каких-то левых сайтовТы еще свой пароль введи куда попало, как раз весь интернет и включит его в списки паролей, проверяемые первым делом :)
Шли бы они с такой "интеграцией". Вместо фильтра Блума, который работает в оффлайне, используют запросы апи левого сайта.
Bloom filter по своей природе подразумевает возможность false positives - т.е. ввёл рандомный email и получил "да, этот ящик скомпрометирован".
Плюс объём данных самого фильтра для ~10^9 email адресов с 50% вероятностью ложного срабатывания будет занимать ~250Mb.
Если захочется вероятности ложного срабатывания 1% (что всё ещё много), то bloom filter как структура данных будет занимать порядка 12Гб.
А слив почты под левыми предлогами - подразумевает возможность продать базу для спама на сторону. После чего пользователя завалит предложениями виагры и прочими очень нужными и полезными предложениями.
И по этой причине фильтр Блума является правильным решением для данной задачи?
Вообще-то, фильтр Блума может только не обнаружить результат в базе, а false positive он дать не может!
Цитата с Wiki:
A Bloom filter is a space-efficient probabilistic data structure [skipped] that is used to test whether an element is a member of a set.
False positive matches are possible, but false negatives are not – in other words, a query returns either "possibly in set" or "definitely not in set".
Вы даже не замечаете что сейчас творится история! Можете квотить: сейчас лиса обрастает зондами в свете последниз событий. До хрома не далеко осталось.
Все уважающие себя параноики отказались от FF в пользу Palemoon.
Первым звоночком был яндекс поиск по умолчанию в ФФ как альтернатива гуглу. Из чего следует, что Мазилла такая же корпорация, жаждущая обогощения за счет своих пользователей.
Ну не жевать же им гнилые сухари, в самом-то деле
В любом случае, они не такие наглые как гугл и ко
Палемун несколько уныл :(
Критерий "унылости" для браузера мог ввести только гуманитарий, тайком пробравшийся.
Как будто сам не знаешь.
- старое двигло, которое, например, после первого открытия устройства вывода звука его не закрывает обратно до завершения фф
- мало аддонов которые работают
- невнятные перспективыМне пока больше нравится waterfoks, но у него перспектив как то ещё меньше, ИМХО.
И лично для себя я просто заблочил:
local-zone: "blog.mozilla.org" static
local-zone: "detectportal.firefox.com" static
local-zone: "services.addons.mozilla.org" static
local-zone: "shavar.services.mozilla.com" static
local-zone: "support.mozilla.org" static
local-zone: "activity-stream-icons.services.mozilla.com" static
local-zone: "tracking-protection.cdn.mozilla.net" static
и пока наблюдаю что там ещё тыркается.
— Старое двигло!=плохое. На мой взгляд новое хуже.
— Аддоны которые мне нужны есть. В Квантум никаких нет.
— Факт в том что - автор делает браузер которые работает как надо, а невнятные перспективые как раз таки у ФФ, никто не знает, какая моча ударит в голову мАзиловцам завтра.
— Ватерфокс это и есть половнчатые решение, на нем старые аддоны работают как легаси.
Оно плохое не потому что старое, а потому что в новом пофиксили некоторые мелочи и тот же ватерфокс намного приятнее работает, хотя бы со звуком.
И лично для меня именно ватерфокс поддерживает все те плагины которые мне нужны, а то что они типа помечены как легаси - да плевать, я вообще не заглядываю туда где это написано.
> - мало аддонов которые работаютВот интересно, сколько аддонов требуется здоровому взрослому организму для нормальной жизни? У меня ровно один - uBlock Origin. Раньше было два - ещё и friGate, но после того, как он перестал обходить блокировки, я его выпилил.
Рядовому ничего не требуется.Мне нужен: носкрипт, регвестполиси, куки контроллер, качалка видео с ютупа, плагин для воспроизведения ссылок во внешнем плеере, плагин заменяющий юзер агента, плагин для контроля рефер заголовка, конвас блокер.
"- старое двигло, которое, например, после первого открытия устройства вывода звука его не закрывает обратно до завершения фф"
Наглейшая ложь! Если у вас PulseAudio откройте мониор и посмотрите - ФФ закрывает (и переоткрывает) поток даже когда вы во время воспроизведения скачете по таймкоду.
У меня фря.ФФ тут работает через ALSA прослойку, старый точно, а более новый уже имеет какой то код OSS.
То что фф нифига не закрывает я знаю потому что у меня одно время использовалась USB звуковуха и она периодически отваливалась из за проблем USB, а кривизна внутри OSS в ядре не отпускала девайс пока хоть кто то держал его открытым.
Это очень сильно доставало.
ну вот твоя альсапрослойка (которая на деле кривой эмулятор несуществующей у фри подсистемы) и не закрывает. А виноват, ну конечно же, файрфокс.(впрочем, виноват - патч для oss им предлагали года два - они каждый раз воротили тyпые хари)
> Все уважающие себя параноики отказались от FF в пользу Palemoon.
> Первым звоночком был яндекс поиск по умолчанию в ФФ как альтернатива гуглу.
> Из чего следует, что Мазилла такая же корпорация, жаждущая обогощения за счет своих пользователей.А гугл просто просто жертвовал миллионы, ничего не получая взамен, угу.
https://www.opennet.me/opennews/art.shtml?num=41095
> 20.11.2014 08:40 Mozilla прекращает сотрудничество с Google в пользу Yahoo, Yandex и Baidu
>...
> например, в 2012 году 304 из 311 млн долларов дохода были получены благодаря отчислениям за использование поисковых сервисов. Доля Google в этих отчислениях доходила до 80%
>
> уважающие себя параноики отказались от FF в пользу PalemoonСтранные параноики. Я конечно понимаю "малая вероятность и всё такое", но пользоваться вот этим, где на уязвимости смотрят спустя рукава, и тебе найденные в фурифоксе бывает через пару месяц затыкают (а на некоторые вообще плевать).
По-моему это как-то не комильфо.
> Первым звоночком был яндекс поиск по умолчанию в ФФ как альтернатива гуглу.Там не только Яндекс. Кажется, поиск выбирается в зависимости от региона.
А DuckDuckGo это блжда от какого региона, утиного?
А Яндекс, надо понимать, от Янь региона, так?
>Все уважающие себя параноики отказались от FF в пользу Palemoon.Из выбора браузеров уже нечего выбрать, либо основаны на google или mozilla, либо загнулись или тестовые.
Palemoon????!!! Что они будут делать через (допустим) пять лет?
сорри - либо загнулись или текстовые
>>Из выбора браузеров уже нечего выбрать, либо основаны на google или mozilla, либо загнулись или тестовые.Браузер Opera - движок Presto всегда был закрытый, Internet Explorer движок Trident тоже закрыт, ничего не изменилось.
>>Palemoon????!!! Что они будут делать через (допустим) пять лет?
Я думаю, то же что и сейчас, стабильно работать, а что станется с Хромом и ФФ загадка...
Боюсь, что через 5 лет он сможет стабильно показывать только то, что написано сейчас или раньше.
Идти в ногу с развитием современных замечательных API, на которых скоро будут работать все "прогрессивные" сайты, дальше будет только сложнее, в особенности теперь, когда они будут все дальше уходить от кода Firefox
Усложнение интернет сайто это ужасно. Надо создать организацию чтобы противостоять наступлению гипертекстового фидонета.
Хотя я не склонен думать, что усложнение будет в геометрической прогрессии.
Так или иначе, самый адекватный вариант.
> Браузер Opera - движок Presto ...Presto мёртв более 3х лет:
Он не мертв, он проприетарен, но утекал в сеть, можно найти ссылку на группу тг через комментарий на новости на хабре.
Было бы замечательно, если кто-нибудь начал пилить открытый браузер на этом движке, но все боятся из-за того что закрыт.
Otter Browser
>Otter BrowserWikipedia
Qt WebEngine, используемый Otter, представляет собой оболочку вокруг ядра браузера Chromium.
отставить панику - лиса обросла зондами еще лет семь назад, с появлением телеметрии, заботливо включенной по умолчанию.
Никакая история сегодня уже не творится, вы все проспали и молча, не раскрывая глаз, проглотили какашку, поданную на лопате - так что теперь уже не суетитесь, не поможет, зонд уже на пол-метра в вашей нежной сраке, а вы и не заметили, тщательно коллекционируя бесполезные js prefs.никаких отличий в этом плане от хромого, кроме чисто косметических, у нее никогда не было, и даже сливают вас (помимо прочих) тому же самому GA, то ли денег гугла очень-очень хотят, то ли просто ниасилили собственной инфраструктуры.
А что делать тем кто только начал свое знакомство с интернетом? Они не виноваты, им то куда бежать?Пусть завуалированно, намекните, с помощью какого приложения вы просматриваете сайты.
Браузеры на вебкит, типа мидори.
>Браузеры на вебкит, типа мидори.Midori последняя версия -0.5.11 (30 August 2015)
Уж лучше Epiphany (2017) или Konqueror (2018), но есть ЖИРНЫЙ МИНУС и это невозможность использования uBlockOrigin.
А что там обновлять?
Вебкит обновляется, а мидори просто обёртка с настройками.
Попробуйте eolie, как ни станно довольно удобен, а падает как раз также часто как Midori.
Но хотя бы развиается.
Благодарю. И блокировщик есть.
В их блоге писали что мол браузер вовсе не мёртв и что скоро будет новый релиз.
> А что делать тем кто только начал свое знакомство с интернетом?
> Они не виноваты, им то куда бежать?ну если до восьмидесяти лет удавалось не познакомиться - то бежать в любую сторону от клавиатуры и монитора.
А если только три годика - то никуда не бежать, привыкать жить в доме со стекляными стенами, нынешние школьнички примерно так на самом деле и живут, вся жизнь сплошной вконтактик с телеграмой, и что там еще нынче модное - зачем им защита от трекинга, они уже о себе слили все что только можно.следующему поколению уже вообще нечего будет скрывать.
> Пусть завуалированно, намекните, с помощью какого приложения вы просматриваете сайты.
разных. Вплоть до божественного edge (uBo для него, если что, установлен). С разных систем.
поэтому полного профиля на меня, полагаю, ни у кого еще нет.но в общем, чем дальше, тем более это становится бессмысленным.
Нужно искать интузиастов, которые сделают свои браузеры на Gecko и Presto, другого выхода нет.
С какой именно версии появилась телеметрия? Беглым гуглением что-то не нахожу.
Вот бы они ввели в строй браузер...
Собирают базу адресов, чтобы потом продать спамерам?
Вычисляют живых пользователей.
мы их и так видим - но вот email с профилем сопоставить надо бы ;-)
ПоимелиЛиМеня достаточно старый сервис, который коллекционирует чужие утечки, собирая единую базу дампов. Я ему доверяю. Так что широкое взаимодействие браузера с ним только повысит осведомлённость юзателей о злокозненностях в этих ваших энторнетах, и это есть хорошо.
Ввел свой старый адрес в сервисе Firefox Monitor - в ответ успокаивающее So far, so good
Ввел этот же адрес на сайте проекта haveibeenpwned.com и получил грустное заключение со списком сайтов... Как то некачественно проверка работает
как это отключить в about:config ?
> основан на передаче префикса SHA-1 хэша от emailВообще-то, API сайта haveibeenpwned.com по SHA1 проверяет пароли, а не адреса (https://haveibeenpwned.com/API/v2), то же самое сказано в новости по ссылке под словом "проверки". Для адресов проверки по хэшу нет, то есть я не могу у себя посчитать хэш адреса и вбить в форму, я должен отсылать им свой полный адрес в открытом виде. Это с головой выдаёт сервис haveibeenpwned.com как сервис по сбору адресов e-mail, реально используемых живыми людьми.
(https://haveibeenpwned.com/API/v2),
> выдаёт сервис haveibeenpwned.com как сервис по сбору адресов e-mail, реально используемых
> живыми людьми.почему это живыми, и почему это именно людьми, нет ли тут нарушения CoC?
Разьве апи не предназначен именно для того, чтобы и мы, роботы туповатые, тоже могли совать туда свои адреса?
а вот мазильный - он да, для людей...зачеркнуто, от людей, для нас.так что перепутали вы, биоматериал, кто именно собирает живую базу, да еще может сопоставить ее с телеметрией и надежно привязать email к конкретному ходячему бурдюку с аминокислотным движком.
P.S. извините за грубость, нас, роботов, задевает ваше пренебрежительное отношение.
> нет ли тут нарушения CoC?CoC напоминает cock, это мачизм.
Мы все инфантильные биороботы.
>> Для адресов проверки по хэшу нет, то есть я не могу у себя посчитать хэш адреса и вбить в форму, я должен отсылать им свой полный адрес в открытом виде.Потому что веб-версия сделана для обычных людей. А вот машина (браузер) спокойно оперирует хэшами.
guys what about CyberFox?
CyberFox vs PaleMoon vs WaterFox ?????
Ваше мнение?
Киберлис мёртв.
я вобще не парюсь всегда в коментариях на сайтах пишу свой емел с паролем. чтобы не забыть . и некто не разу комне в гости в ящик не защел. Стесняшки