В состав ночных сборок (https://www.mozilla.org/en-US/firefox/channel/desktop/#nightly) Firefox, на основе которых 14 мая будет сформирован релиз Firefox 67, включена (https://blog.nightly.mozilla.org/2019/03/05/these-weeks-in-f.../) поддержка опций (https://bugzilla.mozilla.org/show_bug.cgi?id=1527917) для блокирования JavaScript-вставок, осуществляющих майнинг криптовалют, а также кода для отслеживания пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Для включения новых режимов блокировки в конфигуратор добавлены соответствующие настройки.
Блокировка осуществляется (https://bugzilla.mozilla.org/show_bug.cgi?id=1515806) по дополнительным категориям (https://github.com/mozilla-services/shavar-list-creation-config) в списке Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации. Код для майнинга криптовалют, как правило, внедряется на сайты в результате взломов (https://www.opennet.me/opennews/art.shtml?num=49941) или используется на сомнительных сайтах как метод монетизации, что приводят к существенному увеличению нагрузки на процессор в системе пользователя.
Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана (https://www.opennet.me/opennews/art.shtml?num=46046), список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 (https://www.opennet.me/opennews/art.shtml?num=47821) и HTTPS (https://www.opennet.me/opennews/art.shtml?num=42943)), анализ установленных плагинов и шрифтов (https://www.opennet.me/opennews/art.shtml?num=26635), доступность определённых Web API, специфичные для видеокарт особенности (https://www.opennet.me/opennews/art.shtml?num=48736) отрисовки при помощи WebGL и Canvas, манипуляции (https://www.opennet.me/opennews/art.shtml?num=47902) с CSS, анализ особенностей работы с мышью (https://www.opennet.me/opennews/art.shtml?num=44027) и клавиатурой (https://www.opennet.me/opennews/art.shtml?num=42685).
Кроме того, из Tor Browser в ночные сборки Firefox перенесена (https://bugzilla.mozilla.org/show_bug.cgi?id=1407366) поддержка техники блокирования идентификации "letterboxing", добавляющая в каждой вкладке отступы между рамкой окна и отображаемым контентом для предотвращения привязки к размеру видимой области. Отступы добавляются с расчётом приведения разрешения к значению кратному 128 и 100 пикселей по горизонтали и вертикали. В случае произвольного изменения размера окна пользователем, размер видимой области становится фактором, достаточно для идентификации разных вкладок в одном окне браузера. Приведение видимой области к типовому размеру не позволяет осуществить данную привязку. Для включения противостояния идентификации в about:config предусмотрена настройка "privacy.resistFingerprinting".
Из других изменений, недавно добавленных в ночные сборки Firefox можно отметить:
- Добавление на панель новой кнопки с аватаром, предоставляющей доступ к управлению учётной записью в сервисе Firefox Account и оценки статуса синхронизации (Firefox Sync).
- При выводе рекомендаций при заполнении форм входа добавлена кнопка "View Saved Logins", позволяющая просмотреть параметры сохранённых учётных записей в менеджере паролей;
URL: https://blog.nightly.mozilla.org/2019/03/05/these-weeks-in-f.../
Новость: https://www.opennet.me/opennews/art.shtml?num=50274
Что-то полезное добавили, я удивлён.
Я удивлен что ты удивлен.
Это по большей части не их заслуга, а наработки TOR и disconnect.me, но да, хорошо что сделали.
Так вроде веб-майнинг на спад давно пошёл? Поздновато мозила спохватилась. А ещё кто-то бывший из мозиловцев ругал антивирусы, что мол не нужны, но они как раз и быстрее всего реагировали на эту угрозу.
> Так вроде веб-майнинг на спад давно пошёл? Поздновато мозила спохватилась. А ещё
> кто-то бывший из мозиловцев ругал антивирусы, что мол не нужны, но
> они как раз и быстрее всего реагировали на эту угрозу.Разработчики браузеров (кстати, не только Мозилл, но и парни из Хромиума жаловались) ругают на антивирусы не потому что "не нужны", а что считают себя "голубой кровью" и лезут везде не считаясь ни с кем. В Мозилле например много случаев когда падения баузеров вызваны инжектом библиотек антивируса, причем частенько, самым грубым образом. А еще есть "внедреж" SSL сертфиикатов для перехвата трафика и тому подобное. Но когда глючит брауер юзвери ругают браузер, а не антивирус "который всегда не причем".
Запрет майнинга это замечательно (лишь бы работал нормально). Когда заходишь на сайт, оставляешь вкладку где-то в фоне, а она начинает 100% ядра жрать на майнере - бесит! Причем никто не застрахован (в свое время, например, форумы hwbot долго вот так "майнили" пользователей).На любом ресурсе могут решить внезапно немного помонетизировать пользователей - достаточно всего лишь дописать include с какого-нибудь coinhive в сорцы страницы и все, деньги текут.
Это чтож за сайты такие посещаешь? Прям домохозяйка.
О, илитарии подтянулись.
Причём с дутым самомнением что с ними это точно не случится.
И Вам привет, товарищ гуманитарий!А почему собственно с нами должно что-то случиться? Может Вы еще и беспорядочные пoлoвые связи практикуете? Тогда чему удивляться? Не ходите на неизвестные сайты, и ничего не случится. А если кто-то из знакомых или друзей посоветовал вам такой сайт, так занесите его в игнор.
> И Вам привет, товарищ гуманитарий!
> А почему собственно с нами должно что-то случиться? Может Вы еще и
> беспорядочные пoлoвые связи практикуете? Тогда чему удивляться? Не ходите на неизвестныеПроблема в том, что от этого никто не застрахован. Очередной баг в wordpress/phpbb/drupal/Vbulletin/что там еще - и на ваш якобы "нормальный" сайт подсаживают майнера. Как это и было с hwbot (https://www.overclock.net/forum/45-networking-security/16498...).
Между прочим, весьма уважаемый ресурс в определенных кругах. Например, статистика разгона различных компонентов у них лучшая в интернете, ну и это один из самых известных ресурсов по спортивному разгону, бенчмаркам и прочим. Но на нагруженном 24/7 ресурсе постоянно обновлять форумный софт они не смогли, и вляпались в уязвимость в их Vbulletin - и к ним на страницы заинджекитили майнеров. Причем они их убрали (https://community.hwbot.org/topic/172372-on-the-topic-of-bro.../) а через пару недель там опять были инжекты, убрать которые удалось в итоге только полной миграцией с Vbulletin на некий Invision Community - на что ушло несколько месяцев. И при этом такая миграция, видимо, оказалось проще, чем обновлять Vbulletin с 3 до 5 версии.
Что, думаете они единственные такие? На большинстве недорогих или бесплатных CMS или движках форума обновления рано или поздно требуются обновления между мажорными версиям. И это БОЛЬ. Вот прямо БОООООООЛЬ. Ведь авторы движков внезапно осознают, что старые схемы в БД кривые и немасштабируемые; что хочется перейти на какой-нибудь Bootstrap; что хочется сделать новую, более совершенную систему тем и т.п. И начинается, что для перехода на новую версию требуется мигрировать базу (и что-то обязательно идет не так), ломаются все кастомизации, летят настройки. Админ сайта, который на это готов уделять не больше пары часов в неделю чешет репу и оставляет старую версию, ведь нельзя сломать на две недели сайт, потерять стиль и прочее. А уязвимости в старой версии никто не исправляет. И понеслось...
> сайты, и ничего не случится. А если кто-то из знакомых или
> друзей посоветовал вам такой сайт, так занесите его в игнор.Вот смотрите. Ваша жена (если нет - предположите, что есть) наверняка ходит на всякие galya.ru/woman.ru/littleone и иже с ними. Вы думаете, там работают крутые IT перцы, которые каждый раз после вот такого https://www.opennet.me/opennews/art.shtml?num=48495 или такого https://www.opennet.me/opennews/art.shtml?num=49318 идут и ставят все обновления? И постоянно обновляют мажорные версии? Постоянно переделывая вырвиглазный дизайн под новые движки? Вот завтра-послезавтра очередную дырочку найдут в каком-нибудь Drupal и все пользователи этого сайта будут до поры, до времени майнить. А вы лично - ничего не сможете сделать. Ваша жена не прекратит пользоваться форумом только потому, что он немного лагает.
> Но на нагруженном 24/7 ресурсе постоянно обновлять форумный софт они не смогли, и вляпались в уязвимость в их Vbulletin - и к ним на страницы заинджекитили майнеров.Да не, это vBulletin-щики забили. Видел полгода назад на другом, регулярно посещаемом мною, ресурсе -- в течении пары месяцев несколько раз заинжективали майнеров, перенаправляльщиков и прочую шелуху, vBulletin был то ли 3.8, то ли 4, "поддерживаемый лицензионный".
Обновлений не было, были вроде бы "workaround"ы -- но это нужно сидеть и мониторить фултайм (лицензия-то c 200+$ совсем не копейки стоит, а получается типа "платная самоохраняемая стоянка").
уязвимости кстати до сих пор пачками идут
https://packetstormsecurity.com/files/151929/vBulletin-4.2.3...
https://cxsecurity.com/issue/WLB-2019030003
В принципе превентивных мер вроде NoScript было бы и так достаточно.
бытует мнение, что umatrix лучше справляется с блокировкой скриптов. а в компании с ublock и вовсе вырезает практически весь хлам.
> бытует мнение, что umatrix лучше справляется с блокировкой скриптов. а в компании
> с ublock и вовсе вырезает практически весь хлам.Возможно у меня синдром утенка, не спорю. Пока что мне хвататет и NoScript
Кому полезное, кому каждый раз выключать новую ерунду что бы мюблоки не дублировало :D
Coinhive же закрылся, вы чё.
Дык. Один закрылся, десяток по его стопам. Лишним не будет, тем более отключчаемо.
Жив coinhive. Сайт работает.
С сайта Койнхайв
"Our miner uses WebAssembly and runs with about 65% of the performance of a native Miner."
Полагаю подобного подхода придерживаются и другие майнеры, так что javascript.options.wasm=false вам в помощь
Чтобы вместо ускоренного исполнялся обычеый js и окончательно всё завесил? Так себе метод.
> Чтобы вместо ускоренного исполнялся обычеый js и окончательно всё завесил? Так себе
> метод.Либо альтернативно, не обнаружив WASM в браузеер скрипт скажет "Ой, древность какая-то, а не браузер" и завершится. Как вариант там может вообще не быть не-WASM реализации.
Если верить https://krebsonsecurity.com/2019/02/crytpo-mining-service-co.../ то закрываются как раз 8-ого марта.
Фиг там. Это чума распространяется и множится с каждым днем!
>блокирования...кода для отслеживания пользователей с помощью методов скрытой идентификацииесли я пользуюсь юблоком с юматриксом - мне это оставлять включенным, или дублирование функционала?
Пофиг, дублируй, лишним не будет.
А как кнопку добавить статуса синхронизации? У меня ночная сборка но её нет.
Забей и дождись пока в основную сборку добавят. Куда торопиться?
Основную нет смысла использовать. У меня и ночная уже несколько месяцев работает отлично.
privacy.resistFingerprinting вроде уже давно был
Правильно, телеметрить юзера должна только Мозила, я за СПО-зонд и точка!11
Телеметрить тебя будет гугол, деточка.
Два года ждал леттербоксинг
Что это?
То же самое что и фингербоксинг
Почему не сделать в качестве плагина ?Зачем все тащит в браузер ?