Опубликованы полноценные корректирующие выпуски Firefox 66.0.4 (https://www.mozilla.org/en-US/firefox/66.0.4/releasenotes/) и 60.6.2 ESR (https://www.mozilla.org/en-US/firefox/60.6.2/releasenotes/), в которых предложено исправление для замены просроченного сертификата (https://www.opennet.me/opennews/art.shtml?num=50623) и восстановления отключенных дополнений. Тем не менее, отмечается наличие нескольких нерешённых побочных эффектов:
- Некоторые дополнения, например Epubreader, не восстанавливаются (https://bugzilla.mozilla.org/show_bug.cgi?id=1549129) в about:addons после обновлении сертификата или остаются в состоянии неподдерживаемых (unsupported). Проблема касается дополнений без идентификатора в файле manifest.json, которые удалялись в случае ошибки проверки цифровой подписи. В этом случае рекомендовано (https://support.mozilla.org/kb/add-ons-disabled-or-fail-to-i...) переустановить дополнение (данные восстановятся, так они остаются в каталоге с профилем);- Наблюдается (https://bugzilla.mozilla.org/show_bug.cgi?id=1549204) потеря данных и настроек в дополнениях, использующих функциональность контекстных контейнеров (https://www.opennet.me/opennews/art.shtml?num=47215) (Containers), например, в дополнениях Multi-Account Containers и Facebook Container. Пользователям рекомендовано (https://support.mozilla.org/kb/add-ons-disabled-or-fail-to-i...) с нуля перенастроить дополнения в about:addons;
- Не восстанавливаются (https://bugzilla.mozilla.org/show_bug.cgi?id=1549022) темы оформления. Пользователям рекомендовано (https://support.mozilla.org/en-US/kb/add-ons-disabled-or-fai...) повторно установить их с addons.mozilla.org (https://addons.mozilla.org/firefox/themes/);
- Сбрасываются (https://bugzilla.mozilla.org/show_bug.cgi?id=1549192) в значения по умолчанию изменённые дополнениями настройки домашней страницы и поисковых движков. Пользователю требуется заново настроить (https://support.mozilla.org/en-US/kb/add-ons-disabled-or-fai...)
домашнюю страницу и поисковый движок.Для старых версий (Firefox 56.0.2 и старее), не включающих normandy (https://github.com/mozilla/normandy) (компонент для поддержки исследований, проведения опроса и внеплановой активации новых возможностей), энтузиастами предложено (https://www.reddit.com/r/firefox/comments/bkspmk/addons_fix_...) решение проблемы путём извлечения сертификата из XPI-файла (https://storage.googleapis.com/moz-fx-normandy-prod-addons/e...) с исправлением. Извлечённый сертификат (https://www.reddit.com/r/firefox/comments/bkspmk/addons_fix_...) следует записать в pem-файл и импортировать этот файл через диалог "Options/ Privacy & Security/ Certifcates/ View Certifcates/ Authorities/ Import".
Кроме того, можно отметить обсуждение (https://lists.torproject.org/pipermail/tor-talk/2019-May/045...) вопроса зависимости Tor Browser от инфраструктуры Mozilla. Напомним, что у пользователей Tor Browser из-за проблемы с сертификатом отключилось (https://blog.torproject.org/noscript-temporarily-disabled-to...) поставляемое в комплекте дополнение NoScript, обеспечивающее дополнительный уровень защиты. Для восстановления достаточно установить настройку xpinstall.signatures.required = false в about:config, но вызывает вопросы сам факт зависимости Tor Browser от третьего лица, действия которого могут отключить дополнительные уровни обеспечения анонимности.
URL: https://www.mozilla.org/en-US/firefox/66.0.4/releasenotes/
Новость: https://www.opennet.me/opennews/art.shtml?num=50633
Цифровая подпись дополнений - это запланированное устаревание в чистом, концентрированном виде.
Думаю это добавили потому что производители антивирусов внедряли в браузер свои дополнения без разрешения пользователя.
Думаю нормальные браузеры всегда спрашивают "хэй, нам тут антивирусы и довнлоадмастеры дополнений насовали, что хочешь с ними сделать?"
> Думаю нормальные браузеры всегда спрашивают "хэй, нам тут антивирусы и довнлоадмастеры дополнений насовали, что хочешь с ними сделать?"Как это определить что насовали?
В смысле, что их раньше не было, а вот появились.
Вообще-то эта фича была. До подписи, да.
> Вообще-то эта фича была. До подписи, да.отлично, она ноль с точки зрения безопасности
Если таковое предупреждение было, то антивирусы ничтоже сумняшися прописывали браузеру, что так оно и было с самого рождения - не кричи. :)
Не только антивирусы, еще всякая гадость типа mail.ru guard, которые распространялись серыми методами типа интеграции в инсталляторы на софтопомойках. Формально с разрешения пользователя, фактически - без (не заметил галочку мелким шрифтом внизу и не снял ее? Значит, согласился). И, конечно, прописывали все в файлах настроек браузера так, чтобы он думал, что оно тут было всегда.
Я хочу внести ясность в это проишествие: итёк не сам сертификат mozilla, а промежуточный сертификат. Т.е. один из тех, которым был подписан mozilla'вский сертификат.
Проблема внезапно не частая и непредсказуемая.
Проблема как раз вполне предсказуемая — дата истечения срока действия сертификата была указана при его генерации. В следующий раз это случится 4 апреля 2025 г., 00:00:00 GMT (именно до этого срока действует новый промежуточный сертификат).
Вот только он не действовал столько, скольк нужно. Новый сертификат был подписан старым промежуточным.
> Новый сертификат был подписан старым промежуточнымЧто за бред? Изучите тему прежде выражения мнения.
Дааа? а посмотреть даты истечения всех сертификатов в цепочке религия не позволяет?
В CoC об этом ни слова нет. Кто же мог знать? Вы что, хотите, чтобы "гордые" или "сильные и независимые" копались в каких-то там буковках и циферках? Ах вы шовинисты! В суд на вас подать надо!
Спасибо, мне это очень помогло!
Присоединился, спасибо Сереге за разъяснения.
Косяк в коде проверки подписи -
>Проблема внезапно не частая и непредсказуемая.Поясняю - при проверке электронной подписи на исполняемом модуле необходимо проверять, что сформирована подпись в момент, когда сертификат был действующим. Также даты действия сертификата необходимо проверять в момент формирования подписи для какого-то модуля. Всё. Больше при проверке целостности/авторства кода даты сертификатов не нужны. Списки отзыва - нужны. Даты - нет.
> Списки отзыва - нужны.к сожалению, гугель решил иначе - "они долго грузятся и не дают нам информации, что именно ты в них ищешь".
Есть мелкая проблемка... Например, некий товарисч спёр приватный ключ CA, который затем либо был перевыпущен, либо отозван, либо закончился - без разницы. Главное - сей товарисч поставил на локальной машине нужное время _до_ того, как был спёрт ключ и таки подписал им некий модуль.
По вашему мнению - модуль, подписанный данным уже не действующим сертификатом таки вполне доверенный, так как время подписи - до отзыва/окончания.
Спасибо создаделям адднонов uBLock, uMatrix и подобнымЭти выходные показали, без них сейчас браузить интернет нельзя, не знаю как живут те кто ратуют за их отключение, наверное сами по сайтам не ходят.
Вполне даже можно. Это твои сайты вредительские.
Я (и многие другие) согласен с предыдущим оратором.
А вот понятие о безопасности, видимо у Вас настолько размыто, что где-то на грани собственно существования.
Одно мнение мудрее другого, блин.
Нормальные толковые сайты либо не содержат рекламу, либо содержат очень умеренное её количество. На таких сайтах не грех блокировщик отключить.
нет уж, наxер наxер ВСЮ рекламу!
Когда в один прекрасный день увидишь домен opennet.ru на паркинге- поблагодари себя.
а опеннет работает только от рекламы, да?
1. Выбираешь какая платформа тебе более привычна: reddit, 4chan, vk, facebook, etc.
2. Создаешь там раздел opennet
3. Пиаришь и перетаскиваешь авторов
4. PROFIT!!!Вообще все от авторов новостей зависит. А сама площадка морально устаревшая. Хоть и имеет заточку "под себя", но это мелочи. Вкладывать деньги в ее техническое поддержание - какой смысл? Если кому и платить, тогда уж авторам новостей и технически грамотным комментам.
<сарказм>
Нормальные толковые мессенджеры никто не блокирует. Чтобы смотреть нормальный толковый контент используейте DRM. Нормальным толковым пользователям нечего скрывать. etc.
> не знаю как живут те кто ратуют за их отключение, наверное сами по сайтам не ходят.Нет, к ним на дом прямо из ресторана еду привозятЪ :/ Причем со скидками (и без рекламы ;)
Потому что они и есть сама суть, смеси рекламщиков-рекламодателей-вебмакак-прочиеу-итд-итп...
Узнал про uMatrix, спасибо.
Такое чувство что им из хромиум диверсанта заслали, крайнее время одни проблемы
Крайний у тебя мозг. А правильно говорить последнее время. ВДВшник хренов
А ещё, последняя у попа жена.Надысь нагуглил:
Вместе с «последнее время» ищут:
отрок вячеслав в контакте
против карт
апокалипсис в действии
Крайняя плоть, крайний случай. Остальное и по ситуации последний.
Бесит.
мухаха, ты еще "смотриццца" вместо "выглядит" вспомни
А чего Вас так бесит?
Последний может быть только в упорядоченном множестве. Крайний может быть с любого края.
Хотя согласен, на данный момент развития науки, время довольно таки упорядоченная вещь (ну ИМХО, конечно же).
"недавний" же!
Те, кто говорит "крайний" вместо "последний", не знают таких слов. Вообще эти люди застряли где-то веке этак в XIX, так как искренне считают, будто слова могут волшебным образом материализоваться. Отсюда, кстати, и модное нынче "присаживайтесь" вместо "садитесь".
Отсюда-отсюда. От так называемого «магического мышления».
Да-да. Вот от тебя лично и идёт. Так называемое «развешивание ярлыков». В другом терминологическом базисе намекнут про «якорь». Вона как там кого-то бесит -- типа умного.)) Эмоции ведь во все времена пышут интеллектом, приводят к гениальным открытиям, давая в награду саечку за испуг.
>Последний может быть только в упорядоченном множестве.Ну уж тогда в конечном упорядоченном. К тому же это не единственное значение слова.
+1
время - человеческая придумка, позволяющая хоть как-то объяснить происходящее вокруг.
Не - оно никому ничего не объясняет, оно только упорядочивает. А объяснения придумывают другие. :)
> оно никому ничего не объясняет, оно только упорядочиваетРазупорядочивает. Ось отсчёта в сторону с большей энтропией направлена.
Опеннетчик-десантник или моряк?
> Последний может быть только в упорядоченном множестве. Крайний может быть с любого края.С того края времени не было ничего проблемного. Там был большой взрыв и не было суетливых человечишек, которые могли бы считать это проблемой.
> Последний может быть только в упорядоченном множестве. Крайний может быть с любого краяЭто из цикла - садись/присаживайся?
Да там диверсии не нужны, без них все по швам трещит. Оно и не удивительно, когда собрались люди, которые при слове code думают про code of conduct.
> решение проблемы путём извлечения сертификата из XPI-файла
> сертификат следует записать в pem-файл и импортировать этот файл через диалог "Options/ Privacy & Security/ Certifcates/ View Certifcates/ Authorities/ Import".Знаете ли об этом способе условная Марь Михайловна?
И после этого кто-то сетует на то, что Chrome занял почти весь веб \ стандарт?
Да потому что Chrome просто работает. Здесь. Сейчас.
Без этих ваших “извлечения сертификата из XPI-файла” ©
> Да потому что Chrome просто работает. Здесь. Сейчас.так мурзила тоже работала - перестали работать дополнения? Ну так у тебя и в хромом их нет, почти.
А откуда у Марь Михайловны «Firefox 56.0.2 и старее»? У неё последний ff который автоматически починился.
причем она как раз ничего и не заметила, потому что бухала на даче, а компьютер был обесточен на предмет самовозгорания.
Марь Михалне знающая подруга рассказывала, что нельзя ничего обновлять, от этого компутер ломается.
Тут вот на официальном сайте федерального казначейства рекомендуется для работы с системой "Электронный бюджет" использовать портативную версию Firefox 40.0.3, причём в данном случае версии 52 и выше действительно не работают, поскольку из них удалена поддержка плагинов NPAPI:http://perm.roskazna.ru/gis/elektronnyj-byudzhet/nastroyka-r.../
и заметьте - у них-то все работает!
> Chrome просто работает. Здесь. Сейчас.Да хрен там. За последний год я помню случая 3, когда они очередным апдейтом браузера ломали свой же Google Hangouts. Если бы эти уроды не блочили Firefox, то черта с два я бы этой хромоножкой пользовался.
> Знаете ли об этом способе условная Марь Михайловна?Почему она сидит на неподдерживаемой версии и не обновляется? Ещё ругаете, что из интерфейса убрали отключение проверки обновлений с уведомлением. О Марь Михайловнах и таких проблемах (помимо дыр и застывшей поддержке стандартов) не думаете в это время?
знаю, сынок, знаю, но спасибо за беспокойство. А ты, кстати, уже сделал домашнее задание?
AdBlock и раньше любил превращаться в тыкву при любом обновлении, но вот это вот всё с потерей данных и без выдачи пользователю хотя бы минимального диалога "а вам точно надо это отключить?" - это дичь.
Пользуюсь Firefox только на работе, для того чтобы держать открытыми веб-интерфейсы нужных девайсов и рабочую почту, чистый браузер, без дополнений, поэтому меня данная проблема не задела. Но шум в интернетах поднялся знатный, конечно, жаль, что не смогли заметить и устранить данную проблему заранее, до того, как она проявилась.
В смысле не смогли? Они сами её создали кривой политикой управления дополнениями, это же очевидно
> вызывает вопросы сам факт зависимости установленных у пользователей экземпляров Tor Browser от третьего лица, действия которого могут отключить дополнительные уровни обеспечения анонимностиАхтунг... В ТорБраузер'е начали что-то подозревать!
Сам факт того, что в Торе имеется доступ со стороны следить за цифровой подписью дополнений, может быть чего то ещё (?), настораживает. Дополнения можно удалить, а скрипты запертить в about:config , но к чему ещё имеется доступ ?
Нет никакого доступа со стороны. Всё унутре.
Не прошло и пол года.
Чем еще порадует нас Mozilla?
думаю 10 ком ошибок во время этого исправления
Как знал, как знал - https://bugzilla.mozilla.org/show_bug.cgi?id=1549075 Nightly 68.0a1 (2019-05-04) is broken: Address bar not functioning, about:newtab blank
А что знал то? Альфа версия для того и предназначена, дабы глючить и содержать баги. Тебя же никто насильно бетатестером не заставляет быть
ci/ct и обвешивание новоналяпанного юнит-тестами - для лохов, коммить, пушь, таск закрывай, пипл схавает - завтра новый таск откроют, починить что было не сломано - заново перепилим.альфаверсии в прошлом предназначались, если ты не в курсе, мой маленький друг, для проверки концепций и привлечения внимания. За выпуск версии, у которой сразу после запуска адресная строка исчезает - увольняли без выходного пособия - поскольку это должно было проверяться непосредственно разработчиком (до появления чудных автоматических инструментов, позволяющих переложить ответственность на никого)
Нет худа без добра. А то ещё когда бы я сделал
opkg install luci-app-adblock
устроили кошмар, для тех кто использует СУФД ...
Теперь аддоны не устанавливаются (обновляются) даже на 66.0.4, если в user.js отключено кеширование промежуточного сертификата:user_pref("security.nocertdb", true);
Получается теперь что если кеширование включено (удалена эта pref из user.js), то аддоны работают, но при этом вас теперь легко будут вычислять многие сайты по fingerprint
промежуточного сертификата. Если выключить промежуточный сертификат, как я делал это много лет до событий последних дней, то аддоны всё так же не работают. Может к этому всё и сводится.
Повысить энтропию пользователей Firefox и в особенности Tor Browser? Кстати попробуйте установитьаддон HTTPS Everywhere. Он всё равно не работает при любом раскладе.
подозрительно єто фсе!!! очень!
грубо и нагло действуют, поэтому теряют остатки доверия
> попробуйте установитьаддон HTTPS EverywhereА я его снёс давно, когда он после обновления потребовал каких-то разрешений, которым я не видел причин. Правда с тех пор никакого воя в новостях не было о том, что http everywhere шпионит за пользователями, и быть может теперь можно полагаться на то, что кто-нибудь более любопытный чем я выяснил, зачем ему эти разрешения и не нашёл ничего подозрительного. Но я лучше подожду ещё годик.
Попробуйте пока это расширение https://addons.mozilla.org/en-US/firefox/addon/https-already/ вместо монструозного HTTPS Everywhere
Эмм, проблема данного расширения в том, что оно предпологает что ВСЕ запросы на все адреса успешно пройдут по HTTPS. Мозилла уже проводила подобные эксперименты, когда ФФ пытался сначла по HTTPS коннектиться и уже в случае фейла - стучал по HTTP, результаты были не очень - тормоза и глюки. Не гвооря уже о том. что есть сайты на который как бе HTTPS есть, только ведет в никуда.
> Не восстанавливаются темы оформления. Пользователям рекомендовано повторно установить их с addons.mozilla.org;Это не так. Темы на месте, просто они сбрасываются в default. Просто заходим в темы и выбираем старую.
// b.
Забавно, что проблема коснулась и Firefox for Android. Слава богу, обновление уже выкатили.// b.
Главное что антизонд Google Search Link Fix восстановился )
>>вызывает вопросы сам факт зависимости установленных у пользователей экземпляров Tor Browser от третьего лица, действия которого могут отключить дополнительные уровни обеспечения анонимности.Да, вызывает. Телеметрию-то хоть выпилили? :D
Странный вопрос.
Тов. майор говорит, это был единичный косяк. Ведомство постарается, чтобы у "анонимов" больше не возникало подозрений.
Вырубились дополнения, включилась телеметрия. Мне грустно.
Пошел обновляться...
Вот так вот кричат в хроме телеметрия... а сами в своей тормазиле телеметрию включают, лишь бы браузер работал... гордости совсем нету да? ну чего поздравляю вас, теперь можете получать удовольствие от aнaльныx зондов :D
Никто не запрещает сделать очередной фокр фокса с выпилом любого намека на телеметрию прямо из кода браузера, сорцы то открыты в отличие от хромого.
а у мозилки то всё по плану
Интересно, что по запросу "юблок" на самом верху оказывается какая-то новая фигня с активностью, подозрительно похожей на ту самую телеметрию, если не на что похуже. Которая прекрасно устанавливается.
Ну вот. Получите, распишитесь. ✅
А то столько было соплей и слёз.
компилировали долго
Интернет без адблоков просто ужасный ад из различной рекламы в том числе и мерцающей, в добавок к частыми всплывающими развернутыми на весь экран окнами с рекламой какого-нибудь казино.Пробовал установить "отечественный" продукт под названием яндекс.браузер, уж лучше глаза мои это чудовище не видели. Реклама сыпится прямо со стартовой с блока дзена. Весь браузер это окно воспроизводящее видео файл в качестве фона, из-за чего следует бессмысленная нагрузка на CPU/GPU. Уволил бы нафиг всех лиц ответственных за такой трешак в их команде разрабов.
Ничего личного , это просто деньги , деньги решают все ! а на мнение юзера глубоко накакать !
> Для старых версий (Firefox 56.0.2 и старее), не включающих normandy (компонент для поддержки исследований, проведения опроса и внеплановой активации новых возможностей), энтузиастами предложено решение проблемыWTF? Компания Firefox не в состоянии исправить своей же ошибки с сертификатами и просто "кидает" своих теперь уже бывших пользователей! Это не эпик фейл, это .. (мат запрещен).
Что ещё раз подтверждает, что у нас нет нормального браузера
Спасибо мозиле за что заставила познакомиться с палемуном.Сайты нормально грузит и заметно быстрее.
Поставил и я его. Опять.Прожил ровно сутки, до выхода патченной версии Лисы из реп.
И снес.
Причина - тормозит в неожиданных местах, HLS-видео не проигрывает (камеры), нет поддержки существенной для работы части протоколов вообще.
А вот я пока остался на palemoon. +1
У меня palemoon всегда вторым браузером стоит из-за ява-апплетов, которые нынче в стоковом ФФ не работают вместе с остальными плагинами старыми. А прошивки к железкам никто новые не выпустил, в которых бы некоторая интерактивность, которая была реализована через те самые ява-апплеты, была бы перереализована как-нибудь иначе. Вот и выходит, что нужен специальный старый браузер для старых технологий. Стабильно и по работе нужен.