Новости браузера Mozilla Firefox

[Administrator]

[Impact]В браузере Mozilla Firefox устранены две уязвимости нулевого дня[/Impact]

Разработчики компании Mozilla выпустили новые версии веб-обозревателей Firefox 74.0.1 и Firefox ESR 68.6.1. Пользователям рекомендуется обновить свои браузеры, поскольку в представленных версиях исправлены две уязвимости нулевого дня, которые используются хакерами на практике.

Речь идёт об уязвимостях CVE-2020-6819 и CVE-2020-6820, связанных с тем, как Firefox управляет своим пространством памяти. Они представляют собой так называемые уязвимости использования памяти после высвобождения и позволяют хакерам размещать произвольный код в памяти Firefox для дальнейшего его выполнения в контексте браузера. Такие уязвимости могут использоваться для удалённого выполнения кода на устройствах жертвы.

Подробная информация о реальных атаках с использованием упомянутых уязвимостей не раскрывается, что является обычной практикой среди поставщиков программного обеспечения и исследователей в сфере информационной безопасности. Это связано с тем, что все они обычно ориентируются на оперативное устранение обнаруженных проблем и доставку исправлений пользователям, а уже после этого осуществляется более детальное расследование атак.

Согласно имеющимся данным, расследование атак с использованием этих уязвимостей Mozilla будет проводить совместно с ИБ-компанией JMP Security и исследователем Франциско Алонсо (Francisco Alonso), который первым и обнаружил проблему. Исследователь предполагает, что устранённые в последнем обновлении Firefox уязвимости могут затрагивать другие браузеры, хотя случаев, когда ошибки эксплуатировались хакерами в разных веб-обозревателях, неизвестны.

 

[Administrator]

[Impact]Mozilla увеличивает вознаграждения за баги в Firefox[/Impact]

Программа вознаграждения за обнаруженные уязвимости существует у Mozilla с 2004 года. В период с 2017 по 2019 год организация выплатила исследователям около миллиона долларов за 350 различных багов. Хотя средняя сумма награды за этот период составляет приблизительно 2700 долларов, наиболее часто присуждаемая сумма вознаграждения равняется 4000 долларов.

В конце 2019 года, в честь пятнадцатилетия браузера Firefox, Mozilla уже расширяла свою программу bug bounty, распространив ее на целый ряд новых сайтов и сервисов. Тогда выплаты за удаленное выполнение кода на критически важных сайтах были увеличены сразу втрое – до 15 000 долларов США.

Теперь же представители Mozilla сообщили, что в bug bounty вновь вносят приятные для исследователей изменения.

Так, отныне за обнаружение наиболее критических уязвимостей исследователи смогут получить до 10 000 долларов (если описание проблемы будет сопровождаться высококачественным отчетом). К таким уязвимостями относятся, к примеру, побег из песочницы или выполнение произвольного кода.

Другие серьезные проблемы, такие как нарушение целостности информации в памяти, обход same origin, приводящий к утечке пользовательских данных, и получение IP-адреса пользователя при настроенном прокси-сервере, теперь могут принести исследователям от 3000 до 5000 долларов.

Кроме того, Mozilla сообщает, что теперь багхантеры могут сообщать об один и тех же уязвимостях (независимо друг от друга), и никто не останется обиженным. Дело в том, что это весьма распространенная проблема среди исследователей: эксперты внимательно изучают сборки Firefox Nightly, и нередко несколько человек обнаруживают одни и те же уязвимости с разницей всего в нескольких часов. Теперь в Mozilla решили, что вознаграждение за такие ошибки будет делиться между всеми исследователями, которые сообщили о проблеме в течение 72 часов после подачи первого багрепорта.

 

[Administrator]

[Impact]Браузер Firefox теперь предупреждает пользователя об утечке пароля[/Impact]
05.05.2020
Mozilla сегодня выпустила стабильную версию браузера Firefox 76 для настольных ОС Windows, macOS и Linux. Новый релиз вышел с исправлениями ошибок, патчами безопасности и новыми возможностями, самые интересные из которых заключаются в улучшенном менеджере паролей Firefox Lockwise.

Изюминкой версии Firefox 76 являются нововведения, добавленные во встроенный менеджер паролей Firefox Lockwise (доступен по адресу about:logins). Во-первых, Lockwise станет запрашивать у пользователя данные от его учетной записи в установленной ОС Windows или macOS (если не установлен мастер-пароль), прежде чем показывать какие-либо пароли в открытом виде. Компания Mozilla заявила, что добавила эту функцию по просьбе сообщества Firefox. Ранее пользователи жаловались на то, что злоумышленник мог дождаться пока владелец ПК отойдет от своего рабочего места, а затем быстро получить доступ к встроенному менеджеру паролей Firefox, чтобы найти и скопировать пароли на обычный лист бумаги.

Во-вторых, теперь встроенный менеджер паролей Firefox сканирует все сохраненные пароли пользователя на предмет утечки. Компания-разработчик сообщает, что если один из паролей пользователя идентичен паролю, который ранее был скомпрометирован в Интернете, браузер покажет соответствующее предупреждение с рекомендацией изменить пароль. Так как этот пароль теперь, скорее всего, является частью списков словарей паролей, которые хакеры используют для брут-форса.

В-третьих, Lockwise получил ещё одно повышение уровня безопасности, которое заключается в интеграции сервиса с Firefox Monitor. Данная платформа позволяет пользователям проверять, не оказались ли их учетные данные в Интернете. Начиная с Firefox 76, Lockwise будет также показывать предупреждения для сайтов, которые недавно столкнулись с нарушением безопасности (например, пароли от которых попали в хакерские базы), призывая пользователей изменить свои учетные данные.

Mozilla заверяет, что не нужно паниковать по поводу представленных новшеств безопасности, поскольку веб-браузер Firefox оперирует не самими паролями, а зашифрованными версиями учетных данных, дабы сохранить конфиденциальность своих пользователей.

Обновиться до Firefox 76 можно с помощью встроенного инструмента обновления браузера, доступного в разделе «Справка» -> «О Firefox» (Help -> About Firefox).

 

[MAXSIMUS]

Mozilla начала бета-тестирование собственного VPN-сервиса Компания Mozilla объявила о начале бета-тестирования собственного VPN-сервиса Firefox Private Network. На данный момент присоединиться к тестированию могут пользователи из США, но разработчики рассчитывают сделать сервис доступным ещё в нескольких регионах мира до конца этого года.

Пользователи сервиса могут подключать по VPN до пяти устройств, работающих под управлением Windows, Android или iOS. На данный момент macOS и Linux не поддерживаются, но в будущем разработчики планируют исправить это. Взаимодействие с сервисом осуществляется на платной основе, стоимость подписки составляет $5 в месяц, что является стандартной ценой за возможность использовать платный VPN-сервис.
Также было объявлено, что после выхода из бета-тестирования Firefox Private Network станет полностью автономным продуктом и будет предлагаться пользователям под названием Mozilla VPN. Работа над сервисом велась совместно со шведским разработчиком виртуальной частной сети Mullvad VPN, для подключения к которой используется протокол WireGuard. Пользователям будет предоставляться возможность работы через серверы, расположенные в 30 странах.
«Мы хотели бы поблагодарить наших бета-тестеров за сотрудничество с нами. Ваши отзывы и поддержка позволили нам запустить Mozilla VPN. Мы прилагаем все усилия, чтобы официальный продукт Mozilla VPN был доступен в некоторых регионах мира в этом году. Мы будем продолжать предлагать Mozilla VPN по текущей модели ценообразования в течение ограниченного времени, что позволяет защищать до пяти устройств на Windows, Android и iOS по цене $5 в месяц»

 

[MAXSIMUS]

Mozilla запустит собственный VPN-сервис в ближайшие недели Организация Mozilla сообщает, что ее VPN-сервис наконец будет запущен официально, и произойдет это в ближайшие несколько недель. Продукт был переименован и теперь называется не Firefox Private Network, а Mozilla VPN, и смена названия, по сути, связана со сменой курса разработки. Дело в том, что Mozilla решила отказаться от идеи создания VPN-расширения для Firefox и перешла к разработке полноценного VPN-клиента, способного справляться с трафиком всей ОС, включая другие браузеры.

В настоящее время сервис доступен для Windows, Chromebook, Android, iOS и Firefox, но в планах у разработчиков создание Mac-клиента и решения для Linux, которые хотят представить одновременно.Когда Mozilla VPN выйдет из беты, сервис будет доступен только для пользователей из США. Запустить VPN в других странах и регионах обещают до конца текущего года.

Что касается стоимости, производитель заявил, что пока, в течение ограниченного периода времени, продолжит предлагать Mozilla VPN по текущим ценам, что позволит защищать до пяти устройств на Windows, Android и iOS по цене 4,99 долларов США в месяц.

Напомню, что проект Mozilla VPN стартовал осенью прошлого года. Бета-версия была доступна только для жителей США, но Mozilla сообщает, что пользователи более чем из 200 стран мира тоже зарегистрировались в списке ожидания.

VPN организации работает путем маршрутизации трафика через сеть доверенных прокси. Так, расширение для браузера использует серверы Cloudflare, тогда как полноценный VPN полагается в работе на серверы Mullvad и опенсорсный протокол WireGuard VPN, ранее в этом году добавленный в ядро ​​Linux.

После запуска бета-версии сервиса в прошлом году Mozilla столкнулась со множеством вопросов о том, как сервис будет работать. Теперь разработчики запустили специальные страницы FAQ и поддержки, как для расширения, так и для полнофункционального VPN, где пользователи могут найти ответы.

 

[MAXSIMUS]

Firefox 79 сделает ссылки безопаснее В новой версии браузера Firefox 79 организация Mozilla планирует представить изменение, которое позволил сделать обработку ссылок безопаснее В Firefox Nightly еще в ноябре 2018 года появилась опция, которая добавляет к ссылкам с атрибутом target="_blank" дополнительно атрибут rel="noopener".

Атрибут target="_blank" указывает браузеру, что ссылку нужно открывать в новой вкладке браузера, а не в текущей вкладке.

Проблема с target="_blank" заключается в том, что целевой ресурс, доступный по ссылке, получает полный контроль над объектом window исходной страницы, даже если она расположена на другом сайте. Вы можете использовать следующую безобидную демонстрацию, чтобы проверить, как доступный по ссылке ресурс может манипулировать контентом на первоначальной странице.

Данная техника может использоваться для фишинг-атак и для подмены информации на исходной странице. Пользователь, который вернется на первоначальную страницу, может не заметить изменений.

Кроме того, этот прием может использоваться рекламными сетями, например для отображения рекламных объявлений на исходной странице со ссылкой.Вебмастера могут вручную прописывать атрибут rel="noopener" для ссылок или настроить скрипт для автоматической подстановки атрибута, чтобы защитить пользователей от подобных манипуляций.

Mozilla планирует добавлять rel="noopener" для всех ссылок, использующих target="_blank", начиная с Firefox 79. Интересно, что использование атрибута rel="noopener" также положительно сказывается на производительности.

Релиз Firefox 79 запланирован на 28 июля. Неясно, почему организации понадобилось столько времени, чтобы представить функцию в стабильной версии Firefox.

Apple представила аналогичную функциональность в браузере Safari в марте 2019 года, а Google только собирается реализовать подобный функционал в Chrome.

Кроме того, аналогичную функциональность можно получить с помощью сторонних расширений. Например, плагин Don't Touch My Tabs умеет автоматически подставлять rel="noopener".

А вы проверяете ссылки перед тем, как по ним кликнуть?

 

[MAXSIMUS]

В Firefox добавлено ускорение декодирования видео через VA-API для систем X11 В кодовую базу Firefox, на основе которой 25 августа будет сформирован релиз Firefox 80, добавлено изменение, отключающее для Linux привязку поддержки аппаратного ускорение декодирования видео к системам на базе Wayland. Ускорение обеспечивается при помощи VA-API (Video Acceleration API) и FFmpegDataDecoder. Таким образом, поддержка аппаратного ускорения видео через VA-API станет доступна и для Linux-систем, использующих протокол X11.Ранее стабильное аппаратное ускорение видео обеспечивалось только для нового бэкенда, использующего Wayland и механизм DMABUF. Для X11 ускорение не применялось из-за проблем с gfx-драйверами. Теперь проблема с задействованием ускорения видео для X11 решена через использование EGL. Также для систем с X11 реализована возможность работы WebGL через EGL, которая в будущем позволит включить для X11 и поддержку аппаратного ускорения WebGL. В настоящее время данная возможность пока остаётся отключённой по умолчанию (включается через widget.dmabuf-webgl.enabled), так как не все проблемы пока решены.

Для активации работы через EGL предусмотрена переменная окружения MOZ_X11_EGL, после установки которой Webrender и компоненты композититинга OpenGL переключаются на использование EGL вместо GLX. Реализация основана на новом бэкенде для X11 на базе DMABUF, который подготовлен путём разделения DMABUF-бэкенда, ранее предложенного для Wayland.

Дополнительно можно отметить включение в кодовой базе, на основе которой формируется выпуск Firefox 79, системы композитинга WebRender для ноутбуков на базе чипов AMD на платформе Windows 10. WebRender написан на языке Rust и позволяющая добиться существенного увеличения скорости отрисовки и снижения нагрузки на CPU за счёт выноса на сторону GPU операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Ранее WebRender был включён на платформе Windows 10 для GPU Intel, APU AMD Raven Ridge, AMD Evergreen и на ноутбуках с видеокартами NVIDIA. В Linux WebRender пока активируется для карт Intel и AMD только в ночных сборках, и не поддерживается для карт NVIDIA. Для принудительного включения в about:config следует активировать настройки "gfx.webrender.all" и "gfx.webrender.enabled" или запустить Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.

В Firefox 79 также по умолчанию добавлена настройка для включения динамической изоляции Cookie по отображаемому в адресной строке домену ("Dynamic First Party Isolation", когда свои и сторонние вставки определяются на основе базового домена сайта). Настройка предложена в конфигураторе в секции настройки блокировки отслеживания перемещений в выпадающем блоке методов блокировки Cookie. Также в Firefox 79 активирован по умолчанию новый экран с экспериментальными настойками - "aboutreferences#experimental", предоставляющий интерфейс для включения экспериментальных возможностей, похожий на about:flags в Chrome.

 

[MAXSIMUS]

Mozilla запустила VPN для Windows и Android Mozilla завершила бета-тестирование своего VPN-сервиса — пока он стал доступен в 6 странах мира на Windows и Android, пишет The Verge.Новым сервисом для безопасного интернет-сёрфинга могут воспользоваться жители США, Великобритании, Канады, Новой Зеландии, Сингапура и Малайзии. Подписка стоит $4,99 в месяц.

В течение 2020 года Mozilla VPN появится в остальных странах. В ближайшее время выйдет версия для iOS.

Сервис, по словам Mozilla, имеет несколько преимуществ перед конкурентами: во многих случаях он будет работать быстрее, потому что построен на базе легковесного протокола WireGuard. Также он обходит их в плане приватности, поскольку собирает только ту информацию, которая необходима для его функционирования.

 

[MAXSIMUS]

Firefox 78 и Firefox ESR 78: в чём отличия? Новая версия веб-браузера Firefox 78 стала крупным релизом как для стабильной ветки браузера, так и для ветки с долгосрочной поддержкой ESR (Extended Support Release). Версия Firefox ESR обновилась с 68.x на 78.x 30 июня организация Mozilla выпустила Firefox 78 и Firefox ESR 78.

Новая версия Firefox ESR получила большое количество изменений в рамках данного крупного релиза. Остальные обновления ESR обычно включает исправления и улучшения безопасности и не поставляются с новым функционалом, как стабильная версия каждые 4 недели. В новой версии ESR как раз появились новые функции, которые были представлены в последних восьми релизах Firefox Stable.

Спойлер

Администраторы Firefox могут продолжать использовать Firefox ESR 68.x на данный момент. Mozilla будет выпускать дополнительные обновления для этой конкретной версии браузера. Поддержка старой версии завершится в течение 8 недель, когда состоится релиз Firefox ESR 78.2 и Firefox 80 соответственно.

Хотя во многом функции Firefox 78 Stable и Firefox ESR 78 пересекаются, существует и несколько различий между данными версиями.

Firefox ESR 78: без WebRender
Mozilla представила поддержку WebRender в Firefox 67, но только для небольшой группы пользователей. Организация начала постепенно включать WebRender на других устройствах, но еще не внедрила его полностью для всех установок Firefox.

WebRender используется для отображения веб-страниц и приложений с помощью видеокарты. Основным преимуществом WebRender является то, что он значительно повышает производительность при серфинге.

WebRender отключен в Firefox ESR 78.

Firefox ESR 78: отключено обнаружение MITM
Firefox может определить, использует ли программное обеспечение на устройстве реализации MITM (Man in the Middle, «человек посередине»). Данная техника обычно применяется антивирусным ПО и может привести к проблемам безопасности и к проблемам загрузки контента из Интернета.

Firefox 78 Stable поддерживает обнаружение MITM, но в Firefox ESR 78 данная функция по умолчанию отключена. Если стабильная версия Firefox распознает проблему соединения, вызванную MITM, то она устанавливает для параметра security.enterprise_roots.enabled значение true и снова пытается установить соединение.Параметр сбрасывается на false, если установить соединение все же не удается. Если соединение стало стабильным, то параметр true остается на постоянной основе.

Пользователи Firefox могут включить эту функцию вручную, установив для параметр security.certerrors.mitm.auto_enable_enterprise_roots значение true.

Firefox ESR 78: использование клиентских сертификатов включено по умолчанию
Firefox поддерживает собственное хранилище сертификатов, которое является хранилищем по умолчанию для всех версий, кроме ESR. Firefox ESR по умолчанию поддерживает использование клиентских сертификатов.

Администраторы могут отключить эту функцию, установив для параметра security.enterprise_roots.enabled значение false.

Firefox ESR 78: возможность отключить требование подписи расширений
Mozilla ввела обязательные подписи для расширений еще в Firefox 43. Надстройки, которые пользователи хотят установить в Firefox, должны быть подписаны.

Однако, каналы Firefox Nightly, Developer и Firefox ESR позволяют пользователям отключить данное требование.

Для этого администраторам необходимо изменить значение параметра xpinstall.signatures.required на false.

Firefox ESR 78: дополнительные корпоративные политики и обновления
Следующие политики были добавлены или обновлены в Firefox ESR 78:

(Новое) Handlers – настройка обработчиков приложений по умолчанию.
(Новое) MasterPassword- позволяет указать, требуется ли мастер-пароль, и позволяет запретить его установку
(Новое) PDFjs – отключение или настройка встроенного средства просмотра PDF в Firefox.
(Новое) DisableDefaultBrowserAgent – только для Windows. Запретите браузерному агенту по умолчанию предпринимать какие-либо действия.
(Обновлено) ExtensionSettings – новая опция для доменов с ограничениями для предотвращения расширения доступа.
(Обновлено) DisabledCiphers – опция для включения отключенных в Firefox шифров.
Какую версию Firefox используете вы и почему?

 

[MAXSIMUS]

[bluee]Mozilla воспользовалась push-уведомлениями для распространения политической рекламы в Firefox
25.07.2020 [/bluee] Пользователи мобильной версии Firefox для Android выражают возмущение нецелевым использованием функции доставки push-уведомлений для распространения рекламы публикации в блоге Mozilla с призывом подписать петицию StopHateForProfit, направленную против поддержки ненависти, расизма и дезинформации в Facebook. Уведомление было отправлено через активный по умолчанию канал "default2-notification-channel", предусмотренный для отправки важных технических уведомлений. Применение подобного канала для доставки политически ангажированной рекламы является неприемлемым и рассматривается некоторыми пользователями как нарушение миссии Mozilla.

Сама акция StopHateForProfit, которая связана с борцами за расовую справедливость, является достаточно с задорной и воспринимается некоторыми как ущемление свободы слова. Facebook призывают к нарушению нейтралитета и более активной защите от нападок на чернокожих пользователей и LGBTQ+, противодействию антисемитизму и выборочной фильтрации политических мнений. Недовольство связано с допущением в социальной сети подстрекательства к насилию против протестующих и влияющих на выборы политических вбросов, а также с отнесением сайтов Breitbart News и The Daily Caller, активно критикующего протестное движение и сотрудничающих с националистами, к надёжным источникам новостей и проверенным фактам.

 

[MAXSIMUS]

[bluee]В браузере Firefox для смартфонов на Android появится функция перелистывания для перехода между вкладками[/bluee] С точки зрения удобства, в браузерах для мобильных устройств наиболее интересным вариантом переключения между вкладками является перелистывание. Эта система уже давно реализована в браузере от Google, а вот у Firefox ее до недавнего времени не было.

Система актуальна и удобна в первую очередь в том случае, если у пользователя открыто сравнительно небольшое количество вкладок. Если же из будет много, то более удобным будет стандартный вариант с отображением перечня всех открытых вкладок. Из них можно выбрать нужную, а не перелистывать до нее.

Функция с перелистыванием появилась в версии браузера Firefox Nightly. Уже сейчас ее можно загрузить с Play Маркет. Для активации новой возможности не нужно что-то делать или настраивать, она доступна автоматически всем пользователям, установившим указанную версию приложения. Теперь, чтобы перейти на другую вкладку, достаточно просто провести пальцем по адресной строке. Откроется соседняя вкладка «справа» или «слева» от активной. В остальном, весь функционал браузера остался прежним, но за счет новой возможности им стало удобнее пользоваться.

 

[MAXSIMUS]

[bluee]В Firefox 81 появится новый интерфейс предпросмотра перед выводом на печать[/bluee]
В ночных сборках Firefox, которые лягут в основу выпуска Firefox 81, включена новая реализация интерфейса предпросмотра перед выводом на печать. Новый интерфейс предпросмотра примечателен открытием в текущей вкладке с заменой имеющегося содержимого (старый интерфейс предпросмотра приводил к открытию нового окна), т.е. работает по аналогии с режимом читателя. Инструменты для настройки формата страницы и параметров вывода на печать перенесены из верхней части в правую панель, в которой также появились дополнительные опции, такие как управление включением печати заголовков и фона, а также возможность выбора принтера. Для управления включением нового режима в about:config предусмотрена настройка print.tab_modal.enabled.

 

[MAXSIMUS]

[bluee]Mozilla и Google продлят сделку по поиску по умолчанию в Firefox до 2023. Её оценивают в $400-450 млн в год[/bluee]
Mozilla и Google продлят текущее соглашение о поисковой системе в браузере Firefox по умолчанию, сообщает ZDNet со ссылкой на источники. Согласно сделке, Google останется поисковым сервисом по умолчанию ещё на три года, что обойдётся компании примерно в $400-450 миллионов в год.

По данным источников, представители Mozilla официально объявят о сделке осенью, когда компания опубликует финансовый отчёт за 2019 год. Однако компания не стала отрицать информацию о новом соглашении, ответив на запрос ZDNet, что Mozilla продолжает сотрудничество с Google и совсем недавно расширила партнёрство с ней.

О новом соглашении стало известно после того, как Mozilla сообщила о планах уволить более 250 сотрудников. Эта новость вкупе с окончанием предыдущего соглашения с Google породила слухи о неудовлетворительном финансовом состоянии компании. Тем не менее, несколько источников ZDNet заявили, что финансовые показатели Mozilla в норме, а увольнения были плановыми и стали частью реструктуризации бизнеса.

Собеседники издания утверждают, что компания собирается в течение трёх лет уменьшить свою зависимость от сделки с Google, которая составляет каждый год от 75% до 95% всего бюджета организации начиная с 2006-го (с перерывом на 2014-2017 годы, когда Mozilla сотрудничала с Yahoo). Теперь же компания собирается ввести собственные услуги, доступные по подпискам, а также работает над экспериментальным движком браузера Servo Mozilla и собственным VPN-сервисом. При этом работа над открытыми стандартами и протоколами в Mozilla отойдёт на второй план, но компания планирует вернуться к ней, когда услуги по подписке обеспечат ей стабильные высокие доходы.

11 августа компания DuckDuckGo призвала разрешить пользователям устройств под управлением Android выбирать поисковую систему по умолчанию. Это позволит снизить долю Google на поисковом рынке на 20%. DuckDuckGo предложила эти меры чиновникам из Министерства юстиции США — в стране сейчас проводится антимонопольное расследование против Google по рынку поисковиков, и Минюст отдаёт предпочтение именно меню выбора поисковой системы для уменьшения её доли.

 

[MAXSIMUS]

[bluee]Mozilla заключила сделку с Google и уволила сотрудников. Что станет с Firefox?[/bluee]
Компания Google и организация Mozilla расширяют сотрудничество в области продвижения поисковой системы Google в браузере Firefox. В то же время Mozilla заявила, что уволит четверть всего своего персонала
Новый контракт заключен на три года и предполагает установку Google в качестве поисковой системы по умолчанию в Firefox Browser в большинстве регионов. Подробности сделки не разглашаются, но интернет-портал ZDnet, сообщает, что Google заплатит Mozilla от 400 до 450 миллионов долларов за привилегию стать поисковой системой по умолчанию в Firefox Browser.

Forbes подтверждает, что сделка действительно состоялась, но также не приводит детальные сведения.

Mozilla уволит 250 сотрудников
На этой неделе Mozilla объявила о второй волне увольнений после того, как в январе 2020 года было уволено 70 сотрудников организации. В августе 2020 года Mozilla заявила, что уволит 250 сотрудников, что составляет четверть всего персонала организации.

Объявление было опубликовано в то время, когда не было ясно, будет ли продлено «поисковое» соглашение между Mozilla и Google. Большая часть доходов Mozilla поступает от сделки с Google и в случае разрыва отношений с поисковым гигантом организация окажется в затруднительном положений, лишившись 90% выручки в одночасье.

Конечно, у Mozilla остаются резервные варианты. Например, организация может заключить соглашение с Microsoft Bing, но в этом случае условия могут быть менее выгодными.

Отметим, что официально ни Mozilla, ни Google не подтвердили факт сделки.

Возобновление партнерства с Google дает Mozilla еще три года на поиск новых источников дохода помимо своего основного продукта – Firefox Browser. Хотя вполне возможно, что сделка может быть продлена снова в 2023 году, зависимость Mozilla от единого источника дохода — это то, о чем организация особо беспокоится в последнее время.Недавно Mozilla запустила в некоторых регионах VPN-сервис под названием Mozilla VPN. В коммерческом продукте используется модель подписки, но пока рано говорить, насколько она будет успешной в долгосрочной перспективе. Учитывая, что стоимость составляет 5 долларов в месяц, и часть этой суммы идет непосредственному разработчику решения, шведской компании Mullvad, Mozilla потребуется много клиентов, чтобы получить хотя бы 1% денег, от которых Mozilla получает Google в год для поисковой сделки.

Как вы думаете, как данное соглашение повлияет на развитие Firefox?

 

[MAXSIMUS]

[bluee]Mozilla предлагает вознаграждение за обход мер защиты в Firefox
[/bluee]
Обход защиты с привилегированным доступом может принести исследователям до $5 тыс.
Компания Mozilla сообщила о расширении своей программы вознаграждения за найденные уязвимости новой категорией, которая фокусируется на методах обхода мер по предотвращению эксплуатации уязвимостей, функций безопасности и мер «защиты в глубину» (Defense in Depth) в браузере Firefox.

Как сообщили представители компании, методы обхода мер по предотвращению эксплуатации уязвимостей до сих пор классифицировались как проблемы с низкой или средней опасностью, но теперь они имеют право на вознаграждение в рамках новой программы Exploit Mitigation Bug Bounty.

Таким образом, обход защиты с привилегированным доступом может принести исследователям до $5 тыс., если они представят высококачественный отчет. Однако, если средство защиты обходится без привилегированного доступа, что обычно связано с объединением более чем одной уязвимости, исследователи могут получить вознаграждение за саму уязвимость и бонус в размере 50% за обход защиты.

По словам Mozilla, компания по-прежнему поощряет исследователей тестировать сборку Firefox Nightly, но обнаружение уязвимостей в Nightly будет иметь право на вознаграждение только в том случае, если они не будут обнаружены специалистами Mozilla в течение четырех дней после изменения кода.

 

[MAXSIMUS]

[bluee]Mozilla Private Relay выпустила сервис одноразовых адресов электронной почты
[/bluee]
Дополнение позволяет скрывать оригинальный email при регистрации на подозрительных сайтах.
Сервис Firefox Relay компании Mozilla, позволяющий скрыть реальный электронный почтовый адрес (email) пользователя, стал доступен для тестирования любому обладателю учетной записи в Firefox Account.

Как поясняют разработчики, если в онлайн-форме пользователя просят ввести электронный адрес — например, чтобы завести учётную запись или подписаться на рассылку, — он может одним нажатием на кнопку расширения сгенерировать подставной адрес. Отправляемые на него письма сервис будет перенаправлять на настоящий ящик.

Причём для каждого сайта, где регистрируется пользователь, Private Relay будет выдавать новый, уникальный псевдоним. Их можно будет в любой момент отключить или удалить, если письма станут слишком назойливыми или нежелательными.

Если пользовательская база сторонних сайтов станет доступна злоумышленникам, то целевой email останется от них скрыт. При этом пользователь в любой момент сможет отключить получение писем с псевдонима на реальный адрес.

Концепция сервиса по созданию временных почтовых ящиков не является чем-то новым. С помощью Private Relay разработчики надеются предоставить пользователям простое решение, с помощью которого можно легко создавать и удалять временные почтовые ящики. Стоит отметить, что Mozilla — не первая крупная технологическая компания, развивающая данное направление. Ранее о создании сервиса аналогичной направленности объявила Apple.

 

[MAXSIMUS]

[bluee]Mozilla объяснила, почему стоит пересесть с Chrome на Firefox[/bluee]
Популярность Google Chrome не знает границ. Ни один другой браузер не может сегодня похвастать такими показателями, как он. На мобильных платформах его доля составляет 64%, а на десктопах – аж 69%. Впрочем, объяснить это довольно просто. Chrome удобный, быстрый и вроде бы даже безопасный, хотя последний аспект для большинства пользователей скорее всего не имеет какого-либо значения. Для них куда важнее скорость работы, но по этому показателю браузер Google явно стоит не на первом месте. Об этом напомнила студия Mozilla, занимающаяся разработкой браузер Firefox.

 

[MAXSIMUS]

[bluee]Идентификация пользователей по истории посещений в браузере[/bluee]
Сотрудники компании Mozilla опубликовали результаты исследования возможности идентификации пользователей на основании профиля посещений в браузере, который может быть виден третьим лицам и сайтам. Анализ 52 тысяч профилей посещений, предоставленных пользователями Firefox, принявшими участие в эксперименте, показал, что предпочтения в посещении сайтов характерны для каждого пользователя и постоянны. Уникальность полученных профилей истории посещений составила 99%. При этом высокая степень уникальности профилей сохраняется даже если ограничить выборку только сотней популярных сайтов.Проверка возможности повторной идентификации проводилась в ходе двухнедельного эксперимента - данные о посещениях в первую неделю попытались сопоставить с данными за вторую неделю. Выяснилось, что можно повторно идентифицировать 50% пользователей, посетивших 50 и более различных доменов. При посещении 150 и более различных доменов охват повторной идентификации увеличивался до 80%. Проверка выполнялась в выборке из 10 тысяч сайтов для симуляции данных, которые могут получить крупные провайдеры контента (например, Google может контролировать обращения к 9823 сайтам из этих 10000, Facebook к 7348, Verizon к 5500).

Указанная особенность позволяет крупным владельцам популярных ресурсов с достаточно высокой вероятностью идентифицировать пользователей. Например, компании Google, Facebook и Twitter, виджеты которых размещаются на сторонних сайтах, теоретически могут повторно идентифицировать примерно 80% пользователей.
Определить ранее открытые сайты также можно косвенными методами, например, путём перебора в коде на JavaScript популярных доменов с оценкой различия задержек при загрузки ресурсов - если сайт был недавно открыт пользователем, то ресурс будет выдан из кэша браузера почти мгновенно. Ранее для определения открытых страниц могли применяться оценка кэширования настроек HSTS (при открытии сайта с HSTS, HTTP-запрос сразу перенаправлялся на HTTPS без попытки обращения по HTTP) и анализ состояния CSS-свойства "visited".

Подобные методы определения истории посещений на основе CSS использовались в похожем исследовании, проводимом с 2009 по 2011 год. Данное исследователи показало возможность идентификации 42% пользователей при проверке 50 страниц и 70% при проверке 500 страниц. Исследование Mozilla подтвердило и уточнило выводы прошлой публикации, при этом была существенно повышена точность определения истории посещений, а охват проверяемых доменов был увеличен с 6000 до 10000 (всего были получены данные о 660000 доменах, но при оценке идентификации использовалась выборка в 10 тысяч наиболее популярных доменов).

 

[MAXSIMUS]

[bluee]В Mozilla научились идентифицировать людей по… истории браузера!

[/bluee]
Отпечатки пальцев, радужка глаз, голос и даже походка могут быть использованы для идентификации человека с достаточной для практического применения точностью. Однако, это далеко не полный способ узнать, «кто есть кто». Оказывается, даже история посещенных сайтов в браузере может служить способом идентификации. При этом точность не уступает точности способов, использующих биометрию.

Этому факту было посвящено исследование сотрудников компании Mozilla, которые смогли привести веские доводы в пользу своей позиции. Как пишет сайт planet-today.ru, список посещенных сайтов является совершенно уникальным, что позволяет определять личность пользователей с точностью до 99%. При этом эксперты сообщают, что на протяжении всей жизни история браузера не меняется, как не меняются и сами люди. Это заставляет относиться к подобным данным с большей серьезностью, а не с легкомыслием, как это есть сейчас.
В плане кибербезопасности безобидные, на первый взгляд сведения, могут быть очень важны. Зная историю посещений в интернете, специалисты могут составить цифровой облик человека, который позволит почти безошибочно найти его среди миллионов других. Исходя из этого, в ближайшем будущем стоит ожидать появления технологий и инструментов, способных надежно скрывать историю браузеров от посторонних.

Поделитесь прочитанным — это не сложно, а для нас очень важно! Спасибо.

 

[MAXSIMUS]

[bluee]В Firefox появится новая функция защиты от автоматической загрузки вредоносных файлов
[/bluee]
Начиная с версии Firefox 82, браузер начнет блокировать все загрузки файлов, источником которых является фрейм с атрибутом sandbox.


Инженеры Mozilla работают над новой функцией безопасности для браузера Firefox, которая усложнит вредоносным web-страницам инициирование автоматических загрузок и внедрение вредоносных файлов на компьютеры пользователей.

Речь идет о хорошо известных атаках типа drive-by (скрытые загрузки), осуществляемых, когда пользователь посещает сайт с вредоносным кодом, устанавливающим вредоносное ПО на устройство пользователя.

Хотя в популярных браузерах, таких как Chrome, Firefox или Internet Explorer уже реализованы различные меры защиты от drive-by-атак, полностью предотвратить их не представляется возможным, поскольку производители не могут полностью блокировать легитимные функции в браузерах, которые эксплуатируются в подобных атаках.

В качестве одной из таких защитных мер является блокировка загрузок, инициированных всплывающими фреймами (iframe) с атрибутом sandbox (атрибут позволяет установить ряд ограничений на контент загружаемый во фрейме, к примеру, блокировать формы и скрипты), которые часто используются для загрузки рекламы и встроенных виджетов на сторонних сайтах. Идея объясняется тем, что сайты редко инициируют загрузки через такие фреймы, поскольку большинство виджетов обычно используется для встраивания контента.
Впервые функция блокировки загрузок, инициированных через фреймы с атрибутом sandbox, появилась в версии Google Chrome 73, выпущенной в марте 2019 года, опция была полностью удалена в выпуске Chrome 83 в мае нынешнего года.

Теперь же об аналогичных планах сообщили разработчики Firefox. Начиная с версии Firefox 82, запланированной к выходу в октябре 2020 года, браузер начнет блокировать все загрузки файлов, источником которых является фрейм с атрибутом sandbox. Исключение составят случаи, когда владелец сайта или провайдер web-виджета разрешат загрузку.