А что за бинарные данный ты хотел вытянуть с нестандартного порта фоксом? Не проще уже wget'ом тогда?

Изначально я смотрел плагин-карту сервера minecraft'а(запустил на порту 8123). Этот порт был прописан в about:config среди заблокированных.

Потом уже были просто эксперименты и я не с практической целью смотрел, что на 53-ом порту, а чтобы посмотреть, что же ешё firefox блокирует.

А можно ссылку? Я хочу проверить своим фоксом, никогда такого не видел.

1. А не офигел ли firefox за меня решать, что блокировать?

А ты не в курсе сколько в нем дыр? Вот и решает.

Если я правильно понял, оно смотрит, открыт ли порт или нет и, если данные оттуда идут бинарные(?), а не текстовые, то блокирует его.

Скорее если там по этому порту не http протокол.

Да любой DNS-сервер.

Например: http://8.8.8.8:53

Скорее если там по этому порту не http протокол.

jabber-сервер отдаёт XMPP(читай xml), но его не блокирует.

Возможно, это связано с недавней атакой на IRC-сети, когда при открытии ссылки через JavaScript открывалась куча соединений на IRC-сервера.

Отличное решение - вместо того, чтобы дыры закрывать, запретить пользователю делать то, что он хочет. И даже если делать такие запреты, то они должны быть отключаемы.

Отличное решение - вместо того, чтобы дыры закрывать, запретить пользователю делать то, что он хочет. И даже если делать такие запреты, то они должны быть отключаемы.

Ну, это не ко мне претензия. Я поэтому Chromium использую, хотя раньше (года 2 назад) очень любил лису.

Угу, и правда работает. Страннота.

А как блокировка доступа по некоторым портам защитит от этой атаки?

Скорее если там по этому порту не http протокол.

jabber-сервер отдаёт XMPP(читай xml), но его не блокирует.

Но ведь jabber сервер отвечает на http запрос же.

Возможно, через JS больше не удастся открыть соединение на такие порты (6667 есть в списке запрещённых? не могу найти у себя список таких портов).

Используй оперу. Там все в порядке.

опера блочит

опера блочит

Вот описание этой опции: http://www-archive.mozilla.org/projects/netlib/PortBanning.html Там же и список заблокированных(правда, у меня он был другой - мантейнеры gentoo его изменили? Или он ещё как-то формируется?).

Только сейчас у меня эта опция обнулена, но как минимум 53-ый порт всё-равно блочит.

Мне в ней неудобно.

Интересно, зачем они открыли 53/tcp ;)

Казалось бы, при чём здесь емакс?

Я хром на нетбуке использую, потому как лиса там совсем тяжело шевелится, но вот на десктопе пока что не могу от firefox'а отказаться - ни в опере, ни в хроме неудобно.

Вот описание этой опции: http://www-archive.mozilla.org/projects/netlib/PortBanning.html

Спасибо. А ведь IRC-то и не заблокирован.

как минимум 53-ый порт всё-равно блочит

Попробуйте добавить его в network.security.ports.banned.override.

Ну, это-то как раз понятно. :) RFC говорит, что нормальный dns-сервер дожен отвечать на 53-ом как по UDP(датаграммами), так и на TCP(потоком).

Попробуйте добавить его в network.security.ports.banned.override.

Это работает, но я искал немного другой способ. Я хочу в принципе отключить эту блокировку, а не добавлять туда необходимые порты. Такая блокировка, имхо, костыль. Как и исправление путём добавления в опцию исключений.

Проснись, уважаемый.
В лисе уже с 2007 года (я первый раз с ним столкнулся) как минимум есть это ограничение.

Да любой DNS-сервер.

В хроме тоже не открывает, кстати.
Ошибка 312 (net::ERR_UNSAFE_PORT): Неизвестная ошибка.

Ну, это как раз нормально. Ошибка, потому что dns-сервер отдаёт совершенно не то, что ожидает браузер.

Хотя прочитал название ошибки и получается, что то же самое. Необоснованный блок.

Это не отменяет того, что данное правило криво.

53/tcp используется, насколько я помню, только для AXFR, что, разумеется, должно быть закрыто не slave dns.

Я поэтому Chromium использую, хотя раньше (года 2 назад) очень любил лису.

А там то-же самое:
"
Веб-страница недоступна
Веб-страница по адресу http://8.8.8.8:53/, возможно, временно недоступна или постоянно перемещена по новому адресу.
Ошибка 312 (net::ERR_UNSAFE_PORT): Неизвестная ошибка.
"

FireFox хоть объясняет.


shell-script:

И даже если делать такие запреты, то они должны быть отключаемы.

Ну так:

Ну ладно, вбил в about:config номер порта, нашёл правило, где было около десятка различных портов(логики никакой в них не нашёл), обнулил правило и страничка открылась.

загромождать интерфейс галочками для столь исчезающе редко нужных вещей было бы неправильно.

Так мозилла же за нахождение уязвимостей деньги выплачивала. Не так уж много уязвимостей нашлось.

FireFox хоть объясняет.

4.2, читай выхлоп внимательно.

net::ERR_UNSAFE_PORT

И я выше эту ошибку уже постил.

Так мозилла же за нахождение уязвимостей деньги выплачивала. Не так уж много уязвимостей нашлось.

Ты правда веришь в то, что уязвимости, которые приносят в 10 раз больше денег - опубликуют?

От уязвимости, приносящей в 10 раз больше денег - очень много пострадавших. Не верю, что никто не заметит.

От уязвимости, приносящей в 10 раз больше денег - очень много пострадавших. Не верю, что никто не заметит.

Значит, ты просто не знаком с тем, как это дело функционирует.

я больше скажу, в lynx'е тоже не открывает :)

я больше скажу, в lynx'е тоже не открывает :)

Потому что там ничего нет. Повесь любой веб сервер на 53, увидишь.

И как оно функционирует? Люди научились пользоваться моими данными, имея 100500 единиц прибыли и не нанося при этом мне вреда, который я бы заметил?

И как оно функционирует? Люди научились пользоваться моими данными, имея 100500 единиц прибыли и не нанося при этом мне вреда, который я бы заметил?

А причем тут это? ЕМНИП, банк такого плана кражи возмещает, эт раз. Даже если нет, то второе - чтобы поймать уязвимость в браузере надо добраться до места, где собственно, висит сам сплоит, причем в полном вооружении с дебаггером и прочим. Люди, которые подобные места держат явна не идиоты и они постоянно перемещаются. Иными словами, вирус/троян который суют в себе информации об уязвимости браузера не содержит. Вот и ловят по году/два.

действительно. все браузеры (хромиум, лиса, опера и даже эпифания) не хотят заходить на 53й порт, а вот lynx таки работает.

а кто-нить пробовал его gcc 4.7 собирать?

net::ERR_UNSAFE_PORT

Неизвестная ошибка

Магистры юзабилити.

В Gentoo его ещё даже в ~arch нет. Жду, когда появится, тогда и попробую(самому интересно, действительно ли он быстрее стал, как было заявлено в релизе, или нет).

опера тоже заблочила.. заговор?

Я там выше приводил ссылку на сайт мозиллы с описанием опции блокировки. Там же есть линк на уязвимость, из-за которой было принято решение блокировать. Но всё-равно кажется неверным такой способ решения проблемы и самое плохое - невозможность полностью отключить этот функционал для всех занесённых в список портов за раз. Точнее, опцию по ссылке я отключил, но для некоторых портов блок остался и, судя по всему, он забит где-то в коде лисы. Как это реализовано в других браузерах(отключаемо или нет) - не знаю.

а кто-нить пробовал его gcc 4.7 собирать?

А что особенного в гцц 4.7?

Меня вот эти моменты заинтересовали.

Улучшение фреймворка для оптимизации во время динамического связывания (LTO - Link Time Optimization) - проведена работа по увеличению масштабируемости, повышению стабильности и сокращению потребления ресурсов. Например, при использовании LTO для Firefox на 64-разрядной системе достаточно 3 Гб ОЗУ, в то время как ранее требовалось 8 Гб.

Ускорены операции связывания (linking). Например, связывание компонентов Firefox ускорилось в 10 раз. Сокращён размер объектных файлов и уменьшено дисковое пространство, необходимое для хранения временных данных в процессе связывания;

(c)http://www.opennet.ru/opennews/art.shtml?num=33424

[НЕНАВИСТЬ] Firefox больно поумнел.

В 3.6 он тоже блестит умом. Впрочем, как и жиром.