LINUX.ORG.RU

Mozilla FireFox стал безопаснее


0

0

Группа разработчиков Mozilla решила отказаться от поддержки международных доменных имен в будущих версиях браузера FireFox в связи с недавними проблемами в безопасности. Теперь, чтобы задействовать поддержку IDN в браузере, придётся вручную менять значение network.enableIDN на true в настройках (about:config) программы.

>>> Подробности

★★★★★

Проверено: Shaman007 ()

imho более правильным решением была бы поддержка отключенной по умолчанию, а при включенной, чтобы выскакивало окошко с предупреждением.

Orlangoor ★★★★★
()

Кул блин завтра пионер Петя в Кренейме настройки поменяет - тоже будем про это читать?

linux_newbe
()
Ответ на: комментарий от Orlangoor

> imho более правильным решением была бы поддержка отключенной по умолчанию, а при включенной, чтобы выскакивало окошко с предупреждением.

Для чайников не покатит. Они не читают окошки. А ff - именно для чайников.

yozhhh ★★★
()

Есть ньюанс. Настройка в about:config работает, но после каждой перезагрузке firefox'а надо её заново перевыставлять. Он почему-то при загрузке не применяет её из конфига. Проверено на фирефоксе-1.0 в линуксе и винде.

Pearl
()
Ответ на: комментарий от Pearl

> Есть ньюанс. Настройка в about:config работает, но после каждой перезагрузке firefox'а надо её заново перевыставлять. Он почему-то при загрузке не применяет её из конфига. Проверено на фирефоксе-1.0 в линуксе и винде.

Странно. Мозилла запоминает.

yozhhh ★★★
()
Ответ на: комментарий от lenin

> Чайники как раз читают. Не читают ламеры.

Чайники читают, потеют, морщат лоб, кричат "помогите". Когда через полчаса никто не приходит, они дрожащими руками жмут одну из кнопок. И в 50 % случаев ошибаются. После чего всем рассказывают, что "эта программа плохая и непонятная, лучше используйте IE". Оно туда ff надо?

yozhhh ★★★
()

Это не новость, а просто злостное искажение фактов!!!! Читаем по ссылке: "The Mozilla development team said today that it will disable a browser feature that allows URL spoofing and could leave users open to scams. Upcoming releases of the Firefox and Mozilla browsers will turn off support for Internationalized Domain Names (IDN) by default to protect users from the spoofing, which works in current versions of Firefox, Mozilla, Opera and the Safari browser for Macs. The affected browsers support IDN, while Microsoft's Internet Explorer does not."

Т.е. поддержа IDN никуда не денется, просто соотвествующий "ключ" в настройках изменит свое значение - на случай если пользователю нужно использовать IDN. Кроме того, безопаснее Firefox от этого не станет - это очевидно. Потому что если пользователь ССЗБ, то ПО в этом смысле не виновато.

Вот что меня веселит во всем этом, так это то, что для дисейбла одной опции надо ждать нового "более безопасного" релиза! :) Почему не сделать апдейт или просто опубликовать секьюрити-алерт?

macavity
()
Ответ на: комментарий от macavity

>>не сделать апдейт или просто опубликовать секьюрити-алерт?

простые смертные юзеры боятся слова "апдейт" и не знают что такое секьюрити-алерт, но зато они верят что 1.1 это лучше чем 1.0, и скачают себе "новую и улучшенную версию" %)

anonizmus
()
Ответ на: комментарий от anonymous

Ну что тут сказать? Still using buggy firefox? Consider to install mozilla and have fun! :)

У меня в линуксе ff нет. В мозилле всё работает.

yozhhh ★★★
()

Все это называется "латочки на гробик". Технология изначально должна быть безопасной, а вешать на полуграмотного пользователя решение закачивать/незакачивать, помоему, бред. Я своих юзверей приучаю, что на все сообщения, типа, вам надо апдейт закачать, они отвечали нет. Помогает, но мало. Сообщения они не читают, тем более, если они не на родном языке.

В конфигах менять есть зло. А вот при компиляции сею фичу отключить, более правильно. Я бы отключил для своих бойцов. Думаль они не любят, соответственно, и грузить лишними фичами незачем.

vada ★★★★★
()
Ответ на: комментарий от Pearl

На винде работает нормально, если само изменение делать с админскими правами. На линухе еще не пробовал.

moonflyer
()
Ответ на: комментарий от yozhhh

нах надо. я про него узнал только когда кде при сборке пожаловалась что поддержку джаббера в копет не включит без либы этой. пусть леминги мучаюца ссср.ру набирая

anonymous
()
Ответ на: комментарий от anonymous

> Менятся то меняется, только не хрена не работает (Windows, Linux)

Гы. И правда. Тогда читаем сюда: http://forums.mozillazine.org/viewtopic.php?t=215178
http://forum.osnn.net/showthread.php?p=515532#post515532
Там ещё много интересного. И даже extension, о котором многие тут мечтали :)

The workaround for firefox seems to be an edit to your compreg.dat.

For windows
c:\Documents and Settings\$USER\Application Data\Mozilla\Firefox\Profiles\default.random\compreg.dat

For UNIX
~/.mozilla/firefox/default.random/compreg.dat

Removing the line that references IDN makes the problem go away. Using Find, there was a single reference for the UNIX host and 2 for the Win32 host. Removing the lines and restarting the browser makes the attack fail regardless of the about:config/userprefs.js value.

Here's an example entry.

{4byteshex-2byteshex-2byteshex-2byteshex-6byteshex},@mozilla.org/network/idn-ser vice;1,,nsIDNService,rel:libnecko.so

Instead of deleting the line (1 in Linux) or lines (2 in Win) you can just comment them out by using the character #

P.S. В общем, попа. Наломали дров авторы ff.

yozhhh ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.