В Mozilla обнаружили, что почтовый клиент Thunderbird стал распространяться на различных сторонних сайтах с вкомпилированным в него вредоносным ПО.
В рекламной сети Google появились объявления с предложением установить «готовые сборки» клиента. После установки такой сборки она начинает собирать конфиденциальную информацию о пользователе и отправлять ее на серверы мошенников, а затем пользователям приходит письмо с предложением заплатить за сохранение конфиденциальности.
Mozilla Thunderbird 115.1 — новая версия бесплатного клиента электронной почты и календаря с открытым исходным кодом, теперь доступна для загрузки. Это первое обновление после выхода Thunderbird 115 «Supernova».
Новая версия Thunderbird 115.1 включает в себя несколько изменений. Например, панель быстрого фильтра теперь скрыта по умолчанию, высота панели инструментов вкладки «Почта» и объединенной панели инструментов изменена для большей согласованности.
Новая версия улучшает поддержку Flatpak-версии Thunderbird , позволяя запускать его также из терминального окна с помощью команды «thunderbird».
Thunderbird 115.1 также исправляет несколько ошибок, улучшая существующую функциональность, такую как увеличение масштаба в многовариантном режиме просмотра, изменение размера диалоговых окон «Очистить недавнюю историю» и «Адресная книга CardDAV», отступы в карточном виде списка сообщений и заголовки столбцов списка сообщений в режиме повышенного контраста.
В этом обновлении также исправлены ошибки, связанные с отображением полного заголовка сообщения при наведении на него в виде карточек, недоступностью электронных писем в глубоко вложенных IMAP-папках, использованием заголовка Message-ID домена учетной записи вместо домена в поле «От» и другими визуальными и стилевыми проблемами.
Кроме того, в Thunderbird 115.1 исправлена проблема, когда общее количество писем и размеры папок скрывались при включенной опции «Скрыть локальные папки» в настройках боковой панели папок.
Стоит отметить, что эта версия поставляется с новым стилем оформления Thunderbird Supernova в диалоговом окне «О программе», который был представлен в версии Thunderbird 115.0.1 две недели назад.
Вышла новая версия популярнейшего клиента электронной почты (и не только) Mozilla Thunderbird.
Релизы Thunderbird выходят значительно реже Firefox (предыдущий был 78, вышел более года назад).
Из значимых изменений:
наконец-то прикрутили родной CardDAV. Теперь TBird стал полноценным GroupDAV-клиентом (теоретически);
по умолчанию программа работает как несколько процессов;
быстрый поиск теперь работает и при просмотре всех папок (multi-message (thread summary) view);
поддерживается PDF.js из коробки;
многое другое.
Как обычно, починили старые баги и добавили новые.
Почти сразу после релиза Firefox 91 вышла новая версия браузера, в которой появились важные баг-фиксы и изменения:
Исправлена уязвимость (CVE-2021-29991), касающаяся как браузера Firefox так и Thunderbird, с помощью которой было возможно провести атаку по разделению HTTP-заголовков. Проблема вызвана некорректным принятием символа перевода строки в заголовках HTTP/3, что позволяет указать заголовок, который будет принят как два разных заголовка.
Исправлен баг, из-за которого менялась высота табов при использовании математических символов.
Исправлена проблема, приводящая к отображению вкладок из окон, открытых в приватном режиме, в обычных окнах при просмотре рекомендаций в адресной строке.
Также объявлено о главном изменении в грядущей 92-й версии, которая должна будет выйти 7-го сентября. Разработчики планируют включить опцию WebRender для всех пользователей по умолчанию (касается всех платформ: Linux, MacOS, Windows и Android), а уже в версии 93 отключить WebRender станет невозможно, опции gfx.webrender.force-legacy-layers и MOZ_WEBRENDER=0 будут убраны.
WebRender написан на языке Rust и позволяет добиться существенного увеличения скорости отрисовки и снижения нагрузки на центральный процессор за счёт выноса на сторону видеокарты операций отрисовки содержимого страницы, которые реализованы через выполняемые в GPU шейдеры. Для систем со старыми видеокартами или проблемными графическими драйверами в WebRender будет использован режим программной растеризации gfx.webrender.software=true.
Mozilla Thunderbird ждет большое обновление, в котором появится встроенное шифрование писем с помощью OpenPGP. Теперь можно отказаться от таких аддонов, как Enigmail и Mailvelope. Реализация шифрования основана на наработках аддона Enigmail, автор которого и помогает команде Mozilla в переносе функциональности в почтовый клиент.
Главным отличием станет то, что вместо использования внешней программы GnuPG, предлагается использование собственной реализации библиотеки OpenPGP.
Также предлагается собственное хранилище ключей, которое несовместимо с форматом файлов ключей GnuPG и защищается мастер-паролем, что используется для защиты аккаунтов и ключей S/MIME.
Последние несколько лет в Mozilla Foundation не развивали Thunderbird столь же активно, как Firefox. Но с приходом в этот проект восьми человек на полный рабочий день, большая часть из которых — разработчики — ситуация должна поменяться.
В планах улучшение отзывчивости интерфейса, стабильности работы, интеграция с внешними почтовыми системами и специфичными для них функциями.
На улучшение и упрощение интерфейса шифрования писем, вопросы приватности и безопасности — будет выделен отдельных разработчик.
В Enigmail ― расширении безопасности для Mozilla Thunderbird, позволяющем использовать OpenPGP для работы с шифрованием и электронной подписью сообщений электронной почты — обнаружена проблема с безопасностью, которая потенциально может быть вектором для фишинговых атак.
Enigmail ― это расширение безопасности для Mozilla Thunderbird, позволяющее использовать OpenPGP для работы с шифрованием и электронной подписью сообщений электронной почты.
Значимые изменения с прошлой версии:
Поддержка Pretty Easy Privacy (p≡p), который включен по умолчанию для новых пользователей.
Поддержка стандарта Autocrypt. Если Enigmail используется в классическом режиме (без p≡p), то Autocrypt включен по-умолчанию.
Поддержка Web Key Directory. Теперь Enigmail будет пытаться скачивать недоступные ключи из WKD. Если используется GnuPG 2.2.x и почтовый провайдер поддерживает протокол Web Key Service, то можно также загрузить свои ключи в WKD через Enigmail.
Теперь производится зашифровывание темы письма и замена его на «Encrypted Message».
Ключи теперь автоматически запрашиваются через определенный интервал.
Теперь при обновлении Enigmail более не будет требоваться перезапускать Thunderbird.
Tor Messenger — программа для мгновенного обмена сообщениями от разработчиков Tor. Для анонимизации используется, собственно, Tor, а для шифрования OTR. Интересным отличием от многих подобных проектов является отсутствие собственного протокола — Tor Messenger возможно использовать с Jabber, IRC, Google Talk, Facebook Chat, Twitter и Yahoo, так что вы сможете легко общаться со всеми своими старыми контактами. Бинарные сборки доступны для всех популярных операционных систем — Windows, macOS и Linux.
Это уже пятый тестовый выпуск, по сравнению с предыдущей версией появилась поддержка временных аккаунтов Jabber/XMPP, а также мессенджер переведён на более современную версию Thunderbird — ESR 52.
По результатам переговоров, почтовый клиент Thunderbird продолжит развитие под покровительством Mozilla Foundation, но условия совместной работы существенно поменялись. Mozilla Foundation продолжит юридическое сопровождение, сбор и обработку поступающих пожертвований, но сама разработка Thunderbird будет выведена из инфраструктуры Mozilla Corporation. Таким образом Thunderbird будет развиваться как обособленный проект в составе Mozilla Foundation. В результате по мнению сторон разработка Thunderbird в дальнейшем не будет замедлять работу над Firefox и препятствия для дальнейшего сосуществования проектов отсутствуют. Ранее наиболее вероятными вариантами развития событий разработчики Thunderbird считали переход под покровительство организации Software Freedom Conservancy, либо создание собственной некоммерческой организации.
Также объявлены планы по сохранению в Thunderbird движка Gecko, от которого разработчики Firefox планируют отказаться. Так как Mozilla более не гарантирует продолжение поддержки XUL и других технологий, планируется перевод кода Thunderbird на использование web-технологий. По мнению разработчиков отказ от XUL вслед за Firefox является неизбежным шагом, но потребует огромных финансовых и людских ресурсов.
16 июля 2016 года Президент России подписал «Поручение об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования».
Документ предписывает «Обеспечить разработку и реализацию комплекса мероприятий, необходимых для поэтапного перехода федеральных органов исполнительной власти, органов государственной власти субъектов Российской Федерации, государственных внебюджетных фондов, органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования в рамках исполнения полномочий при электронном взаимодействии между собой, с гражданами и организациями».
При электронном взаимодействии между собой граждане и организации используют браузеры, для доступа к порталам госуслуг, и почтовые клиенты. Для защиты трафика между порталом и браузером он должен шифроваться, почтовые клиенты должны уметь как подписывать, так и шифровать почтовые сообщения. И если мы говорим о Российской Федерации, то это должны быть российские криптоалгоритмы (ГОСТ 28147-89, ГОСТ Р 34.11-94/2012, ГОСТ Р 34.10-2001/2012, ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015).
В настоящее время широкое распространение получили браузер Mozilla Firefox и почтовый клиент Mozilla Thunderbird, дистрибутивы которых входят во все отечественные операционные системы семейства Linux. Вместе с тем одним из сдерживающих моментов их широкого распространения, особенно в органах государственной и исполнительной власти, является отсутствие возможности использования российской криптографии в этих продуктах, в частности, в протоколе https, а также использование ЭП и шифрования в почтовом клиенте.
Появление на рынке токенов семейства PKCS#11, реализующих российскую криптографию, сделало возможным провести встраивание поддержки механизмов российской криптографии в браузер Mozilla Firefox и Mozilla Thunderbird.
Вместе с тем Mozilla накладывает ограничения на использование своих логотипов и товарных знаков в модифицированных версиях своих продуктов. Исходя из этого, модифицированным версиям разработчики дали свои названия и логотипы, например:
браузер Redfox , т.е. доработанный с целю поддержки российской криптографии браузер Firefox;
почтовый клиент RedfoxMail, т.е. доработанный с целю поддержки российской криптографии почтовый клиент Thunderbird;
интегрированный пакет Redfox2in1, т.е. доработанный с целю поддержки российской криптографии пакет SeaMonkey.
Браузеры обеспечивает поддержку российских шифрсьютов TLS_GOSTR341001_WITH_28147_CNT_IMIT и TLS_GOSTR341112_256_WITH_28147_CNT_IMIT для протоколов TLS 1.0, TLS 1.1 и TLS 1.2.
Почтовые клиенты обеспечивают формирование подписи под почтовыми сообщениями как по алгоритму ГОСТ Р 34.10-2001, так и по алгоритму ГОСТ Р 34.10-2012 с длиной ключа 256 и 512 бит. Шифрование почтовых сообщений ведется с применением алгоритма ГОСТ 28147-89:
Разработчики Mozilla хотят окончательно прекратить поддержку почтового клиента. С 2012 года Mozilla отстранилась от разработки и осуществляет лишь сборку, адаптацию движка, устранение уязвимостей. Все новшества разрабатываются независимыми разработчиками.
Лидер Mozilla Foundation, Митчелл Бейкер, считает, что даже такое участие отнимает у Mozilla слишком много сил. Приходится адаптировать технологии, созданные для Web, к почтовому клиенту. Потребности Firefox и Thunderbird сильно различаются и это различие всё больше углубляется. Вдобавок, медленная модель разработки почтового клиента не поспевает за новой инфраструктурой разработки браузера, нацеленной на ускорение процесса разработки.
Поэтому, предлагается окончательно отделить разработку и поддержку почтового клиента от Mozilla, и отвязать его разработку от процессов и темпов разработки браузера. Освободившиеся инженеры Mozilla смогут сфокусироваться на разработке браузера, а разработкой и выпуском Thunderbird займётся полностью независимое сообщество и компании, заинтересованные в развитии почтового клиента (например, немецкая компания SoftMaker, недавно включившая почтовый клиент в свой офисный пакет, или Postbox, Inc., выпускающая собственный проприетарный почтовый клиент, основанный на исходном коде Thunderbird).
Специалистами ООО «ЛИССИ-Софт» подготовлены новые дистрибутивы браузера Mozilla Firefox 38 и почтового клиента Thunderbird 38 для платформ Linux, Android и Windows с поддержкой российской криптографии (ГОСТ Р 34.10-2001/2012, ГОСТ Р 34.11-2001/2012 и ГОСТ 29147-89). Поддержка российской криптографии осуществляется путем подключения СКЗИ с интерфейсом PKCS#11.
UPD: разыскивается исходный код решения, который требуется предоставлять по лицензии. Так же, ООО «ЛИССИ-Софт» не может использовать торговые марки и элементы оформления Mozilla Foundation без разрешения.
Mozilla планирует убрать поддержку бинарных компонентов XPCOM в дополнениях к своим продуктам.
Несмотря на то, что отказ от бинарных компонентов приурочен к выпуску Firefox 40, он затронет все приложения на движке Gecko, включая Mozilla Thunderbird. В своем блоге Mozilla объясняет, что это повысит стабильность приложений, особенно Firefox. Практически никто из разработчиков дополнений уже не использует XPCOM, а для тех, кому эта функциональность ещё нужна, в SDK добавлен обходной путь.
После подведения итогов двухлетней разработки почтового клиента Mozilla Thunderbird только силами сообщества разработчики пришли к неутешительному выводу: проект находится в стагнации. Основной причиной крайне низкой активности энтузиастов является то, что управление осталось в руках компании Mozilla.
Для изменения сложившейся ситуации было принято решение о полной передаче управления проектом в руки независимого сообщества. Вопросами управления разработкой будет заниматься совет, состоящий из семи наиболее активных участников, один из которых займётся сопровождением проекта в режиме полного рабочего дня. Оплату его труда планируется производить из фонда, сформированного добровольными пожертвованиями. Также заявлено, что Thunderbird продолжит следовать целям и идеалам Mozilla.
Следующий значительный выпуск Thunderbird намечен на май будущего года. Основные ожидаемые новшества:
Возможность работы с почтовыми ящиками (mbox) размером более 4 Гб. Доведение до финального вида поддержки maildir.
Интеграция механизмов WebRTC во встроенный клиент мгновенного обмена сообщениями, что позволит взаимодействовать со встроенным в Firefox клиентом Hello.
Включение в основной состав календаря-планировщика Lightning, ныне распространяемого в форме дополнения.
Добавление в код для работы с IMAP поддержки аутентификации в GMail с использованием OAUTH.
Включение в основной состав дополнения New Account Types, позволяющего добавлять поддержку новых типов учётных записей в форме дополнений.
