8:52
12/10/2012

Mozilla zdecydowała się skasować ze swoich serwerów najnowszą wersję Firefoksa, ponieważ przeglądarka posiada błąd umożliwiający kradzież adresów stron odwiedzanych przez ofiarę.

Prywatność użytkowników Firefoksa

Firefox 16 został udostępniony do pobrania we wtorek. W środe Mozilla rozpoczęła proces jego usuwania ze swoich serwerów. Brak jest informacji, czy luka była aktywnie wykrzystywana w internecie, ale skrypt pozwalający na odczytanie nawet nie tyle historii przeglądanych stron, co wartości URL-a wraz z jego parametrami u dowolnego użytkownika Firefox krążył po sieci. W istocie więc mamy do czynienia z ominięciem ochrony cross-domenowej.

function poc() {
var win = window.open('https://twitter.com/lists/', 'newWin', 'width=200,height=200');
setTimeout(function(){
alert('Hello '+/^https:\/\/twitter.com\/([^/]+)/.exec(win.location)[1])
}, 5000);}

Warto przypomnieć, że jescze rok temu, wszystkie przeglądarki trapił inny bug związany z prywatnością, tzw. CSS hack wykorzystujący “feature” przeglądarek polegający na zaznaczaniu uprzednio odwiedzonych URL-i innym kolorem. A oprócz tego, trwającego ponad 10 lat błędu, było także kilka innych.

Co robić, jak żyć?

Upewnijcie się, że wasz Firefox *nie* jest w wersji 16 (wyszła już wersja 16.0.1). Przeglądarki doczekały się funkcji automatycznych aktualizacji, może Mozilla powinna także rozważyć wprowadzenie funkcji automatycznego downgrade’u? :)

Przeczytaj także:



62 komentarzy

Dodaj komentarz
  1. ehh, dziś żeby sprawdzić swoją wersję firefoxa nacisnąłem pomoc>o programie firefox i pisze 15, ale od razu zaczął mi się aktualizować, po ponownym uruchomieniu pisze mi 16… no to jak usuneli z serwerów skoro dziś ściągnąłem.. jak zdowngradować mojego liska do 15?

    • “jest napisane”, a nie “pisze”…

    • Pisze, bo monitor się odświeża, więc z każdym odświeżeniem od nowa wyświetla piksel po pikselu. Więc PISZE!

    • Zależy czy masz LCD czy CRT. Jeśli LCD, to odświeżają się tylko te piksele, które się zmieniają. Tak więc statyczny obraz się nie odświeża. Może więc pisać albo być napisane.

    • @Patryk
      Watro zdobywać wiedzę, weryfikować, a nie powtarzać jak bezmózgi zombie to, co inni mówią. “Pisze” to forma potoczna. Potoczne wypowiedzi mogą posiadać zwroty, które normalnie by były niepoprawne, “pisze” jest tego przykładem. Twoje poprawianie jest zatem błędne.

    • @HK duży +!

    • Mogę się mylić, ale wydaje mi się, że tego typu potocznych stwierdzeń można używać tylko w mowie. Tutaj już należałoby się kłócić, czy nieformalny komentarz jest bliżej zwykłej rozmowy, czy jednak pisma.

  2. Jest już 17 …

    • Beta

  3. czyli 16.0.1 jest bezpieczna, czy też narażona na ten atak?

    • Skoro w środę usuwali z serwerów… a już dziś możesz pobrać wersję 16.0.1 to logiczne myślenie pozwala twierdzić ze chyba to naprawili :)

    • Jest na serwrach, czyli pewnie odporna na ten atak. Zresztą już przy informacji o dziurze było pisane że szybko załatają.

    • Ciężko sprawdzić ?
      https://www.mozilla.org/en-US/firefox/16.0.1/releasenotes/

  4. Czyli, jeśli miałem opcję automatycznego aktualizowania, to nic mi nie grozi?

    • Nie, dla pewności sprawdź wersję (16.0.1 jest już załatana)

  5. Na Ubuntu jest 16.0 i downgrade’u nie widać :/

    • Na mint jest już 16.0.1 :)

    • ale jest upgrade do 16.0.1

  6. Wczoraj pisali o 16.01 aktualizacji a dziś już upgrade do 17..

  7. Uff, aż się przeraziłem! Od razu sprawdzam wersję czy aby nie 16, a tam na szczęście Opera 12.50 ;-)

  8. Swoją drogą, czy numeracja wersji FF i TB nie wydaje się Wam idiotyczna? W tym tempie dojdziemy do firefoxa 90 za 3 lata.

    • Też to zauważyłem.

    • Na forach developerów pojawił się fajny pomysł (zyskujący coraz większą aprobatę), żeby numerować FF miesiącami (12.10, 12.11, ew. 12.10.1)

    • Jakże oryginalny!

    • źle zrobili, że wypuścili poprawke jako 16.0.1 – mogli skorzystać z okazji i rzucić od razu 17.0 (większe szanse na dojście chrome’a ;))

    • W ogóle nie wiem co to za moda na krytykowanie nowych numerków FF – Chrome ma już ich 22, a jest prawie 3 razy młodszy niż FF

    • To nie moda na krytykę FF – po prostu nabijanie się z numerków Chrome’a już nawet nie śmieszy.

  9. No cóż, wystarczy używać NoScripta :)

    przy okazji: “W środę* Mozilla…”

    • Równie dobrze można przeglądać internety przy pomocy putty lub cURLa.

    • noscript powinien zostać wbudowany w FF na stałe. Nawet jeśli ktoś nie ma ochoty blokowac javascriptu to noscript z wyłączonymi wszystkimi blokadami nadal broni np. przed clickjackingiem. Polecam!

  10. Trochę późno to info ,jak na “niebezpiecznika”.
    Historia : 11-10 rano – info o konieczności odinstalowania 16.0 , 11-10 wieczór – info o bezpiecznej 16.0.1

  11. “Przeglądarki doczekały się funkcji automatycznych aktualizacji” – za każdym razem muszę to robić ręcznie, wchodząc do menu Pomoc.
    PS. Dzięki za info.

    • Narzędzia -> Opcje -> Zaawansowane -> Aktualizacja

      Ustaw sobie automatyczną aktualizację, nie będziesz musiał narzekać, że musisz to robić ręcznie.

    • Aktualizację automatyczną mam włączoną…

    • Chrome ma osobny proces do automatycznej aktualizacji. Od jakiegoś czasu nie korzystam z Firefox’a, ale jeśli tam jest tak samo, to może firewall Ci to blokuje?

    • W takim razie Pawle nie wiem, co ci odpowiedzieć. SOA#1.

    • Od czasu Firefoxa 12 jest nienaprawiony błąd: “Windows: The use of Microsoft’s System Restore functionality shortly after updating Firefox may prevent future updates”. Może to jest u ciebie przyczyną.

  12. Ostatnie zdanie to wredne było… :)

  13. Motyla noga, dopiero po aktualizacji FF do najnowszej wersji przeczytałem tego posta!

  14. A płynnego/animowanego przesuwania kart na pasku dalej nie ma. Niech żyje toporność!

    • A po co to komu? Interfejs ma byś prosty, a nie przepełniony animacjami i wodotryskami. Przerabialiśmy to już w 1998.

  15. Aż się prosi, żeby fanbojsko napisać, że na Linuksie wszystkie programy aktualizuje się ręcznie z jednego miejsca :-)

    • Szkoda że instaluje się je -nieco- trudniej.

    • Aż się prosi, żeby fanbojsko napisać “a na MACa nie ma wirusów” xD

    • Tak, jak są w repozytorium i akurat mamy tyle szczęścia, że owe repo nie jest akurat zamrożone :P

    • Na linuksie programy instaluje się zdecydowanie prościej. Oczywiście te z oficjalnego repo, gdzie zależności nie są (prawie zawsze to prawda) problemem:
      “apt-get install mc” i mam mc. Czegóż więcej chcieć?

  16. z tym kasowaniem ze swoich serwerów to trochę przesada..:
    http://releases.mozilla.org/pub/mozilla.org/firefox/releases/16.0/

  17. A ja mam taki błąd w nosie i nie zamierzam aktualizować wogóle Firefoxa. Czekam na Firefoxa 78.8.9, który ukaże się już za kilka tygodni…;) Według przecieków ta wersja będzie strzelała z liścia w twarz każdego z użytkowników, który kliknie na przycisk “instaluj javę”…

    • Co robić, jak żyć?!

  18. Wygląda na to że “problem” nie dotyczy ogólnie przeglądarki a raczej silnika na którym pracuje bo dziwnym trafem Thunderbird również został wycofany z serwera aktualizacji.

    • silnika? raczej endżajna! silnik ma tłoki albo choć zwoje cu ;)

  19. i czym się tak podniecać?

    • nietzsche’m :)

  20. Wersja 15 była wersją, która zakończyła moją przygodę z firefox’em. Pomimo, że sprzęt mam całkiem przyzwoity to jest to jedyna przeglądarka (TAK, wliczając IE), która nieustannie wiesza się przy fleszu i nie tylko (były wersje, w których było ok ale w większości tak nie było). Kompletny, nie responsywny muł zrobił się z tej podobno “ultra szybkiej” przeglądarki. Kiedyś lisek mógł być symbolem lekkości i szybkości ale jedyne z czym mi się kojarzy to udręka w zwykłym przeglądaniu internetu.t Adobe też chyba sobie żarty robi z wydajnością i pomimo, że wcale nie chce to muszę przyznać apple racje – Adobe to mało wydajny śmieć. Przerzuciłem się na chrome i w nosie mam to, że coś przesyła się do google. Oni i tak już mają masę danych o moich preferencjach, kontach i Bóg wie czym jeszcze…

    • a nie lepiej było pozostać na FF 3.6.24 ? Po własnych poprawkach w prefer jest ok.

    • Roznie to bywa, mi 15 chodzila milutko, dopoki nie zainstalowalem 16… wiec to naprawde zalezy co i gdzie.

    • A masz moze Viste? Mam FF na wszystkich kompach i Flash wiesza sie tylko na tym systemie.

      Poza tym FF to raczej zaawansowana przegladarka dla developerow. Zwyklym smiertelnikom polecam Chroma, chociaz nie posiada on ficzerow i pluginow, ktorych uzywam w FF.

  21. Z flashem faktycznie był problem ale wystarczyło zaktualizować wtyczkę i… problemu nie było więc to raczej Twoje lenistwo niż jakiś większy błąd.

  22. Wybacz, ale to co piszesz to brednia. Chrome posiada wszystkie pluginy potrzebne developerom (ja przynajmniej sie w nim odnajduje) i nie ma wystrzalowych mega kolorowych cudek, ktore tylko developing utrudniaja (widok zrodla strony w 3D? Naprawde?). Jesli nie masz jakiejs funkcjonalnosci w Chrome, ktora masz w FF, poszukaj wbudowanych funkcji Chrome lub przeszukaj strone Chrome’a z pluginami ;)

  23. Poza kwestiami bezpieczeństwa.. Pewnego pięknego dnia rozdzwoniły się telefony – strony szlag trafił – okazało się ze 14 firefox postanowił się cofnąć w rozwoju – mam na mysli efekty webkit, czyli: cienie, ramki, tła, zaokraglenia i transformacje itd. Zrozumiałbym wszystko, ale żeby renderowanie czcionek też przestało poprawnie funkcjonowac? Oczywiście nie pozostało nic innego, jak pochylić czoło i zaktualizować odpowiednie style na stronach. Wrocilem do v. 12.0b6 i dlugo nie zwracalem uwagi na kolejne aktualizacje – niewiele stracilem jak sie okazalo, nowe wersje dzialaja jako tako – ale gdy pootwieram kilka(dziesiąt) kart/okien – nie musze nawet sprawdzać wykozrystania pamięci – wentylator mówi sam za siebie, ze nie jest dobrze :) Od jakiegos czasu używam Comodo Dragon (Chrominium) i jestem zadowolony!

    Swietna stronka, od wczoraj utknąłem w pętli postów, które koniecznie muszę przeczytać i końca nie widać… :)

    • Co ma wentylator do zajętości pamięci? Przecież wykorzystanie pamięci nie implikuje wykorzystania procesora, a otwarte w tle statyczne strony nie wykorzystują jego mocy. Jakąś magię masz w komputerze :)

  24. Masz rację, nie wyraziłem się wystarczająco precyzyjnie – bezsensowną jest jednak dyskusja nt. reakcji mojego wentylatora. Owszem Czary-Mary!

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: