Комментарии 27
> Пользователям следует обновить веб-браузер.
Думаю в подобных случаях (серьезные проблемы безопасности) браузер сам должен проявлять активность явно напоминая пользователю о необходимости обновления (или сделаь как в win10 обновляния обязательными), ведь не все пользователи читают хабр.
Думаю в подобных случаях (серьезные проблемы безопасности) браузер сам должен проявлять активность явно напоминая пользователю о необходимости обновления (или сделаь как в win10 обновляния обязательными), ведь не все пользователи читают хабр.
Вылезло уведомление о доступности Firefox 39.0.3, сразу обновился… В этом плане Mozilla оперативна.
www.mozilla.org/en-US/firefox/39.0.3/releasenotes
www.mozilla.org/en-US/firefox/39.0.3/releasenotes
браузер сам должен проявлять активность
Полагаю, в статье речь шла о ССЗБ отключающих функцию обновления или игнорирующих уведомления о выходе новых версий. Так то оно по умолчанию настроено автообновляться.
Предполагаю, что serf хотел, чтобы браузер не просто мелькал «у меня тут сотый знак после запятой в младшей минорной версии изменился», а что-то типа «внимание! в целях Вашей безопасности рекомендуем срочно обновиться» и краткое описание проблемы со ссылкам на подробное.
Да, так чтобы у пользователя не было воможности не заметить
это сообщение или точнее не понять серьезность обновления. И по умолчанию обновлять автоматом. А кому не нужно автоматом, пускай лезут и выключают это в настройках (каким-нибудь тестировщикам которые допустим должны тестировать под разными версиями).
это сообщение или точнее не понять серьезность обновления. И по умолчанию обновлять автоматом. А кому не нужно автоматом, пускай лезут и выключают это в настройках (каким-нибудь тестировщикам которые допустим должны тестировать под разными версиями).
После фразы «внимание! в целях Вашей безопасности...» пользователь отвалится, ибо так пишут установщики вирусов (слова знакомого пенсионера веб-серфера).
Сижу на beta channel – обновления чуть ли не каждый день прилетают.
быть бета-тестером и получать регулярно секьюрити-фиксы это малость не одно и то же
Тем не менее, апдейты из стабильного канала должны прилетать точно так же, только реже.
Ну да, и прилетают, о том и речь. Бета-тестером становиться для этого вовсе не обязательно.
Я неудачно сформулировал мой первый коммент. Отвечал на это:
браузер сам должен проявлять активность явно напоминая пользователю о необходимости обновленияПросто хотел показать, что ФФ очень даже активно напоминает об уведомлениях.
Единственный вариант когда мне не приходят обновления автоматом — когда браузер днями открытый висит, но в этом случае всё равно рано или поздно вылезает уведомление мол надо бы уже перезапуститься для обновления
Маленькое всплывающее окошко с фразой «Доступна версия 39.0.3» без каких-либо пояснений, что там секьюрити фиксы — это не то, что ожидает увидеть человек в случае секьюрити фиксов баги, которая эксплуатируется злоумышленниками.
Выше уже озвучили мою точку зрения. :)
Как бы ни расстраивала политика Mozilla в последнее время, браузера удобнее для себя ещё не нашёл.
На reddit порекомендовали песочницу firejail, решил попробовать. Пакет есть как минимум для Debian Stretch; из коробки поддерживает firefox, thunderbird, chromium, midori, vlc. Вроде пока устраивает.
Кто-нибудь пользуется этой песочницей или аналогами? Какие преимущества/недостатки?
На reddit порекомендовали песочницу firejail, решил попробовать. Пакет есть как минимум для Debian Stretch; из коробки поддерживает firefox, thunderbird, chromium, midori, vlc. Вроде пока устраивает.
Кто-нибудь пользуется этой песочницей или аналогами? Какие преимущества/недостатки?
Позабавил факт, что скрипты адаптируются под систему и тащат соответствующие файлы:
Интересно, можно ли нагенерить на лету случайных скриптов, чтобы у чуваков место на диске кончилось…
В Linux осуществлялась отправка содержимого /etc/passwd, .bash_history, .mysql_history, .pgsql_history, файлов из директории .ssh, настроек remina, Filezilla и Psi+, а также текстовых файлов, в именах которых имеются слова pass и access, и любых shell-скриптов.(opennet).
Интересно, можно ли нагенерить на лету случайных скриптов, чтобы у чуваков место на диске кончилось…
А кто-нибудь в курсе о каксом сайте шла речь в анонсе?
Может распространяли эксплоит с помощью Adsense/Adwords? А то какие-то молодчики научились через него встраивать свой js в рекламные блоки. И Google по всей видимости, до сих пор ничего не предпринимает.
Как-то тихо новость прошла. Наверное потому, что тут флеш не виноват.
Ну виноват PDF — всё равно Adobe.
:D Так это виноваты безплагиновые технологии. Конфуз ведь получается и не первый. То в Адроиде нашли уязвимость в html5 video, то тут с PDF просмотрщиком, который встроен в лису и не имеет отношения к Adobe :)
В чём именно он виноват, я извиняюсь? Теперь древних греков будем обвинять в том, что они всю безопасность нам своим изобретением алфавита порушили?
Скажите пожалуйста, а бета версия сильно отличается от стабильной и чем? Можно ли перейти со стабильной сразу на бета? Без переустановки.
Все рассказывал, что Flash опасен — пусть почитают это www.welivesecurity.com/2015/08/11/firefox-under-fire-anatomy-of-latest-0-day-attack
Но почему же Mozilla не рекомендовало до сих пор отключить и JS вместе с Flash?
Но почему же Mozilla не рекомендовало до сих пор отключить и JS вместе с Flash?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимость в веб-браузере Mozilla Firefox эксплуатируется in-the-wild