forum.opennet.ru

Составление сообщения

Исходное сообщение

"Демонстрация неэффективности внедрения в Firefox проверки до..."
Отправлено opennews, 26-Ноя-15 12:59

Дэн Стиллман (Dan Stillman), разработчик браузерного дополнения Zotero (https://www.zotero.org/), выступил (http://danstillman.com/2015/11/23/firefox-extension-scanning...) с критикой навязываемой проектом Mozilla обязательной проверке дополнений по цифровой подписи. Напомним, что под предлогом (https://www.opennet.ru/opennews/art.shtml?num=41655) борьбы с распространением вредоносных и шпионящих за пользователями дополнений, начиная с Firefox 43 Mozilla переходит (https://www.opennet.ru/opennews/art.shtml?num=42949) к схеме обязательной проверки дополнений по цифровой подписи.

Дэн Стиллман попытался доказать, что  переход к использованию только подписанных дополнений приведёт лишь к сложностям для разработчиков, и никак не повлияет на безопасность, а быть может даже ухудшит ситуацию с распространением уязвимых дополнений. В частности, процесс верификации подразумевает обязательную загрузку всех дополнений, в том числе поставляемых через сторонние каналы распространения, на сайт Mozilla для прохождения автоматизированной или ручной проверки. Первая проблема в том, что в случае невозможности применить автоматизированную проверку ручная проверка занимает (https://blog.mozilla.org/addons/2015/11/04/add-ons-update-73/) в среднем семь недель. Возникновение подобных задержек не только затягивает поставку новых выпусков, но и мешает оперативной доставке обновлений с устранением уязвимостей и серьёзных ошибок.

Вторая проблема в том, что авторы вредоносных дополнений могут легко обмануть тесты автоматизированной системы проверки. Для демонстрации своего заявления  Стиллман подготовил прототип вредоносного дополнения, которое благодаря применению нехитрых приёмов скрытия вредоносной активности, успешно прошло автоматизированную проверку и было заверено цифровой подписью Mozilla. При этом дополнение осуществляло перехват запросов к сайтам, открываемым через HTTPS и собирало данные о паролях вводимых в web-формы, после чего отправляло полученные сведения на внешний HTTP-сервер. Более того, успешно прошедшее тестирование дополнение позволяло запустить в системе произвольный процесс при открытии определённого URL или загрузить JavaScript-код с внешнего сервера и выполнить его с привилегиями браузера.

При попытке привлечь внимание к проблеме разработчиков из Mozilla, лидер команды Mozilla по взаимодействию с разработчиками дополнений, указал на то, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности, что позволит блокировать большинство вредоносных дополнений. Созданное демонстрационное дополнение было занесено в чёрный список, но никаких действий по блокированию показанных проблем предпринято не было - для повторного успешного тестирования и обхода чёрного списка потребовалось лишь поменять идентификатор дополнения.

Доводы Стиллмана также подтверждает недавно проведённое исследование (http://labs.detectify.com/post/133528218381/chrome-extension...) дополнений в каталоге приложений Chrome, показавшее неэффективность уже внедрённых в каталоге Chrome механизмов проверки дополнений и заверения по цифровой подписи. Исследование показало, что ряд популярных дополнений, насчитывающих сотни тысяч пользователей, нарушают требования по соблюдению приватности, отслеживают перемещения пользователя  и передают полученную статистику вовне. При этом, важно то, что подобный сбор данных производится независимо от применения специальных дополнений для блокирования отслеживания перемещений и инкогнито-режимов.

URL: http://danstillman.com/2015/11/23/firefox-extension-scanning...
Новость: https://www.opennet.ru/opennews/art.shtml?num=43398

Исходное сообщение
"Демонстрация неэффективности внедрения в Firefox проверки до..." Отправлено opennews, 26-Ноя-15 12:59
Дэн Стиллман (Dan Stillman), разработчик браузерного дополнения Zotero (https://www.zotero.org/), выступил (http://danstillman.com/2015/11/23/firefox-extension-scanning...) с критикой навязываемой проектом Mozilla обязательной проверке дополнений по цифровой подписи. Напомним, что под предлогом (https://www.opennet.ru/opennews/art.shtml?num=41655) борьбы с распространением вредоносных и шпионящих за пользователями дополнений, начиная с Firefox 43 Mozilla переходит (https://www.opennet.ru/opennews/art.shtml?num=42949) к схеме обязательной проверки дополнений по цифровой подписи. Дэн Стиллман попытался доказать, что переход к использованию только подписанных дополнений приведёт лишь к сложностям для разработчиков, и никак не повлияет на безопасность, а быть может даже ухудшит ситуацию с распространением уязвимых дополнений. В частности, процесс верификации подразумевает обязательную загрузку всех дополнений, в том числе поставляемых через сторонние каналы распространения, на сайт Mozilla для прохождения автоматизированной или ручной проверки. Первая проблема в том, что в случае невозможности применить автоматизированную проверку ручная проверка занимает (https://blog.mozilla.org/addons/2015/11/04/add-ons-update-73/) в среднем семь недель. Возникновение подобных задержек не только затягивает поставку новых выпусков, но и мешает оперативной доставке обновлений с устранением уязвимостей и серьёзных ошибок. Вторая проблема в том, что авторы вредоносных дополнений могут легко обмануть тесты автоматизированной системы проверки. Для демонстрации своего заявления Стиллман подготовил прототип вредоносного дополнения, которое благодаря применению нехитрых приёмов скрытия вредоносной активности, успешно прошло автоматизированную проверку и было заверено цифровой подписью Mozilla. При этом дополнение осуществляло перехват запросов к сайтам, открываемым через HTTPS и собирало данные о паролях вводимых в web-формы, после чего отправляло полученные сведения на внешний HTTP-сервер. Более того, успешно прошедшее тестирование дополнение позволяло запустить в системе произвольный процесс при открытии определённого URL или загрузить JavaScript-код с внешнего сервера и выполнить его с привилегиями браузера. При попытке привлечь внимание к проблеме разработчиков из Mozilla, лидер команды Mozilla по взаимодействию с разработчиками дополнений, указал на то, что большинство авторов вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия вредоносной активности, что позволит блокировать большинство вредоносных дополнений. Созданное демонстрационное дополнение было занесено в чёрный список, но никаких действий по блокированию показанных проблем предпринято не было - для повторного успешного тестирования и обхода чёрного списка потребовалось лишь поменять идентификатор дополнения. Доводы Стиллмана также подтверждает недавно проведённое исследование (http://labs.detectify.com/post/133528218381/chrome-extension...) дополнений в каталоге приложений Chrome, показавшее неэффективность уже внедрённых в каталоге Chrome механизмов проверки дополнений и заверения по цифровой подписи. Исследование показало, что ряд популярных дополнений, насчитывающих сотни тысяч пользователей, нарушают требования по соблюдению приватности, отслеживают перемещения пользователя и передают полученную статистику вовне. При этом, важно то, что подобный сбор данных производится независимо от применения специальных дополнений для блокирования отслеживания перемещений и инкогнито-режимов. URL: http://danstillman.com/2015/11/23/firefox-extension-scanning... Новость: https://www.opennet.ru/opennews/art.shtml?num=43398

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Дэн Стиллман (Dan Stillman), разработчик браузерного дополнения Zotero (https://www.zotero.org/), 
> выступил (http://danstillman.com/2015/11/23/firefox-extension-scanning-is-security-theater) 
> с критикой навязываемой проектом Mozilla обязательной проверке дополнений по цифровой 
> подписи. Напомним, что под предлогом (https://www.opennet.ru/opennews/art.shtml?num=41655) 
> борьбы с распространением вредоносных и шпионящих за пользователями дополнений, начиная 
> с Firefox 43 Mozilla переходит (https://www.opennet.ru/opennews/art.shtml?num=42949) 
> к схеме обязательной проверки дополнений по цифровой подписи.

> Дэн Стиллман попытался доказать, что  переход к использованию только подписанных дополнений 
> приведёт лишь к сложностям для разработчиков, и никак не повлияет на 
> безопасность, а быть может даже ухудшит ситуацию с распространением уязвимых дополнений. 
> В частности, процесс верификации подразумевает обязательную загрузку всех дополнений, 
> в том числе поставляемых через сторонние каналы распространения, на сайт Mozilla 
> для прохождения автоматизированной или ручной проверки. Первая проблема в том, что 
> в случае невозможности применить автоматизированную проверку ручная проверка занимает 
> (https://blog.mozilla.org/addons/2015/11/04/add-ons-update-73/) в среднем семь недель. 
> Возникновение подобных задержек не только затягивает поставку новых выпусков, но и 
> мешает оперативной доставке обновлений с устранением уязвимостей и серьёзных ошибок.

> Вторая проблема в том, что авторы вредоносных дополнений могут легко обмануть тесты 
> автоматизированной системы проверки. Для демонстрации своего заявления  Стиллман подготовил 
> прототип вредоносного дополнения, которое благодаря применению нехитрых приёмов скрытия 
> вредоносной активности, успешно прошло автоматизированную проверку и было заверено цифровой 
> подписью Mozilla. При этом дополнение осуществляло перехват запросов к сайтам, открываемым 
> через HTTPS и собирало данные о паролях вводимых в web-формы, после 
> чего отправляло полученные сведения на внешний HTTP-сервер. Более того, успешно прошедшее 
> тестирование дополнение позволяло запустить в системе произвольный процесс при открытии 
> определённого URL или загрузить JavaScript-код с внешнего сервера и выполнить его 
> с привилегиями браузера.

> При попытке привлечь внимание к проблеме разработчиков из Mozilla, лидер команды Mozilla 
> по взаимодействию с разработчиками дополнений, указал на то, что большинство авторов 
> вредоносных дополнений ленивы и не будут прибегать к подобным техникам скрытия 
> вредоносной активности, что позволит блокировать большинство вредоносных дополнений. 
> Созданное демонстрационное дополнение было занесено в чёрный список, но никаких действий 
> по блокированию показанных проблем предпринято не было - для повторного успешного 
> тестирования и обхода чёрного списка потребовалось лишь поменять идентификатор дополнения.

> Доводы Стиллмана также подтверждает недавно проведённое исследование (http://labs.detectify.com/post/133528218381/chrome-extensions-aka-total-absence-of-privacy) 
> дополнений в каталоге приложений Chrome, показавшее неэффективность уже внедрённых в каталоге 
> Chrome механизмов проверки дополнений и заверения по цифровой подписи. Исследование показало, 
> что ряд популярных дополнений, насчитывающих сотни тысяч пользователей, нарушают требования 
> по соблюдению приватности, отслеживают перемещения пользователя  и передают полученную 
> статистику вовне. При этом, важно то, что подобный сбор данных производится 
> независимо от применения специальных дополнений для блокирования отслеживания перемещений 
> и инкогнито-режимов.

> URL: http://danstillman.com/2015/11/23/firefox-extension-scanning-is-security-theater 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=43398

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру