В Firefox Beta добавлен блокировщик скриптов майнинга и скрытой идентификации

10.04.2019 13:47

В бета-версию Firefox 67 встроен код для блокирования JavaScript-вставок, осуществляющих майнинг криптовалют или отслеживающих пользователей с помощью методов скрытой идентификации ("browser fingerprinting"). Блокировка осуществляется по дополнительным категориям (fingerprinting и cryptomining) в списке Disconnect.me, включающим хосты, уличённые в использовании майнеров и кода для скрытой идентификации.

Код для майнинга криптовалют, который приводит к существенному увеличению нагрузки на процессор в системе пользователя, как правило, внедряется на сайты в результате взломов или используется на сомнительных сайтах как метод монетизации. Под скрытой идентификацией подразумевается хранение идентификаторов в областях, не предназначенных для постоянного хранения информации ("Supercookies"), а также генерация идентификаторов на основе косвенных данных, таких как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), анализ установленных плагинов и шрифтов, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, анализ особенностей работы с мышью и клавиатурой.

По умолчанию новые режимы блокировки отключены, а для их активации в связанные с конфиденциальностью настройки добавлены новые опции "Cryptominers" и "fingerprinters". Через какое-то время планируется включить по умолчанию представленные режимы для небольшой контрольной группы пользователей, после чего активировать для всех в одном из будущих выпусков.

Проследить за срабатыванием блокировщика можно через контекстное меню сайта, отображаемое при клике на пиктограмму с изображением щита в адресной строке. В меню также добавлена ссылка быстрой отправки разработчикам отчёта о возникающих проблемах.

Из других недавних событий, связанных с Firefox, также можно упомянуть:

Анонсирована программа рекомендованных дополнений, в рамках которой летом будет предложен список дополнений, которые удовлетворяют требованиям Mozilla в области безопасности, полезности и удобства работы. Дополнения из списка будут продвигаться через систему контекстных рекомендаций в различных продуктах Mozilla и на сайтах проекта. Для принятия в список дополнение должно качественно и эффективно решать актуальные задачи, интересные широкой аудитории, активно развиваться автором и проходить полное рецензирование безопасности каждого обновления.
Рассматривается возможность включения в Linux-сборках Firefox системы композитинга Servo WebRender, написанной на языке Rust и выносящей на сторону GPU операции отрисовки содержимого страницы. При использовании WebRender вместо встроенной в движок Gecko системы композитинга, обрабатывающей данные при помощи CPU, для выполнения операций сводной отрисовки элементов страницы используются шейдеры, выполняемые в GPU, что позволяет добиться существенного увеличения скорости отрисовки и снизить нагрузку на CPU. В Linux WebRender на первом этапе предлагается включить только для видеокарт Intel c драйверами Mesa 18.2.8 и новее. Активировать WebRender вручную на системах с другими видеокартами можно через переменную "gfx.webrender.all.qualified" в about:config или запустив Firefox с выставленной переменной окружения MOZ_WEBRENDER=1.
В бета-версии Firefox 67 в основное меню и диалог с рекомендациями заполнения форм входа добавлена возможность быстрого перехода к сохранённым для сайта паролям;
В настройки добавлена кнопка для перезагрузки всех вкладок после изменения правил обработки Cookie от сторонних ресурсов;
Добавлены ограничения на интенсивность вывода сайтом диалога аутентификации;
В ночные сборки добавлена новая реализация кода для синхронизации закладок, переписанная на языке Rust (включается через services.sync.bookmarks.buffer.enabled в about:config).

исправить +23 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/50490-firefox

Ключевые слова: firefox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (34)

1.1, Аноним (1), 14:36, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
еще раз добавили? Ой, оказывается любая новость про фф подается в нескольких экземплярах: "планируют сделать", "сделали в альфе", "сделали в бете", "выпущен релиз с этой же фичей".

2.2, Аноним (2), 14:41, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
> Ой, оказывается любая новость про фф подается в нескольких экземплярах: "планируют сделать", "сделали в альфе", "сделали в бете", "выпущен релиз с этой же фичей". Еще "Исправлена ошибка" и "Закрыта уязвимость"

3.11, Онаним (?), 16:06, 10/04/2019 [^] [^^] [^^^] [ответить]	+2 +/–
> Еще "Исправлена ошибка" и "Закрыта уязвимость" И всё это - про ту самую пресловутую фичу.

2.3, аккаунт или человек (?), 14:49, 10/04/2019 [^] [^^] [^^^] [ответить]	+6 +/–
Это претензия кому? Файер фоксу, сайту или посетителям? А как вам такая новость на главной яндекса: "Кожевникова требует от Собчак извинений за скандал с трусами"? Кто пробивает дно - Собчак, яндекс или потребители инфо-мусора?

3.5, ryoken (ok), 14:54, 10/04/2019 [^] [^^] [^^^] [ответить]	+10 +/–
Да в общем-то - все...

3.28, Аноним (28), 23:28, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
в данном случае пробивают дно журналюшки.

4.31, Аноним (31), 05:06, 11/04/2019 [^] [^^] [^^^] [ответить]	+/–
Для таких новостей они не нужны - их за так на коленке за 5 минут пишут пачками.

3.30, Аноним (30), 00:19, 11/04/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Никто дно не пробивает. Дно давно пробито, идёт падение в бездонную пропасть.

1.4, Аноним (4), 14:54, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
NoScript блокирует скрытые скрипты для майнинга?

1.6, Аноним (6), 14:58, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Годнота. Смогли добавить в браузер около 100 коротких строчек, которые уже есть в списке фильтров любого блокировщика рекламы. Надо было под это дело браузер переписать или хотя бы на 10 поднять мажорную версию, раз уж такие весомые изменения внесли.

1.7, Анонимс (?), 14:58, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Что там слышно о переходе на новый, безопасный и быстрый движок Servo? Или они окончательно забили на это. Когда уже можно будет установить бета-версию "Firefox Servo Beta"? Или они решили, что-то переписать на rust, а остальное оставить всё, как есть?

2.8, Ordu (ok), 15:24, 10/04/2019 [^] [^^] [^^^] [ответить]

+6 +/–

Они не переписывают на rust'е только ради переписывания на rust'е. Когда они переписывают что-то, они часто переписывают на rust'е. Но даже это не обязательно: сосуществование C++ кода и rust кода сложнее, чем C и rust. Прогресс можно отследить здесь: https://wiki.mozilla.org/Oxidation и если ты обратишь внимание там для каждого куска переписанного/переписываемого на rust'е выписана отдельная аргументация в пользу rust'а: почему этот кусок стоит переписывать на rust'е, а не допилить C++ реализацию. Эти комментарии позволяют получить представление об общей идее выбора кода для переписывания на rust'е.

> Когда уже можно будет установить бета-версию "Firefox Servo Beta"?

Я думаю никогда. Из servo код заимствуется кусками, и при таком подходе не будет такого момента, когда вчера firefox был не на servo, а сегодня стал на servo. Но webrender они фактически запилили в ff, там как я понимаю основные проблемы со стабильностью и прохождением тестов.

3.15, Анонимс (?), 16:50, 10/04/2019 [^] [^^] [^^^] [ответить]	–1 +/–
>> Когда уже можно будет установить бета-версию "Firefox Servo Beta"? > Я думаю никогда. Из servo код заимствуется кусками, и при таком подходе > не будет такого момента, когда вчера firefox был не на servo, > а сегодня стал на servo. Всё-таки мне кажется, что это ошибочный путь. Было бы логичным заморозить текущую кодовую базу и сделать Firefox LTS, а в дальнейшем выпускать только фиксы безопасности к LTS ветке. А все освободившиеся ресурсы бросить на развитие новой ветки "Firefox Servo" и постепенно наращивать функционал с учётом современных тенденций в развитии веба. Запилить, наконец, аппаратное ускорение видео, нормальный многопоток, сэндбокс изоляцию и т.д.

4.17, Аноним (17), 17:27, 10/04/2019 [^] [^^] [^^^] [ответить]	+2 +/–
А через два года обнаружить, что индустрия уже ушла вперед, а ты сидишь у разбитого корыта с наполовину написанным браузером.

5.19, Аноним84701 (ok), 17:42, 10/04/2019 [^] [^^] [^^^] [ответить]	+1 +/–
> А через два года обнаружить, что индустрия уже ушла вперед, Вы сделали 9 ошибок в слове "гугл" (ну а кто по факту сейчас диктует вектор развития веба, стандартов и прочего и прочем и все чаще "кладет большой и толстый" на всех несогласных?). Однако, сдается мне, все это "works as intended" (для гугла, естественно).

4.21, КО (?), 17:53, 10/04/2019 [^] [^^] [^^^] [ответить]

+/–

>Всё-таки мне кажется, что это ошибочный путь

Любой путь ошибочный :)

А если конкретно, то дуракаваляние с переписыванием все на Ржавчину, выявление новых багов, новая борьба с утечками памяти и пр. При полном отсутствии нового функционал выбесит любого манагера.

4.26, Ordu (ok), 21:07, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
> Было бы логичным заморозить текущую кодовую базу и сделать Firefox LTS, а в дальнейшем выпускать только фиксы безопасности к LTS ветке. И получить ещё один долгострой типа Wayland.

4.29, Аноним (28), 00:06, 11/04/2019 [^] [^^] [^^^] [ответить]	+1 +/–
> все освободившиеся ресурсы бросить на развитие новой ветки "Firefox Servo" ктож тогда будет за права меньшинств бороться, вы что?!! Ещё предложите вместо манагеров программистов набрать!

5.32, Ordu (ok), 09:59, 11/04/2019 [^] [^^] [^^^] [ответить]	+/–
Про права меньшинств я чаще слышу от анонимов опеннета, чем от менагеров Mozilla.

1.9, LeNiN (ok), 15:51, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Интересно, а можно в Firefox как-то выключить все эти встроенные блокировщики, чтобы он был просто браузером? Из немного связанного я знаю только про browser.safebrowsing.downloads.enabled=false, но хотелось бы в принципе выключить всё подобное.

2.10, Ан (??), 15:59, 10/04/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Какие блокировшики? В настройках - Приватность и защита - Блокировка содержимого - Персональная - снять все галочки

2.12, Онаним (?), 16:07, 10/04/2019 [^] [^^] [^^^] [ответить]	+3 +/–
Вы серьёзно? Сёрф без блокировщиков рекламы ныне опасен для морального здоровья.

3.13, Ан (??), 16:17, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
Нее, но желательно всё же отключить встроенный блокировщик, что бы например поставить свой... Если была бы во встроенном функция добавления своих фильтров, то тогда б другое дело и сторонний блокировщик был бы не особо нужен

4.14, Аноним (14), 16:27, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
Я думаю скоро будет апи для своих списков. Вот бы еще функционал umatrix увидеть в firefox

5.34, Аноним (34), 14:29, 12/04/2019 [^] [^^] [^^^] [ответить]	+/–
Зачем, если есть сам umatrix?

3.22, LeNiN (ok), 18:05, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
Я про те блокировщики, что пытаются встроить браузер. Мне как-то надоело, что вокруг всё больше блокируется без моего ведома. Tсли я сам хочу что-то блокировать, то сам и установлю что захочу.

4.23, Ан (??), 18:58, 10/04/2019 [^] [^^] [^^^] [ответить]

–1 +/–

Пресечение слива данных на сервера Google

С настройками по умолчанию Google должен защищать вас от вирусов и фишинга. Это зачастую полезная функция, но если вы знаете, что делаете, и не хотите, чтобы Google за этим наблюдал, то можете и избавиться от этого пристального внимания

user_pref("browser.safebrowsing.allowOverride", false);
user_pref("browser.safebrowsing.blockedURIs.enabled", false);
user_pref("browser.safebrowsing.downloads.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous", false);
user_pref("browser.safebrowsing.downloads.remote.block_dangerous_host", false);
user_pref("browser.safebrowsing.downloads.remote.block_potentially_unwanted", false);
user_pref("browser.safebrowsing.downloads.remote.block_uncommon", false);
user_pref("browser.safebrowsing.downloads.remote.enabled", false);
user_pref("browser.safebrowsing.malware.enabled", false);
user_pref("browser.safebrowsing.phishing.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.url", "");
user_pref("browser.safebrowsing.provider.google.advisoryName", "");
user_pref("browser.safebrowsing.provider.google.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google.gethashURL", "");
user_pref("browser.safebrowsing.provider.google.reportMalwareMistakeURL", "");
user_pref("browser.safebrowsing.provider.google.reportPhishMistakeURL", "");
user_pref("browser.safebrowsing.provider.google.reportURL", "");
user_pref("browser.safebrowsing.provider.google.updateURL", "");
user_pref("browser.safebrowsing.provider.google4.advisoryName", "");
user_pref("browser.safebrowsing.provider.google4.advisoryURL", "");
user_pref("browser.safebrowsing.provider.google4.dataSharingURL", "");
user_pref("browser.safebrowsing.provider.google4.gethashURL", "");
user_pref("browser.safebrowsing.provider.google4.reportMalwareMistakeURL", "");

взято отсюда http://www.spy-soft.net/firefox-privacy/

1.16, Аноним (-), 17:09, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
нужно ли оставлять это включенным, если пользуешься юблоком и юматриксом? Или дублирование функционала?

2.18, Аноним (18), 17:30, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
Нативный должен как-то побыстрее пробегаться. Но у него список мал. А дальше дорежется расширением. Есть ли в этом смысл - а фиг его знает.

3.24, Аноним (24), 19:34, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
Наоборот. Сперва работают расширения, после них вступает нативный контент-блокинг. И это правильно, так суррогаты юблока не ломаются.

3.33, Аноним (33), 21:27, 11/04/2019 [^] [^^] [^^^] [ответить]	+/–
А что, там будет нативность а не как всегда жс?

1.20, Аноним (-), 17:47, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Придется идентифицировать пользователей по особенностям GPU. Какие молодцы!

2.25, СеменСеменыч777 (?), 19:50, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
кому придется ? (упущен субъект) я идентифицирую пользователя по логину пользователя и паролю пользователя. всегда так делаю.

3.27, Аноним (-), 21:11, 10/04/2019 [^] [^^] [^^^] [ответить]	+/–
Кому надо - тому и придется. Кому интересна скрытая идентификация.

Добавить комментарий

Текст: