id: Гость   вход   регистрация
текущее время 23:56 28/03/2024
Автор темы: Serghan, тема открыта 20/03/2007 00:24 Печать
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ВЧёмБезопасностьБраузераMozillaFirefox
создать
просмотр
ссылки

В чём безопасность браузера Mozilla Firefox ?!


Mozilla Firefox провалил тесты на безопасность.
Мне не удалось его сконфигурировать чтобы он прошёл вышеуказанный тест безопасности, причём даже с плагином NoScript.


Firefox один из самый дырявых браузеров за 2006 год.
Откуда эти лозунги на банерах "Россия за безопасный WEB" – типо используйте Firefox.
Я просто хочу разобраться, чем это все подкреплено?


Opera например, проходит тест на pcflank.com простым конфигурированием настроек по горячей клавиши F12.


И кстати, есть ещё одна неприятность. Firefox черезвычайно много жрёт памяти (по сравнению с другими браузерами), когда у меня заканчивается память (т.к. Swap откл. RAM 512 MBytes) и он продолжает её жрать, приложение допускает недопустимую операцию.


Прошу без эмоций, "Это говно, это Круто! Или Firefox рулит всё остальное говно". Просто сухо разобраться.


 
На страницу: 1, 2 След.
Комментарии
— SATtva (20/03/2007 20:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Mozilla Firefox провалил тесты на безопасность.

Это какие тесты? Referrer и cookies? А чем NoScript должен помочь, если и первое, и второе устанавливается и считывается посредством протокола HTTP, а не исполняемых скриптов? Просто запретите в Firefox'е cookies для всех узлов (для нужных потом можно разрешить при надобности) и отфильтруйте referrer любым подручным средством — от браузера до какого-нибудь расширения Firefox (мне лично больше нравится Privoxy).

Прохожу тот же самый тест: "Your browser (or firewall) set to block cookies so there is no risk to your privacy... Your browser (or firewall) set to block referrer so there is no risk to your privacy". Дело, значит, не в браузере, а в "человеческом факторе".

Firefox один из самый дырявых браузеров за 2006 год

Где-то у Шнайера в блоге мне другие данные попадались (не могу найти ссылку, к сожалению). Вообще "дырявость" — не есть научный термин, а степень "дырявости" — во многом показатель субъективный, зависит от того, как считать: по числу выявленных уязвимостей или по количеству дней, когда найденные уязвимости оставались открыты (мне больше по душе второй вариант). А если учесть, что Firefox — единственный браузер с открытыми исходниками (среди крупных рыночных игроков), то сколько реальных уязвимостей (типа 0-day) присутствует у конкурентов — вопрос открытый и едва ли подлежащий закрытию в рамках конструктивной дискуссии.
— SATtva (21/03/2007 12:34)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вот, кстати, по теме:
http://www.securitylab.ru/news/293034.php
— sentaus (21/03/2007 13:11)   профиль/связь   <#>
комментариев: 1060   документов: 16   редакций: 32
Где-то у Шнайера в блоге мне другие данные попадались (не могу найти ссылку, к сожалению).

http://www.schneier.com/blog/a.....internet_explor.html
— SATtva (21/03/2007 13:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Спасибо. А вот по Эксплореру за прошлый год:
http://www.washingtonpost.com/.....s/index20070104.html
— SATtva (21/03/2007 13:25)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Только это всё частности, а по сути Serghan поднял верный вопрос. Современные веб-технологии столь сложны, что зачастую даже опытным пользователям нетрудно запутаться в их взаимодействиях. Как помочь? Мне кажется, что просвещать о внутренностях этих самых взаимодействий — в общем-то, гиблое дело (не совсем бесполезное, но в целом это тупиковый путь). Может лучше просто советовать людям: "хотите безопасность — жертвуйте функциональностью и ставьте links", к примеру? "Be secure by default". Какие у вас соображения?
— unknown (21/03/2007 15:15)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
«хотите безопасность — жертвуйте функциональностью и ставьте links»

Тех кто ставит Links просвещать уже не надо. Они уже "просветились", а тех кого устраивает IE это не нужно.

“Be secure by default”

В это я тоже не верю. Этот "Default" в конце концов получается путём долгой настройки и изучения документации. Опять же кому нужно, тот знает для чего.
— SATtva (22/03/2007 21:50)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Интересны текущие результаты опросов от 21 и 22 марта о безопасности браузеров и софта вообще. Если между результатами браузерных вопросов есть определённая корреляция, то связать их с результатами опроса по софту становится трудно: почти половина (44% на данный момент) высоко оценивает безопасность Оперы, однако подавляющее большинство (более 83%) считает, что открытый софт априори более безопасен. Опера — закрытая программа. И, тем не менее...
— spinore (23/03/2007 04:55, исправлен 23/03/2007 04:58)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


В любом случае, если сейчас внезапно раскрыть исходники оперы то обнаружится много чего...
Для файера этот фокус не прокатит ибо исходники уже раскрыты.


Домашние задание для SATtva:
Задача: предположим, что SATtva, захотел создать анонимное соединение с сайтом "X" – установил Линукс, а затем links, tor и privoxy, корректно настроил указанные 3 программы, после чего зашёл на указанный сайт "Х" через links. Однако, на сатйе "X" некто злобный unknown решил дискредитировать анонимность SATtva и моментально вычислил его реальный IP под которым SATtva виден в инете. Вопрос: как он это сделал?
P. S.: подсказка: ответ очень прост. Если не догадаетесь – скажу сам.
— SATtva (23/03/2007 10:52)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
(Любое совпадение имён является совершенно случайным и ненамеренным.) :-)
Ну, SATtva из задачки мог бы links и в Винде поставить. Тут ведь дело не столько в безопасности ОС (это уже тема для другого разговора), а в изначальной ограниченности браузера, который при всём желании нельзя заставить выполнить даже простейший скрипт на своей стороне (не говоря уже о поддерже всяких монстроподобных плагинов).
— spinore (23/03/2007 17:34)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


ага


Кажется, вы не понимаете. Так о какой конкретно ограниченности идёт речь?!
— SATtva (23/03/2007 21:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Кажется, вы не понимаете.

Ну так просветите меня.
— spinore (25/03/2007 05:32)   профиль/связь   <#>
комментариев: 1515   документов: 44   редакций: 5786


Ноги растут вот откуда: обычно "прокси" понимается как нечто, нужное для получения возможности в принципе связываться с инетом, а не как основной способ анонимности. Это умолчальное понимание слова "прокси", и потому в настройках браузеров окошко с настройками проксей всегда помещают в поле "network connections" а не в раздел "security". В браузере links, при всей его пушистости и безопасности, ситуация идеологически та же. По своей реализации links поддерживает следующие протоколы: FTP, HTTP и HTTPS. В поле для указания проксей есть возмодность указать прокси только для HTTP и FTP – для HTTPS соответствущего поля в интерфейсе нет :-(. Предположим, что некто "SATtva" глубоко не задумался о том, как себя поведёт браузер если для FTP и HTTP прокси указана в настройках, а про HTTPS не сказано ничего. В итоге, некто "unknown", видя на удалённом сервере что SATtva использует links (что не может быть отключено посредством настоек links'а) и коннектится через tor, заставляет проследовать SATtva по какой-нибудь ссылке, которая запросит HTTPS-соединение... Есть не малая вероятность, что SATtva на неё щёлкнет. После этого links, не выдавая никаких предупреждений, тихо и спокойно законнектистя на https не через tor по указанному в ссылке адресу. Анонимность скопрометирована. P. S.: в тему: сам долгое время не знал пока не напоролся, однажды... было много воплей, криков и ругани... (после одной такой "ссылки" зашёл для пущей гарантии на сайт поглазеть на свой внешний айпишник...)
— Гость (25/03/2007 09:42)   <#>
по какой-нибудь ссылке, которая запросит HTTPS-соединение...

Далеко и ходить не надо. Когда на этом форуме гость отправляет сообщение, он попадает в HTTPS!
— ygrek (25/03/2007 14:31)   профиль/связь   <#>
комментариев: 98   документов: 8   редакций: 10
а firewall?
— SATtva (26/03/2007 14:40)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
spinore, я не знал, спасибо. Как отметил ygrek, это можно отфильтровать брандмауэром, но напороться для первого раза можно.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3