标签: Firefox

Microsoft Edge 未经允许静默导入 Firefox 数据

有用户发现通过 Windows Update 更新到设备的新版 Edge 会出现从 Firefox 导入数据的情况,即便用户未授权 Edge 进行此操作。 根据 krankie 的描述,微软在 UI 方面设计了一些元素来“欺骗和误导”用户。更新完系统,待 Edge 安装完成后,微软会显示一个最大化的 Edge 窗口给用户,但它会先弹出一个只包含”Get Started”按钮的模态对话框。因此用户无法直接关闭 Edge 也无法关闭模态对话框。唯一的选择是使用任务管理器来杀死此进程。不过即便关闭了它,Edge 也会自动固定到任务栏上。 最后他还提到,新版 Edge 未经用户允许就从其他浏览器中导入数据。 “除非通过任务管理器关闭它而不是执行强制设置,否则无论如何它都会复制数据,最糟糕的是大多数人永远不会知道 Edge 在做什么,因为他们再也不会打开它”。 除此之外,微软还会取消系统的默认浏览器设置,所以当用户点击一个 URL 时,需要重新选择默认浏览器。 微软对此一直保持沉默。因此,尽管最初的向导实际上是由用户手动杀死的,但到目前为止,仍不知道将 Edge 数据导入 Firefox 数据的原因。   (稿源:开源中国,封面源自网络。)

使用火狐浏览器的 Twitter 网友请注意 你的非公开信息或已被曝光

作为一款主打安全隐私的开源浏览器,Mozilla Firefox 拥有一票相当忠实的多平台用户。然而近日爆出的一个 Twitter 漏洞,却给使用该浏览器访问社交网站的用户蒙上了一层阴影。外媒指出,如果你一直通过 Firefox 来访问 Twitter,便很可能已经将非公开信息数据保存在本地缓存中。 庆幸的是,Twitter 方面表示其已经在服务器端修复了这个问题,且谷歌 Chrome 和苹果 Safari 均未受到影响。 社交巨头在接受 BetaNews 采访时称,问题与 Mozilla 如何处理 HTTP 报头数据的浏览器默认设置有关。 为避免这一问题,Twitter 方面已经实施了一项更改,以使 Mozilla Firefox 不再于缓存中存储 Twitter 数据。 不过 Twitter 并未将之归咎于 Mozilla 犯错或泄露,因此大家不必着急去批评 Firefox 。 如果你通过 Firefox 从共享或公共计算机访问 Twitter,并采取过下载数据存档、或通过 Direct Message 收发媒体文件等操作。 那么即使注销登录,这些信息仍可能被存储在浏览器的缓存中。Firefox 默认的有效期为 7 天,超时后将被自动清理。 最后,Twitter 表示已经彻底实施了一项变更,因此今后不会再在 Firefox 浏览器缓存中存储用户的个人信息。不放心的用户,建议在使用公共电脑后及时登出并清理缓存。   (稿源:cnBeta,封面源自网络。)

未来 Firefox 或将强制启用 HTTPS 链接 禁止访问不安全页面

Firefox的未来版本可能会引入HTTPS-only模式,也就是说全面阻止访问不安全的网站。在最新上线的Firefox 76 Nightly版本中,Mozilla引入了一项实验性功能,如果一切顺利将会在未来几个月登陆稳定版中,向所有用户开放。 包括Mozilla在内的浏览器厂商在很早之前就已经开始推动HTTPS了,尽管目前大多数网站都已经升级启用了该安全协议,不过依然有一些站点还是使用HTTP。而在启用HTTPS-only模式之后,Firefox浏览器就不会再加载HTTP网站。 浏览器首先会尝试访问服务器以获取HTTPS链接,如果该版本不存在,则会向用户提供一条错误消息,内容为“安全连接失败”。启用方式是安装最新的Firefox Nightly版本,在about:config页面中启用dom.security.https_only_mode这个Flag。在启用之后将强制不再加载HTTP页面。   (稿源:cnBeta,封面源自网络。)

Firefox 曝严重零日漏洞 Mozilla 现已紧急修复

Mozilla今天发布了紧急版本更新,重点修复了可能已经被利用的零日漏洞,允许攻击者来控制用户的计算机。在今天发布的安全通告中,Mozilla将该漏洞评为“严重”,并表示有证据表明多名黑客利用该漏洞进行了定向攻击。 美国网络安全和基础设施安全局警告称,至少有1个以上的漏洞被黑客利用,并且警告称黑客可以利用该漏洞来控制受影响的系统。Mozilla的公告中表示该漏洞的发现,主要归功于国内安全团队奇虎360,是他们向Mozilla报告了这个漏洞。 媒arstechnica就此事向Mozilla和奇虎360发送了咨询邮件,目前均没有立即提供回复。据悉该漏洞编号为CVE-2019-17026,是一个类型混淆方面的严重漏洞,可以导致数据被写入或者读取的时候超出限定的内存位置。而越界阅读能够让攻击者绕过诸如地址空间布局随机化之类的保护,也能够导致计算机崩溃。 该漏洞在本周二发布的Firefox 72.0.1版本更新中进行了修复,该版本还修复了其他11个漏洞,其中6个被评为高(其中三个可以让攻击者在感染的设备上运行恶意程序)。因此推荐用户尽快升级至Firefox最新版本,避免受到该漏洞影响。   (稿源:cnBeta,封面源自网络。)

NextDNS 与 Firefox 合作 帮助增强用户隐私和安全性

Mozilla宣布与NextDNS合作,以帮助提高其用户的隐私和安全性。 NextDNS跟随Cloudflare,成为Firefox的Trusted Recursive Resolver(TRR)计划的成员,该计划旨在增强DNS安全性和隐私性。 域名系统(DNS)会根据您键入的URL来确定将浏览器定向到哪个IP。这种旧技术有一些缺点,例如DNS提供商知道您正在浏览的内容以及中间人可能拦截该IP地址,然后请求并将您的浏览器指向其他位置,许多基于DNS的家长控制功能使用此技术来阻止对相关网站的访问。 作为TRR的一部分,NextDNS必须遵守Mozilla制定的一些规则,包括数据将仅用于操作服务,并且必须在24小时后删除。TRR还声明,不能将数据出售、共享或授权给其他方,以确保用户隐私。DNS反对者对HTTPS(DoH)提出的一个担忧是,它干扰了家长的控制。根据TRR规则,Mozilla要求合作伙伴应该允许用户选择过滤,这样父母就可以在孩子的设备上设置家长控制。 Mozilla表示,它希望吸引更多合作伙伴加入TRR计划,以将DNS系统提升到21世纪的水平,并提供用户期望的隐私和安全保护。   (稿源:cnBeta,封面源自网络。)

Firefox 被曝安全漏洞:显示虚假通知锁定浏览器使用

Mac和Windows平台的Firefox浏览器近日成为了部分恶意网站攻击的目标,这些网站会显示虚假的警告通知并完全锁定浏览器。黑客利用Firefox中的一个BUG来篡改该浏览器,从而在无需用户交互的情况下达到目的。目前Mozilla并未公布解决方案,不过该问题已经造成严重破坏并给用户带来困扰。 这个BUG是由Malwarebytes的Jérôme Segura向Mozilla报告的,他警告称通过特制的JavaScript能够利用这个漏洞。黑客可以伪装成技术支持网站,警告用户当前正在使用盗版的Windows系统。 如Ars Technica所报告,警告消息为: 请停止并且不要关闭PC。您的计算机的注册表项已锁定。为什么我们阻止您的计算机? Windows注册表项是非法的。 Windows桌面正在使用盗版软件。 Window桌面通过Internet发送病毒。该Windows桌面已被黑客入侵。为了您的安全,我们封锁了这台计算机。 该网站说明: 关闭窗口的唯一方法是使用Windows任务管理器或macOS中的“强制关闭”功能强制关闭整个浏览器。即使那样,Firefox也会重新打开以前打开的选项卡,导致无休止的循环。要解决此问题,用户必须强制关闭Firefox,然后在重新启动Firefox后在加载之前立即关闭虚假网站的选项卡。 Mozilla表示目前正在调查和制作修复补丁,不过目前没有准确的发布时间。   (稿源:cnBeta,封面源自网络。)

Mozilla 表示美国 ISP 向国会撒谎 散布有关 DNS 加密的不实信息

Mozilla今天在写给美国众议院委员会主席和高级成员的信中表示,互联网提供商反对浏览器DNS加密这一隐私功能,这些提供商的行为让外界质疑它们如何使用客户网络浏览数据。Mozilla还表示,互联网提供商一直在向立法者提供不准确的信息,并敦促国会公开调查当前ISP数据收集和使用政策。 基于HTTPS的DNS有助于防止窥视者看到用户浏览器正在进行的DNS查找。这会使ISP或其他第三方更加难以监控用户访问的网站。Mozilla信任与安全机构高级总监Marshall Erwin表示,毫无疑问,我们在DoH [基于HTTPS的DNS]上的工作促使ISP发起了一场运动,以阻止所有这些隐私和安全保护功能实施。 宽带行业声称,谷歌计划自动将Chrome用户切换到自己的DNS服务,但是Google公开宣布的计划是检查用户当前的DNS提供商是否在兼容DoH提供商列表中,如果用户选择的DNS服务不在该列表中,则Chrome不会对该用户进行任何更改。 而Mozilla实际上计划在默认情况下将Firefox用户切换到其他DNS提供商,特别是Cloudflare的加密DNS服务。但是,由于Firefox的市场份额较小,因此与Chrome相比,ISP显然不太关心Firefox。 Mozilla在致国会的信中说,ISP对加密DNS进行游说相当于电信协会明确主张ISP必须有能力收集用户数据并从中获利。目前,美国ISP对用户数据滥用包括在未经用户了解或未获得有效同意的情况下,向第三方出售实时位置数据,诸如Comcast之类的ISP、操纵DNS为消费者提供广告,Verizon使用超级Cookie来跟踪用户的Internet活动,AT&T每月向客户收取29美元的额外费用,以避免AT&T收集用户浏览历史记录并且从中获利。   (稿源:cnBeta,封面源自网络。)

Firefox 最安全?唯一通过德国联邦信息安全局考核的浏览器

在近期德国网络安全机构“德国联邦信息安全局(BSI)”针对几大 Web 浏览器进行的审查中,Firefox 在安全性上获得了最高分,并且是唯一通过所有强制性安全功能最低要求的浏览器。 不过前提是 BSI 只对 Mozilla Firefox 68(ESR)、Google Chrome 76、Microsoft Internet Explorer 11 和 Microsoft Edge 44 进行了测试,并不包括 Safari、Brave、Opera 与 Vivaldi 等浏览器。 此次测试是使用 BSI 于 2019 年 9 月发布的“现代安全浏览器”指南中详述的规则进行的。BSI 通常根据该指南就可以安全使用哪些浏览器向政府机构和私营公司提供建议。此次指南更新完善了现代浏览器新增和改进的安全措施与机制,例如 HSTS、SRI、CSP 2.0、遥测处理和改进的证书处理机制。 根据 BSI 的新指南,被认为安全的现代 Web 浏览器必须满足以下最低要求: 必须支持 TLS 必须具有受信任证书的列表 必须支持扩展验证(EV)证书 必须根据证书吊销列表(CRL)或在线证书状态协议(OCSP)验证加载的证书 浏览器必须使用图标或颜色高亮来显示通信何时加密到远程服务器或采用明文形式 仅在经过特定用户的批准后,才允许连接到使用过期证书运行的远程网站 必须支持 HTTP Strict Transport Security (HSTS) (RFC 6797) 必须支持 Same Origin Policy (SOP) 必须支持 Content Security Policy (CSP) 2.0 必须支持子资源完整性(SRI) 必须支持自动更新 必须为关键的浏览器组件和扩展支持单独的更新机制 必须对浏览器更新进行签名和验证 浏览器的密码管理器必须以加密形式存储密码 必须仅在用户输入主密码之后允许访问浏览器的内置密码库 用户必须能够从浏览器的密码管理器中删除密码 用户必须能够阻止或删除 cookie 文件 用户必须能够阻止或删除自动完成历史记录 用户必须能够阻止或删除浏览历史记录 组织管理员必须能够配置或阻止浏览器发送遥测/使用数据 浏览器必须支持一种机制来检查有害内容/URL 浏览器应允许组织运行本地存储的 URL 黑名单 必须支持一些设置,用户可以在其中启用/禁用插件、扩展或脚本 浏览器必须能够导入集中创建的配置设置,非常适合大规模企业部署 必须允许管理员禁用基于云的配置文件同步功能 必须在初始化后以最小的操作系统权限运行在操作系统中 必须支持沙箱 所有浏览器组件必须彼此隔离,并且与操作系统隔离。隔离组件之间的通信只能通过定义的接口进行,不能直接访问隔离组件的资源 网页需要彼此隔离,最好以独立进程的形式,还要允许线程级隔离 必须使用支持堆栈和堆内存保护的编程语言对浏览器进行编码 浏览器供应商必须在公开披露安全漏洞后不超过 21 天提供安全更新。如果主浏览器供应商未能提供安全更新,则组织必须移至新的浏览器 浏览器必须使用 OS 内存保护,例如地址空间布局随机化(ASLR)或数据执行保护(DEP) 组织管理员必须能够管理或阻止未经批准的附件/扩展的安装 根据 BSI 的说法,Firefox 是唯一支持以上所有要求的浏览器,其它浏览器测试不通过的原因包括: 缺少对主密码机制的支持(Chrome、IE、Edge) 没有内置的更新机制(IE) 没有阻止遥测收集的选项(Chrome、IE、Edge) 不支持 SOP(IE) 不支持 CSP(IE) 不支持 SRI(IE) 不支持浏览器配置文件/不同的配置(IE、Edge) 缺乏组织透明度(Chrome、IE、Edge)   (稿源:开源中国,封面源自网络。)

俄罗斯黑客修改 Chrome 和 Firefox 浏览器安装程序以追踪用户

浏览器制造商正在实施一些功能,如HTTPS和TLS加密,以防止站点通过各种技术来跟踪用户。但是,世界各地黑客喜欢与安全专家和软件开发人员一起玩猫捉老鼠的游戏。来自俄罗斯一个特别臭名昭著的团体将计就计,他们在用户安装Web浏览器同时,即时修改这些Web浏览器,为加密流量添加所谓“指纹”功能,以实时跟踪用户和其使用的电脑。 卡巴斯基实验室(Kaspersky Labs)对这种秘密攻击的调查报告显示,黑客设法找到了一种修改Web浏览器的方法,从而使被设计为安全且私有的TLS流量将带有唯一的指纹,以识别用户及其使用的电脑。 这些黑客能够做到这一点的方法几乎令人恐惧。黑客修补了Google Chrome和Mozilla Firefox的安装程序,让浏览器运行时包括该特殊的指纹功能。卡巴斯基无法确定黑客如何以及何时进行修改,但是黑客可能会在用户从合法来源下载安装程序时立即进行修改。 对于某些黑客来说,这是一个相当高的技术要求,因为这意味着黑客需要黑入Internet服务提供商和其网络。但是,对于一个名为Tulsa的黑客组织而言,这可能并不那么困难。Tulsa组织因与俄罗斯政府有联系而闻名,并参与了几起针对ISP的黑客事件。奇怪的是,这种被称为Reductor的恶意软件并未真正用于解密用户的加密流量,因此,这可能是一种隐蔽地跟踪用户网络活动的方法。     (稿源:cnBeta,封面源自网络。)

Firefox 曝出严重安全漏洞,建议所有用户尽快更新

Mozilla 发布了 Firefox 67.0.3 和 Firefox ESR 60.7.1 版本,用于紧急修复最新发现的 0day 漏洞。 安全公告中的完整描述如下: 由于 Array.pop 中的问题,操作 JavaScript 对象时可能会出现类型混淆漏洞。这可能导致可利用的崩溃。我们意识到已经有针对性的攻击滥用这个漏洞。 也就是说,该漏洞能够让黑客操纵 JavaScript 代码诱骗用户访问,并将恶意代码部署到他们的 PC 上。 该漏洞由 Google Project Zero 安全研究团队的 Samuel Groß 发现并报告,编号 CVE-2019-11707,安全等级为“严重”。甚至美国网络安全和基础设施安全局也已经参与传播有关补丁的信息。 有报道称可能有黑客利用这个漏洞进行攻击,获取加密货币。但除了 Mozilla 网站上发布的简短描述之外,没有关于此安全漏洞或持续攻击的其他详细信息。 以注重安全和隐私著称的 Firefox 出现 0day 漏洞是非常罕见的,Mozilla 团队最后一次修补 Firefox 0day 还是在 2016 年 12 月。 目前, Mozilla 安全委员会提醒所有 Firefox 用户尽快升级到最新版本,以避免遭受攻击。   (稿源:开源中国,封面源自网络。)