一个名为“ Safepal Wallet”的恶意Firefox插件，欺骗用户，窃取钱包余额，并在Mozilla插件网站上存在了7个月才被发现。 尽管恶意的浏览器插件已经被关闭，BleepingComputer 发现威胁者建立的钓鱼网站仍在运行。 一位名为Cali的Mozilla插件用户解释说:“今天我浏览了Mozilla Firefox的插件列表，我正在搜索 Safepal 钱包扩展，以便在web浏览器中我也可以使用加密货币钱包。” 在使用 Safepal 证书安装并登录该插件数小时后，Cali发现自己的钱包余额清空了。 “我深深地震惊了……我看到了我最后的交易记录，发现我的4000美元资金被转移到了另一个钱包。我不敢相信这是一个在Mozilla Firefox插件列表中的插件，”他在Mozilla的论坛中说道。 BleepingComputer 从“ Safepal 钱包”的附加页面发现，该插件至少从2021年2月16日起就开始使用了。 页面上，这个235kb的插件吹嘘自己是一个 Safepal 应用程序，可以安全地“在本地保存私钥”，还有令人信服的产品图片和营销材料。 为了在Mozilla网站上发布插件，开发者必须遵循提交流程，即提交的插件“随时接受Mozilla的审查”。但是，目前还不清楚提交的文件的安全程度。 Cali本月公开报道此事不到五天，Mozilla的发言人回应说，他们正在进行调查。该插件的介绍页面已被Mozilla删除。 虽然 Safepal在苹果应用商店和谷歌Play上都有官方智能手机应用，但我们并不知道是否有官方的“ Safepal ”浏览器扩展。 幸运的是，在Mozilla插件网站上，一些用户发布了一星评论，警告其他人不要下载“ Safepal Wallet”。 但是，对于Cali来说，一切为时已晚，收回资金的机会很渺茫。 “我已经和警察谈过了，他们对此无能为力。他们告诉我无法追踪到黑客。”Cali说。 BleepingComputer 联系Mozilla了解更多关于这个问题的信息: Mozilla的一位发言人告诉 BleepingComputer :“扩展安全对Mozilla来说很重要，我们的生态系统持续对千变万化的威胁做出回应。” “我们目前的重点是减少恶意扩展可能造成的损害，引导用户使用我们审查和监控的推荐扩展，帮助用户了解安装扩展带来的风险，让用户更容易地向我们反馈潜在的恶意扩展。” “根据我们的插件政策，当我们发现到插件会对安全和隐私造成威胁时，我们会采取措施阻止它们在Firefox中运行。关于这个插件，我们采取行动阻止其运行并从Firefox插件商店中删除了它。” 在调查恶意的火狐插件时，BleepingComputer 发现了插件使用的钓鱼域。如下所示的这个网页，在假插件的主页也被列为“支持网站”: https://safeuslife.com/tool/ WHOIS 记录显示，该钓鱼网站是在今年1月通过 Namecheap 注册的。在写这篇文章的时候，这个网页仍然在运营，它指示受害者输入他们的“12个单词的备份短语，用于匹配 SafePal 钱包。” 但是，一旦输入了备份短语并提交了表单，页面就会刷新，但没有任何明显的响应，备份短语却已悄无声息地发送给攻击者。 加密货币钱包和许多在线服务一样，如果用户忘记密码，由12个随机生成的单词组成的备份短语便可以用来恢复用户的私钥和钱包。但是，备份短语十分重要且私密，只能在特殊情况下使用，而且只能在服务提供商可信的应用程序或网站上使用。 备份短语如果被盗，攻击者可以控制你的钱包，以及访问和转移资金。 最近，加密货币诈骗正在增多，威胁者正在寻找更新的、难以检测的方法来欺骗用户。就在上周，有人入侵了Bitcoin.org官方网站，成功地骗走了1.7万美元。[详细请点击] 在之前的攻击中，包括npm、PyPI和GitHub在内的开源库被滥用，用以传播加密窃取和加密挖掘恶意软件。 随着网络平台上威胁者的日益增多，用户在提供安全密码或在线转移加密货币时应谨慎。 BleepingComputer 已经联系了 Mozilla 和 Safepal 寻求进一步的回应，同时向 Namecheap 报告了钓鱼域名。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

最近，Mozilla已经悄悄地使在Windows上切换到Firefox变得更加容易。虽然微软提供了一种在Windows 10上切换默认浏览器的方法，但它比简单的一键切换到Edge的过程更繁琐。这种一键式流程对微软以外的人来说并不可用，而Mozilla似乎已经厌倦了这种情况。 图片网址：https://static.cnbetacdn.com/article/2021/09/67575052607bdd6.gif 在8月10日发布的91版Firefox浏览器中，Mozilla对微软在Windows 10中把Edge设置为默认的方式进行了逆向工程，并使Firefox浏览器能够迅速使自己成为默认设定。在这一变化之前，Firefox浏览器的用户会被送到Windows 10的设置部分，然后你选择Firefox浏览器作为默认浏览器，从而忽略了微软Windows弹出的关于保留Edge默认设定的请求。 Mozilla的逆向工程意味着你现在可以在浏览器内将Firefox浏览器设置为默认浏览器，而且它在后台完成所有工作，没有额外的提示。这规避了微软对自己浏览器的保护措施，该公司在Windows 10中建立了这种保护措施，对外宣称以确保恶意软件无法劫持默认应用程序，而微软在Windows 11中使这一过程更加困难。 “人们应该有能力简单轻松地设置默认值，但他们没有，”Mozilla发言人在一份声明中说。”所有的操作系统都应该提供官方开发者对默认状态的支持，这样人们就可以轻松地将他们的应用程序设置为默认状态。由于这一点在Windows 10和11上没有发生，Firefox浏览器依靠Windows环境的其他方面给人们提供类似于Windows为Edge提供的体验。” 自2015年致微软的公开信以来，Mozilla一直试图说服微软改善Windows中的默认浏览器设置，但很显然微软方面没有对此作出任何回应，反倒让Windows 11切换默认浏览器变得更加困难。这似乎已经超出了Mozilla方面忍耐的极限，因此Mozilla在6月份Windows 11揭幕后不久就开始在Firefox中实施其变化。 到目前为止，Google、Vivaldi、Opera和其他基于Chromium的浏览器都没有跟随Mozilla的步伐，目前还不清楚微软究竟会如何回应。微软确实有一些真正与安全相关的理由来保护反劫持的恶意软件，但通过允许Edge轻松切换默认值，它破坏了竞争对手的浏览器供应商的公平竞争环境。   （消息及封面来源：cnBeta）

Mozilla 很高兴地宣布，Firefox 90 版本将支持基于“元数据请求标头”的获取功能，使得 Web 应用程序能够保护自身和用户免受各种跨源威胁。据悉，此类威胁涵盖了跨站点请求伪造（CSRF）、跨站点泄露（XS-Leaks）、以及投机性跨站点执行侧信道（Spectre）攻击。 跨站攻击的背后，其实涉及 Web 的基本安全问题。出于开放的特性，其难以允许 Web 服务器端严格区分自身应用程序（浏览器选项卡）的请求、或源自可能以不同方式打开的恶意（跨站点）应用程序的请求。 如上图所示，假设用户登录了托管于 https://banking.com 的银行网站，并开展了网银相关的某些活动。 与此同时，被恶意攻击者控制的网站、也可在不同的浏览器标签页中打开并执行来自 https://attacker.com 的一些恶意操作。 于是在用户正常交互的过程中，网银 Web 服务器端可能收到某些例外操作，但却几乎无法分辨到底由用户本人、还是另一标签页中的恶意攻击代码发起的操作。 最终导致网银或常见的 Web 应用程序服务器刻板地接收任意操作，并允许发起相关攻击。 好消息是，从 Firefox 90 开始，Mozilla 将允许 Web 浏览器通过 HTTP 请求头来获取元数据（Sec-Fetch-*），从而让 Web 服务器更好地区分同源 / 跨站攻击请求。 借助 Sec-Fetch-* 系列请求标头中提供的附加上下文（支持 Dest、Mode、Site、以及 User 这四种请求标头），Web 服务器将能够火眼金睛地拒绝或忽略恶意请求。 Fetch Metadate 请求标头的启用，可为各种 Web 应用服务带来深度防御机制。此外 Firefox 将很快推出新的站点隔离安全架构，以进一步解决上述某些问题。   （消息及封面来源：cnBeta）

据外媒报道，Mozilla日前宣布，它计划在新的一年里在全球范围内遵守新的《加州消费者隐私法(CCPA)》，而不只是针对美国西部各州的用户。《CCPA》是一项给加州人更多隐私保护的新法律，类似于欧盟推行的《GDPR》。据悉，CCPA将于当地时间1月1日正式实行。 有了《CCPA》，加州的总检察长将可以加强隐私保护、那些在加州的人也可以起诉那些没有按照该法处理数据的公司。根据《CCPA》，加州用户可以询问公司收集了哪些个人信息、获得访问权限、更新和更正信息、删除信息、了解其跟谁共享这些信息并选择不向第三方出售这些信息等。 Mozilla在声明中指出，它已经收集的用户数据非常少，然而，在即将到来的更新中，Mozilla计划让用户能从Mozilla的服务器上删除他们的遥测数据。在Firefox中，遥测只能提供Mozilla一般信息，比如打开了多少个标签页、打开了多长时间，但其无法知道用户在浏览的具体网站也不会在用户处于私密浏览模式时收集任何数据。 等到1月7日的浏览器更新中，用户将能找到一个可以删除其遥测数据的控件。   （稿源：cnBeta，封面源自网络。）

Mozilla今天在写给美国众议院委员会主席和高级成员的信中表示，互联网提供商反对浏览器DNS加密这一隐私功能，这些提供商的行为让外界质疑它们如何使用客户网络浏览数据。Mozilla还表示，互联网提供商一直在向立法者提供不准确的信息，并敦促国会公开调查当前ISP数据收集和使用政策。 基于HTTPS的DNS有助于防止窥视者看到用户浏览器正在进行的DNS查找。这会使ISP或其他第三方更加难以监控用户访问的网站。Mozilla信任与安全机构高级总监Marshall Erwin表示，毫无疑问，我们在DoH [基于HTTPS的DNS]上的工作促使ISP发起了一场运动，以阻止所有这些隐私和安全保护功能实施。 宽带行业声称，谷歌计划自动将Chrome用户切换到自己的DNS服务，但是Google公开宣布的计划是检查用户当前的DNS提供商是否在兼容DoH提供商列表中，如果用户选择的DNS服务不在该列表中，则Chrome不会对该用户进行任何更改。 而Mozilla实际上计划在默认情况下将Firefox用户切换到其他DNS提供商，特别是Cloudflare的加密DNS服务。但是，由于Firefox的市场份额较小，因此与Chrome相比，ISP显然不太关心Firefox。 Mozilla在致国会的信中说，ISP对加密DNS进行游说相当于电信协会明确主张ISP必须有能力收集用户数据并从中获利。目前，美国ISP对用户数据滥用包括在未经用户了解或未获得有效同意的情况下，向第三方出售实时位置数据，诸如Comcast之类的ISP、操纵DNS为消费者提供广告，Verizon使用超级Cookie来跟踪用户的Internet活动，AT&T每月向客户收取29美元的额外费用，以避免AT&T收集用户浏览历史记录并且从中获利。   （稿源：cnBeta，封面源自网络。）

Google和Mozilla正在采取行动反对哈萨克斯坦政府对其本国公民开展基于证书的监视行动。两家公司今天宣布，他们正在联手在浏览器中阻止哈萨克斯坦政府上个月颁发的根证书，该证书允许它监控任何安装它的用户的加密互联网活动。政府要求该国ISP合作，强制所有客户安装证书以获得互联网访问权限。 根据密歇根大学发表的一项研究报告表明，它允许哈萨克斯坦政府对包括Facebook，Twitter，谷歌等37个域名的HTTPS连接进行“中间人”或MitM攻击。 通常，HTTPS网站的加密方式会让包含ISP在内的第三方无法访问它。就哈萨克斯坦而言，MitM攻击打破了这些网站的加密机制，允许自由监视私人互联网活动。 在行动完成后，最为流行的Chrome和Firefox浏览器都会禁止非法证书。 Mozilla将使用OneCRL阻止哈萨克斯坦的根证书，自2015年以来，Firefox一直用它来撤销证书。之前，在哈萨克斯坦访问互联网的用户的智能手机或计算机上会收到一条消息，要求他们安装根证书。 现在，当Firefox在哈萨克斯坦检测到证书时，它将阻止连接并显示错误消息。 Chrome也会阻止该证书，此外，它还将这一规则添加到Chromium源代码中的阻止列表中，并在将来包含在其他基于Chromium的浏览器中。 由于哈萨克斯坦几周前停止要求用户安装证书，现在看来，此举似乎是不必要的。据路透社报道，哈萨克斯坦政府本月早些时候在面临法律挑战后停止了其监控证书的部署，原因是一批哈萨克斯坦律师起诉该国三家移动运营商限制互联网接入。哈萨克斯坦国家安全委员会作出回应，他们发布了一份声明，称证书推出是一项“测试”，现已完成。 Mozilla承认该公司已经知道哈萨克斯坦结束了这项测试。但是，如果安装了证书，用户仍可能容易受到攻击。 “虽然政府的测试显然已经结束，但它可以用来监视网络流量的机制仍然存在。而且一些用户可能仍然安装了这个恶意证书。这些用户仍然很脆弱，即使攻击没有持续，我们也没有等待漏洞被再次利用，将设法直接解决它。” Mozilla还表示将继续监督哈萨克斯坦政府的行动，并将在未来签发类似证书时采取再次行动。   （稿源：cnBeta，封面源自网络。）

讯 北京时间9月13日晚间消息，Mozilla联合创始人布兰登·艾奇(Brendan Eich)创立的浏览器公司Brave今日在英国和爱尔兰对谷歌和其他广告公司进行了投诉，称这些公司泄露用户数据的行为违反了欧盟新生效的数据隐私法规《通用数据保护条例》(以下简称“GDPR”)。 GDPR于今年5月正式生效。该法规旨在赋予欧盟居民对个人数据有更多的控制权。如果一家公司不遵守这项条例，将面临最高相当于其全球年度营业额4%或2000万欧元(约合2340万美元)的罚款， Brave和其他一些原告称，谷歌和其他一些广告公司存在大规模、系统性的数据泄露行为。虽然GDPR在正式实施前，已经赋予企业两年的准备时间，但包括谷歌在内的广告科技公司至今仍未遵守该规定。 原告称，当用户访问网站时，谷歌和其他一些广告公司出于拍卖和投放广告的目的，将用户个人数据和访问记录发送到几十家、乃至上百家公司，而且是在用户不知情的情况下。毫无疑问，这违反了GDPR的规定。 对此，谷歌称，已与欧洲监管机构协商，实施了强有力的隐私保护措施，并已承诺遵守GDPR。   稿源：，稿件以及封面源自网络；

为了帮助实现更加开放、让每个人都能轻松访问到的分布式互联网技术， Mozilla 于去年与美国国家科学基金会携手提供了 200 万美元的奖金。现在，这个项目似乎已经取得了积极的成果。Mozilla 刚刚宣布，自 Firefox 59 开始，用户将能够通过扩展来启用 “分布式互联网协议”。Firefox 59 的正式版定于 2018 年 3 月份推出，其中包含了对一些新批准的协议的支持，比如 Dat Project、IPFS、以及 Secure Scuttlebutt 。 此举意味着 Mozilla 在积极为当前占主导地位的 “ 客户端-服务器 ” 模型（CS Model）寻找替代方案。 需要指出的是，协议实施的重担并没有落在 Mozilla 身上，只是 Firefox 浏览器会将其认定为合法的而已。此外，这些扩展可以自由地提供各自的实现方式。 由博客文章可知，Mozilla 坚信这会是“ 一个健康的互联网的关键组成部分 ”。 2017 年 6 月的时候，作为 200 万美元的分布式互联网奖金的一部分，Mozilla 收集开发了一票面向网络访问不可靠社区的无线解决方案。 作为 Mozilla 推动创新的最新举措，这家非盈利组织最近还捐赠了 27.5 万美元，用于支持教育技术项目。 Dat Project、IPFS、Secure Scuttlebutt 旨在通过支持对等网络的文件传输和 Web 浏览功能，以改善互联网基础设施，而这当前是基于 “ 客户端-服务器 ” 的 Web 所提供的功能。 这些协议与现有模型的区别，主要体现在改进了隐私和安全性，以及对网络中立性的支持。 除了这些特性，即将推出的 Firefox 59 还提供了一个应用程序接口（API），能够隐藏界面上未使用的标签页，并改进了网络请求（webRequest）API 。 当然，得益于一套双层 WebAssembly 编译器，最近发布的 Firefox 58 已经带来了显著的速度提升。 稿源：cnBeta，封面源自网络；

Mozilla 确认近日全平台中招的 Meltdown（熔断）和 Spectre（幽灵）两个漏洞能够用于提取用户上网的登陆信息。尽管这种情况的发生概率极小，但已经证明确实存在这种安全隐患。 Mozilla 通过多个 JavaScript 脚本文件确认了这种攻击方式的可行性，假如网页创建者怀揣恶意目的，能够提取任意访客的相关信息。不过这种情况概率极小，首先是软件和固件始终处于未更新状态，而且硬件是过去 20 年生产的。 Mozilla 软件工程师 Luke Wagner 在博文中确认：“ 近期公布的数篇科研文章已经证实了在近代 CPU  上存在新型攻击方式（熔断和幽灵）。我们的内部测试发现，能够相似的技术能够从网页内容中读取隐私信息。”所幸的是，近年来下载的 Firefox 在默认情况下都会进行自动更新。 稿源：cnBeta，封面源自网络；