24 декабря Архивач восстановлен после серьёзной аварии. К сожалению, значительная часть сохранённых изображений и видео была потеряна. Подробности случившегося. Мы призываем всех неравнодушных помочь нам с восстановлением утраченного контента!
Независимый эксперт по кибербезопасности Барак Тавили (Barak Tawily) обнаружил способ, с помощью которого злоумышленники на протяжении 17 лет могли получать доступ к файлам на компьютере через уязвимость в браузере Mozilla Firefox.
В своем блоге он рассказал, что для этого используется вредоносный HTML-файл. Тавили пояснил, что Firefox — единственный из основных браузеров, в котором до сих пор используется ненадежная реализация механизма для открытия в браузере файлов, хранящихся на компьютере или в локальной сети через схему URI «file://».
Эксперт продемонстрировал, как благодаря комбинации приемов ему удалось получить список файлов из той же папки, куда был загружен вредоносный HTML-файл, а также отправить собранные данные на удаленный сервер.
Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку. Процесс занимает несколько секунд и незаметен для пользователя.
Тавили сообщил о проблеме инженерам Mozilla, однако в компании, судя по всему, не планируют как-либо решать вопрос с уязвимостью. Он добавил, что нашел сообщение о наличии уязвимости, написанное еще 17 лет назад.
Ранее эксперты по кибербезопасности Раймонд Хилл и Майк Кукец признали опасным популярное расширение для браузера Mozilla Firefox под названием Web Security. По их словам, расширение делало возможным передачу информации о посещенных сайтах пользователей третьим лицам.
Ранее сообщалось, что количество пользователей браузером Mozilla Firefox сократилось до 8% от общего числа интернет пользователей.
>>5477180 Опера 2 % ? Бред, опера в свое время на каждом калькуляторе стояла, пусть время ушло, но ведь по инерции кое где она еще должна стоять, минимум %10, вообще прямой конкурент Мозилы, Сафари тут вообще боком не стоит, это как Яндекс браузер для даунов
>>5477165 (OP) >Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку. здравствуйте_я_белорусский_вирус.txt
>>5477232 Встрой в страницу самозагружающий HTML-файл, причем загружающий не скрытно, жертва заходит на страницу, там пустота и хуяк грузится какой то HTML-файл, жертва заходит в загрузки, смотрит, %50 от числа жертв обязательно откроет
>>5477165 (OP) >Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку. А потом взять молоток и разбить самому себе жесткий диск, не?
>>5477165 (OP) Блять сука ну что за мерзкий пидорас, только для этого и пользуюсь этим браузером что можно через файловый протокол открывать файлы. В чем нахуй дыра? В том что сервер может на своей странице какой то контент встроить через file:// ну охуеть вообще уязвимость века блять.
>>5477180 Хреновая ситуация на самом деле Хром вначале позиционирования как самый быстрый браузер, а теперь самый медленный из-за сотни анальных зонжов И могут себе позволить ведь
>>5477165 (OP) >Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox Блядь, это тоже самое к асболютно любому вирусу относится. Сначала надо скачать и установить. И точно также они получают доступ, порой, ко всему компьютеру. Просто надо думать, что качаешь.
>>5477472 >3 Вот были же нормальные иконки, не эта аппликация шестиклассника. А что за абстрактная хуйня изображена на иконке последнего тор браузера, я вообще не ебу.
>>5477468 К слову говоря . Всегда побеждала Готика. Морровиндом восхищались, типа революция, но мало кто его вообще проходил или играл в него много, а вот Готику многие десятки раз проходили, каждые уголки исследовали, каждую деталь просматривали. Так что, в таких спорах всегда побеждала Готика, но в итоге проиграла, Беседка, как издатель, оказалась сильнее Пираней, как независимой студии.
Первый вообще то появился Сафари на новом движке WebKit (потому что эпловской оси в то время все было *Kit - IOKit WebKit UIKit). Свободный движок V8 вот эта вот вся хуйня, причем HTML движок спизжен со свободного КДЕшного конкверора (KHTML). Потом высрался гугл со своим хромом на форке этого движка придумал свой интерфейс с этими верхними вкладками с возможностью закрепить и самое главное - легкие вебекстеншены на js+html+css. Все без исключения начали пиздить интерфейс и сафари и опера и мозила и все кто еще новый появился, начали добавлять свои фишечки которые уже хром начал тоже пиздить себе. Это нормально и правильно, пользователи толдько выйграли.
Что касается мозилы у них исторически свой движок, он лучше вебкитовского разбирает html с ошибками намного более адаптирован к реалиям веба но причина по которой он не был выбран той же эпл это потому что он (ожидаемо) был пиздец закопан в костылях. Некоторые баги в нем не ворзможно просто так исправить они сохраняются годами а реализации нового через такие костыли иногда сделано шо пиздец.
В хроме/вебките ничего такого нет но тем не менее хром неприятен в использовании, поскольку его движок делали эпл там изначально заложены ебучие эпловские принципы "то что мы считаем не нужным, вам не нужно" В хромобраузерах нет редактора стилей, нету вот этого вот открытия файла по протоколу, инструменты разрабортчика - мозила просто потихоньку затащила весь функционал фаирбаг, суперудобно работать все есть, постоянно адаптируют алгоритмы что бы копипеаст в редакторе как бы работал так как удобней пользователю. В вебките как 10 лет назад запилили инструментарий так он и есть очень клонсервативно функционал добавляют очень туго и долго, в итоге ими просто не приятно пользоваться. Но зато когда в режиме редактирования html пкм тыкаешь выкатывается нормальное текстовое субменю где можно скопировать вставить и так далее в фаирфоксе же в инструментах субменю через какие то костыли системное отключаетсяы и подменяется своим которое только в определенных областях работает соотв копипаст только через хоткеи можно делать.
Мозила сейчас переписываает весь движок это будет еще очень долго, но уже многие вещи таки починяются и перерабатываются. В итоге хромиум соснет с проглотом и начнет то же кудла то шевелиться более либерально относиться к новым фичам.
>>5477519 >инструменты разрабортчика Вот кстати так и не могу въехать чем руководствуются ребята которые кричат что у Хрома хорошие девтулзы. Они в целом такие же как у всех. Вот только у ФФ разительно лучше работа с http/xhr поставлена, особенно если нужно хедеры изучать и прочий дрочь.
>>5477544 Так я и говорю их как эпл сделали 100 лет назад позаимствовав понравившиеся фишечки из того же фаирбаг и свое тоже добавив так оно и забетонировалось. Мозила за это время кучу раз переделала только поиск в файлах страницы, редактирование хтмл и прочее
В хроме - добавили темную тему инструментов разработчика. Збс, поиска по коду как небыло так и нет, редактирование стилей только отдельных нод.
>>5477525 Бесконечная игра с охулиардом вариантов отыгрыша, в которой живешь, а не играешь, и это ещё без плагов и глобал-модов, супротив ограниченного раз и навсегда проскриптованного мирка, одним и тем же ГГ.
>>5477165 (OP) >нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку Вот это выстрел, вот это да, рип лиса....
>>5477297 Лучший коммент в треде. РаспЕареный хром даже не может скачать флэш видео со страницы. Про запрет анимации гифок вообще молчу, блядь, это было в IE в NT4.0
В своем блоге он рассказал, что для этого используется вредоносный HTML-файл. Тавили пояснил, что Firefox — единственный из основных браузеров, в котором до сих пор используется ненадежная реализация механизма для открытия в браузере файлов, хранящихся на компьютере или в локальной сети через схему URI «file://».
Эксперт продемонстрировал, как благодаря комбинации приемов ему удалось получить список файлов из той же папки, куда был загружен вредоносный HTML-файл, а также отправить собранные данные на удаленный сервер.
Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку. Процесс занимает несколько секунд и незаметен для пользователя.
Тавили сообщил о проблеме инженерам Mozilla, однако в компании, судя по всему, не планируют как-либо решать вопрос с уязвимостью. Он добавил, что нашел сообщение о наличии уязвимости, написанное еще 17 лет назад.
Ранее эксперты по кибербезопасности Раймонд Хилл и Майк Кукец признали опасным популярное расширение для браузера Mozilla Firefox под названием Web Security. По их словам, расширение делало возможным передачу информации о посещенных сайтах пользователей третьим лицам.
Ранее сообщалось, что количество пользователей браузером Mozilla Firefox сократилось до 8% от общего числа интернет пользователей.
https://lenta.ru/news/2019/07/05/firefox_robbery/