26.01.2017 в 22:01

Firefox начал предупреждать о HTTP

При заходе на HTTP-сайт, собирающий персональные данные, к примеру, пароли, обновленный браузер предупреждает пользователя, что этот канал плохо защищен.

Отныне в адресной строке Firefox в этом случае будет отображаться серый значок замка, перечеркнутый красной линией. Если кликнуть этот значок, появится диалоговое окно, сообщающее, что данное соединение ненадежно. По замыслу Mozilla, таким же образом браузер со временем будет реагировать на все HTTP-страницы.

«Продолжая пропагандировать использование HTTPS и должным образом оповещать пользователей о рисках, Firefox в итоге будет отображать перечеркнутый значок замка для всех страниц, не использующих HTTPS, чтобы пояснить, что они небезопасны, – гласит блог-запись Mozilla. – По мере исполнения наших планов мы продолжим публиковать новости на эту тему и надеемся, что изменения подвигнут всех разработчиков сделать нужные шаги к защите интернет-пользователей с помощью HTTPS».

Аналогичные меры принимает Google, совершенствуя свой браузер. В конце прошлого года вендор объявил, что с января пользователям Chrome при заходе на некоторые HTTP-сайты будет отображаться предупреждение о небезопасности такого шага.

Во вторник Mozilla также пропатчила ряд критических уязвимостей. Самая опасная из них (CVE-2017-5375) характеризуется как «чрезмерное распределение JIT-кода, позволяющее обойти ASLR и DEP». JIT (just in time) – это дефолтный процесс подачи Java-запросов, позволяющий запускать на исполнение скомпилированный байт-код напрямую, без предварительной интерпретации кода. Согласно Mozilla, обход защитных механизмов в данном случае открывает возможность для атак с целью нарушения целостности памяти.

Уязвимость use-after-free CVE-2017-5376 проявляется при преобразовании структуры документов формата XSLT. Критический баг порчи памяти CVE-2017-5377 крылся в Skia, библиотеке 2D-графики с открытым исходным кодом.

Трем брешам use-after-free присвоена высокая степень опасности; это CVE-2017-5379 в компоненте Web Animations, CVE-2017-5380, проявляющаяся при манипуляциях с DOM SVG-контента, а также CVE-2017-5396 в Media Decoder.

Несколько уязвимостей закрыты также в Firefox ESR, кастомизированной версии браузера, обычно используемой в школах, правительственных учреждениях и в тех бизнес-структурах, для которых принудительное обновление Firefox грозит приостановкой работы приложений, критически важных для рабочих процессов.

Firefox 51 – также первый из основных браузеров, наделенный способностью предупреждать о сайтах, которые не поддерживают цифровые сертификаты, подписанные с использованием SHA-2. Со слов Mozilla, эта возможность пока доступна лишь на бета-версии браузера, но со временем будет развернута и для остальных пользователей.

Источник новости: comss.info

Теги: firefox, HTTPS, SHA-2

416 просмотров

Оставить комментарий

Популярные статьи

Как установить Internet Explorer на Mac OS

прочтений: 9076 23.12.2015 в 19:12
У разработчиков различных программных продуктов очень часто возникает необходимость тестирования своих новых наработок в разных браузерах. Но если для основной работы используются, например, компьютеры... Читать далее
Браузер Opera Mini как для Android, так и для остальных мобильных ОС, на которых он выпущен (Symbian, iOS, Windows Phone), имеет встроенную функцию сохранения страниц веб-сайтов с дальнейшей возможностью их просмотра без подключения... Читать далее
Часто возникает необходимость сохранять различные страницы в Интернете для последующего их использования. И отлично справляется с этим такая функция браузера, как добавление закладок и, конечно же,... Читать далее
В отличие от браузера Google Chrome, в котором функция сохранения страницы в PDF является встроенной, в Firefox и Opera это достигается установкой специальных расширений и плагинов.... Читать далее
Облако тегов