Независимый эксперт по кибербезопасности Барак Тавили (Barak Tawily) обнаружил способ, с помощью которого злоумышленники на протяжении 17 лет могли получать доступ к файлам на компьютере через уязвимость в браузере Mozilla Firefox.В своем блоге он рассказал, что для этого используется вредоносный HTML-файл. Тавили пояснил, что Firefox — единственный из основных браузеров, в котором до сих пор используется ненадежная реализация механизма для открытия в браузере файлов, хранящихся на компьютере или в локальной сети через схему URI «file://».Эксперт продемонстрировал, как благодаря комбинации приемов ему удалось получить список файлов из той же папки, куда был загружен вредоносный HTML-файл, а также отправить собранные данные на удаленный сервер.Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку. Процесс занимает несколько секунд и незаметен для пользователя.Тавили сообщил о проблеме инженерам Mozilla, однако в компании, судя по всему, не планируют как-либо решать вопрос с уязвимостью. Он добавил, что нашел сообщение о наличии уязвимости, написанное еще 17 лет назад.Ранее эксперты по кибербезопасности Раймонд Хилл и Майк Кукец признали опасным популярное расширение для браузера Mozilla Firefox под названием Web Security. По их словам, расширение делало возможным передачу информации о посещенных сайтах пользователей третьим лицам.Ранее сообщалось, что количество пользователей браузером Mozilla Firefox сократилось до 8% от общего числа интернет пользователей. https://lenta.ru/news/2019/07/05/firefox_robbery/
>>5477165 (OP)>Mozilla Firefox сократилось до 8% от общего числа интернет пользователей. Это чьи данные? Поскольку у них уже и 7% нет.https://www.w3counter.com/globalstats.php
>>5477193> Это говно появилось раньше гуглопидорскогомейстрима, и именно гугл спиздел у него все его фишки, надо признать, успешно.
>>5477192Ну здесь глянь. Во всяких США и Британиях, у Сафари по 30% рынка.http://gs.statcounter.com/browser-market-share/all/united-states-of-america
>>5477180Опера 2 % ? Бред, опера в свое время на каждом калькуляторе стояла, пусть время ушло, но ведь по инерции кое где она еще должна стоять, минимум %10, вообще прямой конкурент Мозилы, Сафари тут вообще боком не стоит, это как Яндекс браузер для даунов
>>5477165 (OP)>Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку.здравствуйте_я_белорусский_вирус.txt
>>5477216Для мобилок.https://play.google.com/store/apps/details?id=com.sec.android.app.sbrowser&hl=ru
>>5477232Встрой в страницу самозагружающий HTML-файл, причем загружающий не скрытно, жертва заходит на страницу, там пустота и хуяк грузится какой то HTML-файл, жертва заходит в загрузки, смотрит, %50 от числа жертв обязательно откроет
>>5477165 (OP)>Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку. А потом взять молоток и разбить самому себе жесткий диск, не?
>>5477180>Поскольку у нихвсе норм программисты давно уже на фаерфокс переехалиа я как залез на неё в 2007м так и не слезал
>>5477165 (OP)>куда был загружен вредоносный HTML-файлопять эти маня истории о том, давайте я загружу на ваш комп вирус, отключите плз для начала антивируси я покажу как можно прочитать ваши маня файлики
>>5477165 (OP)Блять сука ну что за мерзкий пидорас, только для этого и пользуюсь этим браузером что можно через файловый протокол открывать файлы.В чем нахуй дыра? В том что сервер может на своей странице какой то контент встроить через file:// ну охуеть вообще уязвимость века блять.
>>5477165 (OP)>Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку. а еще убедить жертву назвать свои банковские реквизиты,..
>>5477180Хреновая ситуация на самом делеХром вначале позиционирования как самый быстрый браузер, а теперь самый медленный из-за сотни анальных зонжовИ могут себе позволить ведь
>>5477165 (OP)>Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере FirefoxБлядь, это тоже самое к асболютно любому вирусу относится.Сначала надо скачать и установить. И точно также они получают доступ, порой, ко всему компьютеру. Просто надо думать, что качаешь.
>>5477412Мне кажется в России все же больше оперой пользовалисьФорумы » Флейм » Firefox vs. Opera [Тема закрыта]Страниц: «-- 1 2 3 4 … 99 --»Форумы » Флейм » Firefox VS Opera II: в поисках истины [Тема закрыта]Страниц: 1 2 3 … 100 --»Форумы » Флейм » Firefox vs Opera III: красно-оранжевая полемика [Тема закрыта]Страниц: 1 2 3 … 99 --»Форумы » Флейм » Firefox vs Opera IV: тотальное сравнение браузеров Страниц: 1 2 3 … 54 --»
А я вообще пользуюсь Mosaic, отдаю в месяц по 200 баксов, что угодно, лишь бы быть элитой в от личии от вас ЛОХОВ.
>>5477372Похуй, пляшем. Замедлят ещё немного ютубчик и, скажем, гуглокапчу для всех вражеских юзерагентов, и снова будут самыми быстрыми.
>>5477165 (OP)И? JS вообще принципиально опасный особенно когда дело до браузерных расширений доходит.
>>5477442Да там больше флуда было от одних и тех же, чем реальных юзеров. Я ж и сам срался в таких темах на разных форумах.
>>5477472>3Вот были же нормальные иконки, не эта аппликация шестиклассника. А что за абстрактная хуйня изображена на иконке последнего тор браузера, я вообще не ебу.
>>5477468К слову говоря . Всегда побеждала Готика. Морровиндом восхищались, типа революция, но мало кто его вообще проходил или играл в него много, а вот Готику многие десятки раз проходили, каждые уголки исследовали, каждую деталь просматривали. Так что, в таких спорах всегда побеждала Готика, но в итоге проиграла, Беседка, как издатель, оказалась сильнее Пираней, как независимой студии.
>>5477493>в таких спорах всегда побеждала ГотикаЕбать у тебя манямирок. Наверное тебе так жить проще.
Первый вообще то появился Сафари на новом движке WebKit (потому что эпловской оси в то время все было *Kit - IOKit WebKit UIKit). Свободный движок V8 вот эта вот вся хуйня, причем HTML движок спизжен со свободного КДЕшного конкверора (KHTML). Потом высрался гугл со своим хромом на форке этого движка придумал свой интерфейс с этими верхними вкладками с возможностью закрепить и самое главное - легкие вебекстеншены на js+html+css.Все без исключения начали пиздить интерфейс и сафари и опера и мозила и все кто еще новый появился, начали добавлять свои фишечки которые уже хром начал тоже пиздить себе. Это нормально и правильно, пользователи толдько выйграли.Что касается мозилы у них исторически свой движок, он лучше вебкитовского разбирает html с ошибками намного более адаптирован к реалиям веба но причина по которой он не был выбран той же эпл это потому что он (ожидаемо) был пиздец закопан в костылях. Некоторые баги в нем не ворзможно просто так исправить они сохраняются годами а реализации нового через такие костыли иногда сделано шо пиздец.В хроме/вебките ничего такого нет но тем не менее хром неприятен в использовании, поскольку его движок делали эпл там изначально заложены ебучие эпловские принципы "то что мы считаем не нужным, вам не нужно"В хромобраузерах нет редактора стилей, нету вот этого вот открытия файла по протоколу, инструменты разрабортчика - мозила просто потихоньку затащила весь функционал фаирбаг, суперудобно работать все есть, постоянно адаптируют алгоритмы что бы копипеаст в редакторе как бы работал так как удобней пользователю.В вебките как 10 лет назад запилили инструментарий так он и есть очень клонсервативно функционал добавляют очень туго и долго, в итоге ими просто не приятно пользоваться. Но зато когда в режиме редактирования html пкм тыкаешь выкатывается нормальное текстовое субменю где можно скопировать вставить и так далее в фаирфоксе же в инструментах субменю через какие то костыли системное отключаетсяы и подменяется своим которое только в определенных областях работает соотв копипаст только через хоткеи можно делать.Мозила сейчас переписываает весь движок это будет еще очень долго, но уже многие вещи таки починяются и перерабатываются. В итоге хромиум соснет с проглотом и начнет то же кудла то шевелиться более либерально относиться к новым фичам.
>>5477519>инструменты разрабортчикаВот кстати так и не могу въехать чем руководствуются ребята которые кричат что у Хрома хорошие девтулзы. Они в целом такие же как у всех. Вот только у ФФ разительно лучше работа с http/xhr поставлена, особенно если нужно хедеры изучать и прочий дрочь.
>>5477165 (OP)>убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопкуДолбоебы должны страдать
>>5477544Так я и говорю их как эпл сделали 100 лет назад позаимствовав понравившиеся фишечки из того же фаирбаг и свое тоже добавив так оно и забетонировалось.Мозила за это время кучу раз переделала только поиск в файлах страницы, редактирование хтмл и прочееВ хроме - добавили темную тему инструментов разработчика. Збс, поиска по коду как небыло так и нет, редактирование стилей только отдельных нод.
>>5477165 (OP)>необходимо скачать вредоносный файлС таким же успехом можно троян подцепить. Из пальца новость высосана
>>5477525Бесконечная игра с охулиардом вариантов отыгрыша, в которой живешь, а не играешь, и это ещё без плагов и глобал-модов, супротив ограниченного раз и навсегда проскриптованного мирка, одним и тем же ГГ.
>>5477165 (OP)>нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопкуВот это выстрел, вот это да, рип лиса....
>>5477297Лучший коммент в треде.РаспЕареный хром даже не может скачать флэш видео со страницы. Про запрет анимации гифок вообще молчу, блядь, это было в IE в NT4.0
>>5477493Я вообще в готику не играл, а Морру задрачивал с самого 2004 года.ЧСХ, сюжет так и не прошел, там и без сюжета можно играть 1к+ часов.
