[Перевод] Провоцирование сбоев браузера при помощи поведенческого фаззинга

В этой статье я расскажу вам, как я использовал фаззинг, чтобы найти несколько сбоев в Firefox. Обычно целью фаззинга является нахождение сбоя, указывающего на повреждение памяти, но моя цель заключается в другом: я хочу обнаружить неожиданную реакцию браузера. Это могут быть символы, которые...

Все блоги / Про интернет

[Перевод] Технические детали недавнего сбоя расширений Firefox

Об авторе. Эрик Рескорла — технический директор группы Firefox в Mozilla Недавно в Firefox произошёл инцидент, когда большинство дополнений (расширений, аддонов) перестали работать. Это связано с ошибкой с нашей стороны: мы не заметили, что истёк срок действия одного из сертификатов, который...

Все блоги / Про интернет

Сегодня многие популярные аддоны для Firefox перестали работать из-за ужесточения политики безопасности

Здравствуйте, уважаемые хабровчане! Сразу хочу предупредить, что это — моя первая публикация, так что прошу сразу оповещать обо всех замеченных проблемах, опечатках и прочем. Утром, как обычно, я включил ноутбук и начал неспешный сёрфинг в своем любимом Firefox (релизный 66.0.3 x64). Внезапно утро...

Все блоги / Про интернет

Google «рушится» для пользователей Яндекс.Браузера, Microsoft, Mozilla, Vivaldi: «переходите на Chrome»

Глава настольной версии Яндекс.Браузера Роман Иванов рассказал, что Google деградирует работу собственных сервисов тем посетителям, кто предпочитает посещать сайты при помощи Яндекс.Браузера. Впрочем Яндекс нашёл способ противостоять саботажу Google:...

Все блоги / Про интернет

[Перевод] V8: один год со Spectre

3 января 2018 года Google Project Zero и другие раскрыли первые три из нового класса уязвимостей, которые затрагивают процессоры со спекулятивным выполнением. Их назвали Spectre (1 и 2) и Meltdown. Используя механизмы спекулятивного выполнения CPU, злоумышленник может временно обойти как явные, так...

Все блоги / Про интернет

Как «шпионская» компания пробивалась в хранилище сертификатов Mozilla и что из этого вышло

По-настоящему детективная история развернулась в последние месяцы вокруг компании DarkMatter, которая подала заявку на включение своего центра сертификации в доверенное корневое хранилище сертификатов Mozilla. Дело в том, что это не простая компания, а разработчик «шпионского» программного...

Все блоги / Про интернет

Бакунов (Яндекс): мы 100 раз предупреждали Firefox, что Google кинет с партнёрством, в Mozilla не верили

Один из бывших руководителей команды Firefox Джонатан Найтингейл рассказал, что после запуска Google Chrome "корпорация добра" стала виновником десятков и даже сотен "недоразумений" для Mozilla Firefox. При попытке воспользоваться через Firefox Gmail или Google Docs — сервисы не работали,...

Все блоги / Про интернет

Будущее нативных и веб-приложений — мнение дизайнера Ильи Бирмана

Илья Бирман, арт-директор бюро Артёма Горбунова, в своём блоге написал заметку о будущем нативных и веб-приложений — о том, как будут выглядеть интерфейсы и почему они в итоге соберут элементы и того, и другого. ЦП публикует материал с разрешения автора....

Все блоги / Про интернет

[Из песочницы] Почему вам надо обновить свои SSL сертификаты

Если точнее, то SSL/TLS сертификаты. Если смотреть трезво, то использовать теперь следует только TLS. Но сертификат-то что для SSL, что для TLS один. И называют его все по привычке «SSL сертификат». Статья предназначена, в основном, для администраторов веб=серверов. Причина, по которой вам возможно...

Все блоги / Про интернет

Разработчики Chrome предлагают помечать HTTP как небезопасное соединение

Сотрудники Chrome Security Team выступили с предложением постепенно изменить дизайн адресной строки в браузерах, чтобы отображать небезопасные соединения (HTTP) как явно небезопасные. В браузере Chrome это планируют реализовать в 2015 году. Цель: более чётко показывать пользователям, что передача...

Все блоги / Про интернет

Против кого дружат Google, Chrome Mozilla и Microsoft? Или SHA-1 уходит в прошлое

Еще 5 сентября 2014 года разработчики браузера Chromium в своем блоге объявили о том, что к 1 января 2017 года их браузер перестанет поддерживать алгоритм шифрования SHA-1. Это алгоритм используется (и использовался) для выпуска SSL-сертификата. Все браузеры на основе Chromium (в том числе и Google...

Все блоги / Про интернет

[Из песочницы] Батники против эксплойтов (версия для Windows XP)

Как-то мне на глаза попалась публикация на Хабре — «Батники против эксплойтов». В ней рассказывалось, как одним движением запускать браузер из под специально созданного юзера, у которого нет прав запускать приложения. По замыслу автора это может защитить от эксплойтов и Drive-by атак. Эта,...

Все блоги / Про интернет

Как скачать и установить Adobe Flash Player

Что бы ни говорили некоторые люди, Adobe Flash все еще остается очень востребованной технологией в Интернете. И никакой HTML5 пока не в состоянии полностью его заменить. © Роман Дядиченко для сайта Блог Оперолюба, 2014. | Комментариев: 16...

Все блоги / Браузер Opera

Уязвимость в проверке подписей сертификатов в библиотеке NSS

Иногда так бывает, что уязвимости льются одна за другой. Пока все обсуждают ShellShock, Mozilla и Google обновляют свои браузеры Firefox и Chrome, чтобы закрыть достаточно серьезную уязвимость, которая может, при определенных обстоятельствах, привести к подделке подписи SSL-сертификата. Библиотека...

Все блоги / Про интернет

Как создать расширение для Google Chrome

Google Chrome – это один из наиболее популярных браузеров, и тому есть множество причин: он быстро работает, он надежен и предлагает невероятный набор инструментов для разработчиков, а также сотни различных расширений для своих пользователей, которые можно скачивать из Google Store. Также следует...

Все блоги / DLE движок для сайтов

Исследователи из Принстона обнаружили «теневой» инструмент идентификации пользователей в плагине AddThis

На днях в Сети появилось сразу несколько публикаций, тема которых — скрытый способ идентификации пользователей посещаемыми сайтами. Этот способ (получивший название «canvas fingerprint») весьма сложно, если вообще возможно, заблокировать стандартными методами, типа блокированием куков либо...

Все блоги / Про интернет

XSS-game от Google

Google представил игру, заключающуюся в поиске xss-уязвимостей, c целью распространения информации об этом наиболее опасном и распространенном типе уязвимости. Google очень серьезно относится к обнаружению уязвимостей, что платит до $7500 за серьезные xss. Ну а игра покажет как выявлять xss, это...

Все блоги / Про интернет

DevTools в Internet Explorer 11

Встроенные инструменты для разработчиков в Internet Explorer (то есть, DevTools) длительное время не могли предложить всего необходимого функционала для отладки сайтов, что и делало этот набор инструментов абсолютно бесполезным. Среди проблем можно отметить отсутствие возможности инспектировать...

Все блоги / DLE движок для сайтов