Браузеры

QUIC позволяет мгновенно установить повторное соединение (0-RTT) и обеспечивает минимальную задержку между отправкой запроса и получением ответа

Google Chrome Canary стал первым браузером, в который интегрирована (очень) экспериментальная поддержка протокола HTTP/3, где вместо TCP в качестве транспортного уровня используется протокол QUIC.

HTTP/3 — это новый синтаксис HTTP, который работает на IETF QUIC, мультиплексированном и безопасном транспорте на основе UDP. Хотя некоторые разработчики называют QUIC на UDP «дичайшим экспериментом», новый протокол сулит массу преимуществ.

Почти половина россиян используют блокировщики рекламы на персональных компьютерах и смартфонах. К такому выводу пришли специалисты консалтинговой компании Deloitte по результатам проведённого опроса, пишет РБК.

Представители рекламных агентств называют эту цифру завышенной. По их мнению, реальный процент использования блокировщиков в районе 20%. Но показатель сильно отличается для разных сайтов. В частности, блокировщики установлены у подавляющего большинства технически грамотных пользователей, особенно у мужчин (информация от Deloitte). На Хабре показатель может зашкалить за 80% (см. опрос внизу статьи).

Причины понятны: реклама и следящие трекеры существенно замедляют загрузку страниц и расходуют заряд батареи на мобильных устройствах. Как показало исследование Ghostery, на трекеры приходится 55,4% общего времени загрузки, а на медленных соединениях эффект проявляется ещё сильнее. Именно поэтому в прошлом году Mozilla приняла решение блокировать по умолчанию сторонние трекеры в браузере Firefox.

Сейчас основные версии Firefox (десктоп и Android) выходят каждые 6-8 недель. В последние годы Mozilla реализовала поэтапную стратегию выпуска версий с несколькими предварительными каналами: Firefox Nightly, Beta и Developer Edition. С помощью этого подхода разработчики тестируют и исправляют новые функции, прежде чем выпустить их для большинства пользователей в финальном релизе. Это большая работа, которая требует согласованных усилий множества людей. Но Mozilla считает, что способна работать ещё быстрее.

Начиная с I квартала 2020 года основные версии Firefox будут выходить каждые четыре недели.

Mozilla объясняет смену ритма двумя причинами:

1. В последнее время приходит много просьб о более оперативном выпуске функций.
   
2. Разработчики отдельных функций всё чаще работают в спринтах, которые лучше сочетаются с более короткими циклами выпуска.

Проект Tor собрал $86 000 в Фонд поиска багов (Bug Bash Fund). Из него будет выплачиваться вознаграждение разработчикам за быстрое исправление критических ошибок — уязвимостей или проблем с утечкой конфиденциальных данных о пользователях.

В прошлом месяце Tor объявил, что любые пожертвования в адрес организации в течение августа 2019 года будут добавлены в фонд Bug Bash.

Это должно помочь как-то бороться с негативным информационным фоном, который в последнее время сложился вокруг Tor. Для справки, FUD (Fear, uncertainty and doubt — «Страх, неуверенность и сомнение») — тактика психологической манипуляции, применяемая в маркетинге и пропаганде вообще, заключающаяся в подаче сведений о чем-либо (в частности, продукте или организации) таким образом, чтобы посеять у аудитории неуверенность и сомнение в его качествах и таким образом вызвать страх перед ним. При этом может использоваться клевета, голословные утверждения и намёки.

Mozilla объявила о перезапуске платформы Test Pilot, которая была закрыта ранее в этом году. На этот раз платформа будет работать с использованием новых функций, среди которых — Firefox Private Network — подобие VPN для публичных сетей.

Test Pilot представляет собой платформу для разработки и написания различных проектов для среды браузера Firefox. Она была закрыта ранее в этом году из-за финансовых и технических проблем без анонсирования даты перезапуска.

Сейчас Mozilla уведомляет пользователей Firefox, которые зарегистрировались для получения учетной записи Firefox и подписались на получение информации о тестировании новых продуктов, о повторном запуске программы Test Pilot. Эти пользователи получат шанс протестировать новые функции платформы. В Mozilla отмечают, что разница между новой и старой версией платформы заключается в том, что продукты и услуги, программы и алгоритмы, разработанные на базе Test Pilot, могут использоваться за пределами браузера Firefox. Кроме того, Test Pilot, по заявлению Mozilla, стала более интерактивной и простой в работе.

Одна из новых функций платформы — Firefox Private Network, которая представляет собой аналог VPN-сервиса для публичных сетей.
«Это расширение, которое предоставляет пользователям безопасный, зашифрованный путь к сети для защиты соединения и личной информации везде, где используется Firefox», — поясняет издание HotHardware.

В последней версии своего браузера Firefox компания Mozilla ввела блокирование сторонних куки-трекеров по умолчанию. Появилась эта функция начала еще в Firefox 63, но сейчас соответствующие настройки включены по дефолту.

Компания заявила, что она блокирует не рекламу, а лишь сторонние трекеры. При тестировании новой функции оказалось, что работает она неплохо — в рамках одной из проверочных сессий браузер заблокировал более 30 трекеров. Новую стратегию компания выбрала для того, чтобы улучшить защиту личных данных пользователей, а также увеличить скорость загрузки страниц сайтов.

Браузер Mozilla Firefox — как десктопная версия, так и для Android — по умолчанию будет блокировать сторонние файлы cookie для отслеживания действий пользователей. Новая функция внедрена, по информации Mozilla, для защиты пользователей от рекламы и от кражи личных данных.

Функцию под названием Enhanced Tracking Protection протестировали в июне. Сейчас она будет автоматически включена по умолчанию для всех пользователей в рамках стандартных настроек Firefox.

«Усовершенствованная защита создана для того, чтобы не дать собрать о вас информацию и сформировать ваш профиль на основе отслеживания поведения на веб-сайтах — часто без вашего ведома или согласия. Эта информация может быть продана или использована в чужих интересах. Улучшенная защита от слежки помогает устранить эту угрозу», — сообщается в блоге Mozilla.

Всё больше сайтов (особенно медийных) пытаются воспрепятствовать доступу пользователей, у которых установлен блокировщик рекламы. Они обычно показывают всплывающее окно с просьбой оформить подписку или сделать пожертвование, а в некоторых случаях вообще блокируют доступ к сайту, пока вы не внесёте их в белый список блокировщика.

Для обхода этой защиты разработаны отдельные расширения. Например, Nano Defender (для Chrome и Firefox) интегрируется с uBlock Origin или Nano Adblocker, см. инструкции по настройке.

Пользователи сообщают, что в последнее время Nano Defender временно не работал. Хотя проблема уже исправлена, но в таких ситуациях можно легко заблокировать блокировку блокировщиков рекламы вручную.

На этой неделе в Microsoft выпустили первую бета-версию (beta preview) новой сборки браузера Edge, основанного на движке Chromium и объявили о запуске новой программы вознаграждения «Microsoft Edge Insider Bounty Program» для специалистов в области кибербезопасности, серьезно мотивируя их искать новые уязвимости.

Сегодня, с некоторым опозданием (уже после так называемого тестирования), разработчики Google Chrome в своем security-блоге (пост) опубликовали информацию, что в рамках защиты пользователей Казахстана национальный сертификат добавлен в CRLSets (набор аннулированных сертификатов).

Исследование Джорджтаунского университета и Военно-морской исследовательской лаборатории США показало, что снизить производительность сети Tor можно всего за 17 тысяч долларов в месяц.

Исследование было проведено, чтобы проанализировать затраты на замедление работы сети Tor с помощью разных методов. По мнению его авторов, осуществление атаки на всю сеть — дело сложное и крайне затратное. Оно потребовало бы $7,2 миллиона в месяц и огромных ресурсов DDoS (512,73 Гбит/с).

Тем не менее, существуют три типа атак DoS, которые могут засорить сеть Tor и таким образом заставить пользователей отказаться от её использования из-за низкой производительности. Вместо того, чтобы атаковать отдельные серверы Tor, злоумышленники могут атаковать мосты Tor — то есть альтернативные точки входа в сеть.

Три года назад инженер по программному обеспечению Google Али Джума предложил внести изменения в работу браузера Chrome, которые бы позволили защитить пользователей от кликджекинга.

Кликджекинг представляет собой форму онлайн-атаки, при которой злоумышленник может получить доступ к конфиденциальной информации пользователя или даже к его компьютеру, заманив его на нужную страницу. Принцип действия атаки включает в себя изменение элементов веб-страницы: поверх видимого элемента располагается невидимый слой, в который загружается страница, нужная злоумышленнику. Как правило, целью кликджекинга является запуск рекламных страниц или установка вредоносного кода.

Компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней (примерно 27 месяцев) до 397 дней (около 13 месяцев), то есть примерно вдвое.

Google предлагает поставить этот вопрос на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия. Если члены CABF проголосуют за это предложение, то изменение будет применяться ко всем новым сертификатам, выданным 1 марта 2020 года или после этой даты.

Кроме того, в сентябре-октябре выйдут новые версии Chrome 77 и Firefox 70, которые лишат EV-сертификаты особого места в адресной строке браузера, как показано на КДПВ.

Google опубликовала сообщение об утечке сотен тысяч паролей пользователей. При этом, как утверждают в компании, пользователи получали уведомления о нарушении безопасности данных, однако только часть из них озаботилась сменой пароля.

В феврале Google создала службу уведомления о нарушении конфиденциальности и связанное с ней расширение браузера Chrome Password Checkup. Расширение собирает анонимные данные пользователей и хэширует логины. Когда пользователь, установивший расширение, заходит на сайт, данные для входа отправляются обратно в Google. Компания проверяет, совпадают ли данные с информацией, которая ранее попадала в открытый доступ. Если совпадение найдено, пользователь получит уведомление с предложением сменить пароль.

Используя статистику, собранную с 5 февраля по 4 марта 2019 года, в Google обнаружили, что 1,5% из более 21 миллиона логинов и паролей были обнаружены в списках скомпрометированных данных — это более 316,5 тысяч. Всего расширение Password Checkup установили 670 тысяч пользователей.

Американская корпорация IBM подала заявку в Бюро патентов и торговых марок США на патент веб-браузера с поддержкой блокчейна.

Согласно документу, опубликованному 6 августа, IBM подала заявку на патент для системы, которая хранит всю информацию из браузера в блокчейне. Браузер собирает информацию во время сеансов просмотра веб-страниц и передает в децентрализованную сеть. Хранимые данные будут включать в себя историю посещенных сайтов, закладки, историю поиска, файлы cookie, геолокацию и запись настроек безопасности браузера.

Совсем недавно Google выпустил Chrome 76. В браузер было внесено изменение, призванное помешать веб-сайтам вычислять, когда пользователи активируют режим инкогнито. Однако уже в воскресенье разработчик Джесси Ли рассказал, как определить этот режим. Сделать это можно с помощью FileSystem API.

Джесси Ли обнаружил, что при включенном и отключенном режиме инкогнито FileSystem API работает по-разному. Разработчик сравнил скорость записи информации на диск в разных режимах и понял, что в обычном режиме данные записываются менее регулярно, и их запись занимает больше времени, чем при использовании режима инкогнито.
«Единственный способ предотвратить эту атаку состоит в том, чтобы и в режиме инкогнито, и в обычном режиме использовать один и тот же носитель данных, чтобы API работал с одинаковой скоростью», — пишет Ли.

В браузере Mozilla Firefox может появиться дополнение, позволяющее включить режим приватности Tor mode. Дополнение не будет работать в браузере по умолчанию, однако его можно будет загрузить с addons.mozilla.org.

Аддон будет настраивать браузер на использование tor в качестве прокси-сервера, а также выставит различные настройки для предотвращения обхода прокси-сервера, подобно тем, которые установлены в Tor Browser.

Вслед за Google Chrome браузер Mozilla Firefox начнёт помечать HTTP-страницы значками «небезопасно». Изменения вступят в силу в версии Firefox 70, выход которой запланирован на октябрь 2019 года.

Ранее, начиная с версии Firefox 51, значки «небезопасно» использовались по умолчанию только для сайтов, которые содержат формы или поля входа в систему. В Firefox 70 значок появится в левой части панели URL, как и у Google Chrome.
«В десктопной версии Firefox 70 мы хотим отображать специальную иконку слева от URL-адреса. Ее основная задача — сообщать пользователям, что подключения по HTTP, а также FTP-соединения и ошибки сертификатов создают риски», — сообщает один из разработчиков Firefox Иоанн Хофман.

Группа разработчиков браузера Pale Moon объявила на официальном форуме о том, что архивный сервер archive.palemoon.org, на котором размещены старые версии программного обеспечения, был взломан хакерами и использовался для распространения вредоносных программ, скрытых в файлах программы установки. Взлом произошёл предположительно ещё 27 декабря 2017 года, но был обнаружен только в этом месяце, после чего скомпрометированный сервер был немедленно отключён.

В хранящиеся на сервере файлы, в том числе установщики и PE-файлы, взломщики внедрили загрузчик вредоносного ПО, который был определён компанией ESET как Win32/ClipBanker.DY. Когда зараженный файл запускается, в системе появляется бэкдор — дефект алгоритма, который позволяет получить несанкционированный доступ к данным или удалённому управлению операционной системой и компьютером в целом.

Вчера Mozilla окончательно отказала DarkMatter во включении корневого сертификата в хранилище Root Store. Кроме того, в блоклист OneCRL занесены промежуточные сертификаты QuoVadis, выданные удостоверяющим центром DarkMatter. Эту компанию западные СМИ обвиняют в продаже услуг наблюдения и взлома репрессивным режимам на Ближнем Востоке и в прочих аморальных действиях.

Несмотря на отсутствие доказательств некорректной деятельности компании, после четырёхмесячной дискуссии Mozilla вчера приняла решение исключить промежуточные сертификаты QuoVadis из хранилища Firefox, а УЦ DarkMatter окончательно отказать.

Некоторые считают, что это опасный прецедент. Конечно, фирма DarkMatter никому не нравится, но отказывать в доверии на основании нескольких статей в СМИ — это уже как-то слишком. Руководство DarkMatter открыто общалось в Google Groups и уверяло, что не занимается ничем аморальным и они не делали ничего такого, что написали журналисты. Но под влиянием общественного мнения Mozilla решила иначе. И в этом тоже есть определённый резон: если бы она оставила DarkMatter среди доверенных удостоверяющих центров, то рисковала бы потерять доверие пользователей к своему доверенному хранилищу.