A Mozilla banra fogja tenni azokat az add-on kiegészítőket, amik obfuscated kódot tartalmaznak

 ( trey | 2019. május 3., péntek - 10:43 )

Add-on Policies (Effective June 10th, 2019) [...] Add-ons are not allowed to contain obfuscated code, nor code that hides the purpose of the functionality involved. If external resources are used in combination with add-on code, the functionality of the code must not be obscured. To the contrary, minification of code with the intent to reduce file size is permitted.

Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Nem sokat ér ez a szigorítás, amíg külső forrásból bármikor behúzhatnak tetszőleges kódokat az add-onok... Majd amikor a Mozilla ellenőrzi a külső erőforrást, akkor szép csillámpónis kódokat szolgálnak ki neki, a kiszemelt áldozatok meg kapják az adatokat lenyúló és módosító, vagy böngésző exploitot tartalmazó payloadot.

Igaz, de maga az irány tetszik.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Élemeletileg a külső kódokat is elérhetővé kell tenni olvasható formában, de abban igazad van hogy nem lehet állandóan ellenőrizni.. :\

"amíg külső forrásból bármikor behúzhatnak tetszőleges kódokat az add-onok"

De legalább látszik, hogy ezt csinálják.

az eddig is látszott :)

Csak olyan kiegészítők fognak átmenni a rostán, amelyik ha be is húz valamilyen kódot, akkor annak a kódnak is olvashatónak kell lennie, vagy legalább annak a kódját is be kell adni ellenőrzésre, amikor publikálni akarnak egy kiegészítőt.

---
"Errors are red
My screen in blue
Someone help me
I've deleted Sys32"

Es hogy fogjak biztositani, hogy a kulso forras ne valtozzon? Minden alkalommal valaki kezzel review-zni fogja?

Teljesen elméleti alapon, ha lenne olyan távoli resource letöltő API, ami hasht is ellenőriz, és ez a hash az eredeti forrásba be van drótozva, akkor nem fog változni. De eleve nem értem, hogy egy addon minek töltöget le bármit...

Akarmilyen addon, ami valami globalis (fekete)listat kezel. Pl. reklamokat tilt, ismert spammer/malware oldalakat listaz (vagy siman oldalon belul adott div-eket), stb.
Szerintem van ilyenbol egy par. Es ha mar ilyet kezel a legegyszerubb, ha van egy fix kodja (ez az extension), es abba a listat egy masik js file-kent tolti be.

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

+1

A fentiek alapján arra gondoltam, hogy ezek az addonok kódot töltenek le. Ha adatot töltenek le, és az nem fut kódként (ami az eredeti forrásból látszik is), akkor meg fölösleges azon agyalni, hogy van-e review azokra a fájlokra. Töltse le JSON vagy mittudomén milyen formában a cuccait, és akkor nincs security issue. Ha külső JS-t tölt le és futtat, az gáz.

Nemtom a mai frameworkok mit tudnak (utoljara ugy 15 eve foglalkoztam FF extensionnel, es kb. akkor csinaltam komolyabban webes dolgokat), de a JSONt (ami ilyen esetben praktikus) siman betoltheted js file-kent. Ha az extensiont es a server oldali listat is te irod, akar plusz ellenorzes nelkuli https-en is johet, aztan ha egyszer nem JSON lesz benne, akkor igy jart a user..
(persze JSON exec-kel betoltese mar akkor is ellenjavallt volt, de mukodott, es ugye eleg sok extension van)

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Minified kód is eléggé olvashatatlan.

Nincs azzal baj, ha ópenszósz.

Nem kell opensource-nak lenni, amikor felraksz egy új verziót akkor zipben elküldöd a forrást, fordítási instrukciókkal együtt.

"Kuss, en igy szoktam kodolni!"

:D
--
"Sose a gép a hülye."

banra fogja tenni = le fogja tiltani
add-on kiegészítők = kiegészítő kiegészítők
obfuscated = zavaros
--
ulysses.co.hu

kód = rejtjel

Idézet:
obfuscated = zavaros

Szerintem ennek fussál neki még egyszer

obfuscated = keszekusza

Így tényleg magyarosabb! :-)

Magyarnak magyar, csak nem azt jelenti, amire a költő gondolt. :D

Keszekuszásított?

Hogy kell mondani egy szóval, hogy fedezési céllal történt bonyolítás? =-)

Miert kell egy szoval mondani? Az angolnak sincs minden magyar szora egyszavas forditasa :)

CSOK? :)

aztakurva:)

LOL :D

B*szás. :D Már bocsánat, de nem? :)


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Chrome alatt már egy éve bevezeték ezt, de továbbra sem ellenőrzik alaposan. Inkább csak arra jó, hogy ha valami gyanúsan viselkedik, és ránézésre nem tudják elolvasni a kódot, lehessen bannolni.
Kíváncsi vagyok, hogy itt mi a cél.

Chrome alatt
ott mar a chrome kodjaba be vannak epitve a mindenfele josagok - a sajat elojogot meg nyilvan nem adjak csak ugy oda :)

Aminek ugye semmi köze a témához, mert a böngészőre szánt kiegészítőkről van szó, nem a böngészőről.

háát, kövezzetek meg, de aljas módon portable legacy-t használok a downthemall miatt :) ...szóval értem én, hogy fontos a biztonság... de felhasználói oldalon ezt már sz*atásnak érzem :)

downthemall helyett esetleg flashget? nemrég meglepődtem hogy még létezik a program.

Esetleg akkor érdemes ránézned a Waterfox-ra.

Reggelre az összes extensionöm le lett tiltva, azt hittem már hirtelen valami időugrás történt és június 10 lett, de nem :)

https://www.ghacks.net/2019/05/04/your-firefox-extensions-are-all-disabled-thats-a-bug/

detto.
azért bejelentés időpontja és ezen esemény időpontja miatt ez egy szép kis preview :).
Illetve a felhasználoknak egy direkt bejelentés :)

Nem csak neked, mindenkinek. Nem Linux specifikus, windowsos és maces userek is panaszkodnak rá. A pöcsfejűeknek lejárt a tanúsítvány a szerverükön.

Így én meg őket fogom bannolni. Milyen gáz már, hogy távolról működőképtelenné teszik globálisan az összes böngészőt, az összes platformon. Ez egy hatalmas biztonsági rés. Az a baj, hogy nem tudok mire váltani, a Google ugyanezt csinálja a Chrome-mal. A többi böngésző meg Chrome alapú. A nagyon kicsi böngészőkkel meg egy csomó oldal nem működik. Ez így eléggé patthelyzet.


No keyboard detected... Press F1 to run the SETUP

működőképtelenné teszik globálisan az összes böngészőt

A böngésző működik kiegészítők nélkül is. Amúgy meg Midori.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ja, működik, de default konfiggal mindegyik nettó használhatatlan, már csak a reklámblokkolás hiányában is. Elkezdtem tesztelni a böngészőket újra, keresek valami alternatívát. A Midorit régebben próbáltam, de nagyon alap böngésző, egy csomó oldal nem jelent meg vele normálisan, meg kiegészítők sem voltak rá. De ki fogok próbálni újra mindenfélét, Slimjet, Pale Moon, Falkon (volt QupZilla), stb..


No keyboard detected... Press F1 to run the SETUP

Iceweasel-UXP? Ez az 52-es bugróka forkja és ebben benne vannak a mozzarella által kidobált - szerintük - nem kellő cuccok (ALSA/GTK2/XUL/NPAPI). Ezzel megy az összes régi bevált kiegészítő. Viszont ki lett hajítva belőle egy raklap ostobaság (pl. telemetria), ami a bugrókában benne van.

Kösz, ki fogom próbálni. Egyelőre a Midorit izzítottam be. Nem tetszik:
1) oldalbetöltés lassú
2) nem lehet csak a fontokat nagyítani a képek nagyítása nélkül
3) egy csomó minden nem állítható rajta
4) addonok bekapcsolása utána két procimagot is 100%-ra beteker

Nekem egyébként nem hiányzik az NPAPI, XUL, ALSA, stb. támogatása. Nekem azzal van bajom, hogy a Mozilla távolról padlóra tudja küldeni a böngészőt ilyen hülyeségekkel. Ha már egyszer feltettem addonokat és témákat, ne találják ki egyszer csak, hogy mivel az aláírása nem stimmel, nem használhatom tovább. Az én gépem, az én rendszerem, én telepítettem rá, nem ők döntenek, hogy mi futhat, mi nem. Majd én gondoskodok a saját biztonságomról.


No keyboard detected... Press F1 to run the SETUP

Majd ha a kód is a tied lesz, majd akkor dönthetsz te.
Amúgy meg csak 1 percre gondolj bele komolyan, mi lenne ha nem lenne opensource.(free software).
Szeretem mindig mikor ki kellnek az ingyen kapott dolgok ért.
Nem muszáj ezt használni, ja, hogy ez a legkényelmesebb és legjobb arra amire neked kell.
És fizetni sem kell érte.
Én csak egyetlen desktop OS-ért fizetnék, mivel most nem muszáj, ha még létezne és az évek alatt megtartotta volna alapjait (nem úgy mint classic MacOS -> OSX) az BeOS. Esetleg OS/2 de azt csak hallomásból ismerem, sose használtam.

> Amúgy meg csak 1 percre gondolj bele komolyan, mi lenne ha nem lenne opensource

Miért, mi lenne? Még sosem ébredtem arra, hogy a Safari önkényesen kidobálta volna maga alól a kiegészítőket.

> Szeretem mindig mikor ki kellnek az ingyen kapott dolgok ért.

Jaja, ami ingyen van, az lehet nyugodtan szar!

Nem, az csak eladja az adataidat! De legalább fizettél is érte az OS-sel. :)

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

Tényleg? Mesélj még róla :)

Hát nem tudtad???!!!444

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

mindegy

+1 a BeOS-ra.
Az összes megszűnt program közül ezt sajnálom a legjobban.
Szerencsére a Haikusok nagyjából kezdik beérni a ~20 évvel ezelőtti BeOS-t. :-D

+1

Eppen nemregen gondolkodtam, hogy kene szerezni egy dedikalt desktopot jatszani vele.

--
http://blog.htmm.hu/

A Midori 6.0 egy raklap trágya. GTK3 infected (erőforrászabáló, lassú render, rossz fontkezelés) és még egyéb bajai is vannak, kerülendő. Kipróbálhatod a 0.5-ös szériát, az legalább gyors, viszont fapadnak ugyanúgy fapad. (Igen, a 0.5 után a 6.0 jött, eléggé beszédes.) Ott van még a Qupzilla. Az egy Qt-re épülő böngésző, nincs ló, jó a szamár szint, de amúgy működik. Az Ottert most inkább nem ajánlom, az még mindig nagyon fejlesztés alatt van...

Pontosan értem, hogy mi a problémád; ezt vagy úgy tudod megkerülni, ha nem magát a bugrókát használod, hanem valamelyik értelmes forkját (Palemoon, Iceweasel), vagy úgy, ha leszeded magát az addont és helyileg telepíted. Vagy, ha a Mozzarella oldalát kitiltod a gépedről, akkor ugyanis nem tud "ellenőrizgetni". De a bugrókában még így is egy csomó olyan dolog van, amitől az embernek feláll a hátán a szőr; pl. felrak neked egy csomó rejtett addont, amit rohadtul nem kértél és nem is tudsz róla, mert nem látszanak, hacsak nem nézed meg a vele összeakadó Iceweaselből, ahol ezek az addonok is láthatóak.
Én nem is használtam magát a rókát sosem, maximum a forkjait és azokat is csak szekunder browsernek, a fő böngészőm a mai napig az Opera 12.

7-es Midori van a gépemen. :)


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Tartok tőle, hogy arra is igaz, amit a hatosra leírtam.

Kösz az összefoglalót, legalább nekem már nem kell végigkínlódni :)

Nincs mit.

Qupzilla szerintem már nincs. Falkon van helyette, és bekerült a KDE projektek közé. Épp most pár perce frissült nálam. Nekem bejött, pár reszelni való van vele csak, persze ha kell vmi speckó addon, az lehet, hogy nincs.

Nem próbáltam. Kellenek hozzá KDE5 komponensek? Mert a QZ-hez még nem kellettek.

+1000000

Opera 12 for president!

Ja. Csak azt bánom, hogy windowson kívül másra nem adták ki a 12.18-at, amiben implementálták az új ECC ciphereket, mert 12.16-ban egy csomó oldal már elhajít. Viszont sajnos csak a 12.15 kódja szivárgott ki, de majd lehet backportolják ezt is bele.

Komolyan elgondolkodtam azon, hogy csináljak egy MITM local proxyt, ami átcsomagolja az ECDHE-s kapcsolatokat DHE-vel, hogy a 12.16-tal is menjenek... :D

Ja, én is jóideje szemezek már a Squiddel. Előbb utóbb viszont muszáj lesz.

Működni működik, de:
- kémkedik a google analytics 10 oldalból 8nál
- nem töltődnek be a jelszavaim a keepass db-ből
- egyes oldalakon kriptivalutákat bányásznak poénból
- tele van idegesítő/lassító reklámokkal a web

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

+1

Szebben én sem tudtam volna összefoglalni.

- nincsen tab bar*

* Vertical tab reloaded miatt az eredeti el van rejtve

--
http://blog.htmm.hu/

Chrome-ra van megbizhato vertical tab bar?

Nyilván mindenki hibázhat, csak ők nem. „Pöcsfejűek”, gratulálok a stílusodhoz.

-----
„Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben.”
rand() a lelke mindennek! :)
Szerinted…

>> mindenkinek.

nem

Amúgy nálam sem jelentkezett a probléma:

firefox-66.0.3-2.fc30.x86_64


* Thu May 02 2019 Martin Stransky <****@redhat.com> - 66.0.3-2
- Removed fix for mozbz#526293 as it's broken and does not
bring any new functionality.

Ki tudja, talán épp ezt javították? Kérdés, mit értenek új funkcionalitáson.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ideiglenes workaround a következő Reddit szálban található, amíg a Mozillánál sikerül megoldani a problémát:
https://www.reddit.com/r/firefox/comments/bkcjoa/all_of_my_addons_got_disabled_and_they_are_all/

Köszi. Én a debug felületen visszatöltöttem az addonjaimat. Azért ez elég kemény szopatás volt, 4ből 4 offra került csak úgy:
- adblock plus
- google analytics blocker
- keepassxc
- no coin

--
arch,ubuntu,windows,android
zbook/elitebook/rpi3/motog4_athene

Volt par olyan kollegam, akinek szerintem meg a nemminify-olt nemobfuszkalt kodjat is elhajtitottak volna erre a szabalyra hivatkozva.

Ehelyett banra tette mindet. Taps.


<3 openSUSE, Ubuntu, KDE <3

Nálam a többséget letiltotta. Például ezeket is: uBlock Origin, uMatrix
Pont azután hogy engedtem a 66.0.3-ra való frissítést. Először downgrade volt, de az is szórakozott velem. Berágtam és áttértem a Waterfox-ra. Azóta minden rendben.

66.0.4-ben javítva van. Fedorához van készen már a build szerveren, Windows-hoz is kijött már.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE