Topic: Ultime novità dal Web sul Mondo Mozilla

[gialloporpora]

Ottimo articolo che spiega in dettaglio come funziona il safe browsing:
https://feeding.cloud.geek.nz/posts/how-safe-browsing-works-in-firefox/

[Ronnie91]

Estensioni malevole e Firefox, una bella gatta da pelare

[gialloporpora]

Credo quello sia uno dei pochi vantaggi di passare a WebExtensions, probabilmente le uniche non sfruttabili sono quelle create con l'Add-on SDK che ha una gestione dei permessi per le varie estensioni.

[Ronnie91]

Anche uBlock Origin fa parte di quelle sfruttabili, giusto? Qui c'è il parere di Giorgio Maone (autore di NoScript): CrossFUD: an Analysis of Inflated Research and Sloppy Reporting

Viewing Cached Tabs Offline Ready for Testing in Firefox for Android Beta

Shipping Some Firefox Features Outside of the Release Cycle

Mozilla To Test Widevine CDM in Firefox Nightly

[Geko]

Secondo Maone il problema riguarda in principio tutte o quasi tutte le estensioni, Adblock compreso : probabilmente hanno voluto usare NoScript come esempio perchè gli veniva più comodo, a questo proposito riporto direttamente le sue parole:

BTW, if you accept this as an Office or AppleScript vulnerability, Adblock Plus is not less "vulnerable", so to speak, than the other mentioned add-ons, despite what the article states. It's just that those "researchers" were not competent enough to understand how to "exploit" it.

And I'm a bit disappointed of Nick Nguyen who, rather than putting some effort in rebutting this cheap "research", chose the easier path of pitching our new WebExtensions API, whose better insulation and permissions system actually makes this specific scenario less likely and deserves to be praised anyway, but does not and could not prevent the almost infinite other ways to obfuscate malicious intent available to any kind of non-trivial program

e qui non mi sembra che stia descrivendo la nuova (futura) API per le estensioni come il rimedio ultimo a questo specifico tipo di vulnerabilità.

[gialloporpora]

Il problema è che le estensioni non hanno un loro ambiente privato di esecuzione e che possono accedere alle funzioni definite dalle altre estensioni installate, quelle che usano l'SDK o il nuovo WebExtensions invece  dovrebbero essere isolate e possono usare solo le API di cui richiedono preventivamente i permessi.
Usando solo le API standard di Firefox è possibile per il tool automatico di MOzilla riconoscere subito quelle che usano API sensibili (accesso alle password, invio di dati a server esterni, ecc.). Queste estensioni vengono flaggate e poi un revisore le controlla prima di approvarle, quindi non passano.
Il problema è che se un'estensione buona ridefinisce una funzione per accedere alle password (in modo lecito) quella funzione può essere utilizzata da un'estensione furba per accedere alle stesse senza essere bloccata e riconosciuta come operazione a rischio.

In ogni caso, come dimostra pure Chrome, non è affatto detto che  qualcosa di malevole passi:
http://www.hotforsecurity.com/blog/better-history-chrome-extension-goes-rogue-hijacks-browsers-and-displays-ads-13674.html

Secondo me è più uno studio teorico che altro, non la prenderei come una insicurezza delle estensioni di Firefox, se uno scrive un'estensione maligna sta molto prima a operare direttamente usando le solite tecniche per far installare qualcosa all'utente.

[Ronnie91]

Firefox non supporterà Flash e i plugin NPAPI

[fabrixx]

MozVR

Lo devo testare con i miei cardboard cinesi da due euro (stanno andando a pezzi)...

[Iceberg]

Siamo arrivati al capolinea?

http://punto-informatico.it/4311818/PI/News/firefox-chrome-presto-questi-schermi.aspx

[flod]

http://punto-informatico.it/4311818/PI/News/firefox-chrome-presto-questi-schermi.aspx

Gran cagata di articolo, e scusate il francese.

[Underpass]

Mi ha fatto venire in mente la discarica di Tufino

[fabrixx]

Non ho letto tutto ma spero sia uno scherzo

[fabrixx]

Mi ha fatto venire in mente la discarica di Tufino

Sara una coincidenza  ma volevo segnalare Project Tofino

Non ho ben capito dove quest'uomo vada a parare ma mi sembra valga una segnalazione..

github per chi volesse tentare la compilazione (per ora mi sono incasinato ma ho scritto all'autore..mi incuriosisce.)

[flod]

Quell'articolo è su Tofino, ma chi l'ha scritto non c'ha capito molto. Siccome Tofino usa Electron, Firefox passa a Chromium e Webkit. Certo.

Nel frattempo guarderei
https://github.com/mozilla/positron
https://github.com/mozilla/spidernode

[miki64]

Che quell'articolo sia letame non voglio discuterlo.
Ma non vorrei neppure discutere la scontentezza di quegli utenti che commentano la notizia su Punto Informatico: hanno le loro ragioni per come vanno certe cose di scelte tecniche e di comunicazioni lato Mozilla?