Mozilla выпустила Firefox 37, и вместе с обещанным добавлением списка отозванных сертификатов OneCRL компания включила функцию оппортунистического шифрования при подключении к серверам, не поддерживающим HTTPS.

Новая функция дает пользователям новое средство защиты от некоторых форм слежения и не требует каких-либо настроек со стороны пользователя. Если веб-сервер сконфигурирован корректно и отдает особый заголовок в ответных пакетах, Firefox начнет отправлять запросы на указанный шифрованный порт вместо порта 80, использующегося для нешифрованной связи. Оппортунистическое шифрование не подменяет SSL, в нем не применяется аутентификация, но это альтернатива для организаций, которые не могут полностью перейти на HTTPS по той или иной причине.

«OE обеспечивает неаутентифицированное шифрование по TLS для данных, которые иначе передавались бы чистым текстом. Это дает некоторую конфиденциальность перед лицом пассивной прослушки, а также обеспечивает значительно большую общую защищенность ваших данных, нежели чистый TCP, от случайных помех в Сети. Настроить сервер для этого очень просто, — написал Патрик МакМанус (Patrick McManus) из Mozilla, объясняя новую функцию. — Когда браузер получает этот заголовок, он начинает проверять, есть ли на порте 443 сервис HTTP/2. Когда с этим портом устанавливается сессия, он начинает направлять запросы, которые обычно отправлял бы в открытом виде на порт 80, зашифрованными на порт 443. При этом не будет задержки отклика, так как новое соединение устанавливается перед использованием полностью в фоновом режиме. Если альтернативный сервис (порт 443) становится недоступным или не может быть проверен, Firefox автоматически вернется к обмену нешифрованным трафиком по порту 80″.

В прошлом месяце Mozilla объявила, что Firefox 37 будет содержать функцию OneCRL, консолидированный лист блокировки сертификатов, разработанный для упрощения процесса отзыва плохих или проблемных сертификатов. Ошибочно выданные, истекшие или вредоносные сертификаты стали серьезной проблемой и для пользователей, и для вендоров браузеров, особенно в последние несколько лет, так как злоумышленники начали атаковать удостоверяющие центры и красть у организаций легитимные сертификаты. Возможность быстро отзывать плохие сертификаты необходима для защиты пользователей, и, как заявили представители Mozilla, функция OneCRL улучшит этот процесс для пользователей Firefox.

«В Firefox уже имеется механизм периодических проверок вещей, которые могут повредить пользователям, названный черными списками. OneCRL распространяет черные списки на сертификаты, которые должны быть отозваны, в дополнение кривым аддонам, плагинам и сбойным графическим драйверам, которые туда включаются. Это дает пользователям преимущество свежей информации об отзыве без необходимости обновлять или перезапускать браузер», — сказал Марк Гудвин (Mark Goodwin) из Mozilla.

Помимо OneCRL и оппортунистического шифрования Firefox 37 также содержит патчи для ряда уязвимостей системы безопасности, четыре из которых критические. Две из критических уязвимостей являются багами использования после освобождения, одна является крэшем при повреждении памяти, и последняя — пакет проблем безопасности памяти. Также был пропатчен способ обхода правила одного источника в Firefox, что относится к похожему, но более старому багу.

«Разработчик Mozilla Олли Петтай (Olli Pettay) сообщил, что при изучении Mozilla Foundation Security Advisory 2015-28 он и другой разработчик Mozilla — Борис Збарский (Boris Zbarsky) нашли альтернативный путь для использования схожей уязвимости. Предыдущий изъян был проблемой с навигацией по содержимому SVG, который позволял обходить защиту политики одного источника для запуска скриптов в привилегированном контексте. Этот более новый вариант того же бага может быть использован во время анкор-навигации по странице, позволяя обходить защиту политики одного источника», — говорится в оповещении от Mozilla.

Категории: Уязвимости