Websecurity - Веб безпека

Те, що Mozilla виправляє дірки в своїх браузерах, це безперечно. Нещодавно вони виправили численні уразливості в Mozilla Firefox, Thunderbird, Seamonkey, випустивши нові версії своїх продуктів. При цьому я неодноразово писав про те, що вони постійно ігнорують уразливості про які я їм повідомляю (і не виправляють їх, тому вони роками наявні в браузерах Мозіли).

Нещодавно я виявив Charset Remembering уразливість в Mozilla Firefox, про що повідомив Мозілу. На що вони мені відповіли, що вони вже виправили дану уразливість (навіть не знаючи про неї), ще в Firefox 3.0.2.

Вони відключили можливість вручну вибрати кодування UTF-7 в Firefox 3.0.2 (тим самим виправивши вищезгадану уразливість). І зробили це потайки.

В результаті Mozilla потайки виправила в Firefox 3.0.2 ряд знайдених мною уразливостей пов’язаних з UTF-7, зокрема Charset Remembering та Cross-Site Scripting в Mozilla та Firefox (а також ще одну XSS, яку я виявив в лютому 2008 і про яку найближчим часом розповім). При цьому не згадавши в себе на сайті, зокрема в своїх Security Advisories для Firefox 2.0 та Firefox 3.0, ні про знайдені мною уразливості, ні про зроблені зміни в браузері.

Це добре, що вони нарешті виправили дірку, про яку я писав їм ще в жовтні 2007 (а заодно іще одну нову), але погано, що вони зробили це потайки. Приховуючи тим самим проблеми з безпекою в браузері, що мали місце роками (і які наявні в старих версіях їхніх браузерів, тому вони стосуються всіх користувачів даних версій).

This entry was posted on 22:44 09.02.2009 and is filed under Новини сайту. You can follow any responses to this entry through the RSS 2.0 feed.