Mozilla hiện đang bị mắc kẹt giữa một sai lầm an ninh mạng liên quan đến chữ ký số.

Các báo cáo lỗi mà nakedsecurity đã thấy cho đến nay không cung cấp nhiều chi tiết hơn so với các vấn đề về chứng chỉ trung gian hết hạn của Haiti , nhưng các triệu chứng rõ ràng, đặc biệt là đối với người dùng Tor . Khi kích hoạt Tor Browser, phiên bản đặc biệt của Firefox với nhiều cài đặt tập trung vào quyền riêng tư được bật, nakedsecurity đã nhận được cảnh báo đáng lo ngại.

Theo chương trình Tor Browser, một trong những tiện ích bổ sung cho trình duyệt của người dùng không còn có thể tin cậy được nữa và đã bị tắt – cảnh báo không cho biết đó là vấn đề an ninh mạng nào đó đột nhiên xuất hiện.

nakedsecurity đã trực tuyến để xem xét một vài trang web không đáng tin cậy và đã bắt đầu đào bới xung quanh khi cảnh báo xuất hiện, điều này làm tăng cảm giác khó chịu của người dùng. nakedsecurity nói rằng: “chúng tôi đã ở giữa các phiên HTTP khác nhau; chúng tôi đã tương tác với các trang web mà chúng tôi muốn điều tra; và chúng tôi không biết rằng đã cho phép các trang web đó cài đặt bất kỳ addons mới nào”.

Điều gì đã thay đổi?

Truy cập URL đặc biệt about:addonsCông cụ → Tiện ích bổ sung từ thanh menu) và nhấp chuột vào tab Không được hỗ trợ đã tiết lộ như sau:

NoScript không thể được xác minh để sử dụng trong Tor Browser và đã bị vô hiệu hóa.

NoScript là một addon bảo mật quan trọng được Tor tin tưởng chính thức, cũng như được cài đặt bởi hàng triệu người dùng trình duyệt thông thường khác, bao gồm – để đánh giá từ các nhận xét trên trang web này – một số lượng độc giả đáng kể của Security Security.

Có phải kho lưu trữ NoScript đã bị hack? Là một addon NoScript không có thật lưu hành trong cộng đồng Tor? Có một số lỗ hổng Firefox nào đó cho phép các trang web lừa đảo lẻn các addon không có thật vào trình duyệt của bạn mà không pop-up bất kỳ thông báo nào “Bạn có chắc chắn hay hay không Bạn có muốn thực hiện hộp thoại này không?”

nakedsecurity đã giả định rằng đây chỉ là một loại vi phạm pháp luật mà tính năng “addon signing” của Mozilla 2016 là bắt được, và vì vậy nakedsecurity đã nghiêm túc cảnh báo đến Mozilla.

Quay trở lại Firefox phiên bản 44 vào đầu năm 2016 (hiện tại là phiên bản 66 – các bản cập nhật xuất hiện cứ sau 42 ngày hoặc 6 tuần), Mozilla quyết định ngừng cho phép các addon không đăng ký trong trình duyệt.

Hai câu hỏi lập tức xuất hiện trong đầu:

  • Điều gì đã khiến phiên bản NoScript bị hack rõ ràng này xuất hiện ngay bây giờ và nó đến từ đâu?
  • Do tầm quan trọng của NoScript trong các biện pháp bảo vệ mặc định của Trình duyệt Tor, liệu có an toàn khi mở Tor không?

Một tìm kiếm nhanh trên trang web riêng của NoScript, cộng thêm một hoặc hai phút trên các kênh truyền thông xã hội khác nhau, đã tiết lộ lý do, nhưng không phải là lời giải thích:

NoScript đã không thay đổi và chữ ký số của nó vẫn còn hiệu lực và chưa hết hạn

Tuy nhiên, Firefox không còn tin tưởng nó nữa, và vì vậy Tor Browser sẽ không (thực sự, đối với hầu hết người dùng, không thể) tải nó nữa.

Lỗi này nằm ở đâu đó trong xác minh chữ ký của Mozilla, không phải ở chính addon – và lỗi này dường như ảnh hưởng đến việc xác thực mọi addon trong hầu hết các phiên bản Firefox. Thật vậy, mười hoặc mười lăm phút sau khi duyệt Tor, bản sao Firefox đang chạy của nakedsecurity đã quyết định rằng các addon của nó không còn an toàn.

Mozilla đã đưa ra một bản vá tạm thời, được gọi là hotfix, nhưng nó chỉ hoạt động nếu bạn bật tính năng Mozilla’s Studies .

Studies là một chút uyển ngữ – ý nghĩa thực sự của nó là cho phép Mozilla thu thập dữ liệu từ trình duyệt của bạn, cũng như đưa ra mã kiểm tra chưa phải là một phần của bản phát hành chính. Nó được bật theo mặc định, nhưng nakedsecurity và có lẽ nhiều người dùng Firefox của cũng vậy – đã tắt nó đi, với lý do cách dễ nhất để đảm bảo rằng dữ liệu thu thập về bạn không bao giờ bị rò rỉ chỉ đơn giản là không để nó được thu thập ở nơi đầu tiên. Và không có cách nào để có được các hotfix hoặc các bản vá tạm thời được phân phối bởi Studies nếu đã tắt tùy chọn thu thập dữ liệu của Firefox.

Để kiểm tra xem có Studies được kích hoạt hay không và để bật nó để nhận hotfix nếu muốn, hãy đi tới Preferences → Privacy & Security → Firefox Data Collection and Use:

Một điều thú vị là hầu hết người dùng Tor Browser là các Studies không chỉ tắt theo mặc định trong Tor, mà thực sự bị bỏ qua hoàn toàn với lý do người dùng Tor không bao giờ muốn bị theo dõi. Vì vậy, người dùng Tor không thể nhận được hotfix.

Truy cập đến trang “don’t try this at home” about:config, tìm tùy chọn xpinstall.signatures.required và chuyển nó từ true thành false:

Đây là những gì trang about:addons sẽ hiển thị, nếu người dùng có phiên bản lỗi của Tor, với tính năng bổ sung của Addon đã bật bật (cài đặt mặc định, ở trên) và tắt (bên dưới):

Khắc phục nhanh

Nói ngắn gọn:

  • Nếu bạn sử dụng Tor Browser , hãy tắt xpinstall.signatures.requiredtạm thời. Hãy nhớ bật lại khi sửa lỗi chính thức cho lỗi này.
  • Nếu bạn sử dụng Firefox thông thường , hãy kiểm tra xem bạn đã bật Studies chưa nếu bạn muốn hotfix. Nếu bạn thường xuyên thu thập dữ liệu, hãy nhớ tắt nó đi khi sửa lỗi chính thức cho lỗi này.

Nguồn: nakedsecurity