mozilla

Home » Posts tagged "mozilla"

今年十月 Firefox 將完全不信任 Symantec 簽出的 SSL Certificate

Mozilla 旗下的產品 (包括 Firefox) 將在今年十月對 Symantec 簽出的 SSL Certificate 終止信任：「Distrust of Symantec TLS Certificates」。

Mozilla 有把發生的事情都整理出來：「CA:Symantec Issues」，另外 Firefox 的動作分成三個階段，目前 stable 是 58，但 nightly 是 60 了：

January 2018 (Firefox 58): Notices in the Browser Console warn about Symantec certificates issued before 2016-06-01, to encourage site owners to replace their TLS certificates.
May 2018 (Firefox 60): Websites will show an untrusted connection error if they use a TLS certificate issued before 2016-06-01 that chains up to a Symantec root certificate.
October 2018 (Firefox 63): Distrust of Symantec root certificates for website server TLS authentication.

去年 Google Chrome 就有先丟出對 Symantec CA 的計畫 (參考「Google Chrome 對 Symantec 全系列憑證的不信任計畫」這篇)，看起來 Mozilla 的計畫也差不多，但時間有些差異...

March 13, 2018 Gea-Suan LinBrowser, Computer, Firefox, GoogleChrome, Murmuring, Network, Privacy, Security, Service, WWWNo Comment

Mozilla 對 Alexa Top 1M Sites 的分析

Mozilla 對 Alexa Top 1M Sites 偏安全面向的分析：「Analysis of the Alexa Top 1M Sites」。

對一般情況比較有用的應該是看絕對數字，也就是哪些功能是大家都優先採用了... 然後可以看出 HPKP 跟 SRI 果然是大家都懶得上的功能 (事倍功半 XDDD)。

另外也可以當作是安全性確認的 list，把 HTTP header 類的安全性設定都放上去了。

March 3, 2018 Gea-Suan LinComputer, Murmuring, Network, Security, Service, WWWNo Comment

Firefox 對 HTTPS 網站中 "Referer" 的保護

Firefox 從 59 之後，在開啟 Private Browsing 的情況下，不會送出完整的 Referer：「Preventing data leaks by stripping path information in HTTP Referrers」。

這篇吸引到我的是 EFF 的研究員發現的事情：

EFF researchers discovered this leak of personal health data from healthcare.gov to DoubleClick.

其中 EFF 研究員的文章是「HealthCare.gov Sends Personal Data to Dozens of Tracking Websites」這篇。

更好的作法應該是平常就完全阻擋，像是 Firefox 可以用 Referrer Control 設定，或是 Chrome 裡用 Referer Control 設定。

February 3, 2018 Gea-Suan LinBrowser, Computer, Firefox, GoogleChrome, Murmuring, Network, Privacy, Security, Software, WWWNo Comment

用 IPFS 放 Status Page

在 Hacker News Daily 上看到的專案，拿 IPFS 來放 Status Page 真的超適合的，靜態為主，然後又可以避開 SPoF：「Decentralized StatusPage」。程式碼放在 GitHub 的 paulogr/dstatuspage，以 JavaScript 撰寫。

在 Hacker News 上的討論也蠻有趣的：「Show HN: A Decentralized StatusPage on IPFS | Hacker News」。

IPFS 提供的特性與 Status Page 需要的特性其實還蠻契合的，也許不是 killer application，但應該會是個 IPFS 的出發點...

而且最近 Firefox 在他們的 blog 上發表了 Firefox 59 會將一些分散式協定加進去 (不是實做，而是提供接口)：「Extensions in Firefox 59」(參考 Support for Decentralization Protocols 這段)，這感覺讓 IPFS 之類的協定有更寬廣的舞台...

February 2, 2018 Gea-Suan LinBrowser, Computer, Firefox, Murmuring, Network, P2P, Service, Software, WWWNo Comment

幾個 Web API Manager 要設定的東西...

在上一篇提到的「控制瀏覽器裡的 Web API」，用了一兩天後有遇到一些問題，大概整理一下...

Gmail 會開不起來，需要將 mail.google.com 列入白名單 (一個阻擋條件都不能設)，這是因為遇到瀏覽器的 bug，在「General breakage on specific site · Issue #55 · snyderp/web-api-manager」這邊作者有找到問題，他判斷是瀏覽器的問題後開了 ticket 給 Firefox 與 Chrome，不知道什麼時候會好...
同理，Facebook 右上角的通知也出不來，也是同樣的問題，需要把 www.facebook.com 列入白名單。
另外是 Google Maps 用滑鼠滾輪滾動本來是平滑式的縮放，現在用起來會變成階段式的縮放，原因是 Google Maps 用到 WebGL Specification (在 Lite 裡面會阻擋)。這有兩個方向可以改，一個是把 www.google.com (或是 www.google.com.tw，看你用的網域) 另外開一組設定管理，另外一個是直接把 WebGL Specification 的阻擋關掉。

目前遇到的大概就是這些了...

January 30, 2018 Gea-Suan LinBrowser, Computer, Firefox, GoogleChrome, Mail, Murmuring, Network, Privacy, Security, Service, Social, Software, WWWNo Comment

控制瀏覽器裡的 Web API

在「阻止网站调用不必要的你的浏览器 API」這篇裡面看到的，論文的作者發展了 Chrome 與 Firefox 的延伸套件，可以控制瀏覽器內的 Web API。套件原始程式碼在 GitHub 的 snyderp/web-api-manager，頁面上有 Chrome 與 Firefox 延伸套件的連結可以直接安裝。

套件本身預設不會擋任何 Web API，但提供了三種不同的 Preset 讓你選 (Lite、Conservative 與 Aggressive)，一般情況下用 Lite (擋掉 17 種 Web API) 就有不錯的效果了。另外也可以針對某些網域做另外的調整... (雖然還沒用過 XD)

直接抓 Google Chrome 上給的截圖：

這是個好東西啊，有些 API 出來擺明就是來追蹤使用者的... 關掉省麻煩 XD

January 29, 2018 Gea-Suan LinBrowser, Computer, Firefox, GoogleChrome, Murmuring, Network, Privacy, Security, Software, WWW1 Comment

Microsoft 的 TTD 與 Mozilla 的 RR

也是個在瀏覽器 tab 上放了一陣子的連結... 先前看到 Microsoft 的 Time Travel Debugger (TTD)，可以錄下程式執行的狀態，然後回放與搜尋：「Thoughts On Microsoft's Time-Travel Debugger」，另外有 CppCon 2017 上的影片，在 YouTube 上：

另外 Mozilla 也有類似的工具，叫做 rr (在影片開頭就有人問類似的問題 XD)，程式碼在 GitHub 上：「mozilla/rr」。

而 TTD 與 rr 兩者最大的差異當然是平台支援的情況：

The most important and obvious difference between TTD and rr is that TTD is for Windows and rr is for Linux (though a few crazy people have had success debugging Windows applications in Wine under rr).

但另外一個也很重要的差異是 TTD 支援完整的 multi-threading，這對於現代的程式來說還蠻常見的：

TTD supports recording of multiple threads in parallel, while rr is limited to a single core.

當然，更完整的錄影也是要付出效能代價的：

On the other hand, per-thread recording overhead seems to be much higher in TTD than in rr. It's hard to make a direct comparison, but a simple "start Firefox, display mozilla.org, shut down" test run on similar hardware takes about 250 seconds under TTD and 26 seconds under rr.

不過有需要的時候應該會很方便？工具總是愈多愈好...

December 31, 2017 Gea-Suan LinComputer, Murmuring, Programming, SoftwareNo Comment

Yahoo! 與 Mozilla 針對預設搜尋引擎的事情戰起來了...

Mozilla 先前終止與 Yahoo! 的合作後 (在 Firefox 內預設使用 Yahoo! 的搜尋引擎)，Yahoo! 提告以及 Mozilla 還手的消息在最近被 Mozilla 揭露：「Mozilla Files Cross-Complaint Against Yahoo Holdings and Oath」。

Yahoo! 提告的檔案 (PDF) 在「2017-12-01-Yahoo-Redacted-Complaint.pdf」，Mozilla 還手的檔案 (PDF) 則是在「2017-12-05-Mozilla-Redacted-X-Complaint-with-Exhibits-and-POS.pdf」這邊。

在 Firefox 57 釋出時，Mozilla 就把預設的搜尋引擎改回 Google (參考「Mozilla terminates its deal with Yahoo and makes Google the default in Firefox again」)，不過當時 Firefox 57 更大的消息是推出了 Quantum，讓瀏覽器的速度拉到可以跟目前的霸主 Google Chrome 競爭的程度，所以就沒有太多人注意到這件事情...

過了幾個禮拜消息比較退燒後，被告以及反過來告的消息出來後，才注意到原來換了搜尋引擎... XD

旁邊搖旗吶喊沒什麼用，就拉板凳出來看吧...