Componenti aggiuntivi di Firefox che non utilizzano HTTPS? Bug di sicurezza (?)

Question

Componenti aggiuntivi di Firefox che non utilizzano HTTPS? Bug di sicurezza (?)

#1 da (11 voti)
#2 da (1 voti)

7

Se aggiungo una regola in Privoxy:

echo '{ +redirect{s@http://@https://@} }
.mozilla.org' >> /etc/privoxy/user.action

quindi non posso installare i componenti aggiuntivi di Firefox. Perché?
Ho pensato ai componenti aggiuntivi di Firefox installati solo tramite HTTPS! Se non sta usando solo HTTPS allora potrebbe essere compromesso in un modo, che qualcuno fa uno strumento che lo automatizza: scarica le installazioni di componenti aggiuntivi in una sottorete (es .: LAN) e sostituiscile con codice dannoso .. presto. .un Add-on torjaned è stato installato e può fare tutto ciò che l'utente può (chi sta eseguendo Firefox).
Questo è importante! Qualcuno potrebbe confermarmi?
Grazie.

web-browser

posta LanceBaynes 23.05.2011 - 10:45

fonte

2 risposte

1

Sì, i componenti aggiuntivi di Mozilla si installano su richieste HTTP per impostazione predefinita. Anche se utilizzi HTTPS ovunque , si installa in modalità SSL.

risposta data 23.05.2011 - 12:23

fonte

Leggi altre domande sui tag web-browser

Cosa succede se il mio token anti-CSRF è compromesso da un attacco XSS? Problemi con Browser Crypto

score 11 · Accepted Answer

Le estensioni di Mozilla, indipendentemente dal sito di download, vengono pubblicate tramite questo URL:

link

Ma ecco la cosa: releases.mozilla.org è bilanciato in carico tramite DNS, è usato come una rete di distribuzione di contenuti. Ecco il risultato del dig:

;; ANSWER SECTION:
releases.mozilla.org.   60  IN  CNAME   releases.geo.mozilla.com.
releases.geo.mozilla.com. 60    IN  A   216.165.129.141
releases.geo.mozilla.com. 60    IN  A   64.50.233.100
releases.geo.mozilla.com. 60    IN  A   64.50.236.52
releases.geo.mozilla.com. 60    IN  A   64.50.236.214
releases.geo.mozilla.com. 60    IN  A   128.61.111.9
releases.geo.mozilla.com. 60    IN  A   129.101.198.59
releases.geo.mozilla.com. 60    IN  A   131.188.12.212
releases.geo.mozilla.com. 60    IN  A   155.98.64.83
releases.geo.mozilla.com. 60    IN  A   156.56.247.196
releases.geo.mozilla.com. 60    IN  A   204.152.184.113
releases.geo.mozilla.com. 60    IN  A   204.152.184.196
releases.geo.mozilla.com. 60    IN  A   204.246.0.136
releases.geo.mozilla.com. 60    IN  AAAA    2001:6b0:e:2018::1337

Questi sono tutti gli IP che il dominio può assumere, puoi colpire un server diverso ogni volta che usi l'URL. Sono tutti server diversi, di solito ospitati in varie università in tutto il mondo.

E qui arriva il problema:

Il risultato dei test che ho appena saputo confermano che nessuno di questi server supporta la connessione HTTPS.

Quindi, se cerchi ciecamente di raggiungere link : //releases.mozilla.org/pub/mozilla.org/addons/NUMBER/EXTENSION_NAME.xpi la richiesta fallirà, o ci vorrà troppo tempo perché alcuni dei server non rifiutano immediatamente la connessione, quindi deve scadere.

time wget https://releases.mozilla.org/pub/mozilla.org/addons/138/stumbleupon-3.81-fx+sm.xpi
https://releases.mozilla.org/pub/mozilla.org/addons/138/stumbleupon-3.81-fx+sm.xpi
Resolving releases.mozilla.org... 129.101.198.59, 131.188.12.212, 155.98.64.83, ...
Connecting to releases.mozilla.org|129.101.198.59|:443... failed: Connection timed out.
Connecting to releases.mozilla.org|131.188.12.212|:443... failed: Connection refused.
Connecting to releases.mozilla.org|155.98.64.83|:443... failed: Connection timed out.
Connecting to releases.mozilla.org|156.56.247.196|:443... failed: Connection refused.
Connecting to releases.mozilla.org|204.152.184.113|:443... failed: Connection timed out.
Connecting to releases.mozilla.org|204.152.184.196|:443... failed: Connection refused.
Connecting to releases.mozilla.org|204.246.0.136|:443... failed: Connection refused.
Connecting to releases.mozilla.org|216.165.129.141|:443... failed: Connection refused.
Connecting to releases.mozilla.org|64.50.233.100|:443... failed: Connection refused.
Connecting to releases.mozilla.org|64.50.236.52|:443... failed: Connection refused.
Connecting to releases.mozilla.org|64.50.236.214|:443... failed: Connection refused.
Connecting to releases.mozilla.org|128.61.111.9|:443... failed: No route to host.
Connecting to releases.mozilla.org|2001:6b0:e:2018::1337|:443... failed: Network is unreachable.

real    **9m31.370s**

Ci sono voluti 9:30 minuti perché la richiesta fallisse definitivamente (non ho la connessione IPv6 in questo momento, quindi non so se l'ultimo server la supporta, ma ne dubito).

Per la verifica di terze parti questo aiuta: link

Giusto per chiarire: le estensioni come HTTPS Everywhere non funzioneranno - infatti l'ho testato e l'addon è ancora servito tramite HTTP (non riscrive releases.mozilla.org - se lo facesse, non saresti in grado di ottenere l'estensione.)