Firefox 52 закрепляет политику в отношении HTTP и SHA-1

safety

На этой неделе Mozilla выпустила Firefox 52, включив в него патчи для 28 уязвимостей, в том числе для тех, которые грозят крэшем и обходом ASLR и DEP. Согласно информационному бюллетеню компании, семь уязвимостей оценены как критические.

Firefox 52 также использует более развернутое предупреждение о HTTP-страницах, небезопасных для ввода регистрационных данных. Это сообщение ныне гласит: «This connection is not secure. Logins entered here could be compromised» («Это соединение ненадежно. Введенные здесь идентификаторы могут быть скомпрометированы»).

Firefox начал предупреждать пользователей о ненадежности HTTP-страниц регистрации с января. Как и Chrome, он теперь отображает для таких страниц серый значок замка, перечеркнутый красным, в адресной строке.

Новейшая версия браузера Mozilla также работает в соответствии со спецификациями Strict Secure Cookies, запрещая ненадежным HTTP-сайтам устанавливать куки с атрибутом Secure и куки с именем, позаимствованным у Secure в том же базовом домене. Источники, ранее считавшиеся ненадежными, могут добавлять Secure-куки, удалять их или лишать силы. Google ввела поддержку Strict Secure Cookies в Chrome 52 в июле.

Последние несколько месяцев Mozilla постепенно готовит пользователей браузера к полному отказу от алгоритма SHA-1. В Firefox 52 эта политика по умолчанию включена. Отныне при обнаружении сертификатов SHA-1 в связке с корневым сертификатом Mozilla браузер Firefox будет отображать пользователю ошибку Untrusted Connection («недоверенное соединение»), хотя некоторое время это предупреждение можно будет игнорировать.

https://threatpost.ru/firefox-52-expands-non-secure-http-warnings-enables-sha-1-deprecation/20935/