Начался переход к обязательному подписыванию дополнений Firefox и Thunderbird

Гики должны сидеть на дуршлыгобажных бетках? Сам сиди нам этом говне.

Ещё один упоротый с бзиком на ЛГБТ лобби, скрывающимся за каждым камнем. Тебя в детстве в час с дерьмом не роняли?

Нет. Это, должно быть, твоя семейная традиция.

Алсо, геи не дремлют! Только стоило упомянуть ЛГБТ, как сразу из чана с дерьмом вылез «защитник».

Во всех своих эпических фейлах фашисты традиционно винят геев. Да и вообще всех, кто не может ответить симметрично.

Файрфокс виноват тем, что он может работать с непроверенными сертификатами, но не хочет. Без пинка под зад.

Это ограничение, причем такое же как и в проприетарщине, которую так все не любят.

Они считают, что уже набрали критическую массу и могут вытворять что хочут. По сути так и есть. Потому что выбирать то не из чего. Или Хромобраузеры или Сафари(или как там называется, никогда не видел) или Лиса. Всё.

Тебе понравится, например если на домашнем компе тебя система заставит обязательно сделать пароль, длиной 32 символа, с Большими, малыми буквами и цифрами и спецсимволами? Потому что так безопаснее же. И плевать, что ты, например вообще один живешь. И функция эта будет вшита в ядро, например, которое будет подписано и если ты его перекомпилишь, то система не включится.

PS Хотя проблема даже не в этом. А в том, что если сертификат даже добавить вручную, почему-то сайт отображается криво, т.е. белый фон и весь текст в один столбец, без картинок и прочего.

Куда можно пожертвовать деньги на создание форка без зонда?

И нельзя уже будет написать дополнение для себя, без проверки его модераторами?

Модераторы будут все расширения, которые уже есть в магазине проверять? И каким образом, интересно, каждую строчку скрипта изучать?

в спортлото.

Я думал о том же, когда наткнулся на поломку сертификатов в одном из детских садов

там включена какая-то ростелеком фильтрация

долбаную проверку сертификатов

Так что Firefox это то еще добро

Пиздец, т.е лиса виновата в том что ты живешь в стране где всячески зажимают инет?

нет поддержки HTML5, некоторых вкусных штук из JS типа локалстораджа и т.д.

Пересел на xombrero в whitelist режиме. За день включаю js в лучшем случае один два раза. Энергопотребление уменьшилось в разы, рекламы нет, память не выжирает. Профит мать вашу.

Если очень хочется, то

Возможность установки неподписанных дополнений останется лишь в «ночнушках» и альфа-версиях.

Гугл отключает джаву, фирефокс отключает дополнения, доколе мы будем терпеть произвол производителей ПО??? Доживем до того, что устанавливать приложения сможем только из маркета

Так тут радоваться надо: ведь это доказательство, что опен-соурс добрался до десктопов! Но действительно ли мы хотели этого?..

Запарило чистить на чужих компах 1000 вебальт и прочего добра, который поставился после запроса «СКАЧАТЬ МУЗЫКУ БЕСЛПАТНО И БЕЗ РЕГИСТРАЦИИ И БЕЗ СМС»

Нельзя проводить глобальную политику программного продукта, основываясь исключительно на такой аудитории. Это заведомо проигрышный вариант. Особенно, если основная масса пользователей окажется совсем другого качества. В этом случае можно ожидать отток части пользователей на другие решения. На сколько значительной окажется эта часть покажет время.

Если мы начинаем ограничивать свою свободу в угоду безопасности, это значит, что террор победил.

Очень правильно сказано! Сразу вспомнил высказывание Бенджамина Франклина:

Тот, кто жертвует свободой ради безопасности, не достоин ни того, ни другого.

Куда можно пожертвовать деньги на создание форка без зонда?

Без какого зонда? Вообще без дополнений чтобы? Это куда-нибудь в Гнум обратитесь.

А про зашифрованные данные там явно написано, низя. Вот расшифруй, а потом отправляй, а то может ты там терракт планируешь, ай яй яй.

Наркоман что-ли? Запрещено исполнимые типы файлов, даже внутри архивов. Про зашифрованные файлы - нет ни слова. И они спокойно отсылаются и отправляются.

Вот тебе чтиво: https://support.google.com/mail/answer/6590?hl=en

Драйв они продвигают для крупных файлов, для этого есть ограничение в 25 мегабайт на аттачмент.. (ну и просто чтобы не порвать кому-нибудь почтовый сервер).

Тебе понравится, например если на домашнем компе тебя система заставит обязательно сделать пароль, длиной 32 символа, с Большими, малыми буквами и цифрами и спецсимволами? Потому что так безопаснее же. И плевать, что ты, например вообще один живешь. И функция эта будет вшита в ядро, например, которое будет подписано и если ты его перекомпилишь, то система не включится.

Добавь себе свой CA в юзер-сертификаты и живи долго и счастливо, по крайней мере будешь знать что тебя не MITM'ят соседи.

Хотя проблема даже не в этом. А в том, что если сертификат даже добавить вручную, почему-то сайт отображается криво, т.е. белый фон и весь текст в один столбец, без картинок и прочего.

Ну, то есть, проблемы в руках. Если не подгружается часть файлов страницы - это значит что сертификат для поддоменов не прописан или кривой полиси настроен на подгрузку файлов или ещё где-то накосячил.

Галочка в настройках. И все у всех хорошо. Только надо сделать так, чтоб галка по дефолту была всегда включена. Если в состоянии сам зайти в настройки браузера, значит вероятность того, что ты будешь ставить дырявые левые плагины меньше.

Молодец, уважаю инициативных. К какому числу будет готово?

Mozilla прямо сказала, что никакими настройками (ни галочками, ни конфигами, ни ещё как) это отключаться не будет. Объяснение от Мозиллы - малварь доберётся. На вопрос, почему бы не использовать директории с доступом на запись только для рута - молчок. Была бы настройка - не было бы кипиша.

https://wiki.mozilla.org/Addons/Extension_Signing
Хм. Да фигня вопрос.
1. Будет какая-то дженерик-версия без брендинга, где это дело отключится. Я так понимаю, скоро у нас будет файрфокс для хромобыдла и какой-нибудь Phoenix для тех, кому оно надо.
2. Будет Developer edition.
3. Seamonkey может и не перейти.

Короче, мозилла опять трясётся за свою торговую марку, ничего нового.

ты так говоришь, будто лазить по порносайтам это плохо

Напомню, проблема в фильтрах ростелекома ... хотя я толком не знаю как это работает.

я знаю: http://wiki.squid-cache.org/Features/SslBump

Почитал:

It isn't possible to send a password-protected zip file containing a zip file. Please de-compress all files or remove the password protection if possible.

Видишь? Это еще только начало, сначала «if possible», а потом «mandatory». И не только для зип-файлов, но и для всего остального. Ну чтобы все в Безопасности(tm) были.

По поводу детского сада и ssl.

Ясень пень и так что проблема «в руках». Но её бы не было, если бы firefox не беспокоился о моих соседях которые меня «взламывают». Потому что ничего важного я по этому https не передаю.(меня и http устраивает, но почему-то он перестал работать) В данном конкретном случае, это тоже самое, что и использование усложнённых паролей на локалхосте. Никакой безопасности не добавляет, только неудобства.

Так же по поводу неподгружающихся дополнительных файлов.

Вот смотри, я открываю сайт по https. Firefox орёт, что нужно добавить исключение. Я добавляю его. После этого Firefox орать перестаёт. Но страница грузится неверно.

Теперь ответь, где скачать плагин телепатии, чтобы узнать что я сделал не так и при чём тут кривые руки?

Вся эта ситуация мне напоминает развод у сотовых операторов. Отказаться от платного контента навсегда нельзя, а если ты возражаешь что тебя разводят на бабки, то тебе предлагают отказаться от сотовой связи вообще. Или говорят «у других опсосов тоже разводят на бабки».

Как бы это вообще левые аргументы. Надеюсь понятно? Если с паролем для компа недостаточно понятно привожу другой аргумент. Чтобы ты не выстрелил себе в ногу, тебя размещают в психушке, упаковав в смирительную рубашку. Ну так на всякий случай, сразу и без разговоров. Зато безопасно! И так всех поумолчанию держать. Для их же безопасности.

Однако кому-то выгодно, что-бы люди считали, что шифрование == что-то плохое.

По этому поводу очень хорошо высказывались Сноуден:

Ответственный и понимающий человек не может бросаться словами вроде «мне скрывать нечего, пусть шпионят, раз надо». Потому что в действительности такая реакция означает нечто иное — «Мои права для меня несущественны».

Подобного рода заявления переворачивают сами основы в соотношении прав и ответственности. Ибо человеку — как гражданину — не требуется обосновывать свои права, имеющиеся по закону (право на тайну личной жизни, на презумпцию невиновности и т.д.).

А вот государство, напротив, обязано обосновывать каждое свое вторжение в область ваших законных прав. Если же вы прекращаете защищать свои права, заявляя что-нибудь вроде «ну, они мне в делах с сетевой слежкой и не требуются» или «да я вообще в этой технике мало что понимаю», то в этот момент от ваших законных прав здесь не остается ничего...

В итоге подобная позиция приводит к подрыву самой концепции прав человека и гражданина. Своим отказом это отстаивать мы превращаем собственные права в нечто такое, что получаем от правительства как бы в качестве отзываемой привилегии. Как нечто такое, что власти могут отменять, если им так удобнее. И процессы эти весьма ощутимо снижают уровень свободы в обществе.

и Шнайер:

Самое распространённое что используется против тех кто обеспокоен вопросами приватности, высказываемое людьми внедряющими всевозможные средства слежки (идентификационные проверки, видеокамеры, базы данных, всеобъемлющий сбор данных): «Если вы не делаете ничего плохого, то зачем вам что-то скрывать?».

Некоторые хорошие ответы:

• Если я не делаю ничего плохого, то у вас и нет поводов чтобы следить за мной
• Потому-что правительство взялось определять что есть плохо, а что хорошо и они постоянно продолжают менять эти определения
• Потому-что вы можете сделать что-нибудь неправильное с моей информацией

Эти ответы показывают ту самую подмену понятий, совершаемую государством — приватность это вопрос о том чтобы скрывать что-то нехорошее. Это не так. Приватность это неотъемлемое право человека, и необходимое условие его существования с достоинством и уважением.

а разве код плагинов к FireFox может быть закрытым? Плагины они простые, там прятаться негде

Бывают закрытые, но редко. Обычно это от коммерческих сервисов, предлагающих vpn/proxy (типа Hola). Там внутри плагина полноценные бинарники, которые еще и запускаются. Изврат ужасный, но всё же...

Хром подобным образом, правда, никто не спасёт - он вообще под виндой ставится, по-моему, в AppData. Сам exe'шник. Дебилы :)))

Они это сделали для упрощения автообновления. Чтобы быстро и решительно латать уязвимости браузера, а не спрашивать каждый раз у домохозяек подтверждения через UAC, которое те еще могут и не разрешить.

А вот «под капотом» изменений на 2 мажорные версии. Как пример различий между Beta и Release

Эээ... между бетой и релизом не бывает изменений, разве нет? Только багфиксы. По твоей ссылке изменения между релизами.

Насколько я понимаю, процесс превращения ночнушек в релиз таков: когда подходит срок, берется ночнушка и ее обзывают Dev Edition (она же альфа, она же бывшая аврора). Дальше в течение определенного времени оценивают готовность новых фич, не готовые фичи отключают и dev превращается в бету. Во время беты фиксятся лишь баги.

Большинство заброшенных дополнений не работает давно

Некоторые используемые мною дополнения не обновлялись с 2011 года. Но это, в основном, справедливо для очень простых. Естественно, чем сложнее дополнение, тем больше шансов, что что-то, необходимое для его работы, уже поменялось.

Модераторы будут все расширения, которые уже есть в магазине проверять? И каким образом, интересно, каждую строчку скрипта изучать?

Насколько я понял, файлы, уже размещенные ранее в каталоге дополнений, будут подписаны автоматически (но лишь последняя из версий). Логика такова: если оно там уже долго живет, скорее всего, там нет злого кода. А как будут проверять новые версии - наверное, как и сейчас. Не знаю, как именно анализируют, но делают это довольно небыстро... Возможно, у них тулзы для этого есть, выявляющие подозрительные функции и действия в коде и требующие внимания живого оператора.

лучший пост треда

также, что порешали-то? куда бечь будем?

на купзилла, столлмановский айскэт, реконг (кстати, он живой вообще?), оттер (он ещё пилится?), ещё куда? дополняйте

Всё верно, но речь шла о том, чтобы разрабатывать на Dev, а Release просто помечать «совместимой» без тестирования. Между Dev и Release либо 2 релиза с кучей изменений, либо, как ты правильно заметил, просто около 2-х месяцев. И тот, и тот путь неудобен (как минимум).

Никуда не надо жертвовать. Надо будет скачать и запустить малварь, а малварь сама скачает и установит пропатченную версию фф с возможностью установки любых аддонов.

Видишь? Это еще только начало, сначала «if possible», а потом «mandatory». И не только для зип-файлов, но и для всего остального. Ну чтобы все в Безопасности(tm) были.

Для архивов требование чтобы можно было прочитать название файлов содержимого. Если ты кладёшь зип в шифрованый зип, то прочитать названия файлов содержимого первого зипа нельзя. Шифрованные файлы отправлять можно. Мы сейчас обсуждаем что есть, а не «то ли ещё будет». Если хочешь пообсуждать что будет, то так и пиши: «А ещё я думаю что скоро...» и тогда претензий не будет. А выдавать фантазии за уже свершившееся - не комильфо.

Вот смотри, я открываю сайт по https. Firefox орёт, что нужно добавить исключение. Я добавляю его. После этого Firefox орать перестаёт. Но страница грузится неверно.

Теперь ответь, где скачать плагин телепатии, чтобы узнать что я сделал не так и при чём тут кривые руки?

Повторю тебе ещё раз: значит файлы находятся на другом поддомене, сервер отдаёт директиву, что доп. файлы нельзя подгружать с других доменов или ещё какое криворучее, проверяй всё, лезь на стаковерфлоу и разбирайся, тут тоже телепатов нет. А комментарий про руки потому что, допустим, в инфраструктуре компании тоже используется ССЛ с самоподписанными сертификатами, как внутренние ресурсы со своим ЦА, так и дев. сервера с просто самоподписанными и работает как вкорячивание ЦА (для первых), так и добавление исключения (для вторых).

Вся эта ситуация мне напоминает развод у сотовых операторов. Отказаться от платного контента навсегда нельзя, а если ты возражаешь что тебя разводят на бабки, то тебе предлагают отказаться от сотовой связи вообще. Или говорят «у других опсосов тоже разводят на бабки».

Как бы это вообще левые аргументы. Надеюсь понятно? Если с паролем для компа недостаточно понятно привожу другой аргумент. Чтобы ты не выстрелил себе в ногу, тебя размещают в психушке, упаковав в смирительную рубашку. Ну так на всякий случай, сразу и без разговоров. Зато безопасно! И так всех поумолчанию держать. Для их же безопасности.

У тебя какая-то шизофазия. У всех пряморуких нормально работают варианты с самоподписанными сертификатами, самовыданными CA и с остальными вариантами, а ты тут неосилил настроить сервер чтобы нормально отдавать контент по ССЛ и плачешь что шифрование - зло.

Про шифрование, да, не совсем всё плохо. Но не думаю, что если и будет то зайдёт дальше чем проверка стандартных форматов. Просто кусок файла с непонятным содержимым будут разрешать отправить.

У тебя какая-то шизофазия. У всех пряморуких нормально работают варианты с самоподписанными сертификатами, самовыданными CA и с остальными вариантами, а ты тут неосилил настроить сервер чтобы нормально отдавать контент по ССЛ и плачешь что шифрование - зло.

Какой сервер? Ты о чём? Перечитай топик - речь идёт о Интернет в детском саду, где Ростелеком поганит все сертификаты, а без фильтров никак ибо «образовательное учреждение».

Все здесь старательно защищают лису и шифрование. А вопрос в том, что отключить проверку вообще нельзя, а это бы решило проблему раз и навсегда. Ну не нужно никому это шифрование, кроме Мозиллы, понимаешь?

А если идти тем путём, который предлагает Мозилла, то всё равно не работет. Т.к. есть какие-то еще сайты, которым Мозилла не доверяет, но их нужно сканить вручную.

Ты мне советуешь вообще перебирать все сервера с которых качаются файлы, ты хоть понял, что ты мне предложил? Мне проще наверное файрфокс отредактировать, чтобы там галка по отключение сертификатов появилась, чем все сайты в Интернет шерстить и добавлять в исключения.

Я говорю, о том, что функционала нет, и обходной путь через чёрных ход, а ты говоришь, о кривых руках. Все остальные «пряморуки» жрут, что дают, а я возражаю. Не иначе в руках дело.

Запарило чистить на чужих компах 1000 вебальт и прочего добра

Если тебе за это платят, то в чем проблема? Если нет, то зачем ты этим занимаешся?

Ой, у меня ничего не работает. Вась, посмотри, тыж погромист//аутист//сосед. Знакомые, друзья. Денег брать как-то не очень, а если не поможешь, то будут потом долго выпиливать мозги.