Stalo se… bezpečnost a soukromí během července

Od jara jsme zpravodajství na tomto webu trochu zanedbávali. Pojďme si tedy alespoň shrnout dosavadní červencové dění týkající se Firefoxu, Mozilly, soukromí a bezpečnosti.

Pozastavení provozu Firefox Send

Firefox Send je (resp. byla a brzy snad zase bude) služba pro bezpečné a soukromé sdílení souborů. Právě její největší konkurenční výhody pro uživatele vedly k jejímu současnému pozastavení, protože se daly velmi dobře využít k šíření škodlivého softwaru.

Ne, že by se do posílaných souborů přímo dostával malware, ale útočníci na Send nahrávali škodlivé soubory a následně rozesílaly e-mailem odkazy k jejich stažení. Jelikož Send je používá šifrování na straně klienta (v prohlížeči), nemůže Mozilla na své straně nijak ověřit, jestli na vás uvnitř souboru náhodou nečeká nějaké nemilé překvapení. Zároveň mají uživatelé v Send velikou důvěru, takže byť odkazy chodily z neznámých e-mailových adres, často soubory stahovali a spouštěli.

Mozilla tedy vyslyšela volání komunity a slíbila přidání funkce hlášení zneužívání. Aby se ale šíření škodlivého obsahu zastavilo okamžitě, Mozilla svou službu rovnou odstavila z provozu. Jakmile bude možnost hlásit škodlivé soubory, případně možnost jejich nahrávání i zabránit, měl by být Firefox Send opět spuštěn.

Aktualizováno 24. července 2020: Firefox Send by mohl být opět spouštěn do konce tohoto měsíce.

Nové funkce kontejnerových panelů ve Firefoxu

Otevírání panelů Firefoxu v tzv. kontejnerech je relativně unikátní funkce. V zásadě tato funkce umožňuje vícenásobné ukládání cookies pro stejný server např. podle toho, odkud jste na něj přišli. Můžete se tak bránit cíleným reklamám nebo se k jedné stránce přihlásit více účty zároveň.

Doplněk Multi-Account Containers poskytuje pro kontejnery rozšířené nastavení. Jednou z jeho hlavních funkcí dosud byla možnost konkrétní server (např. mozilla.cz) navštívit vždy v nějakém konkrétním kontejneru (např. „osobní“ pro stránky ve vašem volném čase).

Nyní dostal doplněk ještě jednu funkci, a sice možnost omezit kontejner pouze na konkrétní servery. Dosud jakmile jste panel otevřeli v nějakém kontejneru, všechny odkazy se v něm otevírali také. Nyní můžete kontejner nastavit tak, že pokud např. zde na našem webu otevřete odkaz vedoucí na oficiální stránky mozilla.org, tento odkaz kontejner opustí a stránka se otevře běžným způsobem.

Toto nové chování se hodí v situaci, kdy nechcete, aby např. Facebook nebo jiná sociální síť ve svém kontejneru sdílela cookies s jinými stránkami, ani když je z Facebooku navštívíte.

Zkrácení maximální platnosti HTTPS certifikátů

V únoru Apple oznámil, že ve svém prohlížeči Safari omezí maximální povolenou platnost HTTPS certifikátů na 398 dní (přibližně jeden rok a jeden měsíc). Díky automatizaci vydávání certifikátů (např. Let’s Encrypt) se otevřela možnost měnit certifikáty relativně často, což omezí, pokud by došlo k jeho zneužití útočníky, omezit dobu, po kterou mu budou prohlížeče důvěřovat.

V červenci se přidala i Mozilla, která má jako nezávislá nezisková organizace v oblasti certifikátů a certifikačních autorit poměrně vysoké postavení, a potvrdila, že rovněž zkrátí maximální platnost shodně na 398 dní, počínaje u certifikátů vydaných od 1. září 2020. Pro úplnost doplním, že dosud bylo maximum 825 dní (asi dva roky a tři měsíce).

2 komentářů k článku “Stalo se… bezpečnost a soukromí během července”

  1. Lukáš napsal(a)

    Zkracování platnosti certifikátů je super hlavně u Wi-Fi, kde to po vás každých pár měsíců chce potvrdit, že certifikátu pro připojení k Wi-Fi skutečně důvěřujete.

    1. Michal Stanke napsal(a)

      To omezení se týká certifikátů od důvěryhodných autorit. Pro self-signed a jiné certifikáty, kterým prohlížeč sám od sebe nedůvěřuje, doba jejich platnosti (ať už je 10 let, nebo jejich platnost dokonce vypršela nebo ani nezačala) nehraje žádnou větší roli. Jednou důvěryhodné nejsou a další „porušení“ pravidel to nezmění.