community website
mozilla.cat
La comunitat catalana de Mozilla
Planet Mozilla SoftcatalàUn cop més apareix una entrevista a Mitchell Baker(en), presidenta de la corporació Mozilla, aquest cop a AustralianIT(en).
Per saber-ne més sobre Mitchell Baker podeu veure les notícies relacionades aquí o llegir les dues últimes entrevistes:
Christopher Soghoian va fer públic ahir que ha descobert una vulnerabilitat que afecta a una llarga llista d’extensions(en) entre les quals destaquen:
Tot i que la llista segueix. La majoria són extensions comercials, és a dir extensions que han desenvolupat empreses privades com Google, Yahoo!…
El problema resideix en el sistema d’actualització d’aquestes extensions, que pateixen un atac man-in-the-middle(+): l’extensió es connecta quan el Firefox s’encén a una direcció IP per cercar actualitzacions, només caldria canviar aquesta adreça IP per una maliciosa per aconseguir que l’ordinador de l’usuari es descarregués programari maliciós de tot tipus.
Això només es podria fer si l’adreça d’actualització fós http:// en comptes de https:// (la segura).
Les extensions que es descarreguen a partir de la pàgina web de Mozilla Add-ons(en) són segures, i és que Mozilla només garanteix la seguretat de les extensions llistades a la seva pàgina.
Fa un mes i mig que el descobridor d’aquesta vulerabilitat va advertir els productors, els quals primer el van ignorar i ara encara demanen temps per resoldre el problema.
L’única sol·lució possible és deshabilitar o desinstal·lar les extensions que no hàgim baixat des del lloc oficial de Mozilla Add-ons(en).
Mozilla s’ho ha près tan seriosament que ha publicat un missatge a la seva pàgina de desenvolupadors(en) perquè ho tinguin present.
Ja hi ha a l’FTP de Mozilla les noves versions del Firefox: la 2.0.0.4 i la 1.5.0.12.
Arriba amb 15 dies de retard però corregeix fins a 100 bugs diferents i cinc vulnerabilitats(es), de les quals una crítica. Segueix sense superar els torpedes de Zalewski(es), com era d’esperar.
La versió 1.5.0.12 representa l’última de la branca 1.5.x, així tothom s’huarà d’actualitzar a la 2.x si encara no ho ha fet. Segurament en pocs dies es farà l’anunci oficial i s’actualitzaran automàticament els Firefox dels ordinadors.
Podeu trobar més informació al butlletí setmanal(en) del Wiki de Mozilla(en) d’aquesta setmana(en).
Windows, 
Linux i686, 
Mac OS X, materialWindows, Linux i686, Mac OS X, materialActualitzat el 30 de maig
resource:// és un comandament que permet navegar pels arxius de l’ordinador escrivint una adreça al navegador. És semblant a file://, però permetent explotar-ho des d’una web.
resource://gre/greprefs/security-prefs.js
Aquest codi anterior permet llegir l’arxiu security-prefs.js de la carpeta d’instal·lació del Firefox (en un Windows), tan sols escrivint-ho a la barra d’adreces.
Escrivint el codi ../ o ..\ es podria navegar per tots els arxius de l’ordinador perquè aquests codis el que permeten és pujar de directori.*
*Per comprovar-ho dirigiu-vos a qualsevol carpeta, a la barra on hi ha la ubicació afegiu-hi ..\ (Windows) o ../ (Linux). Veureu que al pulsar Enter anireu un directori amunt.
Mozilla ja va preveure aquesta possibilitat i va blocar navegar amb aquests dos codis. El que no va tenir en compte és que es poden substituir per ..%5C (Windows) o per ..%2F (Linux). Així escrivint una simple adreça a la barra de direccions es pot accedir a tots els nostres arxius sense que el Firefox ho pugui aturar.
Per fer la comprovació escriviu a la vostra barra d’adreces:
resource:///..%5C..%5C (Windows)
resource:///..%2F..%2F (Linux)
Així accedireu als arxius del vostre ordinador situats dos directoris amunt del de la instal·lació del Firefox. Podeu veure com passa a l’Ubuntu:
En resum, aquesta vulnerabilitat no permetria que un codi JavaScript l’executés, però si algun altre recurs que utilitzés resource:GRE o des d’una extensió. Paral·lelament no seria possible que des de Internet aconseguissin els nostres arxius; podrien, això sí, penjar el navegador o fins i tot el sistema operatiu manipulant alguns fitxers. També es podria explotar des d’un arxiu .zip.
Ja està registrat a Bugzilla: 367428(en).
Aquesta vulnerabilitat afecta al Firefox 2.0.0.3 i moltes versions anteriors (es pot veure la llista aquí(en)); i hi haurà una sol·lució parcial pel Firefox 2.0.0.4. Mozilla en tenia constància des del gener. Sembla ser que per a Windows ja hi hauria sol·lució però no per a Linux i Mac. Actualment l’única manera d’estar segur seria amb l’extensió NoScript(en) ben configurada.
Es pot trobar una demostració d’un codi aprofitant aquesta vulnerabilitat aquí(en).
24,82% és el percentatge dels usuaris que utilitzen el navegador lliure. Això representa un 0,20% més que fa, tan sols, deu dies.
Primer, com sempre l’Internet Explorer (6, el 7 després), el Safari és el tercer (per darrera del Firefox), i quart l’Opera.
Això segons les dades publicades(en) per W3Counter(en) (basades en més de trenta milions de visites i en quasi cinc mil pàgines web diferents) aquest 10 i 20 de maig.
L’estudi també ofereix dades sobre sistemes operatius, resolucions de pantalles…
Podeu veure l’estudi del dia 10 aquí(en), i el del 20 aquí(en)
Espai requerit: 199KB Idioma: Català Compatibilitat: 1.5-3.0a3*
Firefox Showcase és una pontentíssima extensió que permet gestionar les pestanyes obertes fàcilment.
Al instal·lar l’extensió se-n’s obre una pàgina que ens permet (si sabem anglès) tenir una petita idea sobre com funciona. Si amb el segon botó cliquem sobre la barra de navegació i anem a Personalitza podrem afegir fins a 6 botons diferents al nostre tauler. Les funcions de tots són similars.
Les podem dividir segons com presenten la informació: en una finestra, en una pestanya o a la barra lateral. Cada un d’aquests es pot dividir en dos altres funcions: que mostri les pestanyes de totes les finestres o només de la finestra sel·leccionada.
La funció de Showcase és la de mostrar en una pestanya (, finestra o a la barra lateral) una imatge de les diferents pestanyes que tenim obertes. Això pot resultar molt útil si tenim un munt de pestanyes obertes, ja que és molt més fàcil trobar-les a partir de la miniatura de la pàgina oberta en comptes d’haver d’anar llegint els noms a la barra de pestanyes.
Cal mencionar que el programador d’aquesta extensió és el gironí Extend Firefox Contest una competició d’extensions organitzada per la Corporació Mozilla.
PANDA nanoScan(es) és un nou antivirus instantani, en línia i gratuït.
És una manera fàcil i econòmica d’estar protegit amb el navegador Firefox, pel qual és difícil trobar antivirus compatibles.
Al moment d’escriure aquest article nanoscan reconeixia quasi 900.000 tipus de malware com virus, programari espia…
La revista espanyola Actualidad Económica(es), amb una tirada superior als cinquanta milers d’exemplars, otorga cada any els premis “Las Mejores Ideas del Año” (Les Millors Idees de l’Any).
Entre diverses categories, McAfee(en) va presentar McAffe SiteAdvisor(en) a la de tecnologia, categoria la qual va guanyar.
McAffe SiteAdvisor és una extensió pel Firefox (també hi ha una versió per l’Internet Explorer) que permet marcar quins enllaços són sospitosos de pesca electrònica (phishing), enviar spam, descarregar arxius sense el consentiment de l’usuari…
En ple desenvolupament del Firefox 3 Gran Paradiso, Mozilla està negociant amb diverses distribucions quins haurien de ser els requisits mínims del nou Firefox a Linux.
La proposta de Mozilla és la següent:
A l’espera de com acabin les negociacions ja hi ha qui demana que s’adaptin a la LSB 3.0(en), un conjunt de requeriments mínims proposats per la Linux Foundation(en).
Espai requerit: 8KB Idioma: Anglès Compatibilitat: 1.5-2.0.0.*
FaviconizeTab és una lleugera extensió la qual permet comprimir l’espai que gasta una pestanya a la barra de pestanyes, mostrant-ne només el favicon(+).
Al fer Alt+Clic (es pot canviar per doble clic, Control+Clic…) sobre una pestanya, aquesta quedarà reduïda, ocupant molt poc espai a la barra: desapareixerà el títol de la pàgina i el botó de tancar.
Això pot resultar molt útil si tenim moltes pestanyes obertes, per evitar el molest screll horitzontal.
