Archives For Mozilla

Prima c’è stata Always Right, poi con l’arrivo di Firefox Quantum nel ramo Nightly sono passato a Open Tabs Next to Current, un componente aggiuntivo che ha sempre svolto quell’eccellente e per me irrinunciabile mestiere di aprire nuove schede ponendole alla destra di quella che ho utilizzato fino a un secondo prima. Non è però una novità che da qualche rilascio a questa parte, Firefox abbia finalmente scelto di includere una nuova voce di about:config dedicata a questa opzione, rendendola nativa.

Sicurezza: la 2-step verification di Firefox

Il componente aggiuntivo, per chi ancora non potesse o volesse sfruttare l’opzione nativa, è ancora disponibile su AMO (oltre che sulla pagina ufficiale di GitHub):

Open Tabs Next to Current
Open Tabs Next to Current

Ma è lo stesso autore, Sebastian Blask, a informare i suoi utenti che la storia del componente aggiuntivo può considerarsi conclusa:

After the addition of the browser.tabs.insertAfterCurrent setting in about:config you do not need this extension anymore.

vedi: github.com/sblask/webextension-open-tabs-next-to-current#note-for-firefox

Puoi operare la modifica tu stesso, aprendo l’about:config e andando quindi a cercare la voce browser.tabs.insertAfterCurrent, impostandola a True.

Firefox: è ora di dismettere Open Tabs Next to Current

La modifica è immediata, non hai bisogno di riavviare Firefox e potrai immediatamente godere della novità.


Se ne parla anche su r/firefox: reddit.com/r/firefox/comments/ainzny/open_tabs_next_to_current_addon_is_now_redundant

Condividi l'articolo con i tuoi contatti:

Non è una “novità dell’ultima ora” e per questo ti chiedo scusa, ma credo che l’importante sia l’intervento e non “la pubblicità“, ora capirai certamente a cosa faccio riferimento. Lo scorso 21 gennaio il CERT-PA ha pubblicato un comunicato riguardante un nuovo tipo di attacco phishing che sfrutta pagine web ospitate su Cloud Microsoft, le quali cercano di carpire tue informazioni personali per ottenere accesso non autorizzato a risorse che non dovrebbero poter essere viste da occhi diversi dai tuoi. Se ne parla in maniera più approfondita qui: cert-pa.it/notizie/pagine-di-phishing-ospitate-su-cloud-microsoft

Sicurezza e Phishing (Password, Privacy, Web)

Il CERT-PA è recentemente venuto a conoscenza di un servizio di phishing che sfrutta il cloud di Microsoft per ospitare finte pagine di login.

Dalle analisi svolte dal CERT-PA, si ha evidenza che tale servizio è offerto da Spam-egy, con tanto di pagina Facebook e video promozionale, al momento al costo di 300USD ed ha come bersaglio le utenze Microsoft. La prima evidenza pubblica in Italia risulta datata 4 gennaio 2019 via twitter, mentre da Phishtank emerge una evidenza risalente al 5 ottobre 2018.

La sostanza dell’attacco risiede nel fatto che la pagina che si occupa di rubare le credenziali (comunque digitate dall’utente finale, evidentemente ignaro dell’attacco) si trova sullo spazio Cloud di proprietà Microsoft (Azure). A oggi questa pagina non è più raggiungibile (https://up2.blob.core.windows.net/a520s5ecfe5dced56/update2.html) e già dal giorno uno di divulgazione del problema ho provveduto a inserire un nuovo filtro all’interno di X Files, così da evitare che possa essere caricato / incluso qualsivoglia file proveniente da s4egy.com, sito web che si occupa di fornire gli strumenti utili per portare a termine l’attacco, tra cui alcuni file javascript come quello mostrato nello screenshot di seguito:

CERT-PA: submission 5806509 e blocco via X Files

I dettagli sulla commit sono disponibili su github.com/gioxx/xfiles/commit/60fd3259d0f16aeda0a68312be334321cee67143, tu non devi fare altro che verificare che la tua sottoscrizione a X Files sia aggiornata. Ti ricordo che chiunque può effettuare nuove segnalazioni per richiedere verifiche su un particolare sito web / comportamento anomalo della lista, il tutto passando dagli strumenti a tua disposizione: aprire una Issue su GitHub (metodo preferito), aprire un ticket tramite UserVoice o utilizzare il modulo feedback su NoAds.

Buon lavoro.

Condividi l'articolo con i tuoi contatti:

Lo sviluppo di Firefox (prevalentemente in versione Nightly, che arriverà poi in rilascio stabile dopo qualche settimana) è un continuo fermento di novità dovute a esperimenti o richieste che finalmente entrano in porto e vengono rese disponibili dopo insistenti richieste della comunità, è un po’ quel campo di battaglia dove tutto è ammesso e che non è detto che permetta a tutto di passare allo step successivo. In seguito al precedente articolo (Firefox Nightly: un paio di novità in arrivo) ci sono un paio di ulteriori novità in arrivo di cui possiamo certamente parlare (in parte già rilasciate a chi usa Nightly), e che andranno sicuramente a colpire l’utenza intera nel futuro prossimo del browser libero di casa Mozilla. Nel frattempo, se non te ne fossi accorto, la versione stabile di Firefox è arrivata alla 65 (vedi: twitter.com/Gioxx/status/1090275327299993600).

Firefox: Addio agli screenshot, benvenuto nuovo about:config!

Addio a Firefox Screenshot

Decisamente annunciato e facente parte dello shutdown del progetto Test Pilot (vedi: blog.mozilla.org/press-it/2019/01/15/levoluzione-nella-cultura-della-sperimentazione-di-firefox-un-grazie-dal-programma-test-pilot), Firefox Screenshot si avvicina al pensionamento. Non si tratta della funzione integrata all’interno del browser, quella continuerà a funzionare (con le riparazioni del caso), bensì il sito web che ospita oggi le catture schermo degli utenti che hanno deciso di salvare un’immagine e caricarla sui server di Mozilla, senza crearne una copia locale. Un colpo di forbice secco con il passato, al quale porre attenzione se si intende conservare qualcosa di precedentemente “bloccato nel tempo“, ti conviene farlo quanto prima per evitare brutti scherzi tra qualche settimana.

Nel frattempo puoi già modificare il comportamento della funzione di cattura schermata integrata in Firefox, per evitare che tu possa ancora caricare delle immagini online e dimenticarti di salvarne una copia sul tuo disco locale. Per farlo ti basterà passare dall’about:config e ritoccare un parametro della configurazione del tuo browser, per la precisione si tratta di extensions.screenshots.upload-disabled:

Firefox: Addio agli screenshot, benvenuto nuovo about:config! 2

La modifica è immediata e il risultato sarà grosso modo questo:

Firefox: Addio agli screenshot, benvenuto nuovo about:config! 3

Una svecchiata all’about:config

Calma e gesso, nessun drago è stato maltrattato durante questi esperimenti e il rinnovamento dei locali. L’about:config è una di quelle pietre miliari di Firefox che tutti gli utilizzatori hanno visto almeno una volta nella vita, a tratti abusato da chi non sa esattamente dove mettere le mani una volta aperto il cofano, è la stanza dei bottoni in grado di modificare ogni comportamento del prodotto Mozilla (ne beneficia anche Thunderbird, ma non solo). Sembra che qualcuno abbia ben pensato di prendere scopa, paletta, straccio e sgrassatore, dando un aspetto ben più lindo e giovane a ciò che ha sempre funzionato con il minimo sforzo estetico.

In attesa che l’aggiornamento raggiunga anche le altre versioni di Firefox oltre la Nightly, oggi puoi già dare un’occhiata a cosa accadrà nel prossimo futuro puntando il browser all’indirizzo chrome://browser/content/aboutconfig/aboutconfig.html (solo da Firefox Nightly, nda) e accettando di trovarti faccia a faccia con i draghi della stanza dei bottoni, è qui che tutto comincia, ancora una volta.

 

Il sistema è certamente più ordinato e semplice da utilizzare, anche se può rallentare un pelo sulle configurazioni hardware più datate. Non preoccuparti però, non costituisce attualmente la visualizzazione predefinita e anche quando lo sarà, Mozilla manterrà per qualche tempo la possibilità di passare dalla “via vecchia“, richiamandola tramite l’indirizzo chrome://global/content/config.xul.


crediti: techdows.com/2019/01/the-firefox-new-about-config-page-built-on-html-looks-so-cool-on-nightly.html

Condividi l'articolo con i tuoi contatti:

L’ho già detto che Flash sarebbe da abolire dalla faccia della Terra? Hai ragione, almeno un migliaio o forse più di volte. Dopo anni di vita “flash-free” (fatta salva qualche rarissima eccezione che ho dovuto sbloccare manualmente), pare che la parola fine attenda dietro l’angolo il sempre mai troppo maledetto plugin di Adobe, anche per ciò che riguarda Firefox.

Firefox e PunyCode: occhio ai tentativi di phishing

Ciao Flash, e grazie (?) per tutto il pesce

A partire dalla versione 69 di Nightly (ci troviamo attualmente sulla 66) anche quest’ultimo tassello andrà al suo posto, esattamente come fatto già per Java e Silverlight:

[…]

Mozilla previously disabled other NPAPI (Netscape Plugin Application Programming Interface) plugins like Microsoft’s Silverlight and Java in earlier versions of the Firefox browser. Google did much the same with Chrome in 2015.

vedi: digitaltrends.com/computing/mozilla-disable-flash-firefox-2019

Adobe ha dichiarato che il supporto a Flash terminerà ufficialmente nel 2020 (digitaltrends.com/computing/adobe-flash-software-end-nears), ma tu puoi già modificare il comportamento del tuo Firefox come da me suggerito nell’ormai lontano (?) 2015 (ripreso poi anche nel 2016) in due articoli che ti spiegano come intervenire sull’esecuzione del plugin: Firefox: Passare al Click to Play per Adobe Flash e Firefox: modificare il comportamento di Flash per singolo sito. In ogni caso, anche se tu decidessi di non fare nulla, nel corso di quest’anno Flash verrà disattivato in maniera predefinita sull’installazione Firefox che stai utilizzando (per fortuna, aggiungerei), c’è solo da portare quel pelo di pazienza affinché la versione 69 diventi stabile e passi quindi in distribuzione sulla rete.

Se vuoi, su Reddit trovi la discussione in merito a questa novità: reddit.com/r/firefox/comments/ag0al4/mozilla_to_disable_flash_by_default_in_firefox.

Nuovo profilo dedicato

A partire dalla versione 67 (un pelo prima rispetto all’esclusione predefinita di Flash), Firefox Nightly utilizzerà un profilo dedicato per evitare di sporcare quello “di produzione“, tutto questo va un po’ a riprendere ciò che è stato già fatto in passato per la Developer Edition e più in generale quanto saltato fuori già a ottobre dello scorso anno (vedi: ghacks.net/2018/10/27/firefox-65-dedicated-profiles-per-install). Ti stai chiedendo il perché? Beh, abbastanza semplice. Così facendo potrai installare sulla stessa macchina più versioni di Firefox, e ciascuna di queste utilizzerà un profilo tutto suo senza disturbare quelli delle altre, senza rendere obbligato il passaggio dal Profile Manager e quel minimo di conoscenze in più che non tutti possiedono.

Previously, all Firefox installations shared a single profile by default. On January 28, Firefox will begin creating dedicated profiles for each installation, starting with Firefox 67. On that date, Firefox will begin using a dedicated profile for Firefox Nightly, and this Nightly installation will no longer share a profile with other Firefox installations on your computer. Other versions of Firefox (Beta, ESR and Firefox) will have a dedicated profile once they reach release 67.

This will make Firefox more stable when switching between installations on the same computer and will also allow you to run different installations of Firefox at the same time.

Users who have already manually created separate profiles for different installations will not notice the change (this has been the advised procedure on Nightly for a while).

La pagina di riferimento sul sito web di Mozilla a oggi è questa: mozilla.org/en-US/firefox/dedicated-profiles, per evitare che vada persa ti riporto qui di seguito uno screenshot:

Ciò che si impara dalle informazioni fornite è che il profilo di default non verrà toccato se Nightly è il tuo attuale browser predefinito e sarà lui ad aprirlo per la prima volta nel corso della giornata del 28 gennaio prossimo. Se così fosse, i due si assoceranno e null’altro verrà modificato. Diversamente, verrà creato un nuovo profilo pulito da dare in pasto alla Nightly, e sarai poi tu a decidere il da farsi (medesima cosa accaduto, forse banale ribadirlo, con la Developer); nel caso tu voglia sincronizzare i dati tra i vari profili (a prescindere dalla versione utilizzata di Firefox) potrai sempre ricorrere a Firefox Account.

If you do nothing and are currently running different installations of Firefox that share the same profile, your Nightly installation will start running a dedicated profile on January 28th. If Nightly is the first installation of Firefox you open on or after January 28, it will use your existing profile. If Nightly is not the first installation you open, Nightly will get a new profile. Your existing profile will remain associated with the first installation you open on or after January 28.

Se ne parla anche su Reddit, qui: reddit.com/r/firefox/comments/afzdl9/starting_with_firefox_67_firefox_nightly_will_run.

Condividi l'articolo con i tuoi contatti:

No, non è un nuovo servizio inventato da Mozilla, è semplicemente un’ulteriore freccia all’arco di quell’azienda che sta progressivamente (sempre più) muovendosi in una direzione ben precisa, più dedicata alla libertà, educazione e sicurezza della navigazione, lasciando un po’ da parte quello che era il core business fatto di corsa alle statistiche di utilizzo del proprio browser e ulteriori applicativi disponibili nel bouquet. Oggi si parla quindi di Firefox Monitor, strumento che può tornarti utile per sapere se i tuoi dati e –ancora peggio– le tue credenziali sono finite in mani sbagliate, per cercare di correre ai ripari nel più breve tempo possibile.

Firefox Monitor ti avvisa in caso di furto credenziali

Firefox Monitor

Tutto parte da HIBP

Si chiama “have i been pwned?” (HIBP, per l’appunto), ed è il sito web che ha dato inizio a tutto, pensato, voluto, sviluppato e mantenuto da Troy Hunt, il quale permette un’operazione molto complicata se non si conosce dove mettere le mani: partendo da un indirizzo di posta elettronica (dato fondamentale per la registrazione a qualsivoglia servizio nel 99% dei casi), il sito è in grado di interrogare un database contenente una mole di dati enorme, generalmente sottratti ad aziende che non li hanno protetti a dovere, esposti in seguito sul web, messi a disposizione di un mercato nero che con questo tipo di materiale ci va a nozze (materiale che può servire diversi scopi, così come diversi sono i modi di venderlo e reperirlo anche in un secondo momento, quando le acque si calmano), facendoci sapere se siamo vittime impotenti e spesso inconsapevoli di quegli attacchi.

A spiegare il perché e il come di HIBP è proprio Troy Hunt nella pagina About del sito web ufficiale: haveibeenpwned.com/About. Io ho interrogato diversi indirizzi di posta elettronica appartenenti al sottoscritto, l’ho fatto ormai qualche anno fa, e ho approfittato della possibilità di iscriversi al servizio di alert per ricevere successive comunicazioni in caso di nuovi attacchi contenenti i miei dati personali. In quei dati possono esserci riferimenti alla persona e alla sua posizione (indirizzo di residenza, ufficio, ecc.) ma non solo (password, IBAN, potenzialmente anche riferimenti alle carte di pagamento, seppur privi di date di scadenza e CVV2). Nel tempo si sono susseguiti miglioramenti della piattaforma e ricerca anche per dominio colpito, ma il cuore pulsante è e rimane il servizio basato sull’interrogazione dell’indirizzo di posta elettronica e alert impostabile per futuri attacchi.

Cos’è quindi Firefox Monitor?

Firefox Monitor è un po’ la personalizzazione di un servizio che forse non tutti conoscono, ma che continua a svolgere il suo prezioso lavoro ogni giorno. In collaborazione con HIBP, un apposito nuovo sito web (monitor.firefox.com, manco a volerlo rendere troppo complicato) si occuperà di lanciare l’interrogazione e mostrare i risultati a video (oltre che notificarli a mezzo posta elettronica, se lo vorrai), tutto minuziosamente spiegato nell’articolo pubblicato lo scorso 25 settembre sul blog della società:

Introducing Firefox Monitor, Helping People Take Control After a Data Breach

Io ho ovviamente fatto qualche test con alcuni dei miei account, ottenendo i medesimi risultati che conoscevo già (in seguito ai quali ho chiaramente cambiato password dove e quando necessario):

Anche in questo caso potrai iscriverti per futuri aggiornamenti automatici (Firefox Monitor Protection), che ti verranno consegnati a mezzo posta elettronica dai server di Mozilla, rendendo il tutto un po’ più ufficiale e forse fidato rispetto al progetto autonomo di Troy (che comunque, continuo a ribadire, è il primo ed è in fin dei conti quello che ci mette le ricerche, le API e tutto ciò che serve per analizzare i dati recuperati dopo gli attacchi e individuare al loro interno il tuo account di posta elettronica). Ciò che tu dovrai fare in seguito alla consultazione dei risultati è seguire quanto suggerito dal sito web e, per non saper né leggere né scrivere, andare a cambiare la password degli account colpiti. Mozilla usa il nuovo sito web per riepilogare le mosse da intraprendere, tutte abbastanza comprensibili nonostante non siano ancora localizzate in italiano:

Firefox Monitor ti avvisa in caso di furto credenziali 3

Ciò che posso consigliarti è dare un’occhiata al mio vecchio –seppur ancora valido– articolo dedicato alla scelta di una password robusta e sempre diversa per ogni tuo servizio, pubblicato in occasione dell’ultimo attacco a Twitter e a molti dei suoi account:

Tanto va la gatta al lardo, che ci lascia la password di Twitter

Al solito, per qualsiasi dubbio o informazione riguardante l’argomento discusso in questo articolo, l’area commenti è a tua totale disposizione, così come il forum di Mozilla Italia dove –se ti va– possiamo approfondire l’argomento relativo a Firefox Monitor.

Buon proseguimento :-)

Condividi l'articolo con i tuoi contatti: