Archives For Mozilla Firefox

Così qualcuno potrebbe definirlo in effetti. Avrei voluto parlartene sabato ma ero in giro per cercare di concludere quante più commissioni personali possibili, per poi passare a una domenica tra MotoGP e ultimo giorno di mostra di Real Bodies a Milano (davvero molto bella, nda). Trovo quindi un attimo in questa conclusione della prima domenica di maggio per riepilogare quanto accaduto nelle scorse ore a tutti i Firefox installati nel mondo, in particolare ai componenti aggiuntivi diventati tutti d’un tratto inutilizzabili.

Il weekend di passione di Firefox

Cos’è accaduto

Era una notte buia e tempestosa Buona parte di quanto accaduto e relativi aggiornamenti sono stati raccontati dal team di Mozilla stesso all’interno di un articolo in costante aggiornamento, disponibile all’indirizzo blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox:

Late on Friday May 3rd, we became aware of an issue with Firefox that prevented existing and new add-ons from running or being installed. We are very sorry for the inconvenience caused to people who use Firefox.

Our team has identified and rolled-out a fix for all Firefox Desktop users on Release, Beta and Nightly. The fix will be automatically applied in the background within the next few hours. No active steps need to be taken to make add-ons work again. In particular, please do not delete and/or re-install any add-ons as an attempt to fix the issue. Deleting an add-on removes any data associated with it, where disabling and re-enabling does not.

Please note: The fix does not apply to Firefox ESR or Firefox for Android. We’re working on releasing a fix for both, and will provide updates here and on social media.

Te la riassumo in maniera semplice e ti ci aggiungo un dettaglio chiave: a causa di un certificato scaduto tutti i componenti aggiuntivi di Firefox sono stati considerati non sicuri e non validi per l’uso (se già a bordo del tuo profilo) o installati (per chi stava effettuando nuove installazioni da AMO). Tutto è stato raccolto e chiaramente classificato sotto Bugzilla, più precisamente qui:

Nulla di meglio per cominciare bene il fine settimana. Sul forum di Mozilla è stato pressoché contestualmente pubblicato un thread per mettere a disposizione degli utenti gli aggiornamenti del caso. La discussione ha già subito diversi aggiornamenti ed è tutt’ora disponibile all’indirizzo discourse.mozilla.org/t/certificate-issue-causing-add-ons-to-be-disabled-or-fail-to-install/39047, tornato operativo dopo ore di down dovute al carico di lavoro che il server ha dovuto sopportare per ospitare tutti coloro che stavano andando giustamente a lamentare questa grave anomalia. La correzione è stata già rilasciata per i 3 rami principali di prodotto (Firefox stabile, Beta e Nightly), tenendo fuori dai giochi la versione ESR e quella Android, per le quali seguiranno ulteriori aggiornamenti a mezzo Social Account di Mozilla (@mozamo su tutti, ma ti consiglio di tenere d’occhio anche @firefox).

Porre rimedio

Ciò che devi fare non è disinstallare e provare a reinstallare i componenti aggiuntivi, perché così andresti a perdere le loro impostazioni precedentemente configurate ed eventuali altri dati non salvati. Puoi al massimo disattivarli e riattivarli assicurandoti che tutto torni a funzionare, ammesso che però ti sia già arrivata la correzione per mezzo degli studi di Firefox. Se non sai di cosa si tratta vai nelle Preferenze di Firefox → Privacy e Sicurezza (about:preferences#privacy) → Consenti a Firefox di installare e condurre studi (lo screenshot di seguito è catturato dal mio Nightly, ma poco cambia):

Il weekend di passione di Firefox 1

Il sistema di studio di Firefox è probabilmente stato il metodo più rapido e indolore per sottoporre a tutti gli utenti la cura adatta a risolvere l’anomalia, permettendo ai componenti aggiuntivi di tornare a funzionare come nulla fosse mai accaduto, fermo restando che in futuro Mozilla ha già espresso la volontà di utilizzare metodi alternativi per porre rimedio più rapidamente e in differente modalità, poiché non tutti hanno quell’opzione attiva (per scelta, cosa più che lecita).

Vuoi controllare se questo studio (hotfix-update-xpi-signing-intermediate-bug-1548973) è già attivo sul tuo Firefox? Digita nella barra dell’URL about:studies e premi invio. Il risultato dovrebbe essere simile a questo:

Il weekend di passione di Firefox 2

Questo è il mio Nightly installato su macOS 10.14

Il weekend di passione di Firefox (hotfix-update-xpi-signing-intermediate-bug-1548973)

Questo invece è il mio Nightly installato su Windows 10 1809

Se lo studio è stato installato e i componenti aggiuntivi sono tornati a funzionare (in autonomia o dopo aver fatto il gioco del disattiva-riattiva) puoi scegliere di disabilitare nuovamente questa possibilità (installazione automatica degli studi, nda) ritoccando nuovamente le preferenze di Firefox.

In alcuni casi ciò non basta, il consiglio è quello di mettere mano all’about:config per modificare un parametro che “stimola” gli studi a cercarne di nuovi con più velocità. Più precisamente:

  • Spostati in about:config (digitalo nella barra dell’URL e premi invio) e accetta i rischi.
  • Cerca la voce app.normandy.run_interval_seconds e impostala a valore 1, così facendo dovresti accelerare i tempi di ricerca e installazione dello studio. Ricorda – una volta arrivato ciò che aspetti – di riportare la voce al valore predefinito (nel mio caso è ).

Il weekend di passione di Firefox 4

  • Riavvia ora Firefox. Attendi ora che i componenti aggiuntivi tornino disponibili autonomamente.

Vuoi un’ulteriore alternativa? Scarica il file XPI di correzione direttamente dall’URL storage.googleapis.com/moz-fx-normandy-prod-addons/extensions/hotfix-update-xpi-intermediate%40mozilla.com-1.0.2-signed.xpi e installalo manualmente nel tuo Firefox (ne ho salvato una copia nel mio spazio Mega).

La procedura ufficiale di risoluzione è stata tempestivamente localizzata in italiano dai colleghi di Mozilla Italia, puoi trovarla all’indirizzo support.mozilla.org/it/kb/impossibile-installare-componenti-aggiuntivi-firefox.

Quindi è tutto finito?

No, non ancora. Ci sono lamentele e problemi non rientrati (anche se avrebbero dovuto), bug ancora aperti (bugzilla.mozilla.org/show_bug.cgi?id=1549075 e bugzilla.mozilla.org/show_bug.cgi?id=1549078) e un blocco nei rilasci delle versioni Nightly fino a nuovo ordine:

È evidente che questo non sia stato un buon fine settimana per chi siede dall’altro lato della barricata e ci offre quotidianamente la possibilità di navigare in un web più libero e sicuro, rischiando addirittura di oscurare tutto ciò che di più buono è stato fatto nelle scorse settimane (e non sarebbe davvero giusto). Gli errori capitano a tutti, forse anche quelli più stupidi e che non ti aspetteresti. Gli utenti colpiti sono stati tanti e hanno incluso anche progetti collaterali (come Tor Browser: twitter.com/torproject/status/1124742610793504769), ma i problemi sono fatti per essere generalmente risolti.

Ciò che tu puoi e devi fare è controllare che sul tuo Firefox funzioni correttamente e diffondere la voce, il panico generale non aiuta nessuno così come le ciarlanerie riguardanti cospirazioni e altre stronzate simili (passami il francesismo d’occasione), evidentemente riportate per colpire coloro che hanno meno esperienza e sangue freddo dietro la tastiera. Il work-around per le installazioni non stabili esiste (è sempre esistito tra l’altro) ma è anche altamente sconsigliato perché va a eliminare proprio il controllo di validità di un componente aggiuntivo (la sua firma) in fase di installazione. Io te lo propongo qui di seguito, funzionerà solo su versioni Beta o Nightly (quindi non stabili) ma sono davvero il primo a dirti di non prendere questa strada, rischi di dimenticarti di ciò che hai modificato e di lasciare tutto così, permettendo a componenti aggiuntivi di terza parte non verificata di installarsi nel tuo browser.

Work-around tramite about:config

  • Spostati in about:config (digitalo nella barra dell’URL e premi invio) e accetta i rischi.
  • Cerca la voce xpinstall.signatures.required e portala a false.

Il weekend di passione di Firefox 3

Questo ha appena disabilitato quello strato di sicurezza in più che hai sempre a disposizione e che verifica la bontà di un componente aggiuntivo in fase di installazione. Ti prego, se deciderai di eseguire questa modifica al tuo profilo, di rimetterla poi a posto non appena il tuo Firefox sarà patchato (tipo già ora secondo me).

In conclusione

C’è poco da aggiungere. Tutto è stato già discusso e corretto, io resto a disposizione in caso di dubbi o ulteriori informazioni, manco a dirlo il forum di Mozilla Italia è stato preso d’assalto, puoi partecipare alla discussione puntando il browser all’indirizzo forum.mozillaitalia.org/index.php?topic=72523.0 (c’è anche una seconda discussione dedicata a chi ha risolto il problema e/o trovato soluzioni alternative, la puoi trovare all’indirizzo forum.mozillaitalia.org/index.php?topic=72531).

15/5/19

I vari thread del forum di Mozilla Italia sono stati chiusi o uniti per cercare di tenere l’argomento (domande, dubbi e commenti) sotto un unico tetto, trovi quindi la soluzione definitiva al problema all’indirizzo forum.mozillaitalia.org/index.php?topic=72534.0. Grazie Simo per l’aggiornamento dal fronte di guerra 😏😁

Buon inizio settimana.

Condividi l'articolo con i tuoi contatti:

Le vuoi due o tre letture interessanti per questo fine settimana di Pasqua (ah già, auguri)? Te le butto qui di seguito, secondo me vale la pena dargli un’occhiata.

  • The ultimate guide on online anonymity and safety: articolo in inglese, rivela qualche trucco e una serie di buoni consigli da tenere a mente quando si valuta di aver assoluta necessità di riservatezza non solo nella navigazione quotidiana, ma anche in quella serie di servizi che si utilizzano quotidianamente e ai quali forse si presta poca attenzione.
  • Regex tutorial — A quick cheatsheet by examples: articolo in inglese, adatto per chi ancora deve imparare a utilizzare al meglio le query RegEx (me compreso) e sfruttarle al massimo delle potenzialità per cercare qualsiasi tipo di testo all’interno di un cumulo di stringhe magari più complesse, lavoro spesso fondamentale quando si realizzano script o quando si opera con Notepad++ (come già successo in passato).
  • How to See Who’s On Your Wi-Fi: articolo in inglese, ti racconta che applicazioni e che metodi utilizzare per sapere se sulla tua rete WiFi (ma vale anche con quella cablata, sia chiaro) c’è qualche apparato sconosciuto e non di tuo possesso, così che tu possa prendere provvedimenti in merito.

Se per qualsivoglia motivo non riesci a leggere gli articoli su Medium puoi comunque farlo passando dagli screenshot catturati (dalla galleria puoi scaricare i file originali e consultarli a grandezza naturale):

E ora goditi un po’ di meritato riposo 😉👍

Condividi l'articolo con i tuoi contatti:

Devo ammettere che negli ultimi tempi il team di sviluppo di Firefox sta davvero correndo come non mai, cercando costantemente di introdurre delle (a mio parere ottime) novità pur mantenendo un alto livello di attenzione ai buchi di sicurezza corretti dalle numerose patch riportate nel codice sorgente. In arrivo ci sono quindi due ulteriori integrazioni che promettono di tenere lontani gli utenti dalle numerose insicurezze nascoste dietro alcuni siti web: una maggiore integrazione con Firefox Monitor e un blocco per tutto ciò che tenta di utilizzare il browser per minare valute elettroniche o tracciare con precisione la tua impronta su Internet (fingerprint).

Firefox Nightly: nuova integrazione Firefox Monitor, blocco CryptoMining e Fingerprint 6

Due aggiornamenti secondo me importanti, che mirano a migliorare la consapevolezza dell’utilizzatore di Firefox nei confronti della sicurezza dei suoi dati (accessi ai servizi online in primis) e all’importanza del limitare la voracità di quei siti web che tentano di collezionarne il più possibile, per un proprio tornaconto evidentemente non sempre chiaro ai nostri occhi. Lascia che ti dia una panoramica un pelo più completa su ambo gli aspetti in arrivo per tutti nel futuro prossimo del browser di casa Mozilla.

Integrazione con Firefox Monitor

Firefox Nightly: nuova integrazione con Firefox Monitor, blocco CryptoMining e Fingerprint

Se questo è il primo articolo che leggi in merito a Firefox Monitor, permettimi di rimandarti a un precedente pubblicato qualche tempo fa, che ti spiega nel dettaglio di cosa si tratta e perché Firefox Monitor può tornare utile nell’utilizzo quotidiano di Internet e dei numerosi siti web e servizi che certamente in parte utilizzerai: Firefox Monitor ti avvisa in caso di furto credenziali. Ora, chiarito lo scopo e l’utilizzo dello strumento brandizzato Mozilla (pur non nascendo nella fucina degli sviluppatori sparsi su tutto il territorio internazionale), ti spiego come ha luogo l’integrazione promessa e che in questo momento (mentre sto scrivendo il mio articolo) è ancora sotto ai ferri per poter essere all’altezza delle aspettative e fondersi diventando tutt’uno con l’interfaccia del browser.

Dall’about:config cerca la chiave extensions.fxmonitor.enabled e attivala (è una variabile booleana, ti basterà portarla su True). Se questa non dovesse esistere tra le chiavi disponibili nella tua configurazione, creala in tutta tranquillità:

A questo punto la modifica è immediata. Visitando un sito web compromesso almeno una volta negli ultimi 12 mesi, ti verrà notificato direttamente da Firefox. Ti segnalo inoltre un paio di ulteriori note da tenere da conto:

  • extensions.fxmonitor.firstAlertShown : questo parametro determina se la prima notifica di allerta ti è già stata mostrata. Puoi impostarlo su False per ripristinarlo e ricevere notifiche per i siti violati negli ultimi 12 mesi.
  • extensions.fxmonitor.warnedHosts : il parametro tiene traccia dell’elenco di siti web per cui ti sono stati mostrati gli avvisi. Se intendi in qualche modo fare un reset, ti basta pulirlo (lasciare la stringa vuota) per riportarlo allo stadio iniziale.

Se non dovesse funzionare sulla tua installazione, è perché probabilmente c’è ancora qualcosa da mettere a posto, come segnalato da un ingegnere Mozilla in un thread su Reddit, ti basterà solo portare un attimo di pazienza, sono certo che nei fix che stanno uscendo in questi giorni ci sarà anche quello che colmerà l’attuale lacuna e permetterà all’integrazione con Firefox Monitor di funzionare correttamente.

Blocco CryptoMining e Fingerprint

Firefox Nightly: nuova integrazione con Firefox Monitor, blocco CryptoMining e Fingerprint 1

Anche di CryptoMining te ne ho già parlato, e l’ho fatto in occasione della presentazione della lista NoCoin per Adblock Plus (ed estensioni compatibili), più precisamente in questo articolo: Ti presento NoCoin, l’ultimo arrivato nella famiglia ABP X Files, riprendendo poi l’argomento in NoCoin: il cryptojacking è ormai argomento comune. A quanto pare l’argomento è diventato fulcro di questa ulteriore novità al momento funzionante in Nightly, ma che presto raggiungerà con ogni probabilità tutti gli altri rami di rilascio di Mozilla Firefox.

A esso si associa l’ulteriore argomento riguardante il Fingerprint del browser, l’impronta digitale lasciata dal software che noi tutti utilizziamo per navigare su Internet, che permette spesso di lasciare al sito web anche altre informazioni, senza però aver mai chiesto il permesso in maniera esplicita all’utente finale. Descrive bene il tutto la Electronic Frontier Foundation (EFF):

“Browser fingerprinting” is a method of tracking web browsers by the configuration and settings information they make visible to websites, rather than traditional tracking methods such as IP addresses and unique cookies.

Browser fingerprinting is both difficult to detect and and extremely difficult to thwart.

When you load a web page, you will automatically broadcast certain information about your browser to the website you are visiting — as well as to any trackers embedded within the site (such as those that serve advertisements). The site you are visiting may choose to analyze your browser using JavaScript, Flash and other methods (just like Panopticlick does). It may look for what types of fonts you have installed, the language you’ve set, the add-ons you’ve installed, and other factors. The site may then create a type of profile of you, tied to this pattern of characteristics associated with your browser, rather than tied to a specific tracking cookie.

If your browser is unique, then it’s possible that an online tracker can identify you even without setting tracking cookies. While the tracker won’t know your name, they could collect a deeply personal dossier of websites you visit.

vedi: panopticlick.eff.org/about#browser-fingerprinting.

È qui che interviene Mozilla, proponendo due impostazioni appositamente dedicate al blocco del Cryptomining e all’evitare che chiunque possa tracciare un’impronta precisa del browser e delle diverse informazioni che tramite questo arrivano a chi sta dietro il sito web o servizio di turno, si va quindi ad aggiungere un nuovo strato di sicurezza al già in produzione blocco degli elementi traccianti.

Accedi a about:preferences#privacy, noterai tu stesso ciò di cui ti sto parlando. È qui che puoi intervenire mettendo in moto le due nuove configurazioni dall’about:config, rispettivamente privacy.trackingprotection.fingerprinting.enabled e privacy.trackingprotection.cryptomining.enabled, variabili booleane che tu potrai attivare in Nightly da subito, nel ramo stabile tra qualche tempo:

La modifica è immediata, è ancora in fase di miglioramento continuo e contribuirà così ad arricchire ancora più ciò che Mozilla mette a disposizione per proteggere quanto più possibile la propria identità digitale e i dati riservati che molti prendono senza il tuo permesso.

Questo significherà abbandonare NoCoin?

Non al momento, ma va da sé che se Mozilla deciderà di integrare la protezione contro il Cryptomining all’interno del browser, liste filtri come NoCoin (e vale anche per le estensioni nate ad-hoc) non avranno forse più senso di esistere, e non c’è migliore notizia per gli utilizzatori, perché si andranno a proteggere anche quelli che non conoscono ancora oggi le possibilità offerte da Adblock Plus (e “soci”), le liste, le configurazioni in grado di tenerli lontani dai pericoli del web.

NoCoin è nata per andarsi a integrare con liste che vengono costantemente aggiornate e tenute vive sul web ormai da molti anni (2007, ed è subito attacco di nostalgia per gli anni passati), ma non è necessario che questa resista se c’è chi può fare di meglio e più diffusamente, credo tu possa comprenderlo benissimo.


immagine di copertina: Tails by giantspeck
fonti:
bleepingcomputer.com/news/security/mozilla-adding-cryptomining-and-fingerprint-blocking-to-firefox
ghacks.net/2019/02/18/firefox-67-to-display-breach-alerts
reddit.com/r/firefox/comments/as4txo/firefox_67_to_display_breach_alerts_ghacks_tech
reddit.com/r/firefox/comments/ap3np6/mozilla_adding_cryptomining_and_fingerprint
Condividi l'articolo con i tuoi contatti:

Prima c’è stata Always Right, poi con l’arrivo di Firefox Quantum nel ramo Nightly sono passato a Open Tabs Next to Current, un componente aggiuntivo che ha sempre svolto quell’eccellente e per me irrinunciabile mestiere di aprire nuove schede ponendole alla destra di quella che ho utilizzato fino a un secondo prima. Non è però una novità che da qualche rilascio a questa parte, Firefox abbia finalmente scelto di includere una nuova voce di about:config dedicata a questa opzione, rendendola nativa.

Sicurezza: la 2-step verification di Firefox

Il componente aggiuntivo, per chi ancora non potesse o volesse sfruttare l’opzione nativa, è ancora disponibile su AMO (oltre che sulla pagina ufficiale di GitHub):

Open Tabs Next to Current
Open Tabs Next to Current

Ma è lo stesso autore, Sebastian Blask, a informare i suoi utenti che la storia del componente aggiuntivo può considerarsi conclusa:

After the addition of the browser.tabs.insertAfterCurrent setting in about:config you do not need this extension anymore.

vedi: github.com/sblask/webextension-open-tabs-next-to-current#note-for-firefox

Puoi operare la modifica tu stesso, aprendo l’about:config e andando quindi a cercare la voce browser.tabs.insertAfterCurrent, impostandola a True.

Firefox: è ora di dismettere Open Tabs Next to Current

La modifica è immediata, non hai bisogno di riavviare Firefox e potrai immediatamente godere della novità.


Se ne parla anche su r/firefox: reddit.com/r/firefox/comments/ainzny/open_tabs_next_to_current_addon_is_now_redundant

Condividi l'articolo con i tuoi contatti: