Само дни, след катоMozillaпуснаха Версия 37 на браузъра сиFirefox, компанията реши да върне едно от нововъведенията в него. Става дума за характеристика, за която ви информирахмевчера, и за чието въвеждане Mozillaбяха похвалени от специалисти по информационна защита.
От компанията се похвалиха, че сВерсия 37в браузъра се въвежда поддръжката за Opportionistic Encryption (OE). Дни по-късно обаче, много от вас, които ползвате „лисицата“, вероятно сте забелязали, че приложението се самообнови доВерсия 37.0.1.Междинното обновление се е наложило, тъй като инженерите от компанията, които се грижат за безопасността наFirefoxразбрали, че вместо да донесе със себе си повее криптозащита към мрежата, новата характеристика, която криптира HTTP трафика, в случаите, в които сървърите поддържатHTTP/2 AltSvc, не само не носи повече защита със себе си, ами тъкмо напротив, тъй като причинява проблем при процеса на валидацията наSSLсертификатите. „Изследователят по сигурността Мунеаки Нишимура е открил уязвимост в имплементацията на HTTP Alternative Services от страна на Mozilla. Ако Alt-Svc хедърът е уточнен в HTTP/2 отговора, то верификацията SSL сертификата за конкретния алтернативен сървър би могла да бъде преодоляна. В резултат на това предупреждението за невалиден SSL сертификат няма да бъде показано и атакуваща страна може евентуално да представи зловредна страница за легитимна посредствомMiTM(man-in-the-middle)атака, заменяйки оригиналния сертификат с цифров документ, който е подправен от атакуващата страна“, пишат разработчиците отMozillaв специално издаденбюлетинпо повод излизането на междинната версия.
Предвид значимостта на проблема е ясно, че временно решение, което да заобикаля проблема едва ли би било най-доброто решение в случая, и именно поради тази причина хората от Mozillaса предпочели да деактивират поддръжката наOE за момента – докато не бъде намерено трайно решение, изправящо уязвимостта. Така че, ако сте заложили в настройките на браузъра той да се обновява ръчно е добре да наложите по-скоро новата междинна версия.