Обновленный Firefox отказался от альтернативного шифрования

08 Апрель 2015

В новой версии браузера Mozilla Firefox 37.0.1 отключена функция альтернативного шифрования, которая была внедрена только в предыдущей сборке обозревателя. Как поведали разработчики, компания не намерена полностью отказываться от таких мер безопасности, но их еще нужно доработать, поэтому было принято решение временно отключить и усовершенствовать эту функцию.

Пойти на такой шаг компанию вынудила уязвимость в реализации поддержки HTTP/2 Alternative Services (Alt-Svc). По словам экспертов, обнаруженная брешь позволяла организовывать атаки типа «человек посередине» путем игнорирования проверки сертификатов SSL во время установки HTTPS-соединения.

При использовании этой дыры злоумышленники могли заставить браузер игнорировать недействительные сертификаты и не отображать соответствующие уведомления об открытии опасных сайтов. Благодаря этому можно было заменять сертификаты любого сайта на свои собственные и перенаправляя пользователей на другие страницы.

Как рассказал один из специалистов Mozilla в области контроля за качеством выпускаемой продукции Чед Вейнер, эту проблему можно было бы исправить на скорую руку, но компания приняла решение временно отключить данную функцию, чтобы иметь возможность более тщательно с ней разобраться и найти наиболее оптимальное и безопасное решение. Как только программисты справятся со своей задачей, альтернативное шифрование снова будет снова активировано.

О сроках запуска функции Чед Вейнер ничего не сказал, поэтому вполне вероятно, что она появится уже в 38 версии браузера. Ее выход запланирован на май этого года.