[a2z]

Разработчики Mozilla представили систему для защиты от web-атак

Цитата: Разработчики Mozilla представили новую экспериментальную систему Site Security Policy (SSP), предназначенную для защиты пользователей от таких видов сетевых атак как межсайтовый скриптинг (XSS), CSRF (Cross Site Request Forgery, например, когда на страницу помещается img src ссылка для выполнения операции на внешнем сайте, на котором пользователь авторизирован. XSS - проблемы вызваны тем, что клиент доверяет серверу, а для CSRF наоборот, тем, что сервер доверяет клиенту). Система также позволит защитить пользователей от выполнения поражающих браузер скриптов, загружаемых через вставленные злоумышленником блоки IFRAME или JavaScript, которыми, по опубликованной недавно статистике, заражено более полутора миллионов web-страниц, включая случаи инфицирования крупных и известных web-проектов, социальных и баннерных сетей. Зафиксированы случаи размещения злоумышленником вредоносных HTML/JavaScript вставок в таких сервисах, как iGoogle, eBay, Roxer, Windows Live, MySpace / Facebook Widgets и т.д. Представленное SSP дополнение к браузеру Firefox, усиливает контроль над работой Web приложений, через кооперацию с владельцами сайтов. SSP позволяет явно определить список внешних ресурсов, используемых данным проектом. Таким образом, появляется возможность отличить злонамеренные вставки от полезных (баннерные сети, внешние блоки новостей), использующих загрузку кода через iframe, javascript src или img src. Пример задания SSP политики (правила передаются браузеру через ряд дополнительных HTTP заголовков): Код: // правило для script src X-SSP-Script-Source: allow *.example.com; deny public.example.com // правило для проверки допустимости межсайтовых запросов. // проверка запрашивается через отдельный HEAD запрос с HTTP заголовком "Policy-Query". X-SSP-Request-Source: deny * post; allow * get; expires 60 X-SSP-Request-Source: allow *.example.com post,get; deny public.example.com *; expires 3600 X-SSP-Request-Target: allow *.example.com *, deny public.example.com post // URI для отправки POST запроса для уведомления о нарушении заданных политик X-SSP-Report-URI: http://www.example.com/policy.cgi

it.slashdot.org/article.pl?sid=08/06/06/1710212

Firefox переходит с CVS на Mercurial

Цитата: Команда разработчиков Mozilla сообщает, что миграция проекта с CVS на Mercurial достигла стадии, когда уже можно отправлять код в новый репозиторий (mozilla-central). Ожидается, что для некоторых такой переход окажется болезненным, и не все еще работает как надо, поэтому первое время следует придерживаться опубликованных рекомендаций. В отличие от Mozilla CVS репозитория, только проекты Firefox и XULRunner включены в mozilla-central. Разработка других проектов, таких как Thunderbird, Calendar и SeaMonkey будет продолжена в соответствии с правилами, установленными этими проектами. Они так же могут мигрировать на Mercurial, но исходный код, будет находится в индивидуальных репозиториях. Все изменения в CVS, касающиеся Firefox 3.0 RC 2, сделанные до 07:32 30 мая 2008 были перенесены в mozilla-central. С целью поддержания кода в mozilla-central в состоянии максимальной стабильности, ужесточаются требования в отношении регрессии. Код, вызывающий регрессию, будет восстановлен в первоначальном виде, а изменения должны быть переработаны. Так же не следует проводить пакетные изменения. В случае регрессии весь пакет будет отменен. Проверка производится на основании автоматических unit-тестов, тестов производительности и тестов утечек памяти.

developer.mozilla.org/devnews/index.php/2008/06/02/mozilla-central-open-for-business/

Для участия в акции по продвижению Firefox 3 зарегистрировались миллион пользователей

Цитата: "One million pledges!" - для участия в акции по продвижению Firefox 3 в книгу рекордов Гиннеса зарегистрировались миллион пользователей. В рамках акции планируется побить мировой рекорд на самое большое количество загрузок программы в течение суток

blog.mozilla.com/blog/2008/06/10/one-million-pledges/
opennet.ru/opennews/art.shtml?num=16432