Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]


Groups > dk.edb.internet.software.browser > #230 > unrolled thread

Mystisk opførsel af Firefox

Started byBertel Lund Hansen <gadekryds@lundhansen.dk>
First post2019-02-04 09:09 +0100
Last post2019-02-06 23:34 +0100
Articles 20 on this page of 23 — 4 participants

Back to article view | Back to dk.edb.internet.software.browser


Contents

  Mystisk opførsel af Firefox Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2019-02-04 09:09 +0100
    Re: Mystisk opførsel af Firefox Jan Hansen <jhjjhjhhansen@gmail.com> - 2019-02-04 11:08 +0100
      Re: Mystisk opførsel af Firefox Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2019-02-04 14:57 +0100
        Re: Mystisk opførsel af Firefox Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2019-02-04 15:46 +0100
          Re: Mystisk opførsel af Firefox Jan Hansen <jhjjhjhhansen@gmail.com> - 2019-02-04 19:13 +0100
            Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-04 22:11 +0100
            Re: Mystisk opførsel af Firefox Bertel Lund Hansen <gadekryds@lundhansen.dk> - 2019-02-05 09:07 +0100
        Re: Mystisk opførsel af Firefox Kim Ludvigsen <kim@kimsside.dk> - 2019-02-04 21:46 +0700
    Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-04 22:03 +0100
      Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-04 22:10 +0100
      Re: Mystisk opførsel af Firefox Kim Ludvigsen <kim@kimsside.dk> - 2019-02-05 04:39 +0700
        Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-06 10:08 +0100
          Re: Mystisk opførsel af Firefox Kim Ludvigsen <kim@kimsside.dk> - 2019-02-06 16:21 +0700
            Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-06 16:45 +0100
              Re: Mystisk opførsel af Firefox Kim Ludvigsen <kim@kimsside.dk> - 2019-02-06 23:16 +0700
                Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-06 23:00 +0100
                  Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-06 23:07 +0100
                    Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-06 23:22 +0100
                      Re: Mystisk opførsel af Firefox Kim Ludvigsen <kim@kimsside.dk> - 2019-02-07 05:41 +0700
                        Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-07 13:33 +0100
                          Re: Mystisk opførsel af Firefox Kim Ludvigsen <kim@kimsside.dk> - 2019-02-07 21:20 +0700
                    Re: Mystisk opførsel af Firefox Kim Ludvigsen <kim@kimsside.dk> - 2019-02-07 05:31 +0700
                      Re: Mystisk opførsel af Firefox Martin Larsen <martin+spamfree+larsen@bigfoot.com> - 2019-02-06 23:34 +0100

Page 1 of 2  [1] 2  Next page →


#230 — Mystisk opførsel af Firefox

FromBertel Lund Hansen <gadekryds@lundhansen.dk>
Date2019-02-04 09:09 +0100
SubjectMystisk opførsel af Firefox
Message-ID<w72eod1iuqn7.dlg@lundhansen.dk>
I forbindelse med nogle eksperimenter (med mit bridgeur) har jeg
gemt en lokal kopi af en HTML-side som genereres af PHP. Jeg
bruger en opdateret Firefox.

Som sædvanlig gemmer browseren en mappe med samme navn, og deri
lå fire JS-filer. Det undrede mig for jeg har ikke selv lavet
eksterne JS-filer i mit PHP-script.

Derudover havde Firefox tilføjet nogle linjer i koden: I
head-delen:

<script type="text/javascript" async=""
src="BridgeClock_files/filter-domains"></script>

Og helt i bunden

<script
src="BridgeClock_files/1f5bb3bfd35476ea5a.js"></script><script
type="text/javascript"
src="BridgeClock_files/userid"></script><script
type="text/javascript"
src="BridgeClock_files/strtm"></script><script
type="text/javascript"
src="BridgeClock_files/lat"></script><script
type="text/javascript"
src="BridgeClock_files/lt"></script><script
type="text/javascript"
src="BridgeClock_files/lnkr5.js"></script><script
type="text/javascript"
src="BridgeClock_files/validate-site.html"></script><script
type="text/javascript"
src="BridgeClock_files/lnkr30_nt.js"></script></body></html>

I mappen lå filen "1f5bb3bfd35476ea5a.js". Den fylder ca. 87
Kbyte og er skrevet i to lange linjer. I starten af den ene
forekommer denne sekvens:

  	if(!!fconf.injectFacebook&&fconf.injectFacebook=="1")

Via nogle krumspring kan jeg slippe af med filerne og
tilføjelserne. Det sker der ingenting ved.

Hvad i alverden foregår der?

Krydspostet til: dk.edb.internet.software.browser, dk.edb.internet.webdesign
Fut til: dk.edb.internet.software.browser
Svar herpå sendes dertil hvis man ikke ændrer det.

-- 
/Bertel

[toc] | [next] | [standalone]


#231

FromJan Hansen <jhjjhjhhansen@gmail.com>
Date2019-02-04 11:08 +0100
Message-ID<20190204110811.540f4da7db186b61171cf3bb@gmail.com>
In reply to#230
4 Feb 2019 09:09:35 +0100 skrev Bertel Lund Hansen <gadekryds@lundhansen.dk>:

> I mappen lå filen "1f5bb3bfd35476ea5a.js". Den fylder ca. 87
> Kbyte og er skrevet i to lange linjer. I starten af den ene
> forekommer denne sekvens:

> if(!!fconf.injectFacebook&&fconf.injectFacebook=="1")

Du må være angrebet af en facebook virus. 
Jeg har lige prøvet i firefox 65.0, godt nok med adblock plus. 
For at se, om angrebet kommer af at være logget på facebook 
samtidig, loggede jeg ind dér, og fandt bridgeur frem på et 
andet faneblad. Jeg klikke Filer -> gem siden som, og fik en 
BridgeClock.html på 6,9 kb, men ingen undermapper. Setup-siden 
gav en "BridgeClock: setup.html" på 13.1 kb uden undermapper.
Ingen af filerne indeholder noget, der ikke kommer frem med 
"vis sidens kildekode".
Imens jeg alligevel var der, prøvede jeg at gemme facebook. 
Det gav en Facebook.html og en mappe med 327 filer. 



-- 
mvh Jan.
Help Microsoft stamp out piracy. Give
Linux to a friend today!

[toc] | [prev] | [next] | [standalone]


#232

FromBertel Lund Hansen <gadekryds@lundhansen.dk>
Date2019-02-04 14:57 +0100
Message-ID<z881bebhq5yj.dlg@lundhansen.dk>
In reply to#231
Jan Hansen skrev:

> Du må være angrebet af en facebook virus.

Det lyder sært. Jeg er ikke på Facebook. Jeg har af og til (meget
sjældent) kikket på nogle sider derfra, men det bestod blot i at
kikke på den side der åbnede sig via linket.
 
> Jeg har lige prøvet i firefox 65.0, godt nok med adblock plus. 
> For at se, om angrebet kommer af at være logget på facebook 
> samtidig, loggede jeg ind dér, og fandt bridgeur frem på et 
> andet faneblad. Jeg klikke Filer -> gem siden som, og fik en 
> BridgeClock.html på 6,9 kb, men ingen undermapper.

Jeg vil prøve at rulle et system-image ud og se om det ændrer
noget.

-- 
/Bertel

[toc] | [prev] | [next] | [standalone]


#233

FromBertel Lund Hansen <gadekryds@lundhansen.dk>
Date2019-02-04 15:46 +0100
Message-ID<13hlgnsk930lt$.dlg@lundhansen.dk>
In reply to#232
Bertel Lund Hansen skrev:

> Jeg vil prøve at rulle et system-image ud og se om det ændrer
> noget.

Det gjorde jeg så. Ingen forskel.
Nu har jeg slettet Firefox og geninstalleret fra fil. Nu er der
ikke mere griseri.

Er der nogen der ved hvordan den virus smitter?

-- 
/Bertel

[toc] | [prev] | [next] | [standalone]


#235

FromJan Hansen <jhjjhjhhansen@gmail.com>
Date2019-02-04 19:13 +0100
Message-ID<20190204191301.e11cd44e1122c7dcef5e0c24@gmail.com>
In reply to#233
4 Feb 2019 15:46:24 +0100 skrev Bertel Lund Hansen <gadekryds@lundhansen.dk>:

> Det gjorde jeg så. Ingen forskel.
> Nu har jeg slettet Firefox og geninstalleret fra fil. Nu er der
> ikke mere griseri.
> 
> Er der nogen der ved hvordan den virus smitter?

Jeg prøvede at søge i google efter
if(!!fconf.injectFacebook&&fconf.injectFacebook=="1")
det gav et link til
<https://gist.github.com/StudioMaX/62af7d906c7e3ba4df294e4e39026159>
hvor teksten står på linie 2437. Overskriften på siden er: 
Malware ad-framework used in different browser extensions 



-- 
mvh Jan.
Help Microsoft stamp out piracy. Give
Linux to a friend today!

[toc] | [prev] | [next] | [standalone]


#238

FromMartin Larsen <martin+spamfree+larsen@bigfoot.com>
Date2019-02-04 22:11 +0100
Message-ID<5c58aa6f$0$686$14726298@news.sunsite.dk>
In reply to#235
Den 04/02/2019 kl. 19.13 skrev Jan Hansen:

> Malware ad-framework used in different browser extensions

Så var jeg da på sporet da jeg foreslog det kunne skyldes en udvidelse....

[toc] | [prev] | [next] | [standalone]


#240

FromBertel Lund Hansen <gadekryds@lundhansen.dk>
Date2019-02-05 09:07 +0100
Message-ID<n6t3zlep8llh$.dlg@lundhansen.dk>
In reply to#235
Jan Hansen skrev:

> Malware ad-framework used in different browser extensions

Okay, aå kan det være kommet fra en extension som jeg har
afprøvet. Jeg sikrede mig lige igen ved at gemme siden og se om
mappen dukkede op, men det gør den ikke, så mine faste extensions
er sikre nok.

Til oplysning kan jeg sige at det drejer sig om:

  	Adblock Plus - free ad blocker
  	Auto-Sort Bokmarks
  	I don't care about cookies
  	Web Developer
  	google-no-tracking-url

Den sidte er røvirriterende for den hedder noget helt andet når
man skal installere den, og det kan let føre til at man får fat i
en forkert. Den hedder:

  	Google Redirects Fixer & Tracking Remover

-- 
/Bertel

[toc] | [prev] | [next] | [standalone]


#234

FromKim Ludvigsen <kim@kimsside.dk>
Date2019-02-04 21:46 +0700
Message-ID<4fY5E.32134$kn2.10007@fx24.fr7>
In reply to#232
Den 04/02/2019 kl. 20.57 skrev Bertel Lund Hansen:

> Jeg vil prøve at rulle et system-image ud og se om det ændrer
> noget.

Du kan også prøve at tjekke sidens kildekode i Firefox, for at se om 
JavaScriptet er der.

-- 
Mvh. Kim Ludvigsen

[toc] | [prev] | [next] | [standalone]


#236

FromMartin Larsen <martin+spamfree+larsen@bigfoot.com>
Date2019-02-04 22:03 +0100
Message-ID<5c58a8c6$0$686$14726298@news.sunsite.dk>
In reply to#230
Den 04/02/2019 kl. 09.09 skrev Bertel Lund Hansen:

> Hvad i alverden foregår der?

Kan du linke til html-siden (altså onlineversionen)?

Hvis du åbner sitet i en inkognitofane og gemmer, får du så samme 
udfald? Hvis ikke, kan det muligvis skyldes en browserudvidelse 
(adblocker etc) som laver om på indholdet. De indlæses normalt ikke i et 
inkognitovindue.

Eller måske google analytics eller tilsvarende, hvis du bruger noget sådant.

[toc] | [prev] | [next] | [standalone]


#237

FromMartin Larsen <martin+spamfree+larsen@bigfoot.com>
Date2019-02-04 22:10 +0100
Message-ID<5c58aa33$0$686$14726298@news.sunsite.dk>
In reply to#236
Den 04/02/2019 kl. 22.03 skrev Martin Larsen:

> Kan du linke til html-siden (altså onlineversionen)?

Ok, det gjorde du i det andet indlæg. Jeg får ikke nogle undermapper. I 
lighed med Jan.

Jeg bemærkede ikke FUT'en og har derfor ikke læst svarene i denne gruppe 
før nu.

[toc] | [prev] | [next] | [standalone]


#239

FromKim Ludvigsen <kim@kimsside.dk>
Date2019-02-05 04:39 +0700
Message-ID<Oi26E.133403$Mo2.2640@fx28.fr7>
In reply to#236
Den 05/02/2019 kl. 04.03 skrev Martin Larsen:

> Hvis du åbner sitet i en inkognitofane og gemmer, får du så samme 
> udfald? Hvis ikke, kan det muligvis skyldes en browserudvidelse 
> (adblocker etc) som laver om på indholdet. De indlæses normalt ikke i et 
> inkognitovindue.

Et inkognitovindue gør ingen forskel på udvidelser. Det er fejlsikret 
tilstand, man skal bruge, hvis man vil deaktivere udvidelser:
https://support.mozilla.org/da/kb/loes-problemer-med-fejlsikret-tilstand

-- 
Mvh. Kim Ludvigsen

[toc] | [prev] | [next] | [standalone]


#241

FromMartin Larsen <martin+spamfree+larsen@bigfoot.com>
Date2019-02-06 10:08 +0100
Message-ID<5c5aa420$0$677$14726298@news.sunsite.dk>
In reply to#239
Den 04/02/2019 kl. 22.39 skrev Kim Ludvigsen:

> Et inkognitovindue gør ingen forskel på udvidelser.

Måske ikke i FF (bruger den ikke så tit) men i Chrome/Chromium/Opera gør 
det. Her indlæses udvidelser netop ikke pga sikkerheden med mindre du 
specifikt tillader for den enkelte udvidelse. Således har jeg tilladt 
Lastpass i inkognitotilstand og ingen andre.

Det er faktisk dumt af FF at den ikke automatisk blokerer udvidelser i 
inkognito.

[toc] | [prev] | [next] | [standalone]


#242

FromKim Ludvigsen <kim@kimsside.dk>
Date2019-02-06 16:21 +0700
Message-ID<4Gx6E.69634$Xl2.49179@fx20.fr7>
In reply to#241
Den 06/02/2019 kl. 16.08 skrev Martin Larsen:
> Den 04/02/2019 kl. 22.39 skrev Kim Ludvigsen:
> 
>> Et inkognitovindue gør ingen forskel på udvidelser.
> 
> Det er faktisk dumt af FF at den ikke automatisk blokerer udvidelser i 
> inkognito.

Hvorfor? Udvidelser kompromitterer normalt ikke brugerens identitet. 
Hvis brugeren har valgt at installere noget, der fortæller websteder, 
hvem brugeren er, så er det forhåbentligt noget brugeren er klar over, 
og som brugeren så selv kan slå fra om ønsket.

Jeg vil omvendt synes, det er dumt, at mine nødvendige udvidelser holder 
op med at virke, bare fordi jeg vil surfe anonymt. Det bliver ikke 
mindre dumt af, at inkognito-udvidelser så også slås fra.

-- 
Mvh. Kim Ludvigsen

[toc] | [prev] | [next] | [standalone]


#243

FromMartin Larsen <martin+spamfree+larsen@bigfoot.com>
Date2019-02-06 16:45 +0100
Message-ID<5c5b0107$0$691$14726298@news.sunsite.dk>
In reply to#242
Den 06/02/2019 kl. 10.21 skrev Kim Ludvigsen:

> Hvorfor? Udvidelser kompromitterer normalt ikke brugerens identitet. 

Ja normalt. Det interessante er som regel når noget ikke kører efter 
normen. Det er ikke normalt at hacker stjæler dit kodeord. Men derfor er 
det nu en god ide at sikre sig mod den slags.

> Hvis brugeren har valgt at installere noget, der fortæller websteder, 
> hvem brugeren er, så er det forhåbentligt noget brugeren er klar over, 
> og som brugeren så selv kan slå fra om ønsket.

Det er meget nemmere lige at starte en anonym fane end at huske på hvad 
der evt. logger din færden og derpå slå det fra.

> Jeg vil omvendt synes, det er dumt, at mine nødvendige udvidelser holder 
> op med at virke, bare fordi jeg vil surfe anonymt.

I Chrome har du i det mindste valgmuligheden.

[toc] | [prev] | [next] | [standalone]


#244

FromKim Ludvigsen <kim@kimsside.dk>
Date2019-02-06 23:16 +0700
Message-ID<GLD6E.44110$yK.28878@fx06.fr7>
In reply to#243
Den 06/02/2019 kl. 22.45 skrev Martin Larsen:
> Den 06/02/2019 kl. 10.21 skrev Kim Ludvigsen:
> 
>> Hvorfor? Udvidelser kompromitterer normalt ikke brugerens identitet. 
> 
> Ja normalt. Det interessante er som regel når noget ikke kører efter 
> normen. Det er ikke normalt at hacker stjæler dit kodeord. Men derfor er 
> det nu en god ide at sikre sig mod den slags.
Det har man sikkerhedsprogrammer til. Nogle af den slags installerer 
vist også udvidelser, men de slås jo så åbenbart fra i Chrome, hvis man 
prøver at skjule gaveindkøb for kæresten. Jeg finder den opførsel meget 
betænkelig.

>> Jeg vil omvendt synes, det er dumt, at mine nødvendige udvidelser 
>> holder op med at virke, bare fordi jeg vil surfe anonymt.
> 
> I Chrome har du i det mindste valgmuligheden.

Det har man da også i Firefox. Her kan du nemt starte et privat vindue, 
som vel svarer til inkognito i Chrome. Men i Firefox virker udvidelser, 
medmindre du selv slår dem fra.

Jeg har fx en VPN-udvidelse installeret, da jeg sidder et sted, hvor der 
er censur på nogle websider. Jeg ville da føle det som et stort 
sikkerhedsproblem, hvis min browser slog den udvidelse fra, fordi jeg 
forsøgte at surfe inkognito. Det er den slags malware kunne finde på, 
det skal en browser ikke gøre.

-- 
Mvh. Kim Ludvigsen

[toc] | [prev] | [next] | [standalone]


#245

FromMartin Larsen <martin+spamfree+larsen@bigfoot.com>
Date2019-02-06 23:00 +0100
Message-ID<5c5b58f4$0$690$14726298@news.sunsite.dk>
In reply to#244
Den 06/02/2019 kl. 17.16 skrev Kim Ludvigsen:

> Jeg ville da føle det som et stort sikkerhedsproblem, hvis min browser 
> slog den udvidelse fra,

Det er kun et spørgsmål om at vælge fra eller til. I Chrome vælger du 
udvidelser til som skal virke i inkognito. I Firefox vælger du dem fra.

Hvis altså det er det du mener: Kan man fortælle FF at en bestemt 
udvidelse ikke skal indlæses i inkognito?

Jeg synes absolut det er bedst at så lidt som muligt indlæses i en 
anonym fane. Du må gerne mene noget andet. Det er vel derfor der er 
forskellige browsere, noget for enhver smag.

[toc] | [prev] | [next] | [standalone]


#246

FromMartin Larsen <martin+spamfree+larsen@bigfoot.com>
Date2019-02-06 23:07 +0100
Message-ID<5c5b5aa9$0$688$14726298@news.sunsite.dk>
In reply to#245
Den 06/02/2019 kl. 23.00 skrev Martin Larsen:

> Jeg synes absolut det er bedst at så lidt som muligt indlæses i en 
> anonym fane.

Blandt andet for hurtigt at kunne afprøve om fx Bertels problem skyldes 
en udvidelse. Hvis man mistænker at en udvidelse laver ballade, er det 
rart lige at kunne starte en fane uden alle udvidelserne og tjekke om 
mistanken holder.

Det var derfor jeg foreslog at åbne i en anonym fane idet jeg troede at 
FF virkede på samme måde.

[toc] | [prev] | [next] | [standalone]


#247

FromMartin Larsen <martin+spamfree+larsen@bigfoot.com>
Date2019-02-06 23:22 +0100
Message-ID<5c5b5e1b$0$680$14726298@news.sunsite.dk>
In reply to#246
Den 06/02/2019 kl. 23.07 skrev Martin Larsen:

>> Jeg synes absolut det er bedst at så lidt som muligt indlæses i en 
>> anonym fane.
> 
> Blandt andet for hurtigt at kunne afprøve om fx Bertels problem skyldes 
> en udvidelse.

Men også for at sikre sig mod at en udvidelse hugger dine 
loginoplysninger fra netbanken etc. Det har du reelt ingen chance for at 
gardere dig imod som det er nu i FF. Med mindre du slår alle 
udvidelserne fra midlertidigt.

Jeg er i øvrigt ikke alene med at mene at FF's metodik er uhensigtsmæssig.

https://github.com/WorldBrain/Memex/issues/175

https://superuser.com/questions/1104083/how-to-disable-all-browser-extensions-while-in-private-mode

Og mange flere: 
https://www.google.com/search?q=firefox+disable+extensions+in+private+browsing


I øvrigt ser det ud til at FF lige om lidt gør som Chrome:

https://techdows.com/2019/01/firefox-to-disable-extensions-in-private-browsing-mode-by-default.html

[toc] | [prev] | [next] | [standalone]


#250

FromKim Ludvigsen <kim@kimsside.dk>
Date2019-02-07 05:41 +0700
Message-ID<joJ6E.44113$yK.30969@fx06.fr7>
In reply to#247
Den 07/02/2019 kl. 05.22 skrev Martin Larsen:

> I øvrigt ser det ud til at FF lige om lidt gør som Chrome:
> 
> https://techdows.com/2019/01/firefox-to-disable-extensions-in-private-browsing-mode-by-default.html 

Uf! I det mindste informeres brugerne åbenbart tydeligt, så de kan vælge 
at slå udvidelserne til. Hvis de også informeres tydeligt i Chrome er 
det selvfølgeligt lidt mindre slemt, men jeg  mener stadig, det er helt 
forkert at gøre det på den måde.

-- 
Mvh. Kim Ludvigsen

[toc] | [prev] | [next] | [standalone]


#251

FromMartin Larsen <martin+spamfree+larsen@bigfoot.com>
Date2019-02-07 13:33 +0100
Message-ID<5c5c2591$0$689$14726298@news.sunsite.dk>
In reply to#250
Den 06/02/2019 kl. 23.41 skrev Kim Ludvigsen:

> men jeg  mener stadig, det er helt forkert at gøre det på den måde

Måske ud fra dit brugsmønster, det er jo smag og behag, men synes du 
også det er forkert fra et sikkerhedssynspunkt?

[toc] | [prev] | [next] | [standalone]


Page 1 of 2  [1] 2  Next page →

Back to top | Article view | dk.edb.internet.software.browser


csiph-web