我们本周从IT部门收到一条消息,内容为:

问题摘要:下周四03.12.20,IT将在所有IT托管设备上禁用和阻止使用Firefox浏览器。由于与使用此浏览器相关的某些漏洞和安全风险,它将在下星期四开始被禁止使用。

是否发现了新的利用?我已经检查过https://www.mozilla.org/zh-CN/security/advisories/mfsa2020-50/,但没有看到任何目前开放的信息。
有人知道此禁令的原因吗?

评论

几乎肯定没有充分的理由,而且您的IT部门也很笨拙。

你问过他们吗?您要猜测他们的原因。
@ JosephSible-ReinstateMonica不一定毫无头绪,他们可能只是想减少软件来跟踪。挑出Firefox中所有浏览器的含义有点过(然后,它的核心功能似乎已被略微忽略了,如果它们也阻止了派生的浏览器,则一口气杀死了许多变体)。 >
如果他们允许使用Google Chrome,那真是愚蠢。通过Windows更新仅更新Microsoft Edge。真正的原因是firefox使用其自己的证书存储区,这可以防止您的雇主将MITM的流量屏蔽而不会被发现。

@defalt即将推出:Chrome也拥有自己的证书存储区。

#1 楼

假设您在银行业工作,这很可能是由于它们无法拦截Firefox的流量。

TLDR:
由于Firefox对DoH和eSNI的支持,大多数银行和受管制的行业都在阻止Firefox,因为防火墙无法轻松地窥探加密流量。

另一方面,如果您使用chrome,IE或Edge,则可以在用户不知情/未同意的情况下通过Active Directory进行更改。
实际上,大多数使用DPI的硬件防火墙供应商已经开始建议企业客户之所以放弃Firefox,是因为其边缘防火墙不再能够拦截FF的流量。更容易。

https://live.paloaltonetworks.com/t5/blogs/protecting-organizations-in-a-world-of-doh-and-dot/bc-p/319542
https://www.venafi.com/blog/fight-over-dns-over-https
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk98025


评论


评论不作进一步讨论;此对话已移至聊天。

–Rory Alsop♦
20 Dec 1'在12:32

#2 楼

TLDR-甚至可能与安全性无关。这可能只是由于贵公司的偏爱。
我的一个朋友也遇到了类似的问题。 Firefox在他的办公室笔记本电脑上被阻止。当被问到时,他们只是说这是出于“安全原因”。在提交要求他需要在Firefox上测试网站的请求后,他得到了另一个答案。它说他们在Google Chrome上安装了一个扩展程序,以监视其网络活动并确定“工作时间/生产率”。该扩展程序仅在Google Chrome上可用,并且所有其他浏览器都出于“安全原因”被禁止,而实际上,这只是扩展程序开发团队的偏爱。

评论


坦白说,我要在约瑟夫·西伯(Joseph Sible)在上述问题下的评论中提出(又名-无能)。

– TylerH
20-11-29在20:17

那就是“安全原因”,问题在于Firefox是安全的。

–橙色狗
20-11-30在13:03

我应该指出,这种推理也很草率。借助Windows管理员权限,您可以将监视软件静默地推送到在操作系统级别工作的员工机器上,以监视使用情况(即,使用哪种浏览器都没有关系)。插件是奇怪的事情,并不总是能以您期望的方式工作。

–Machavity
20-11-30在13:13



@Machavity该扩展名旁边有一个Windows程序。该扩展程序正在从浏览器中收集历史记录。我怀疑它是否用于某些分析,例如员工花时间在哪些网站上等等,而Windows程序正在收集有关所使用程序的详细信息。

– Kolappan N
20-11-30在13:20

@KolappanN啊,这是通过JavaScript进行分析。那是有道理的

–Machavity
20-11-30在13:21

#3 楼

IT部门很可能不希望对集中式更新负责。
如果没有一致的更新,单个安装将过时,一旦发现漏洞,便可能无法修补。因此,他们禁止了该程序,而不是进行额外的工作以确保对其进行修补。

评论


可悲的是,这甚至没有任何额外的工作。他们只是不必禁用默认情况下启用的自动更新。

–约瑟夫·西布尔-恢复莫妮卡
20-11-29在2:50

@ JosephSible-ReinstateMonica,但是人们可以安装mod并以某种方式操弄浏览器,或者使用adblocker和js阻止器,然后询问IT为什么该页面不起作用等。因此,如果他们负责该东西可以起作用并且FF是附加的浏览器选项,可能只是减少整体用户支持工作量的方法。

–弗兰克·霍普金斯
20/11/29在9:30

@ JosephSible-ReinstateMonica,对于公司来说,自动更新可能是一个严重的问题-如果突然(糟糕的自己编写)的业务关键应用程序失败(在最新的浏览器版本中),该公司可能会陷入困境,甚至无法继续执行。当然,不是浏览器的错,而是现实。

– Aganju
20-11-29在17:46

@ Joseph,Firefox在不使用时缺乏自我更新的能力,这在企业环境中是一个问题。我不知道有什么好的方法可以使整个机队保持最新状态,即使您可以负担得起。由于这个原因,我的组织正在考虑部分放弃支持。

–哈里·约翰斯顿(Harry Johnston)
20-11-30在2:49

嗯,如今,对Firefox的集中控制非常简单。

– Craig
20-11-30在17:50

#4 楼

TLDR-Firefox的Javascript实施与组织基础结构的其他部分不兼容或以非常狭窄的方式不安全的可能性很低。
Java的实施是我每天的头疼,因为我支持旨在无论您如何访问它,其工作方式都一样。围绕某些第三方内容的问题很少出现。比确认导航更复杂。 Chrome和我支持的IE或Edge的每个版本都不允许在这些事件期间发布帖子(以防止JS劫持僵尸标签)。当Firefox遇到该事件时,数据发布完全没有问题。就我而言,我的代码实际上拥有该帖子中的内容,但是内容基本上可以将其想要的内容写到pagehide事件中,并且使用Firefox,如果速度足够快的话,它可能会通过。
我只是想做的另一件事想到的是JS中的字符串模板。 IE绝对不支持它,而我的一些客户则要求使用浏览器。我不使用JS字符串模板,因为我必须支持IE 9到IE 9,但这只是浏览器禁令与安全性无关的一个示例。入站的基础架构极有可能以某种他们不愿提及的方式完全不兼容,因此可能性很小。

#5 楼

他们维护与浏览器一起使用的公司站点和/或工具,不想支持Firefox,也不想处理来自不了解Firefox用户的支持请求。
他们可能不了解超出审美偏好的任何损害。 。还是不在乎。

评论


这不是“安全原因”或“漏洞”

– schroeder♦
20-11-30在18:13

#6 楼

也许他们看到了另一种安全风险? Mozilla基金会最近一直在推动政治议程,我从iPhone上的Firefox应用程序获得了一条推送消息,要求我支持#defundfacebook广告系列。尽管可以同意他们的议程,但允许来自激进公司的应用程序被视为安全/法律风险。

评论


您确定邮件是来自Mozilla而不是来自广告网络吗?

– schroeder♦
20/11/29在8:27

即使您更正了帖子中的主题标签,#StopHateForProfit也不是一项政治议程,也不是积极性。您的评论使事情变得混乱。您说从应用程序收到消息,但是您从未使用过该应用程序?

– schroeder♦
20-11-29在9:06



称其为安全风险有点奇怪;充其量只是在政治上滥用其影响力,而IT的举动本质上也是政治上的,或者充其量可以说是在其工具中坚持某种专业中立的观念。但是,这种或任何类似的政治/意识形态动机显然可能是一个原因。从总体上来说,Imho Mozilla的“书呆子/开发者用户派系”的某些部分做出了一些可疑的选择。因此,作为改进建议:更笼统地说,安全性可能只是其他动机的掩盖

–弗兰克·霍普金斯
20-11-29在9:28

@schroeder的好坏,对与错,有效与否,当然,#StopHateForProfit是政治活动家,但主要是美德信号。否则相信是妄想。

–罗恩·约翰
20-11-30在0:59

如果您认为自己的回答得到了不公平的对待,则可以随时对其进行编辑,以澄清引起负面关注的错误。我们不是要不公平,也不是要引起情绪上的反应。这里的问题是,您建议一家公司做了一件(很有争议的)事情,而他们所做的事情却大不相同。当您的帖子由于措辞和澄清不明确而受到质疑时,它不是“拖钓”。该站点不用于猜测和评论问题;这是确定的答案。

– Redwolf程序
20-11-30在21:01