Mystisk opførsel af Firefox

[Bertel Lund Hansen]

I forbindelse med nogle eksperimenter (med mit bridgeur) har jeg
gemt en lokal kopi af en HTML-side som genereres af PHP. Jeg
bruger en opdateret Firefox.

Som sædvanlig gemmer browseren en mappe med samme navn, og deri
lå fire JS-filer. Det undrede mig for jeg har ikke selv lavet
eksterne JS-filer i mit PHP-script.

Derudover havde Firefox tilføjet nogle linjer i koden: I
head-delen:

<script type="text/javascript" async=""
src="BridgeClock_files/filter-domains"></script>

Og helt i bunden

<script
src="BridgeClock_files/1f5bb3bfd35476ea5a.js"></script><script
type="text/javascript"
src="BridgeClock_files/userid"></script><script
type="text/javascript"
src="BridgeClock_files/strtm"></script><script
type="text/javascript"
src="BridgeClock_files/lat"></script><script
type="text/javascript"
src="BridgeClock_files/lt"></script><script
type="text/javascript"
src="BridgeClock_files/lnkr5.js"></script><script
type="text/javascript"
src="BridgeClock_files/validate-site.html"></script><script
type="text/javascript"
src="BridgeClock_files/lnkr30_nt.js"></script></body></html>

I mappen lå filen "1f5bb3bfd35476ea5a.js". Den fylder ca. 87
Kbyte og er skrevet i to lange linjer. I starten af den ene
forekommer denne sekvens:

if(!!fconf.injectFacebook&&fconf.injectFacebook=="1")

Via nogle krumspring kan jeg slippe af med filerne og
tilføjelserne. Det sker der ingenting ved.

Hvad i alverden foregår der?

Krydspostet til: dk.edb.internet.software.browser, dk.edb.internet.webdesign
Fut til: dk.edb.internet.software.browser
Svar herpå sendes dertil hvis man ikke ændrer det.

--
/Bertel

[Jan Hansen]

4 Feb 2019 09:09:35 +0100 skrev Bertel Lund Hansen <gade...@lundhansen.dk>:

> I mappen lå filen "1f5bb3bfd35476ea5a.js". Den fylder ca. 87
> Kbyte og er skrevet i to lange linjer. I starten af den ene
> forekommer denne sekvens:

> if(!!fconf.injectFacebook&&fconf.injectFacebook=="1")

Du må være angrebet af en facebook virus.
Jeg har lige prøvet i firefox 65.0, godt nok med adblock plus.
For at se, om angrebet kommer af at være logget på facebook
samtidig, loggede jeg ind dér, og fandt bridgeur frem på et
andet faneblad. Jeg klikke Filer -> gem siden som, og fik en
BridgeClock.html på 6,9 kb, men ingen undermapper. Setup-siden
gav en "BridgeClock: setup.html" på 13.1 kb uden undermapper.
Ingen af filerne indeholder noget, der ikke kommer frem med
"vis sidens kildekode".
Imens jeg alligevel var der, prøvede jeg at gemme facebook.
Det gav en Facebook.html og en mappe med 327 filer.



--
mvh Jan.
Help Microsoft stamp out piracy. Give
Linux to a friend today!

[Bertel Lund Hansen]

Jan Hansen skrev:

> Du må være angrebet af en facebook virus.

Det lyder sært. Jeg er ikke på Facebook. Jeg har af og til (meget
sjældent) kikket på nogle sider derfra, men det bestod blot i at
kikke på den side der åbnede sig via linket.

> Jeg har lige prøvet i firefox 65.0, godt nok med adblock plus.
> For at se, om angrebet kommer af at være logget på facebook
> samtidig, loggede jeg ind dér, og fandt bridgeur frem på et
> andet faneblad. Jeg klikke Filer -> gem siden som, og fik en
> BridgeClock.html på 6,9 kb, men ingen undermapper.

Jeg vil prøve at rulle et system-image ud og se om det ændrer
noget.

--
/Bertel

[Bertel Lund Hansen]

Bertel Lund Hansen skrev:

> Jeg vil prøve at rulle et system-image ud og se om det ændrer
> noget.

Det gjorde jeg så. Ingen forskel.
Nu har jeg slettet Firefox og geninstalleret fra fil. Nu er der
ikke mere griseri.

Er der nogen der ved hvordan den virus smitter?

--
/Bertel

[Kim Ludvigsen]

Den 04/02/2019 kl. 20.57 skrev Bertel Lund Hansen:

> Jeg vil prøve at rulle et system-image ud og se om det ændrer
> noget.

Du kan også prøve at tjekke sidens kildekode i Firefox, for at se om
JavaScriptet er der.

--
Mvh. Kim Ludvigsen

[Jan Hansen]

4 Feb 2019 15:46:24 +0100 skrev Bertel Lund Hansen <gade...@lundhansen.dk>:

> Det gjorde jeg så. Ingen forskel.
> Nu har jeg slettet Firefox og geninstalleret fra fil. Nu er der
> ikke mere griseri.
>
> Er der nogen der ved hvordan den virus smitter?

Jeg prøvede at søge i google efter
if(!!fconf.injectFacebook&&fconf.injectFacebook=="1")
det gav et link til
<https://gist.github.com/StudioMaX/62af7d906c7e3ba4df294e4e39026159>
hvor teksten står på linie 2437. Overskriften på siden er:
Malware ad-framework used in different browser extensions

[Martin Larsen]

Den 04/02/2019 kl. 09.09 skrev Bertel Lund Hansen:

> Hvad i alverden foregår der?

Kan du linke til html-siden (altså onlineversionen)?

Hvis du åbner sitet i en inkognitofane og gemmer, får du så samme
udfald? Hvis ikke, kan det muligvis skyldes en browserudvidelse
(adblocker etc) som laver om på indholdet. De indlæses normalt ikke i et
inkognitovindue.

Eller måske google analytics eller tilsvarende, hvis du bruger noget sådant.

[Martin Larsen]

Den 04/02/2019 kl. 22.03 skrev Martin Larsen:

> Kan du linke til html-siden (altså onlineversionen)?

Ok, det gjorde du i det andet indlæg. Jeg får ikke nogle undermapper. I
lighed med Jan.

Jeg bemærkede ikke FUT'en og har derfor ikke læst svarene i denne gruppe
før nu.

[Martin Larsen]

Den 04/02/2019 kl. 19.13 skrev Jan Hansen:

> Malware ad-framework used in different browser extensions

Så var jeg da på sporet da jeg foreslog det kunne skyldes en udvidelse....

[Kim Ludvigsen]

Den 05/02/2019 kl. 04.03 skrev Martin Larsen:

> Hvis du åbner sitet i en inkognitofane og gemmer, får du så samme
> udfald? Hvis ikke, kan det muligvis skyldes en browserudvidelse
> (adblocker etc) som laver om på indholdet. De indlæses normalt ikke i et
> inkognitovindue.

Et inkognitovindue gør ingen forskel på udvidelser. Det er fejlsikret
tilstand, man skal bruge, hvis man vil deaktivere udvidelser:
https://support.mozilla.org/da/kb/loes-problemer-med-fejlsikret-tilstand

--
Mvh. Kim Ludvigsen

[Bertel Lund Hansen]

Jan Hansen skrev:

> Malware ad-framework used in different browser extensions

Okay, aå kan det være kommet fra en extension som jeg har
afprøvet. Jeg sikrede mig lige igen ved at gemme siden og se om
mappen dukkede op, men det gør den ikke, så mine faste extensions
er sikre nok.

Til oplysning kan jeg sige at det drejer sig om:

Adblock Plus - free ad blocker
Auto-Sort Bokmarks
I don't care about cookies
Web Developer
google-no-tracking-url

Den sidte er røvirriterende for den hedder noget helt andet når
man skal installere den, og det kan let føre til at man får fat i
en forkert. Den hedder:

Google Redirects Fixer & Tracking Remover

--
/Bertel

[Martin Larsen]

Den 04/02/2019 kl. 22.39 skrev Kim Ludvigsen:

> Et inkognitovindue gør ingen forskel på udvidelser.

Måske ikke i FF (bruger den ikke så tit) men i Chrome/Chromium/Opera gør
det. Her indlæses udvidelser netop ikke pga sikkerheden med mindre du
specifikt tillader for den enkelte udvidelse. Således har jeg tilladt
Lastpass i inkognitotilstand og ingen andre.

Det er faktisk dumt af FF at den ikke automatisk blokerer udvidelser i
inkognito.

[Kim Ludvigsen]

Den 06/02/2019 kl. 16.08 skrev Martin Larsen:
> Den 04/02/2019 kl. 22.39 skrev Kim Ludvigsen:
>
>> Et inkognitovindue gør ingen forskel på udvidelser.
>

> Det er faktisk dumt af FF at den ikke automatisk blokerer udvidelser i
> inkognito.

Hvorfor? Udvidelser kompromitterer normalt ikke brugerens identitet.
Hvis brugeren har valgt at installere noget, der fortæller websteder,
hvem brugeren er, så er det forhåbentligt noget brugeren er klar over,
og som brugeren så selv kan slå fra om ønsket.

Jeg vil omvendt synes, det er dumt, at mine nødvendige udvidelser holder
op med at virke, bare fordi jeg vil surfe anonymt. Det bliver ikke
mindre dumt af, at inkognito-udvidelser så også slås fra.

--
Mvh. Kim Ludvigsen

[Martin Larsen]

Den 06/02/2019 kl. 10.21 skrev Kim Ludvigsen:

> Hvorfor? Udvidelser kompromitterer normalt ikke brugerens identitet.

Ja normalt. Det interessante er som regel når noget ikke kører efter
normen. Det er ikke normalt at hacker stjæler dit kodeord. Men derfor er
det nu en god ide at sikre sig mod den slags.

> Hvis brugeren har valgt at installere noget, der fortæller websteder,
> hvem brugeren er, så er det forhåbentligt noget brugeren er klar over,
> og som brugeren så selv kan slå fra om ønsket.

Det er meget nemmere lige at starte en anonym fane end at huske på hvad
der evt. logger din færden og derpå slå det fra.

> Jeg vil omvendt synes, det er dumt, at mine nødvendige udvidelser holder
> op med at virke, bare fordi jeg vil surfe anonymt.

I Chrome har du i det mindste valgmuligheden.

[Kim Ludvigsen]

Den 06/02/2019 kl. 22.45 skrev Martin Larsen:
> Den 06/02/2019 kl. 10.21 skrev Kim Ludvigsen:
>
>> Hvorfor? Udvidelser kompromitterer normalt ikke brugerens identitet.
>
> Ja normalt. Det interessante er som regel når noget ikke kører efter
> normen. Det er ikke normalt at hacker stjæler dit kodeord. Men derfor er
> det nu en god ide at sikre sig mod den slags.

Det har man sikkerhedsprogrammer til. Nogle af den slags installerer
vist også udvidelser, men de slås jo så åbenbart fra i Chrome, hvis man
prøver at skjule gaveindkøb for kæresten. Jeg finder den opførsel meget
betænkelig.

>> Jeg vil omvendt synes, det er dumt, at mine nødvendige udvidelser
>> holder op med at virke, bare fordi jeg vil surfe anonymt.
>
> I Chrome har du i det mindste valgmuligheden.

Det har man da også i Firefox. Her kan du nemt starte et privat vindue,
som vel svarer til inkognito i Chrome. Men i Firefox virker udvidelser,
medmindre du selv slår dem fra.

Jeg har fx en VPN-udvidelse installeret, da jeg sidder et sted, hvor der
er censur på nogle websider. Jeg ville da føle det som et stort
sikkerhedsproblem, hvis min browser slog den udvidelse fra, fordi jeg
forsøgte at surfe inkognito. Det er den slags malware kunne finde på,
det skal en browser ikke gøre.

--
Mvh. Kim Ludvigsen

[Martin Larsen]

Den 06/02/2019 kl. 17.16 skrev Kim Ludvigsen:

> Jeg ville da føle det som et stort sikkerhedsproblem, hvis min browser
> slog den udvidelse fra,

Det er kun et spørgsmål om at vælge fra eller til. I Chrome vælger du
udvidelser til som skal virke i inkognito. I Firefox vælger du dem fra.

Hvis altså det er det du mener: Kan man fortælle FF at en bestemt
udvidelse ikke skal indlæses i inkognito?

Jeg synes absolut det er bedst at så lidt som muligt indlæses i en
anonym fane. Du må gerne mene noget andet. Det er vel derfor der er
forskellige browsere, noget for enhver smag.

[Martin Larsen]

Den 06/02/2019 kl. 23.00 skrev Martin Larsen:

> Jeg synes absolut det er bedst at så lidt som muligt indlæses i en
> anonym fane.

Blandt andet for hurtigt at kunne afprøve om fx Bertels problem skyldes
en udvidelse. Hvis man mistænker at en udvidelse laver ballade, er det
rart lige at kunne starte en fane uden alle udvidelserne og tjekke om
mistanken holder.

Det var derfor jeg foreslog at åbne i en anonym fane idet jeg troede at
FF virkede på samme måde.

[Martin Larsen]

Den 06/02/2019 kl. 23.07 skrev Martin Larsen:

>> Jeg synes absolut det er bedst at så lidt som muligt indlæses i en
>> anonym fane.
>
> Blandt andet for hurtigt at kunne afprøve om fx Bertels problem skyldes
> en udvidelse.

Men også for at sikre sig mod at en udvidelse hugger dine
loginoplysninger fra netbanken etc. Det har du reelt ingen chance for at
gardere dig imod som det er nu i FF. Med mindre du slår alle
udvidelserne fra midlertidigt.

Jeg er i øvrigt ikke alene med at mene at FF's metodik er uhensigtsmæssig.

https://github.com/WorldBrain/Memex/issues/175

https://superuser.com/questions/1104083/how-to-disable-all-browser-extensions-while-in-private-mode

Og mange flere:
https://www.google.com/search?q=firefox+disable+extensions+in+private+browsing


I øvrigt ser det ud til at FF lige om lidt gør som Chrome:

https://techdows.com/2019/01/firefox-to-disable-extensions-in-private-browsing-mode-by-default.html

[Kim Ludvigsen]

Den 07/02/2019 kl. 05.07 skrev Martin Larsen:

> Blandt andet for hurtigt at kunne afprøve om fx Bertels problem skyldes
> en udvidelse. Hvis man mistænker at en udvidelse laver ballade, er det
> rart lige at kunne starte en fane uden alle udvidelserne og tjekke om
> mistanken holder.
>
> Det var derfor jeg foreslog at åbne i en anonym fane idet jeg troede at
> FF virkede på samme måde.

I Firefox kan man slå alle udvidelser fra midlertidigt ved at starte i
fejlsikret tilstand (safe mode).

--
Mvh. Kim Ludvigsen

[Martin Larsen]

Den 06/02/2019 kl. 23.31 skrev Kim Ludvigsen:

> I Firefox kan man slå alle udvidelser fra midlertidigt ved at starte i
> fejlsikret tilstand (safe mode).

Tak, godt at vide.

[Kim Ludvigsen]

Den 07/02/2019 kl. 05.22 skrev Martin Larsen:

> I øvrigt ser det ud til at FF lige om lidt gør som Chrome:
>
> https://techdows.com/2019/01/firefox-to-disable-extensions-in-private-browsing-mode-by-default.html

Uf! I det mindste informeres brugerne åbenbart tydeligt, så de kan vælge
at slå udvidelserne til. Hvis de også informeres tydeligt i Chrome er
det selvfølgeligt lidt mindre slemt, men jeg mener stadig, det er helt
forkert at gøre det på den måde.

--
Mvh. Kim Ludvigsen

[Martin Larsen]

Den 06/02/2019 kl. 23.41 skrev Kim Ludvigsen:

> men jeg  mener stadig, det er helt forkert at gøre det på den måde

Måske ud fra dit brugsmønster, det er jo smag og behag, men synes du
også det er forkert fra et sikkerhedssynspunkt?

[Kim Ludvigsen]

Ja, det er da et problem, hvis en udvidelse fra et sikkerhedsprogram
eller lignende deaktiveres.

Jeg bruger som sagt en udvidelse til at aktivere en vpn-tjeneste. Nu
laver jeg heldigvis ikke noget forbudt, jeg risikerer højest at støde på
blokerede hjemmesider, men hvad med systemkritikeren i Kina?

Andre har måske udvidelser, der hjælper dem mod usikre hjemmesider eller
download af malware.

Selv hvis der informeres om at udvidelser deaktiveres, så kan jeg
forestille mig temmelig mange brugere, der ikke kan gennemskue, hvad det
betyder og hvilke konsekvenser, det kan have.

--
Mvh. Kim Ludvigsen