Vlákno názorů k článku
Firefox 135: vyplňování údajů o platebních kartách či lepší překlady stránek
od bez prezdivky ... - Jinak receno, spousta dalsiho smirovani a kriticke ohrozeni...
-
Jakákoliv AI sbírá data, a ve velkém...
Jinak vyplňování jakýkoliv údajů o kartě, je bezpečnostní riziko. Od toho tu máme třeba Gpay, Applepay atd....
Tyto služby nevkládají velmi citlivé údaje bez vašeho souhlasu, respektive neprovedou nic bez autorizace.
Tato služba automaticky vyplní při kliknutí do kolonky karta.. Být to fake stránka tak automaticky jsou data zkopírována a hlavně pak následně zneužita.
A jak už jednou Firefox ukládala data k vyplňování v .txt, nevěřím ji, že zrovna tyto údaje najednou bude šifrovat...Prostě je to kravina a to i bez kouknutí do zdrojáků (o tom, že to psal nějakej ind už nemluvě)....
4. 2. 2025, 21:15 editováno autorem komentáře
-
Misto dojmu se staci podivat na https://support.mozilla.org/en-US/kb/credit-card-autofill
A nebojte, v CR to nema byt dostupne.
-
Teď trošku po právnicku... je napsáno, že není uloženo, ALE neni napsáno, že to nikam neodešle....
Nejde o ČR nedostupnost, jde o celkový náhled nad věcí.
S tim jak mozilla jede do nuly, nedivil bych se o tajném sběru dat a prodeje. Nemyslím teď celé ukládání bankovnictví a údajů, ale celkově internetového otisku sebe sama...
-
Nicmene je diskuse o Firefoxu, a pokud se neco nezmenilo (pripadne me prosim opravte), tak plati cit:
Orbit is a Firefox add-on (currently in Beta) that leverages AI to summarize and respond to queries about web content, including articles, emails and videos. In this version of Orbit AI, Mozilla utilizes the open-source Mistral LLM (Mistral 7B), which is hosted on Mozilla’s Google Cloud Platform.
When you ask Orbit to summarize or answer questions about a webpage or email, it collects the relevant information (such as text, images, and videos) from the page you are looking at and gives you a summary or response. Orbit can be used on various websites, including Gmail, Wikipedia, The New York Times, YouTube, and more. However, this beta version of Orbit is currently only available in English.
src: https://techtrickz.com/ai/enable-firefox-orbit-ai-assistant-use-it/
4. 2. 2025, 23:01 editováno autorem komentáře
-
Michal ŠmucrBronzový podporovatel
To je ale specificky Orbit, Mistral hostovaný u Mozilly.
Má ale svůj separátní doplněk. Není součástí toho AI Chatbot panelu, co je v nových verzích Firefoxu, jak zmiňuje zprávička.Jinak Orbit doplňek má trochu hlubší integraci jak v prohlížeči a přímo s některými otevřenými stránkami v něm. Tam už si myslím, že by to třeba někomu nemuselo sedět a mohl by to chtít detailněji zkoumat, co to dělá.
-
Michal ŠmucrBronzový podporovatel
Podle mě trochu zbytečně hysterčíte.
Ten AI Chatbot panel už tam je od 133. Je to v postatě sidebar (ctrl+alt+x) s webovým rozhraním chatu z některých nabízených služeb a do kontextové nabídky na stránce nebo vybraném textu přidá pár možností, co to pošlou jako query do promptu vybrané služby.
Nic víc, nic míň. Dá se to celé vypnout. Můžete si vybrat od ChatGPT přes Gemini, Claude, LeMistral až po Huggin Chat, který pak má přepínání na ty rozšířenější volné modely (ale zas to je od Alibaby, takže asi spíš pro fandy).https://support.mozilla.org/en-US/kb/ai-chatbot
Mě tohle naopak přijde i v téhle formě velmi užitečné, protože daleko víc věřím Mozille stran toho integrovaného panelu než třeba neznámému autorovi náhodného doplňku třetí strany. Jakože se s tím poslední dva roky opravdu (a logicky) roztrhl pytel a "běžní" uživatelé to instalují hlava, nehlava - bohužel dost často včetně reklam a někdy i všemožného sajrajtu. Jestliže je to čistě inegrované přímo od výrobce prohlížeče, aspoň o starost míň - můžu je přímo odkázat na tuhle funkci.
V téhle formě je to jen o tom, jestli si vyberu chatbot službu a budu jí používat nebo ne, samo o sobě to nic neposílá.
Přijde mi to na úrovni předvolench url pro search providery s možností vyhledávání z lišty nebo výběr textu. Tohle je v prohlížečích asi 20 let a taky se nad tím (téměř) nikdo nečertí :) -
Najdi si changelog palemoona, to jsou stovky smirackych veci ktery byly prubezne 10+ let odstranovany, Za tu dobu jich tam dalsi stovky pridali.
A vyplnovat nekde random automaticky naprosto cokoli, to je vrchol drzosti. Vyplnovat nekde nahodne udaje o platebni karte je kriticky bezpecnostni riziko.
-
DannyStříbrný podporovatelNic vam nebrani vzit si zdrojaky neceho, nebo si to i zacit psat vlastni reseni na zelene louce, kdyz se vam porad neco na praci druhych nelibi :-)
-
Michal ŠmucrBronzový podporovatel
Z úvodního postu nebylo poznat, co přesně jsi měl na mysli, jestli AI sidebar nebo ty platební údaje. Reagoval jsem na to první.
U platebních údajů je to pro mě ještě víc "non-issue". Standardní fíčura, co už je u ostatních prohlížečů jako Chrome nebo Safari léta. Nepoužívám to, nedávám si zapamatovat žádné údaje. Pokud vůbec nechci, aby to cokoliv řešilo ve formulářích, tak to vypnu jedním šoupátkem.Palemoon v detailu neznám, zkoušel jsem to během posledních deseti let náhodně asi dvakrát. Vždycky mi to akorát po pár minutách potvrdilo, jaký bylo starý Firefox peklo z hlediska UI, odezvy XULu atp, ale chápu, že je to subjektivní.
Taky si pamatuju zprávu, že ve starších instalátorech pro Windows měli zapečený malware a asi rok a půl si toho nějak "nevšimli".
A stran těch "šmíráckých" věcí obecně.. je to o nalezení nějakého rozumného kompromisu (mezi pohodlím, soukromím, složitostí ovládání, zabezpečením) a chápu, že každý tu hranici může mít jinde.
Standardní Firefox mi se svými vlastnostmi a jejich možným přizpůsobením mi spíš přijde jako jenda z těch lepších variant.
Palemoon se mi spíš blíží na to spektru ke straně "tin-foil-hat" a spíš výrazně dneska omezí interoperabilitu. Co si vzpomínám tam nebylo WebRTC, WASM byl opt-in.. díky staré code-base tam ale taky nechodily třeba hw tokeny. -
S tím tinfoil hat to bude pravda možná napůl. Jo, někde budou tinfoil. Na druhou stranu, co je třeba tohle?
> Continued support for NPAPI plugins like Silverlight, Adobe Flash and Java
Nic z toho není vyvíjené (u Javy předpokládám, že je řeč o appletech) a jelikož se nechlubí žádným sandboxingem, nečekám, že to nějak řešili. Nejspíš to poběží ve stejném paměťovém prostoru, jak bylo zvykem u NPAPI.
Nebo jejich argumentaci k multiprocess sandboxu jsem nepobral:
> It can even be argued that, because a multi-process model inherently relies on the O.S's security and a messaging system to communicate between the different processes, multi-process even with a sandbox container is less secure than a single process where it is (internally) always unambiguous which data belongs to content and which data does not.
Nebo takový detail, jako ikonka webu v adresním řádku. Tu prohlížeče odstranily, protože bylo nešikovné to mít vedle indikátoru zabezpečení připojení. Vlastní ikonka by mohla napodobit tyto indikátory.
Celkově mám z Pale Moon pocit, že jde spíše o „staré dobré časy, kdy svět byl ještě v pořádku“, ne tolik o bezpečnost, k té se staví vlažněji. Možná se snaží o větší soukromí, ale pokud přitom podkovou bezpečnost, znamená to spíše, že mi soukromí mohou narušit jiní hráči.
-
Michal ŠmucrBronzový podporovatel
S těmi "starými časy" i bezpečností jste nejspíš trefil hřebíček na hlavičku :)
Stran toho multiprocess sandboxu, ta citace je teda taky vcelku síla.
Relativně dlouho jsem PM nezkoušel, ale co si pamatuju, tak se oni se stavěli nějak zásadně odmítavě právě i celému tomu konceptu e10s, takže to bylo v podstatě jako Firefox třeba před mnoha lety komplet bez multiprocesingu.Vlastně si bez toho těžko dokážu představit, že by to mělo nějak rozumně zvládat dnešní typický web.
A s těmi NPAPI pluginy budete mít taky pravdu. Hlavně krom nějakých úplných výjimek budou všechny zmíněné věci, co bych mohl potencionálně přes NPAPI využít, třeba 10 a víc let staré, plné bezpečnostních děr.
Také to docela hezky ilustruje, jak brutálně náročný na prostředky, čas i koordinaci je vývoj a podpora browseru. A pokud je to od začátku motivované primárně tím udržet při životě nějakou technologii, kterou mateřský projekt zavrhl (XUL, NPAPI) a forknou to v nějaké fázi, tak to s sebou pak přinese takové komplikace, že bude téměř nemožné s ním po čase byť jen držet krok.
A tady u toho mám trochu pocit, že i když je jasné, že není realistické očekávat implementaci nebo přijetí těch nových věcí, tak si aspoň pomůžou rétoricky tím, že se zaseknou v pozici jako: "Je to principiálně všechno špatně a potencionálně nebezpečné..", "Nová JS API jsou jen nepořádek bez oficiálních standardů, nebudeme to dělat jen kvůli tomu, že to mají všichni..". atd. -
> Vlastně si bez toho těžko dokážu představit, že by to mělo nějak rozumně zvládat dnešní typický web.
Bez e10s? V tom problém moc nevidím. Dříve či později bude asi problém třeba s absencí AVIF, ale třeba to do té doby podporovat budou.
> A pokud je to od začátku motivované primárně tím udržet při životě nějakou technologii, kterou mateřský projekt zavrhl (XUL, NPAPI) a forknou to v nějaké fázi, tak to s sebou pak přinese takové komplikace, že bude téměř nemožné s ním po čase byť jen držet krok.
Možná autor původně netušil, jak se mu to rozroste.
Pale Moon podle jejich stránky history je o poznání starší než konec XUL. S XUL končil Firefox Quantum (odstranění přišlo asi až později, tehdy to spíše přestali používat), k němuž jsem našel článek z 2017. Odstranění favicon z navbaru bylo ve Firefoxu 14 (2012), jeho návrat do Pale Moonu mi tehdy přišlo buď jako nepochopení důvodů, nebo jako lpění na starých dobrých časech. Ale začátky PM se podle historie datují snad někdy kolem Firefoxu 4.0.
-
Michal ŠmucrBronzový podporovatel
Ten projekt je starší, ale na začátku mi ale přišlo, že to opravdu byla spíš "hardened" nebo možná poladěná varianta normálního FF a víceméně s ním držel tak nějak funkčně paritu.
A pak se to vyvinulo tak, že forknuli Gecko (než to začalo vyžadovat Rust na sestavení) z čehož vznikl jejich engine Goanna a zůstali XULu (respektive udělali si vlastní projekt UXP, což byl fork FF 52). Pak se to od standardního FF samozřejmě čím dál víc rozjíždělo.S tím e10s jsem to myslel tak, že se prostě za poslední dekády výrazně změnila podoba stránek a dynamických webových aplikací.
Pamatuju si dobu, kdy e10s přicházel, a že jsem na to čekal jak na smilování, protože v porovnaní s Chromiem byl FF opravdu pomalý, a vynucoval to i když to bylo v experimentální podobě. -
> na začátku mi ale přišlo, že to opravdu byla spíš "hardened" nebo možná poladěná varianta normálního FF a víceméně s ním držel tak nějak funkčně paritu.
OK, možná.
> e10s přicházel, a že jsem na to čekal jak na smilování, protože v porovnaní s Chromiem byl FF opravdu pomalý, a vynucoval to i když to bylo v experimentální podobě
Jako jak to Pale Moon dá výkonově? (Tuším, že před e10s se jedno JS vlákno sdílelo víc než teď, ale nevím, jestli na všechny stránky dohromady.) Jo, to může být problém, ale asi hlavně u většího množství otevřených stránek. A záleží i na tom, jak moc bude která stránka dělat na pozadí.
-
Dívám se, že si udržují i vlastní jádro. To bych se upřímně nebál ten prohlížeč označit za vyloženě nebezpečný. Když vidím, jaké množství bezpečnostních oprav probíhá ve Firefoxu... tohle nemá malá skupina dobrovolníků vůbec šanci stíhat. Jak psal David, dneska potřebujete na prohlížeč ~100 full-time vývojářů a to bych řekl, že je odhad spíš při dolní hranici.
-
Přenášet opravy do forku, který vznikl před 10 lety, během kterých došlo k zásadním změnám v Gecku? Sakra náročné. Ani my v Red Hatu na něco takového nemůžeme ani pomýšlet a musíme následovat upstream, ač nám to přináší řadu problémů. Už jen to, jak obrovská code base to je. Nevím, kolik má samotné Gecko, ale celý Firefox má dnes přes 30 milionů řádků kódu. Mraky vývojářů už potřebujete jen kvůli tomu, že pár vývojářů prostě tak obrovskou code base nedokáže na požadované úrovni pojmout.
-
Tak obecně záleží, jak velké modifikace udělali. Mohu spekulovat, jestli třeba návrat XUL znamená pouze revert nějakých commitů, nebo jestli na to byly navázány nějaké architektonické změny, které Pale Moon nemůže bez dalších úprav převzít. Spíše bych tipoval, že se mezi těmi všemi změnami nějaká výrazněji problematická objevila (ať to bylo XUL, nebo cokoli jiného) a moc bych tomu prohlížeči nevěřil, ale s jistotou si to tvrdit netroufnu.
-
Troufnu si tvrdit ze jakykoliv moderni prohlizec (vcetne Chrome/Edge) je mnohem bezpecnejsi nez Palemoon. Jeji pristup je neco jako "vyhodime policajty, zbourame ploty a vsechno bude ok".
Diky podporovanym technologiim poskytuje velmi presny browser fingerprint, s tim vas dokaze na webu vystopovat kazdy. Podpora NAAPI pluginu je snad spatny vtip, neco tak deraveho svet nevidel - jeste k tomu flash a je to jak mit dum v "bronxu" a nechat dvere dokoran. Dokonce mam trochu podezreni ze ten prohlizec vznikl jako honeypot na ruzne alternativni podiviny.
Pokud chcete maximalni bezpecnost/anonymitu, podivejte se jak to dela projekt Tor a jaky maji prohlizec oni.
-
Jakmile je tam ta funkce zadrátovaná nějak víc do hloubky, existuje netriviální pravděpodobnost, že tam nějaká data prosakovat mohou, byť se bude tvářit jako vypnutá (nechci říct, že úmyslně). A další podstatná věc je - proč to proboha mají zrovna v cloudu u největšího šmíráka - Googlu? Kdyby to mysleli trochu vážně, dají to někam jinam, nebo - což by asi jako jediné mělo nějaký větší smysl - si to budou hostovat sami u sebe. Ta posedlost cloudem je fakt neuvěřitelná.
