阅读:8161回复:30
又作死
这次是 Telemetry Coverage
https://blog.mozilla.org/data/2018/08/20/effectively-measuring-search-in-firefox/ For example, some enterprise builds are preconfigured to not send telemetry and some users manually opt-out of telemetry collection. 于是谋智就随机选择了 1% 的客户端 强制 静默 安装了不在 about:addons 列出的系统扩展 telemetry-coverage-bug1487578@mozilla.org 并且无视遥测设置发送遥测设置相关信息回谋智服务器 也许很多人都觉得无所谓 但禁用遥测的人就是因为有所谓才从一开始就禁用的,尤其是企业用户 所以嘛 又炸了 https://www.reddit.com/r/linux/comments/9hh3gc/to_unsuspecting_admins_firefox_continues_to_send/ https://www.reddit.com/r/firefox/comments/9hmiau/to_unsuspecting_admins_firefox_continues_to_send/ |
|
|
1楼#
发布于:2018-09-22 10:12
对了还有一个 fxmonitor@mozilla.org.xpi
https://blog.mozilla.org/futurereleases/2018/06/25/testing-firefox-monitor-a-new-security-tool/ https://medium.com/@neothefox/firefox-installs-add-ons-into-your-browser-without-consent-again-d3e2c8e08587 不过看早前别人的截图 当时这个好像是可以在 about:addons 中看到的? |
|
|
2楼#
发布于:2018-09-22 16:22
EMLVIRUS:从源代码来看 发送的内容有且仅有一条信息:https://github.com/mozilla/one-off-system-add-ons/pull/123 https://github.com/mozilla/one-off-system-add-ons/blob/1df3015a811ab43a1f65879e5f15f66b59d5a060/addons/telemetry-coverage-bug1487578/bootstrap.js#L43-L49 const payload = { "appVersion": Services.appinfo.version, "appUpdateChannel": UpdateUtils.getUpdateChannel(false), "osName": Services.appinfo.OS, "osVersion": Services.sysinfo.getProperty("version"), "telemetryEnabled": enabled | 0 }; 再加上从请求 ip 推导出来的地理位置(国别) https://github.com/mozilla-services/mozilla-pipeline-schemas/pull/198 https://github.com/mreid-moz/mozilla-pipeline-schemas/blob/a7915d94d4335f743fe846a4197be044d1e15729/schemas/coverage/coverage/coverage.1.parquetmr.txt#L3 optional binary metadata_geoCountry (UTF8); |
|
|
3楼#
发布于:2018-09-23 11:09
jiayiming:我上次看到了fxmonitor@mozilla.org.xpi 不知道干嘛用的,但是有monitor,我就直接删了。回到原帖当初这是一个 shield study https://blog.mozilla.org/futurereleases/2018/06/25/testing-firefox-monitor-a-new-security-tool/ How does it work? 与 HIBP、 email 做了匿名化,hash 后取前六个字符 详情见 https://blog.mozilla.org/security/2018/06/25/scanning-breached-accounts-k-anonymity/ What will we be testing? 随机选择二十五万用户(主要在 US)参与 What to expect next 测试到满意之后,将 release schedule 确定之后将在后续的 blog post 中宣布(目前还没看到) 如果 Firefox Monitor 并没有正式发布 1 in 250,000 的欧皇你好? |
|
|
4楼#
发布于:2018-09-25 21:43
周一谋智员工上班后终于有些新信息了
https://www.reddit.com/r/firefox/comments/9ii8sj/firefox_keeps_silently_installing_hidden/ 根据 reddit 上标记为谋智员工的用户的发言 None of those extensions are experimental, and they are all being rolled out to 100% of the userbase. The Telemetry coverage add-on is deployed to 100% of users, but only 1% will be sampled. 据说只有禁止 firefox 的更新检查才能阻止这些系统扩展静默安装 因为这些是与安全有关的 firefox 功能更新 发言的谋智员工不认为这事有任何不妥 |
|
|
5楼#
发布于:2018-10-02 09:42
官方终于正式宣布 Firefox Monitor 了
https://blog.mozilla.org/blog/2018/09/25/introducing-firefox-monitor-helping-people-take-control-after-a-data-breach/ 去这个帖子讨论 https://www.firefox.net.cn/read-78864 但 Telemetry Coverage 完全没有新消息 除了先前谋智员工在 r/firefox 宣称 Telemetry Coverage 不是遥测,所以在关闭遥测的机器上默认开启发送是否开启遥测到谋智服务器完全大丈夫萌大奶之外 就是 ↓ vote 和删贴删回复了 |
|
|
6楼#
发布于:2018-10-14 17:00
jiayiming:这里面哪个是和telemetry-coverage-bug1487578@mozilla.org有关的回到原帖没有 telemetry coverage 的 按照目前可见的 telemetry coverage 代码 https://github.com/mozilla/one-off-system-add-ons/pull/123 https://github.com/mozilla/one-off-system-add-ons/pull/131 需要设置 toolkit.telemetry.coverage.opt-out 为 true user_pref("toolkit.telemetry.coverage.opt-out", true); |
|
|
7楼#
发布于:2018-10-16 23:13
Cye3s:这个应该能关DisableTelemetry 只能禁止普通的遥测,对这次的 telemetry coverage 无效 DisableSystemAddonUpdate 看说明是禁止同一台电脑上的所有系统扩展的更新和安装,可以防止谋智偷偷安装 telemetry coverage 不过我不建议禁止 毕竟谋智偶尔会用系统更新来推送一些安全相关的 hotfix |
|
|
8楼#
发布于:2018-10-24 00:58
|
|
|