¿Por qué mi departamento de TI bloquea Firefox?

Nov 29 2020

Recibimos un mensaje de los cuerpos de TI esta semana que decía:

Resumen del problema: TI deshabilitará y bloqueará el uso del navegador Firefox el próximo jueves 03.12.20 en todos los dispositivos administrados por TI. Debido a ciertas vulnerabilidades y riesgos de seguridad asociados con el uso de este navegador, se bloqueará su uso a partir del próximo jueves.

¿Se ha encontrado un nuevo exploit? He comprobadohttps://www.mozilla.org/en-US/security/advisories/mfsa2020-50/ pero no he visto nada que esté abierto actualmente.

¿Alguien sabe de alguna razón para esta prohibición?

Respuestas

159 mjoao Nov 29 2020 at 19:08

Suponiendo que trabaje en la industria bancaria, es probable que esto se deba a su incapacidad para interceptar el tráfico de Firefox.

TLDR: debido a la compatibilidad de Firefox con DoH y eSNI, la mayoría de los bancos y las industrias reguladas están recurriendo a bloquear Firefox porque los firewalls no pueden espiar el tráfico cifrado fácilmente.

Por otro lado, si usa Chrome, IE o Edge, puede realizar cambios a través de Active Directory sin el conocimiento / consentimiento del usuario. En realidad, la mayoría de los proveedores de firewalls de hardware con DPI han comenzado a recomendar a los clientes empresariales que se deshagan de Firefox porque su firewall perimetral ya no puede interceptar el tráfico de FF.

Nota: Se pueden hacer cumplir las políticas en la empresa Firefox , pero la mayoría de los usuarios preocupados por la privacidad usarán FF portable para burlarlo, por lo que el bloqueo es más fácil.

  1. https://live.paloaltonetworks.com/t5/blogs/protecting-organizations-in-a-world-of-doh-and-dot/bc-p/319542
  2. https://www.venafi.com/blog/fight-over-dns-over-https
  3. https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk98025
57 KolappanN Nov 29 2020 at 21:23

TLDR : puede que ni siquiera se trate de seguridad. Esto podría deberse simplemente a la preferencia de su empresa.

Un amigo mío se enfrentó a un problema similar. Firefox está bloqueado en su computadora portátil de oficina. Cuando se les preguntó, simplemente dijeron que era por " razones de seguridad ". Después de presentar la solicitud de que necesita probar los sitios web en Firefox, obtuvo una respuesta diferente. Afirmó que tenían una extensión instalada en Google Chrome para monitorear su actividad web y determinar "tiempo de trabajo / productividad". La extensión estaba disponible solo en Google Chrome y todos los demás navegadores están prohibidos por " razones de seguridad" , mientras que en realidad es solo una preferencia del equipo de desarrollo de la extensión.

13 gowenfawr Nov 29 2020 at 07:35

Lo más probable es que TI no quisiera ser responsable de las actualizaciones centralizadas.

Sin actualizaciones concertadas, las instalaciones individuales quedan obsoletas y las vulnerabilidades, una vez encontradas, pueden permanecer sin parchear. Así que lo prohibieron en lugar de asumir el trabajo adicional de asegurarse de que se reparara.

2 SeanBoddy Nov 30 2020 at 04:10

TLDR: es remotamente posible que la implementación de Javascript de Firefox sea incompatible con alguna otra parte de la infraestructura de la organización, o insegura de una manera muy limitada.

La implementación de Javascript es mi dolor de cabeza diario, ya que apoyo un marco que está destinado a funcionar de manera idéntica sin importar cómo acceda a él. Los problemas surgen con poca frecuencia en torno a algunas piezas de contenido de terceros.

En la parte superior de mi cabeza, Firefox es probablemente el único navegador importante que aún puede usar una ocultación de página o descargar eventos para hacer cualquier cosa que realmente publique datos, o hacer algo más complicado que confirmar la navegación. Chrome y todas las versiones de IE o Edge que soporto no permiten una publicación durante esos eventos (para evitar que JS se apropie de una pestaña zombie). Cuando Firefox encuentra ese evento, no hay ningún problema con la publicación de datos. En mi caso, mi código es propietario de lo que hay en esa publicación, pero el contenido podría escribir básicamente lo que quiera en un evento de ocultación de página y, con Firefox, probablemente se procesará si es lo suficientemente rápido.

Otra cosa que acabo de pensar es la creación de plantillas de cadenas en JS. IE no lo admite de ninguna manera, y algunos de mis clientes exigen el uso del navegador en ese sentido. No uso plantillas de cadenas JS porque debo admitir IE de nuevo a IE9, pero es un ejemplo de cómo las prohibiciones del navegador pueden no estar relacionadas con la seguridad. Existe una pequeña posibilidad de que una pieza de infraestructura entrante simplemente no sea compatible de alguna manera que no se han inclinado a mencionar.