Всем привет, я разработчик этого аддона
На мозилле сейчас старая версия
https://addons.mozilla.org/ru/firefox/addon/8661/
Новую можно скачать здесь:
https://addons.mozilla.org/ru/firefox/addon/8661/versions/3.0.5

Большая просьба кто пользуется (кто не пользуется, можете попробовать), потестируйте новую версию 3.0.5
Там очень много изменений как внутри так внешне:
- добавлено получение всех DNS-записей (через ANY + связанные CNAME + вышестоящие домены)
- защита от ДНС-спуфинга
- переход всего и вся в асинхронным режим (днс запросы, апи запросы, внешний днс чек)
- обращения к апи теперь только через https

Вот часть из будущего описания:

ДНС-антиспуфинг пока экспериментально, бета, но работает. Очень интересно как это будет у китайцев, где правительство этим методом, скажем так, охотно пользуется.

Все комментарии, ошибки, пожелания, пожалуйста в этой теме оставляйте. Спасибо!

[05.08.2013] Версия обновлена до 3.0.2
[06.08.2013] Версия обновлена до 3.0.3
[09.08.2013] Версия обновлена до 3.0.4
[09.08.2013] Версия обновлена до 3.0.5

неплохо бы оконочательно перевести аддон на русский язык. А то половина опций на русском, половина на английском. Дико это раздражает

+1

Переводы конечно будут, как окончательную версию выложу на мозиллу.
Сейчас самое главное - протестировать именно функциональную часть в разных вариациях у пользователей, поэтому здесь и написал. Конечно китайцев здесь нет, но это я попробую сам проверить, как их там спуфуют

alrond
А будет функция получения своего IP, используя родное DNS (из настроек системы) или закэшированный свой IP (кэширует свой IP?)?

Вот это очень интересный  случай! Потому как красное - это значит не только несовпадение IP адресов, но и несовпадение автономной системы для гугла (сейчас такие дотошные проверки делаются для гугла и микрософта).
Можно поподробней получить инфу, как только еще раз появится: скриншот попапа с дополнительным окошком ДНС-а, приватная нижняя часть не нужна(может если не секрет оставить провайдера и страну, мало ли может вы как раз в китае .
Я просто хочу посмотреть на какие IP/AS гугла так реагирует, и может это ваш провайдер действительно "проксирует" вас, как делали например в Узбекистане, с валидными сертификатами.

Спуфинг - это фактически перенаправление вас на поддельный сайт, на левый сервер. Балуются этим всякая вирусня + провайдеры некоторые нечестивые + правительства разные.
Цели соответственно разные - узнать пароли к аккаунтам, показ неверной информации, слежка даже при https (многие ли обращают внимание что там за сертификат, если сайт выглядит нормально и имеет при этом зеленую полоску сертификата)

города не все показываются пока, мы работаем с этим.
Все равно самае ценная информация - это что за датацентр.

Было у меня несколько однотипных случаев: пользователь пишет, почему аддон на гугло-аккаунте показывает датацентр не гугловский, а какой-то левый в Голландии.
И хотя у гугла там есть ДЦ, но конечно своя AS. И потом, после того как я говорю на вирусню провериться, оказвывается как раз, что он подцепил заразу, которая ворует логины, делая правдоподобную "прокси"

Свой внешний IP невозможно получить чисто технически через ДНС, хоть внутренний, хоть внешний. Особенно находясь за рутером/натом.
Мозилла не знает своего внешнего адреса, на низком уровне доступно лишь знание о сетевом интерфейсе, обычно с адресом локальной сетки.
Поэтому единственным выходом, это просто делать маленький запрос на маленькую страницу, которая внешняя.
Аддон просто читает эту страницу: https://api.wipmania.com
Вы можете её открывать когда угодно и где угодно, тут просто ваш внешний адрес + код страны

Сообщаю о баге. Баг проявляется в двух случаях и связан с отображением флага страны открытого сайта. Эти случаи следующие:

1. В Фаерфоксе открыты несколько вкладок (любое количество). Жму кнопку, чтобы перезагрузить браузер (дополнение Restartless Restart 9). Фаерфокс предупреждает о закрытии нескольких вкладок (если их больше одной) и я даю согласие на перезапуск. Браузер перезапускается, открывая все бывшими открытыми вкладки, но вместо флага в адресной строке (дополнения Omnibar и Omnibar Plus) вижу зелёный глобус. Обновление страницы флаг не возвращает.

2. В Фаерфоксе открыты несколько вкладок (больше одной - стартовой Speed Dial). Закрываю браузер. Фаерфокс предупреждает о закрытии нескольких вкладок и я даю согласие на закрытие. Снова запускаю браузер и через Журнал - Восстановить предыдущую сессию открываю вкладки, но там опять глобус вместо флага.

Лечение пока только одно: закрыть все вкладки, закрыть браузер и запустить его снова.

Спасибо! попробую воспроизвести и исправить

Ещё два замечания.

1. "Техническое". Такое впечатление, что предупреждение о спуфинге не выполняет своего предназначения. Не знаю, как это будет работать в случае настоящего спуфинга, но эта фича прекрасно реагирует на переадресацию по зеркалам. Например, ввожу поиск на Google.com и меня автоматически переадресовывает на региональное зеркало Google.by. И тут же меня громко предупреждают о спуфинге. Ещё пример, захожу на сайт для загрузки какого-нибудь файла, меня переадресовывают на свободное зеркало и я опять-таки получаю предупреждение о спуфинге.

2. "Эстетическое". У меня вызывает эстетическое неприятие эта голубая "простыня" всплывающего окна дополнения. Она слишком широкая и слишком цветная. Сравнительно узкая, белая колонка в прежних версиях смотрится значительно аккуратнее и эстетичнее.

в новой версии спуфинг сильно переделан:
он уже не реагиреут на редиректы, только не актуальную страницу.
также учтены кеширующие google global cache сервера (сотни провайдеров) + работает многоступенчатая система для предотвращения ложных сообщений.

когда окончательная версия выйдет, реакцию на спуфинг можно посмотреть изменив для любого сайта IP в hosts на любой другой, хоть яндекса 87.250.250.203

ширина попапа зависит от выводимых данных, обычно не превышает того что было раньше, если только не rdns или провайдер не такой длинный как например у opennet.ru
попап на то и есть, чтобы дать всё полноту информации. а над его цветом можно подумать. раньше было градиент, используя встроенный стиль попапа, но в этой версии всилу некоторых обстоятельств пришлось свой стиль делать.

04-08-2013 23:42:12
Изучая разные отчеты, где анализируются несовпадения адресов, я вижу как много фейковых гуглов живут в инете.
я надеюсь что юзеры смотрят на датацентр в аддоне, прежде чем вводить пароли, но со спуфинг-защитой будет надежней.

К сожалению, Вы не правы. Взгляните на мой скриншот:

Как видите, проблема не в информации, а в наименованиях пунктов выводимой информации. В данном случае, ширина окна бессмысленно увеличилась из-за надписи Региональный интернет регистратор. Вот если бы было можно или укоротить все пункты до какой-то одинаковой максимальной длинны или сделать их двухстрочными.

Хм...вы правы, для большинства это не надо, а кому надо, те знают что такое RIR. Переделаю, спасибо большое!

И ещё пара небольших вопросов о значках и всплывающих окнах.

1. Какие значки (кроме флагов, естественно) что обозначают? Я имею ввиду глобус, монитор в прямоугольнике и новые антиспуфинговые.

2. Мне кажется, что место для появления всплывающего предупреждения о спуфинге выбрано не совсем верно. Правая нижняя четверть экрана используется многими расширениями: загрузчики, уведомители, таймеры, планировщики и др. Это место не подходит для оповещений безопасности из-за визуальной перегруженности. Лучше было бы сделать выпадающее предупреждение из адресной строки или сделать опцию с двумя вариантами (в зависимости от места расположения иконки дополнения).

Проверил версию 3.0.2.

1. Проблема с отображением флага страны при перезапуске и восстановлении сессии видимо ещё не решена.

2. Проблема с шириной пунктов меню решена. Хотя я бы лучше вместо RIR написал Регистратор.

3. Цветовое решение всплывающего окна изменено - сейчас его цвет совпадает с моей темой Silvermel.

Новая версия Версия 3.0.3 - самый вероятный кандидат для релиза.
Проблемы с вкладками после рестарта вроде решил. По крайней мере в винде и убунте работает.

место для сообщения о спуфинге я не выбираю, это системные окошки. Но в будущем я возможно поменяю, мне не нравится маленький таймаут для важного сообщения. В убунте кстати, это окошко вверху справа вываливается ))

Глобус - это "ничего", т.е. или пока данные не получатся, или пустые окна
Монитор - это локалхост, в попапе видно всё
Антиспуфинга три восклицательных знака, как в светофоре - зеленый, желтый, красный.

Пояснения всегда есть в попапе, но вкратце - они всегда когда не совпадают IP вдреса с полученными извне. Но есть кроме ДНС дополнительные проверки, по большей частью связанные с датацентром, провайдером, страной, CDN.
Поэтому для гугла например, стойка кеширующих серверов у стороннего хостера Retn в москве показывается желтым, а стойка серверов у моего же обственного провайдера KabelBW - зеленым и .т.п
Или пример сайта, для которого один раз выдается один адрес, другой раз другой - dict.leo.org. Но здесь сервера не просто в одном ДЦ, они еще и в одной подсетке. Поэтому для таких случаев желтый.

Но если красное - это уже совсем не нормально.

Для повседневного общения достаточно обращать внимание на красный значок. Поэтому в попапе только такие случаи и выплывают.

Попробовал версию 3.0.3. Возобновление флагов после перезагрузки нескольких вкладок в принципе работает, но есть небольшой нюанс - это работает, если все вкладки загружаются одновременно. Я не говорил раньше, но у меня ещё установлено дополнение Suspend background tabs, которое останавливает загрузку фоновых вкладок. Так вот, у меня после перезапуска флаг восстанавливается только в активной (последней из появившихся на экране после перезапуска) вкладке. Когда же я перехожу к любой из фоновых вкладок, то она только тогда начинает загружаться, но флаг в ней опять не появляется. Я не знаю как работает это дополнение, но подозреваю, что оно загружает страницы для фоновых вкладок в кэш и уже оттуда открывает их, когда вкладки активируют. Вполне возможно именно поэтому WIP и не может определить страну.

Парни, при обнаружении спуфинга, файрволл предлагает создать/запретить правило для UDP DNS, при чём, адреса серверов всегда разные. Это что такое? Так нужно..?

АнтиСпуфинг работает так, что для сверки делаются DNS запросы к внешним серверам, т.е. не провайдерским. Адреса разные - потому что берутся рандомно из списка. Список можно редактировать в опциях.
DNS запросы делаются udp пакетами, в случае если тело ответа длинное, делается повтор через tcp.

Вот и я думал так же, но... Например - 62.116.219.114 . Нигде этот сервер не прописан (ни в списке worldip, ни в сетевых настройках)

Что-то мутно всё это...

62.116.219.114 - это не наше, вообще.
Можно легко проверить аддон - сорцы открыты.

А....есть одна штука в проверках. На одном из этапов, если подозрение на реальный спуфинг, то как одна из проверок - дополнительно идет запрос напрямую к NS серверу, взятому из домена.

В инете я нашел: ns01.unity3d.com (62.116.219.114)
Т.е. аддон сделал запрос к родному DNS серверу какого-то сайта, по видимому это был unity3d.com

"Suspend background tabs" удалено разработчиком, с "Suspend tabs" версия 3.0.4 работает (сегодня выложу)
В любом случае всегда есть возможность выставить в опциях действие на клик, и кликать мышкой просто в статусбар для обновления всей инфо.

"Весело"! Но создавать правила для каждого случая - это слишком. Разрешать DNS без указания определённых адресов - глупо...

А зачем запрещать ДНС запросы? вот в этом я не вижу смысла. Конкрено в вашем случае - можете запретить всё, кроме доверенных ДНС, вреда не будет, просто один из проверочных запросов не пошлется.

Там смысл - собрать все "A" записи, так как у больших компаний они чаще всего геолокализируются + бывают случаи когда отдается рандомно + еще куча случаев, описывать которые в длинной статье надо.
Поэтому аддон в случае подозрений делает запросы разных типов (A, ANY, NS) к разным серверам (из списка, к днс самого домена, на крайняк - гугловский), для не только домена, но и для CNAME записи, и для топового домена, отправляет сначала udp пакеты, затем если нет совпадений или потери пакетов, и по tcp.

Разрешать все DNS может только не вминяемый ламер. В данном случае, что бы работал весь функционал аддона, именно это и нужно делать, что недопустимо.

В моём случае, это "не есть good". За дополнение - спасибо, но, похоже, обойдусь без "детектов"...

Как я уже писал - функционал не страдает, просто будет не 120%, а 100% проверка. Лишние запросы просто в /dev/null улетят, но по большей части это не повлияет.
Так что не бойтесь ставить детекты )) только лучше не использовать версию 3.0.3, а дождаться 3.0.4 - там существенные переделки по части спуфинга.

Честно говоря, я не знал что в винде надо все днс запрещать, у самого её уже лет 8-9 нету и в помине, на всех домашних-рабочих-ноутбуках-нетбуках-серверах линуксы

Версия обновлена до 3.0.4 и выложена на проверку мозилле

не очень удачное сочетание цветов вы выбрали

скрытый текст

Опа...что за тема? у меня в винде и убунте нормально, мне надо просто цвет шрифта выставить жестко

alrond
не знаю, у меня всё стандартно было, ниче не менял. Поставил версию 3.0.4 и такая шняга вышла
UPD: отбой, виновата моя тема https://addons.mozilla.org/ru/firefox/addon/after-the-storm-too/
alrond
как сделать, чтобы нормально отображалось c моей темой ?

я через пару часов подправлю, выложу 3.0.5 на мозиллу.
как временное решение можно самому исправить css.
В папке мозиллы, с расширениями найти {f36c6cd1-da73-491d-b290-8fc9115bfa55}.xpi
(xpi - это обычные zip архивы)
В нем chrome/skin/worldip.css
Найти строку

.infopopup {padding:5px; background-color:#E5E4E2; border: 1px solid #938F8A;}

добавить в конец так:

.infopopup {padding:5px; background-color:#E5E4E2; border: 1px solid #938F8A; color:#000;}

Исправлено в версии 3.0.5

alrond, что аддону нужно на TCP:53? AXFR-запрос ли что?

Вообще-то, повторюсь, но... Вменяемые люди создают глобальное правило "Block Outgoing TCP DOMIAN"

Похоже, задумка со спуфингом не будет работать на "... © 120%..." у тех, кто с умом настраивает "стенку"...

alrond
теперь с темой всё ok!

Я уже писал ранее, что делается также ДНС запрос по TCP протоколу, в случаях:
- подозрения на спуфинг, для гарантированного получения ответа от сервера (udp частенько теряются)
- в случае длинного тела ответа, при UDP запросе сервер возвращает пустой ответ с флагом truncated, что означает что запрос должен быть послан снова но по TCP
Попробуйте в консоле послать запрос вида

host -t ANY baidu.com

И посмотрите в анализаторе wireshark на пакеты.

UDP DNS теряются? TCP на 53-й порт применяется - если ответ больше 512 байт, либо в случае AXFR-запроса. Ещё вчера хотел отключить эту "фичу", но решил понаблюдать... Каждые 3-5 минут в логе файера появляются попытки соединения TCP:53 на сервера из списка в аддоне. И всё это в режиме стоп-трафик. Какое "подозрение" , если браузер "на холостых"..?

Теряются, еще как теряются. Мы не в сферической сети в вакууме живем.

Если в первом udp dns-запросе данные IP сдресов не совпадают, сайт временно помечается как "вероятный спуф". Запускаются механизмы проверок, в том числе и несколько запросов днс по udp+tcp к разным источникам.
К многоступенчатой смешанной схеме проверки я пришел после многих недель тестов во всевозможных вариациях и с разными сайтами/хостерами со всего(!) мира. Выше я уже писал вкратце.
По tcp посылаются для ГАРАНТИРОВАННОГО получения данных от ДНС серверов.
И да, tcp запросы идут в многих случаях. Благодаря распространению CDN, кеширующим серверам гугла и всяким гео-настройкам у многих днс.

Не совсем понял что значит в режиме "стоп-трафик" и  "на холостых"?
У меня постоянно включен wireshark для контроля поведения, были проблемы в более ранних версиях, но в 3.0.5 запросы идут только для вновь открывающихся сайтов.
Если какое-то реальное неправильное поведение (запросы посылаются когда ничего не открывается), то давайте уже конкретно говорить с примерами/логами/дампами, а не теоретизировать о надобности блокирования TCP для DNS. Это за пределами аддона и остается на усмотрении пользователя. Аддон и в этом случае будет работать, но иногда возможны ложные срабатывания. Хотя обычный(самый распространенный - троянский) спуфинг даже в таком режиме можно легко обнаружить (это когда к примеру www.google.com открывается у голландского сомнительного хостера)

Ну тогда я тоже снёс Suspend background tabs и поставил Suspend tabs. Затем поставил WIP 3.0.5 и ... ничего не изменилось: флаг появляется только на вкладке, активной в момент рестарта/восстановления. Может это какое-то другое дополнение виновато? Кстати, хоть флаг и не появляется, но данные в окне появляются, за одним исключением: в параметре Страна написано - Отключен и два дефиса в скобках (--).

попробую повторить ситуацию, можете пожалуйста прислать список аддонов. Или лучше перед этим отключить все другие кроме worldip и suspend и посмотреть ситуацию еще раз.
Кстати получение всей инфы можно настроить на клик по статусбару, в опциях внизу.

Мой последний пост в этом топике...

При прописывании своих DNS-серверов, с удалением дефолтных в аддоне, всё равно происходит коннект с Googl-овскими серверами, ну и, конечно (куда же без них) - Level 3. Мало того, worldip "рвется" на dnsmadeeasy.com, где 208.94.148.4 - один из "желаемых" адресов. Гляньте ради интереса http://www.ipvoid.com/scan/208.94.148.4/ .

На свой последний вопрос в адрес автора, внятного ответа так и не получил Для меня вопрос с этим ооооочень мутным аддончиком - закрыт. Парни, будьте осторожны и бдительны...

2Saenko: читайте внимательнее мои посты - там ответы!

1) к гугловскому 8.8.8.8 запрос идет только
а) для проверки при вероятном спуфинге
б) и только на третьей стадии проверки, когда даже обращение к собственному NS серверу сайта дает несовпадающие результаты/или вообще не дает.
поэтому к ДНС гуглу поступают далеко не все запросы

2)

Проверка идет и по родному(!) для сайта NS серверу (на второй стадии)
Значит вы посещаете такой сайт, у которого в NS прописан этот сервер.
И в этом случае запрос идёт опять таки только при подозрении на спуфинг.

3)

читайте! http://forum.mozilla-russia.org/viewtop … 32#p622832 Я ответил и попросил подробности поведения в холостом режиме. (Потому что это нереальное поведение)
На мой вопрос я не только внятного ответа не получил, он был вообще проигнорирован + обвинение, что не отвечаю..

И еще раз - в отличии от проприетарщины на то и есть открытый код, Его всегда можно посмотреть на мутность.
А определять мутность на основании того что аддон делает запросы по TCP, да еще и к сайтовым DNS серверам(прописанным в NS), о чем было написано - думаю парни сами могут вынести свое мнение.
Но все равно спасибо, я сделал вывод из нашей "дискуссии", что должен в описание дополнить обращение к каким серверам происходит дополнительно в случае обнаружения спуфинга.

alrond
а при серфинге в инете скорость открытия странички не уменьшается, ведь аддон каждый раз запрашивает инфу ?

Нет, не уменьшается, с этой версии всё асинхронно

Прилагаю список своих дополнений.

1) Перезапуск как с помощью кнопки Restartless Restart, так и из главного меню (рыжая кнопка - Перезапуск) приводят к одинаковым результатам. Но клавиатурная комбинация Ctrl+Alt+R (команда Перезапуск в главном меню) не вызывает перезапуск, а вызывает диалоговое окно RequestPolicy. Обратите внимание, у меня бета-версия этого дополнения (с сайта разработчика). Возможен конфликт расширений.

2) Моя стартовая страница - Speed Dial. При первом старте браузера WIP даёт иконку монитора, а в окне перечислены: имя хоста (speeddial), страна (Localhost), а также - мой внешний IP, моя страна, провайдер и мой AS номер. После перезапуска вкладки Speed Dial (как активная вкладка, так и фоновая) иконка превращается в глобус и в окне уже нет наименования провайдера и AS номера, вся остальная информация остаётся.

3) В других вкладках при перезапуске происходит следующее. Если в них одинаковый DNS (т.е. это разные страницы одного сайта), то флаги восстанавливаются из глобусов с задержкой (примерно секунда-две после полной загрузки вкладки). Если это разные сайты (уже начиная с двух), то флаги не появляются и в поле Страна написано Отключен.

WorldIP 3.0.6
Что нового ?

По убыванию важности:
1) исправлен алгоритм, когда выдается false positive спуфинг для переезжающих сайтов (при смене хостера)
2) сделал окно с утилитами:
- ДНС-пинг
- получение ДНС записей для произвольного IP/домена с произвольного ДНС - сервера (скриншоты на мозиллу дозалью)
3) вернул некоторые опции для клика на тулбаре
4) самопроверка на спуфинг самого апи
4) разные мелкие ошибки

alrond
а почему не публикуется список изменений на АМО ? Вот щас вышла версия 3.0.7 а что там нового - нема

странно, при публикации изменения пишутся, но сейчас вижу, что видно только тем кто английскую версию сайта мозиллы смотрит.
Все изменения - это улучшения антиспуфинга и исправление багов, что прислали.
1) улучшена спуфинг проверка, учтены некоторые геосвойства DNS.
2) Добавлены проверки для дополнительных 10 CDN провайдеров и компаний (сейчас учитываются все крупные глобальные и локальные, типа китайских)
3) У некоторых пользователей иногда обрываются SSL запросы, в таком случае делается повтор через http.
4) несколько мелких багов
5) мелкая визуальность - иконка загрузки при запросах.

Аааа! возможно ли, чтоб настройки статусной панели, применялись и к адресной строке..;:.
У меня, в статусбаре настроен так: “Флаг сайта, мой флаг, код страны, мой IP” так
вот, когда плагин в адресной строке, он отображает только “Флаг сайта”

В этом дополнении есть такая функция, которая показывает лог и время смены моего IP-адреса. Подскажите пожалуйста утилиту для Win7, чтобы висела незаметно в трее, и делала такие же логи смены IP, как и это дополнение. Просто держать запущенный целый день FF не совсем удобно.

На 72.0.2 не работает и возможно выше.
Классное расширение.

я пока дома остался на 3.0.3 и так пашет