<div dir="ltr">I really wish that 57 ruined the entire extension architecture it was just about the only reason I kept firefox installed on my computer for so long. I miss all of my security plugins like Calomel SSL, DNS Sec, DownThemAll etc... I had one that gave me the curl command to download a file without my browser in some CLI somewhere... All of this stuff just gone...  Now you can hardly inspect a TLS certificate.... anyways I digress. <br></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Jan 17, 2018 at 4:32 PM Khalid Baheyeldin <<a href="mailto:kb@2bits.com">kb@2bits.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I actually came across it shortly after Meltdown came up, and was<br>
happy to know that I can stay on the ESR and not have to move to 57 or<br>
later (for now). Only remembered the fact that I looked this up<br>
yesterday.<br>
<br>
As I said: the curse is true: we are living in 'interesting times'.<br>
<br>
On Wed, Jan 17, 2018 at 4:16 PM, Chamunks <<a href="mailto:chamunks@gmail.com" target="_blank">chamunks@gmail.com</a>> wrote:<br>
> Thanks for posting that Khalid I never would have dug it up.<br>
><br>
> On Tue, Jan 16, 2018 at 6:03 PM Khalid Baheyeldin <<a href="mailto:kb@2bits.com" target="_blank">kb@2bits.com</a>> wrote:<br>
>><br>
>> If you are on Firefox ESR (like me), then ESR is not vulnerable to<br>
>> Meltdown, with or without extensions.<br>
>><br>
>> If you are on Firefox 57, there is an option that you can turn off to<br>
>> eliminate the risk of Meltdown. Unless you upgraded to the latest 57,<br>
>> and that gets done for you.<br>
>><br>
>> SharedArrayBuffer is the option.<br>
>><br>
>><br>
>> <a href="https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/" rel="noreferrer" target="_blank">https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/</a><br>
>><br>
>> On Tue, Jan 16, 2018 at 4:29 PM, Andrew Stevanus (KWLUG)<br>
>> <andrew+kwlug@hoot.tech> wrote:<br>
>> > Seconding uMatrix. It allows much more fine-grained control than<br>
>> > NoScript. It doesn't have some of NoScript's other features like ABE,<br>
>> > XSS, and clickjacking protection, though, so I actually use both and<br>
>> > just enable scripts globally in NoScript and block them with uMatrix.<br>
>> ><br>
>> > On 2018-01-16 04:25 PM, Chamunks wrote:<br>
>> >> You should consider uMatrix it's really quite good and lets you enjoy a<br>
>> >> bit<br>
>> >> more of a modern web experience without the finnicky nature of NoScript<br>
>> >> itself <a href="https://addons.mozilla.org/en-US/firefox/addon/umatrix/" rel="noreferrer" target="_blank">https://addons.mozilla.org/en-US/firefox/addon/umatrix/</a><br>
>> >><br>
>> >> On Tue, Jan 16, 2018 at 4:20 PM Khalid Baheyeldin <<a href="mailto:kb@2bits.com" target="_blank">kb@2bits.com</a>> wrote:<br>
>> >><br>
>> >>> Yes, I use NoScript currently on Firefox ESR.<br>
>> >>><br>
>> >>> On Tue, Jan 16, 2018 at 4:02 PM, Chamunks <<a href="mailto:chamunks@gmail.com" target="_blank">chamunks@gmail.com</a>> wrote:<br>
>> >>>> Local exploit that with frameworks like WebAssembly might be<br>
>> >>>> exploitable<br>
>> >>>> through your browser.  Use uMatrix & Firefox/Chrome or Brave browser<br>
>> >>> with JS<br>
>> >>>> disabled by default on places you don't trust.<br>
>> >>>><br>
>> >>>> On Tue, Jan 16, 2018 at 4:00 PM Khalid Baheyeldin <<a href="mailto:kb@2bits.com" target="_blank">kb@2bits.com</a>><br>
>> >>>> wrote:<br>
>> >>>>><br>
>> >>>>> Remember that Meltdown is a LOCAL exploit.<br>
>> >>>>> That means that someone is able to execute unauthorized code on your<br>
>> >>>>> machine.<br>
>> >>>>><br>
>> >>>>> On desktops and dedicated servers, this is less of a concern, since<br>
>> >>>>> it<br>
>> >>>>> is game over already if someone is able to execute code locally.<br>
>> >>>>><br>
>> >>>>> On virtualized machines, this is a big concern. Data can be leaked<br>
>> >>>>> by<br>
>> >>>>> other instances active on the same physical server. So companies<br>
>> >>>>> operating virtual servers are concerned about this.<br>
>> >>>>><br>
>> >>>>> AMD's vulnerability (Spectre) is less severe than Meltdown, and<br>
>> >>>>> their<br>
>> >>>>> latest generation of CPUs caught up to Intel in terms of performance<br>
>> >>>>> and cost as well.<br>
>> >>>>><br>
>> >>>>> I will consider them in future purchases.<br>
>> >>>>><br>
>> >>>>> _______________________________________________<br>
>> >>>>> kwlug-disc mailing list<br>
>> >>>>> <a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
>> >>>>> <a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" rel="noreferrer" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
>> >>><br>
>> >>><br>
>> >>><br>
>> >>> --<br>
>> >>> Khalid M. Baheyeldin<br>
>> >>> <a href="http://2bits.com" rel="noreferrer" target="_blank">2bits.com</a>, Inc.<br>
>> >>> Fast Reliable Drupal<br>
>> >>> Drupal optimization, development, customization and consulting.<br>
>> >>> Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>
>> >>> Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>
>> >>> For every complex problem, there is an answer that is clear, simple,<br>
>> >>> and wrong." -- H.L. Mencken<br>
>> >>><br>
>> >>> _______________________________________________<br>
>> >>> kwlug-disc mailing list<br>
>> >>> <a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
>> >>> <a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" rel="noreferrer" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
>> >>><br>
>> >><br>
>> >><br>
>> >><br>
>> >> _______________________________________________<br>
>> >> kwlug-disc mailing list<br>
>> >> <a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
>> >> <a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" rel="noreferrer" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
>> >><br>
>> ><br>
>> ><br>
>> > _______________________________________________<br>
>> > kwlug-disc mailing list<br>
>> > <a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
>> > <a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" rel="noreferrer" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
>> ><br>
>><br>
>><br>
>><br>
>> --<br>
>> Khalid M. Baheyeldin<br>
>> <a href="http://2bits.com" rel="noreferrer" target="_blank">2bits.com</a>, Inc.<br>
>> Fast Reliable Drupal<br>
>> Drupal optimization, development, customization and consulting.<br>
>> Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>
>> Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>
>> For every complex problem, there is an answer that is clear, simple,<br>
>> and wrong." -- H.L. Mencken<br>
>><br>
>> _______________________________________________<br>
>> kwlug-disc mailing list<br>
>> <a href="mailto:kwlug-disc@kwlug.org" target="_blank">kwlug-disc@kwlug.org</a><br>
>> <a href="http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org" rel="noreferrer" target="_blank">http://kwlug.org/mailman/listinfo/kwlug-disc_kwlug.org</a><br>
<br>
<br>
<br>
--<br>
Khalid M. Baheyeldin<br>
<a href="http://2bits.com" rel="noreferrer" target="_blank">2bits.com</a>, Inc.<br>
Fast Reliable Drupal<br>
Drupal optimization, development, customization and consulting.<br>
Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>
Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>
For every complex problem, there is an answer that is clear, simple,<br>
and wrong." -- H.L. Mencken<br>
</blockquote></div>