Приветствую,
после последних обновлений теперь всегда появляется предупреждение о небезопасном пароле
https://support.cdn.mozilla.net/media/uploads/gallery/images/2017-04-21-23-52-53-ba340d.png
Всё бы хорошо, но появляющееся предупреждение слишком большое и часто закрывает второе поле снизу или кнопку, что создает необходимость лишних кликов или нажатий клавишь, а часто по привычке я ввожу пароль и кликаю мышью в область второго поля снизу, но попадаю на это предупреждение которое меня всегда кидает на страницу support.mozilla.org... когда такое происходит не первый раз это начинает надоедать, когда хочется быстро войти на сайт или админку.
Что можно с этим сделать? Я прекрасно осознал уже что такое форма по http и https с паролями
В настройках нет такой опции, может через config можно убрать?

security.insecure_field_warning.contextual.enabled -> false
signon.autofillForms.http -> true

Не понимаю, зачем вообще эту гадость ввели и не предусмотрели интуитивно-понятного отключения из "настроек". Ведь каждому 2-му это окно мешает...

Ведь каждому 2-му это окно мешает...

А оно и должно именно мешать. Небезопасное использование должно быть неудобнее безопасного.

sentaus пишет:

Ведь каждому 2-му это окно мешает...

А оно и должно именно мешать. Небезопасное использование должно быть неудобнее безопасного.

И теперь каждый раз мешать пользователю при вводе учетных данных на любых http сайтах? Это же маразм.

на любых http сайтах?

Так точно.

Это же маразм.

А в чём, простите, маразм? Цель - ликвидировать http-only сайты, которые принимают какие-либо пользовательские данные, шифрование в таких случаях должно быть обязательным. Подобная мера хорошо этому способствует. Кстати, в новом протоколе http/2, например, вообще не предусмотрены незашифрованные соединения, он принудительно https.

sentaus пишет: ? Цель - ликвидировать http-only сайты, которые принимают какие-либо пользовательские данные, шифрование в таких случаях должно быть обязательным. Подобная мера хорошо этому способствует. Кстати, в новом протоколе http/2, например, вообще не предусмотрены незашифрованные соединения, он принудительно http.

цель развести юзера на покупку нового железа(шифрование требует ресурсов как клиента так и сервера) и внушить ему ложное чувство защищённости.
всё остальное маркетинговая чушь.

по поводу принятия пользовательских данных - как хттпс защитит от их перехвата сторонними скриптами в странице?
открой исходник любого сайта да хоть этого форума - на 90% там есть скрипты от гугла яндекса и прочих
но зато у нас хттпс! даа.
я уж не говорю про фиг знает сколько продолжающийся кавардак с выдачей сертификатов и периодически находимые дыры в реализации хттпс.

(шифрование требует ресурсов как клиента так и сервера)

Эти затраты незаметны с нынешними объёмами и скоростями передач даже на 10-летних машинах. Сам рендеринг средней страницы жрёт гораздо больше.

по поводу принятия пользовательских данных - как хттпс защитит от их перехвата сторонними скриптами в странице?

Выкладывайте уже пароли, раз вам шифрование не нужно ;)

я уж не говорю про фиг знает сколько продолжающийся кавардак с выдачей сертификатов и периодически находимые дыры в реализации хттпс.

А лучшее средство от головной боли - топор, да. :)

sentaus пишет: Выкладывайте уже пароли, раз вам шифрование не нужно

не надо передёргивать.
поясню на примере
вот пришел ты в магазин там ячейки с номерками и простой дверцей с щеколдой куда нужно положить сумку
ты оставишь в сумке бабло и айфон? думаю нет
а в другом такие же но с ключиком и плакатик про безопасность и сохранность
только вот дверца такаяже хлипкая и также картоннная стенка сзади. но ты то будешь думать что всё ок и оставишь в ней бабло и айфон а когда их сопрут будешь удивлён.какжетак защита же безопасность хттпс!

а немного включив мозг ты просто не оставляешь там ценное несмотря на заверения рекламы.

то что ты предлагаешь это пойти и самому вручить всё воришке - это ж глупость.
что до процента ресурсов - это не означает что их не надо экономить
курочка по зёрнышку клюёт
почитай спецификации хттпс и сравни количество соединений и трафика с хттпс на одну и ту же страничку
причем учти что хттп траффик обычно жмут а зашифрованный траффик обычно сжимается гораздо хуже голого текста.
и не забуть про дополнитеьные собщения о том что ты посетил страничку удостоверяющему центру (сертификат то проверяется)

хттпс это лапша на уши юзера с целью убедить его отдать ценные данные создав иллюзию защиты.

не надо передёргивать.

Шифрование канала - необходимый элемент безопасности, разумеется, недостаточный. Но без него всё остальное тоже смысла не имеет.

то что ты предлагаешь это пойти и самому вручить всё воришке - это ж глупость.

ЭЭЭ. А где я это предлагал? Не надо с голосами в голове спорить ;)

sentaus пишет: А где я это предлагал?

ну вот же

sentaus пишет: Выкладывайте уже пароли

sentaus пишет: Шифрование канала - необходимый элемент безопасности, разумеется, недостаточный. Но без него всё остальное тоже смысла не имеет.

уточню Сферическое шифрование в вакууме то бишь идеальное(в плане алгоритмов и реализации).
любой другой вариант это подмена бронированного сейфа раскрашенной под сейф картонной коробкой.

и таки не забывай что шифрование это не только данные в канале но и ещё их корректная обработка браузером и сервером. и пусть даже модуль шифрования написали крутые спецы и без ошибок(бггг) то быть уверенным что его корректно используют погромисты пишущие
var a=1;
if(a>5){....}
это глупо (а подобной хрени я в коде и фф и см насмотрелся достаточно)

самому вручить всё воришке - это ж глупость.
ну вот же
sentaus пишет: Выкладывайте уже пароли

Т.е. вы меня оскорбили что ли назвав человеком, нарушающим определённые статьи уголовного кодекса что ли? ;)

уточню Сферическое шифрование в вакууме то бишь идеальное(в плане алгоритмов и реализации).
любой другой вариант это подмена бронированного сейфа раскрашенной под сейф картонной коробкой.

А другого шифрования пока нет. А без него никак. Как быть?

sentaus пишет: Т.е. вы меня оскорбили что ли назвав человеком, нарушающим определённые статьи уголовного кодекса что ли?

нуачо предложение выложить пароли вполне тянет на мошенничество!;)

sentaus пишет: А другого шифрования пока нет. А без него никак. Как быть?

элементарно - не выпускать в сеть важные данные и не забывать что любая инфа неважно зашифровна она или нет
при отправке становится доступна куче третьих лиц.
даже банковский софт пишут погромисты не говоря уже о других сферах.
алсо раздолбаи есть в любой конторе.
вобщем надо понимать что инфа которую ты отправишь будет храниться на полочке в пакетике чтобы не говорили там про сейфы и доставлять её будет мужик на телеге а не инкассаторы на танке.

ну и есть два типа инфы
1 которую можно изменить - логин пароль итд итп - если её профукаешь нестрашно
2 персональные данные ФИО дата рождения фоточки с корпоратива хоумпорн итп - если это утечет уже всё.

элементарно - не выпускать в сеть важные данные

Ну тогда нужно не окно с предупреждением "Небезопасный ввод пароля", а окно "запостить не могу" с одной кнопкой ОК.

Читал, что http/2 принудительно сделали (хотят сделать) only https. В теории он умеет и https, и http.

К сожалению, всё больше и больше Security (external!) FUCKS Freedom (а также прайвеси энд хьюман райтс)

Как тут не вспомнить Assassins Creed с тамплиерами (корпорация добра?), их сокровенной мечтой и борющимися с ними ассасинами. :)