LN-Waschpress

Schlagwort: Firefox

  • Firefox-Add-ons wegen Ausspähens entfernt

    Firefox-Add-ons
    Bild: Firefox Logo | Quelle: Mozilla | Lizenz: CC BY-SA 3.0

    Kürzlich berichteten wir über eine Mozilla-Webseite, die 14 Firefox-Add-ons für den Schutz der Privatsphäre empfiehlt. Peinlich für Mozilla: Darunter befand sich mit dem Add-on Web-Security eine Erweiterung, die heimlich nach Hause telefonierte. Unter anderem berichtete auch das Blog von Mike Kuketz über den Vorfall.

    Peinlicher Vorfall

    Nachdem die Presse dies aufgegriffen hatte, hat Mozilla das beanstandete Add-on aus dem Artikel und mittlerweile auch komplett aus dem Kreis der installierbaren Erweiterungen entfernt, ohne aber die Zahl der Add-ons zu ändern, dort steht immer noch 14. Es stellte sich heraus, dass Web-Security seinem Namen nicht gerecht wurde, sondern im Gegenteil bei jedem Seitenaufruf nicht nur die URL der aktuellen Webseite, sondern auch von den zuvor besuchten Seiten unverschlüsselt an einen deutschen Server gesendet hat.

    Das Online-Magazin The Register fragte bei der Entwicklerfirma Creative Software Solutions nach. Deren Direktor Fabian Simon sagt, dass die Sammlung von Browsing-Informationen nur durchgeführt wird, um eine Website gegen die globale Blacklist von Web Security zu prüfen und fährt fort:

    [su_quote style=“modern-light“]»Dies ist ein notwendiger Schritt, um die Funktionalität des Add-ons zu gewährleisten und hat nichts mit der Verfolgung des Browserverhaltens des Benutzers zu tun, daher zeigten diese Berichte nur einen Teil der Funktionsweise des Add-ons zum Schutz des Benutzers.Wir nehmen den Datenschutz sehr ernst und verwenden diese Server-Kommunikation nicht, um den Verlauf der Benutzer zu verfolgen.«[/su_quote]

    Die Entwickler erklärten mittlerweile, die Erweiterung überarbeiten und erneut einreichen  zu wollen. Wünschenswert wäre, weniger Daten und diese verschlüsselt zu versenden.

    Mozilla greift durch

    Mozilla, einmal wachgerüttelt, nahm weitere Firefox-Add-ons unter die Lupe, um weiteren peinlichen Entdeckungen von dritter Seite zu entgehen. Im Rahmen dieser Untersuchung wurden nun 23 Erweiterungen entfernt. Die beanstandeten Add-Ons wurden auch bei den Anwendern, die sie installiert haben, deaktiviert.

    Unklare Motive

    Alle diese Erweiterungen verwendeten subtile Code-Verschleierung, bei der die eigentliche legitime Erweiterungsfunktionalität mit scheinbar unschuldigem Code gemischt wurde, der über mehrere Orte und Dateien verteilt ist. Die schiere Anzahl irreführender Bezeichner, verschleierter URLs / Konstanten und verdeckter Datenströme ließ wenig Zweifel an den Absichten der Autoren aufkommen:

    Es war offensichtlich, dass sie versucht haben, bösartigen Code in ihrem Add-on zu verstecken, so Wu zu der Webseite Bleeping Computer. Diese hat am Ende ihres Berichts alle entfernten Firefox-Add-ons aufgeführt. Darunter sind auch die Erweiterungen  Browser Security, Browser Privacy und Browser Safety, die URLs an die gleiche Serveradresse sendeten wie Web Security.

  • Mozilla empfiehlt Firefox Add-ons zum Schutz der Privatsphäre

    Mozilla empfiehlt Firefox Add-ons zum Schutz der Privatsphäre

    Mozilla steht beständig in der Kritik der Anwender. So auch dieser Tage wieder wegen der Datensammlung beim Test-Pilot Advance und wegen den Plänen zu DNS over HTTPs. Der Grund, warum viele Anwender trotzdem bei Firefox bleiben sind die vielen verfügbaren Erweiterungen. Mozilla hat jetzt eine Liste mit Empfehlungen zu Add-ons online gestellt, die sich um den Schutz der Privatsphäre kümmern.

    Firefox Add-ons fürs Private

    Auf der Firefox-Webseite für Add-ons kann man die gleiche Liste nach mehreren Gesichtspunkten sortieren. Wenn es um die Beliebtheit geht, so führen Privacy Badger und DuckDuckGo Privacy Essentials die Liste der Empfehlungen mit jeweils rund einer halben Million Anwendern an. Ersteres wird von der Electronic Frontier Foundation (EFF) zur Verfügung gestellt. Während andere Erweiterungen Listen erstellen, lernt dieses Add-on durch Beobachtung, welche Domains den Nutzer beim Surfen verfolgen, automatisch, unsichtbare Tracker zu blockieren.

    DuckDuckGo Privacy Essentials ist ein Rundumschlag in Sachen Privatsphärenschutz. So stehen Tracker-Blockierung, intelligentere Verschlüsselung, private Suche per DuckDuckGo, die Entmystifizierung von Nutzungsbedingungen und vieles mehr auf dem Programm der Firefox-Erweiterung des Suchmaschinen-Herstellers.

    Facebook kaserniert

    Über 300.000 Anwender kann das Add-on Facebook Container aufweisen. Es  funktioniert, indem die Facebook-Identität in einem separaten Container isoliert wird, der es Facebook erschwert, Besuche auf anderen Websites mit Cookies von Drittanbietern zu verfolgen. Mit über 200.000 Nutzern folgt Web Security.  Es ist ein hochentwickeltes Add-on, das eine fortschrittliche Echtzeit-Schutztechnologie sowie eine umfangreiche Datenbank verwendet, um zu verhindern, dass Websites den Computer beschädigen oder sensible Daten abgreifen.

    Tracker visualisiert

    In etwa die gleichen Zahlen kann Disconnect aufweisen. Es blockiert unsichtbare Tracker und kann diese gleichzeitig visualisieren. Dabei können Seiten auch manuell von Schutz ausgenommen werden. Firefox nutzt intern die Listen von Disconnect zum Trackingschutz. Mit etwas mehr als 100.000 Anwendern folgen Firefox Multi-Account Containers, Decentraleyes und Cookie AutoDelete. Letzteres gibt dem Anwender die Kontrolle über Cookies zurück. Wird ein Tab geschlossen, werden nicht verwendete Cookies automatisch gelöscht. Cookies, die das Vertrauen des Nutzers genießen, können ausgenommen werden. Dieses Add-on funktioniert seit Kurzem auch mit Firefox Multi-Account-Containern.

    Alles zusammen getrennt

    Letzteres erlaubt uns, verschiedene Teile des Online-Lebens in farbkodierte Registerkarten unterteilen, die Ihre Privatsphäre schützen. Cookies sind durch Container getrennt, sodass Sie das Web mit mehreren Identitäten oder Konten gleichzeitig in einer Browser-Instanz nutzen und privat und beruflich trennen können. Decentraleyes ist eine Ergänzung zum Tracking-Blocker. Es schützt vor Nachverfolgung bei der zentralen Bereitstellung von Inhalten, etwa durch CDNs. Dabei verhindert das Add-on, dass viele Anfragen nicht in die »Content Delivery Networks« gelangen, und stellt gleichzeitig lokale Dateien zur Verfügung, um zu verhindern, dass Websites nicht korrekt dargestellt werden.

    Zum Wegwerfen

    Bloody Vikings! hat in jedem Fall mehr als die angegebenen knapp 14.000 Anwender verdient, schützt es doch unsere E-Mail-Adressen vor der Verbreitung auf allzu vielen Webseiten. Anstatt die wirkliche E-Mail-Adresse zu exponieren, erlaubt das Add-on die halbautomatische Verwendung von Wegwerfadressen über das Kontextmenü. Dafür werden unter anderem die Dienste 10minutemail.com und anonbox.net verwendet.

    Beuteltiere unter sich

    Neben dem Badger kommt auch bei einem anderen Add-on ein weiteres Beuteltier zum Einsatz. Privacy Possum lebt seine zerstörerischen Tendenzen aus, indem es dafür sorgt, das Werbenetzwerke beim Tracking durch Verkürzung und Verfälschung wertlose Informationen erhalten. Relativ bekannt ist
    Smart HTTPS, dass seit kurzem nun als WebExtension vorliegt. Es ändert automatisch das HTTP-Protokoll in das sichere HTTPS, falls der Webserver letzteres unterstützt. Tritt ein Fehler beim Laden auf, geht’s zurück nach HTTP.

    Sauber machen

    Bleiben noch die beiden Saubermänner History Cleaner und Link Cleaner. Das erste Tool löscht den Browser-Verlauf nach einem von Anwender festzulegenden Zeitraum, während das andere Werkzeug armlange URLs für das Kopieren durch die Entfernung von überflüssigen Tracking-Parametern bereinigt.

    Alle aufgeführten Add-ons sind einfach zu handhaben und brauchen keine bis wenig Einarbeitung. Erweiterungen wie uMatrix oder uBlock Origin, mit denen selbst geübte Anwender viel Zeit bei der Einstellung verbringen, sind auf Mozillas Liste nicht vertreten.

  • Firefox 63 mit eigenem Prozess für WebExtensions

    Firefox 63 mit eigenem Prozess für WebExtensions

    Wenn Mozilla am 23. Oktober Firefox 63 veröffentlicht, wird dieser unter Linux mit den Ausgaben für Windows und macOS gleichziehen, wenn es um die Auslagerung von Funktionalität in eigene Prozesse geht. Die Windows-Version erhielt einen eigenen Prozess für Erweiterungen bereits mit Firefox 56, macOS zog vor rund einem Monat mit dem derzeit aktuellen Firefox 61 nach. Lediglich bei Linux blieb es bisher standardmäßig bei Prozessen für Browser-Kern und Tabs.

    Erweiterungen im eigenen Prozess

    Mit Firefox 63 kommen nun auch Linux-Anwender in den Genuss von getrennten Prozessen für  WebExtensions, dem seit Firefox 57 Quantum gültigen und mittlerweile verbindlichen Standard für Firefox-Erweiterungen. Das ist dem als gelöst markierten Bug 1357487 zu entnehmen. Bereits seit einer Weile konnte das Feature in Firefox Nightly freigeschaltet werden, problemlos läuft die Funktion allerdings erst seit Firefox 63 Nightly, wo sie auch bereits eingeschaltet ist. Beim aktuellen Firefox bedarf es der Freischaltung durch Eingabe von about:config gefolgt von extensions.webextensions.remote. Dort muss der Wert durch Doppelklick auf true geschaltet werden.

    Tracking-Schutz ausgebaut

    Firefox 63 wird zudem einen verbesserten Tracking-Schutz bieten. Mit Tracking Protection verhindert Firefox, dass Skripte von missbräuchlichen Trackern geladen werden. Dadurch wird nicht nur nervige Werbung geblockt und die Verfolgung beim Surfen erschwert, als Effekt daraus werden Seiten auch schneller geladen. Nachdem Tracking Protection in den letzten Ausgaben bereits optisch durch die Platzierung bei den Sicherheitsmerkmalen in der Adresszeile prominent hervorgehoben wurde, wird die Funktion für Firefox 63 nochmals erweitert.

    Firefox 63 erweitert den Schutz um das Blockieren von Crypto-Jacking– und Fingerprinting-Scripten und erlaubt in den Einstellungen eine feinere Kontrolle, was genau geblockt werden soll. Benutzer haben dann die Option, Tracking für Werbung, Analysen, Fingerprinting, soziale Medien und Crypto-Mining getrennt ein- oder auszuschalten.

  • Firefox Seiten-Isolierung als neues Sicherheitsmerkmal

    Firefox Seiten-Isolierung
    Bild: Firefox Logo | Quelle: Mozilla | Lizenz: CC BY-SA 3.0

    Vor rund sechs Wochen erschien Chrome 67 und führte als neues Sicherheitsmerkmal Site Isolation, zu deutsch Seiten-Isolierung, ein. Damit verschärfte Google die Trennung von Inhalten im Browser. Jetzt wurde bekannt, dass Mozilla seit April an einem ähnlichen Projekt arbeitet, dass unter dem Namen Project Fission läuft. Dabei soll jeder Rendering-Prozess auf Dokumente von einer einzigen Domain beschränkt werden.

    Ein Prozess pro Domain

    Seiten-Isolierung stellt sicher, dass Zugriffe von einer Webseite auf eine andere Domain immer in eigene Prozesse eingebunden werden, die jeweils in einer Sandbox laufen, die die Möglichkeiten des Prozesses einschränkt. Außerdem wird der Empfang bestimmter Arten von sensiblen Daten von anderen Websites eingeschränkt. Infolgedessen wird es für eine bösartige Webseiten schwieriger, Daten von anderen Seiten zu stehlen. Firefox Seiten-Isolierung richtet sich im Besonderen gegen Universal Cross-Site-Scripting (UXSS).

    Gegen UXSS-Angriffe

    Technisch wird das bei Chrome etwa so gelöst, dass seitenübergreifende Inhalte immer in einen eigenen Prozess geladen werden, unabhängig davon, ob sich die Navigation im aktuellen Tab, einem neuen Tab oder einem Iframe befindet. Seitenübergreifende  Daten wie HTML-, XML- und JSON-Dateien werden nicht an den Prozess einer Webseite ausgeliefert, es sei denn, der Server sagt, dass dies erlaubt sei.

    Firefox im Wandel

    Mozilla hatte bereits 2016 seit Firefox 48 mit Electrolysis  die Aufteilung des Renderns in mehrere Prozesse begonnen und im späteren Verlauf sukzessive bis hin zu Firefox 57 Quantum weiter ausgebaut. Diese Multi-Prozess-Architektur besteht derzeit aus einem Prozess für die grafische Benutzerschnittstelle (GUI) und mehreren Prozessen zum Rendern der Seiten. Bei Firefox ist die Zahl der maximal möglichen Prozesse nach oben beschränkt, weil mehr Prozesse auch mehr RAM binden.

    RAM-Verbrauch herunterfahren

    Um Firefox Seiten-Isolierung sinnvoll umzusetzen, müssen mindestens 100 Prozesse in einer Firefox-Sitzung laufen können. Derzeit erzeugt ein Prozess, unabhängig von seinem Inhalt, einen Overhead zwischen 17 und 35 MByte, je nach Plattform. Somit würde eine Sitzung mit Firefox Seiten-Isolierung bis zu 3,5 GByte belegen. Um hier nicht noch weiter in den Verruf des Speicherfressers zu geraten, versucht  Mozilla, diesen Overhead im Rahmen von Fission MemShrink auf 10 MByte pro Prozess zu reduzieren. Im vergangenen Monat konnte bereits eine Reduzierung um 3 – 4 MByte erreicht werden. Die Erfolge können im Bugzilla verfolgt werden. Derzeit gibt es noch keine Angaben darüber, wann Ergebnisse aus Project Fission in Firefox ankommen werden.

  • Mozillas Facebook Container verbessert die Privatsphäre

    Mozilla Facebook-Container
    Quelle: Mozilla

     

    Angesichts der Nachrichten über das millionenfache Abgreifen von Daten von Facebook durch die Firma Cambridge Analytica hat Mozilla eine seit Jahren in der Entwicklung befindliche Technik aufgegriffen und, beschleunigt durch die Ereignisse, ein neues Add-on veröffentlicht, dass auf den Namen Facebook Container hört. Es basiert auf der Entwicklung der bereits länger verfügbaren Erweiterung Firefox Multi-Account Containers und soll das Tracking der Anwender von Firefox beim Besuch von Facebook verhindern.

    Weniger Tracking von Facebook

    In einem Beitrag im Mozilla-Blog schreibt Firefox Vice President Nick Nguyen, es sei heute für den Anwender kaum noch zu verstehen, wie technisch komplex Imperien wie Facebook, Google und andere mit den Informationen handeln, die sie über uns im Internet abgreifen. Die Seiten, die wir im Internet besuchen, sagen viel über uns aus. Per Tracking können Anbieter ableiten, wo wir leben, welche Hobbys wir nachgehen und welcher politischen Überzeugung wir den Vorrang geben. Die per Tracking gewonnenen Daten werden mit unseren sozialen Profilen verknüpft und an Dritte verkauft oder einfach entwendet, wie im jüngsten Fall. Facebook verfügt über ein Netzwerk von Trackern auf verschiedenen Websites, die genau diesen Fall begünstigen.

    Weniger Verknüpfung von Daten

    Facebook Container isoliert die Facebook-Identität des Anwenders vom Rest seiner Web-Aktivitäten. Facebook kann damit weiterhin normal genutzt werden. Der Unterschied ist, dass es für Facebook viel schwieriger ist, die während der Facebook-Sitzungen gesammelten Informationen zu nutzen, um maßgeschneiderte Werbung und andere gezielte Nachrichten zu versenden. Mozilla betont, die Erweiterung richte sich nicht gegen Facebook, denn viele Nutzer von Firefox würden Nutzen aus Facebook ziehen. Es versuche, dem Anwender mehr Kontrolle über seine Daten zu geben.  Zum Schluss verlinkt Nguyen noch zu einer Seite der Electronic Frontier Foundation (EFF), die gute Tipps für mehr Privatspäre im Zusammenhang mit Facebook bietet.

    [su_slider source=“media: 4632″ link=“image“ width=“700″ height=“460″ arrows=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Keine Cookies

    Nach der Installation der Erweiterung werden zunächst die Facebook-Cookies gelöscht und der Anwender von Facebook abgemeldet. Beim nächsten Besuch von Facebook wird der Dienst in einem neuen blauen Browser-Tab, einem sogenannten »Container-Tab« geöffnet. Auf diesem Tab kann sich der Anwender bei Facebook einloggen und es wie gewohnt nutzen. Wird auf einen Nicht-Facebook-Link geklickt oder zu einer Nicht-Facebook-Website in der URL-Leiste navigiert, werden diese Seiten außerhalb des Containers geladen. Ein Klick auf Facebook-Share-Buttons in anderen Tabs lädt diese in den Facebook-Container. Beim Benutzen dieser Schaltflächen werden üblicherweise  Informationen über die Website, auf der sie geklickt wurden, als Referrer an Facebook gesendet.

    Anders als gewohnt

    Werden Facebook-Anmeldeinformationen verwendet, um bei einem anderen Dienst ein Konto zu erstellen oder mit Facebook-Anmeldeinformationen anzumelden, kann es sein, dass der Container das unterbindet. Da der Anwender im Container-Tab bei Facebook angemeldet ist, funktionieren auch eingebettete Facebook-Kommentare und Like-Buttons in Tabs außerhalb des Facebook-Container-Tabs nicht. Dadurch wird verhindert, dass Facebook Informationen über Ihre Aktivitäten auf externen Webseiten außerhalb von Facebook mit Ihrer Facebook-Identität verknüpft.

  • Mozillas Passwort-Manager unsicher

    Screenshot: ft

     

    Sowohl Firefox als auch Thunderbird erlauben es Benutzern, in den Einstellungen ein »Master-Passwort«  einzurichten. Dieses Master-Passwort dient der Verschlüsselung von Passwörtern, die in den Anwendungen vom Nutzer gespeichert werden. Generell ist diese Methode unterhalb der von ausgewachsenen Passwort-Managern angesiedelt, aber immer noch besser als keine Passwortverwaltung und daraus meist resultierend, die Mehrfachverwendung einfach zu merkender Passwörter.

    Mozilla Passwort-Manager unsicher

    Wie sich jetzt herausstellte, ist diese Funktion bei den Mozilla-Produkten nur sehr schlecht abgesichert und für jeden Hacker, der jemals den Begriff Brute-Force gehört hat, ein Kinderspiel. Das entdeckte jetzt Wladimir Palant, Entwickler der Adblock-Erweiterung. Herzstück der Verschlüsselung bei Mozilla ist die Funktion  sftkdb_passwordToKey(), die ein Passwort in einen Schlüssel umwandelt, indem es SHA-1-Hashing auf einen String anwendet, der aus einem zufälligen Salt und dem Master-Passwort besteht.

    SHA-1 zum Hashen

    Dieser Ansatz mit SHA-1 und die Implementierung seitens Mozilla hat zwei gewichtige Probleme. Zunächst ist SHA-1 bereits seit 2005 als gebrochen bekannt, wie der Kryptographieexperte Bruce Schneier damals in seinem Blog schrieb. Allerdings rechtfertigte damals der nötige Aufwand die Kosten nicht.

    2017 gelang Forschern bei Google und aus den Niederlanden erstmals ein Kollisionsangriff, bei dem zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash erzeugt wurden. Seit 2015 gilt generell die Empfehlung, von SHA-1 auf die Nachfolger SHA-2 und SHA-3 zu wechseln, da es sich durch günstige Rechenkraft mittlerweile durchaus lohnen kann, SHA-1 zu knacken.

    Nur eine Iteration

    Das zweite Problem bei Mozillas Master-Passwort ist, das SHA-1 bei der Erzeugung des Schlüssels genau einmal iteriert. Branchenüblich sind hier Werte zwischen 10.000 und 500.000 Iterationen, je nachdem, was verschlüsselt wird. Das ist grob vergleichbar mit einem Paket, das nur einmal mit Geschenkpapier umwickelt ist, es ist schnell ausgepackt. Mit der Zahl der Lagen steigt auch der Aufwand des Entpackens.

    Bugreport mit Bart

    Nun hat Mozilla seit neun Jahren einen entsprechenden Bugreport vorliegen, dessen Brisanz unverständlicherweise niemand realisiert hat. Dabei ist SHA-2 bereits seit 2001 standardisiert. Mittlerweile kommt durch die Berichterstattung  auf BleepingComputer und der Diskussion auf Reddit wieder Leben in den Bugreport und die Mozillianer fragen sich, wie das passieren konnte. Nun wird hoffentlich schnell eine Lösung erarbeitet, die dieses Problem aus der Welt schafft.

  • Firefox 59 wenig spektakulär

    Firefox 59
    Screenshot: ft

     

    Mozillas neue Ausgabe des Browsers Firefox Quantum in Version 59 bietet im Vergleich mit seinen Vorgängern keine spektakulären Neuerungen. Die wohl wichtigste neue Funktion betrifft den Schutz der Privatsphäre. Dieser erweiterte Schutz greift allerdings bisher nur im privaten Modus. Es geht dabei um die Referrer, die im HTTP-Header von Webseiten mit ausgeliefert werden. Hier wird bis jetzt bei Verlinkung auf eine neue Seite jeweils der volle Pfad mit übertragen, sodass  die Folgeseite weiß, von welcher Seite der Nutzer kommt. Das wird künftig über einen gekürzten Referrer nicht mehr möglich sein. Im normalen Browsermodus ist diese Änderung derzeit so nicht umsetzbar, da manche Seiten diese Information zur korrekten Darstellung benötigen.

    Screenshots editieren

    Der mit Firefox 56 eingeführte Screenshot-Modus erlaubt das Abfotografieren des gesamten Bildschirms oder eines rechteckigen Ausschnitts davon. Die erstellten Screenshots können dann lokal oder auf einem Mozilla-Server gespeichert werden. Jetzt wird die Funktion um eine rudimentäre Editor-Funktion erweitert. Die aufgenommenen Screenshots können nach dem Speichern in der Cloud per Stift mit Anmerkungen versehen oder mit Funktionen wie Crop oder Highlight bearbeitet werden. Es fehlt die wichtige Möglichkeit, private Daten auf den Screenshots unkenntlich zu machen.

    Mehr Kontrolle

    Firefox 59 verfeinert die Kontrolle über bestimmte Benachrichtigungen. Bei den Einstellungen zu den Berechtigungen für Benachrichtigungen können neue Anfragen zum Anzeigen von Benachrichtigungen blockiert werden. Suchvorschläge werden bei Nutzung der als  „Unified Search“ bezeichneten Suche in der Adresszeile künftig vor den Einträgen aus dem Browserverlauf angezeigt werden. Die Reihenfolge kann aber in den Einstellungen wieder geändert werden.

    Health Report unbrauchbar

    Zu wenige Nutzer hatte anscheinend der »Firefox Health Report«. Dieser wurde eingestellt und dessen Funktionalität von about:healthreport nach about:telemetry verlagert. Im Health Report waren unter anderem die Ladezeiten sowie die Laufzeit des Browsers ersichtlich sowie eventuell abgestürzte Plugins. Allerdings fehlt in den Einträgen in Telemetry schnell der Überblick. Zusätzlich wurden einige Änderungen unter der Haube vorgenommen, die laut Mozilla anhand spürbar schnellerer Seiten-Ladezeiten auffallen dürften. Die Release Notes machen zudem auf mehrere geschlossene Sicherheitslücken aufmerksam.