Kürzlich berichteten wir über eine Mozilla-Webseite, die 14 Firefox-Add-ons für den Schutz der Privatsphäre empfiehlt. Peinlich für Mozilla: Darunter befand sich mit dem Add-on Web-Security eine Erweiterung, die heimlich nach Hause telefonierte. Unter anderem berichtete auch das Blog von Mike Kuketz über den Vorfall.
Peinlicher Vorfall
Nachdem die Presse dies aufgegriffen hatte, hat Mozilla das beanstandete Add-on aus dem Artikel und mittlerweile auch komplett aus dem Kreis der installierbaren Erweiterungen entfernt, ohne aber die Zahl der Add-ons zu ändern, dort steht immer noch 14. Es stellte sich heraus, dass Web-Security seinem Namen nicht gerecht wurde, sondern im Gegenteil bei jedem Seitenaufruf nicht nur die URL der aktuellen Webseite, sondern auch von den zuvor besuchten Seiten unverschlüsselt an einen deutschen Server gesendet hat.
Das Online-Magazin The Register fragte bei der Entwicklerfirma Creative Software Solutions nach. Deren Direktor Fabian Simon sagt, dass die Sammlung von Browsing-Informationen nur durchgeführt wird, um eine Website gegen die globale Blacklist von Web Security zu prüfen und fährt fort:
[su_quote style=“modern-light“]»Dies ist ein notwendiger Schritt, um die Funktionalität des Add-ons zu gewährleisten und hat nichts mit der Verfolgung des Browserverhaltens des Benutzers zu tun, daher zeigten diese Berichte nur einen Teil der Funktionsweise des Add-ons zum Schutz des Benutzers.Wir nehmen den Datenschutz sehr ernst und verwenden diese Server-Kommunikation nicht, um den Verlauf der Benutzer zu verfolgen.«[/su_quote]
Die Entwickler erklärten mittlerweile, die Erweiterung überarbeiten und erneut einreichen zu wollen. Wünschenswert wäre, weniger Daten und diese verschlüsselt zu versenden.
Mozilla greift durch
Mozilla, einmal wachgerüttelt, nahm weitere Firefox-Add-ons unter die Lupe, um weiteren peinlichen Entdeckungen von dritter Seite zu entgehen. Im Rahmen dieser Untersuchung wurden nun 23 Erweiterungen entfernt. Die beanstandeten Add-Ons wurden auch bei den Anwendern, die sie installiert haben, deaktiviert.
Unklare Motive
Alle diese Erweiterungen verwendeten subtile Code-Verschleierung, bei der die eigentliche legitime Erweiterungsfunktionalität mit scheinbar unschuldigem Code gemischt wurde, der über mehrere Orte und Dateien verteilt ist. Die schiere Anzahl irreführender Bezeichner, verschleierter URLs / Konstanten und verdeckter Datenströme ließ wenig Zweifel an den Absichten der Autoren aufkommen:
Es war offensichtlich, dass sie versucht haben, bösartigen Code in ihrem Add-on zu verstecken, so Wu zu der Webseite Bleeping Computer. Diese hat am Ende ihres Berichts alle entfernten Firefox-Add-ons aufgeführt. Darunter sind auch die Erweiterungen Browser Security, Browser Privacy und Browser Safety, die URLs an die gleiche Serveradresse sendeten wie Web Security.
Mozilla steht beständig in der Kritik der Anwender. So auch dieser Tage wieder wegen der Datensammlung beim Test-Pilot Advance und wegen den Plänen zu DNS over HTTPs. Der Grund, warum viele Anwender trotzdem bei Firefox bleiben sind die vielen verfügbaren Erweiterungen. Mozilla hat jetzt eine Liste mit Empfehlungen zu Add-ons online gestellt, die sich um den Schutz der Privatsphäre kümmern.
Firefox Add-ons fürs Private
Auf der Firefox-Webseite für Add-ons kann man die gleiche Liste nach mehreren Gesichtspunkten sortieren. Wenn es um die Beliebtheit geht, so führen Privacy Badger und DuckDuckGo Privacy Essentials die Liste der Empfehlungen mit jeweils rund einer halben Million Anwendern an. Ersteres wird von der Electronic Frontier Foundation (EFF) zur Verfügung gestellt. Während andere Erweiterungen Listen erstellen, lernt dieses Add-on durch Beobachtung, welche Domains den Nutzer beim Surfen verfolgen, automatisch, unsichtbare Tracker zu blockieren.
DuckDuckGo Privacy Essentials ist ein Rundumschlag in Sachen Privatsphärenschutz. So stehen Tracker-Blockierung, intelligentere Verschlüsselung, private Suche per DuckDuckGo, die Entmystifizierung von Nutzungsbedingungen und vieles mehr auf dem Programm der Firefox-Erweiterung des Suchmaschinen-Herstellers.
Facebook kaserniert
Über 300.000 Anwender kann das Add-on Facebook Container aufweisen. Es funktioniert, indem die Facebook-Identität in einem separaten Container isoliert wird, der es Facebook erschwert, Besuche auf anderen Websites mit Cookies von Drittanbietern zu verfolgen. Mit über 200.000 Nutzern folgt Web Security. Es ist ein hochentwickeltes Add-on, das eine fortschrittliche Echtzeit-Schutztechnologie sowie eine umfangreiche Datenbank verwendet, um zu verhindern, dass Websites den Computer beschädigen oder sensible Daten abgreifen.
Tracker visualisiert
In etwa die gleichen Zahlen kann Disconnect aufweisen. Es blockiert unsichtbare Tracker und kann diese gleichzeitig visualisieren. Dabei können Seiten auch manuell von Schutz ausgenommen werden. Firefox nutzt intern die Listen von Disconnect zum Trackingschutz. Mit etwas mehr als 100.000 Anwendern folgen Firefox Multi-Account Containers, Decentraleyes und Cookie AutoDelete. Letzteres gibt dem Anwender die Kontrolle über Cookies zurück. Wird ein Tab geschlossen, werden nicht verwendete Cookies automatisch gelöscht. Cookies, die das Vertrauen des Nutzers genießen, können ausgenommen werden. Dieses Add-on funktioniert seit Kurzem auch mit Firefox Multi-Account-Containern.
Alles zusammen getrennt
Letzteres erlaubt uns, verschiedene Teile des Online-Lebens in farbkodierte Registerkarten unterteilen, die Ihre Privatsphäre schützen. Cookies sind durch Container getrennt, sodass Sie das Web mit mehreren Identitäten oder Konten gleichzeitig in einer Browser-Instanz nutzen und privat und beruflich trennen können. Decentraleyes ist eine Ergänzung zum Tracking-Blocker. Es schützt vor Nachverfolgung bei der zentralen Bereitstellung von Inhalten, etwa durch CDNs. Dabei verhindert das Add-on, dass viele Anfragen nicht in die »Content Delivery Networks« gelangen, und stellt gleichzeitig lokale Dateien zur Verfügung, um zu verhindern, dass Websites nicht korrekt dargestellt werden.
Zum Wegwerfen
Bloody Vikings! hat in jedem Fall mehr als die angegebenen knapp 14.000 Anwender verdient, schützt es doch unsere E-Mail-Adressen vor der Verbreitung auf allzu vielen Webseiten. Anstatt die wirkliche E-Mail-Adresse zu exponieren, erlaubt das Add-on die halbautomatische Verwendung von Wegwerfadressen über das Kontextmenü. Dafür werden unter anderem die Dienste 10minutemail.com und anonbox.net verwendet.
Beuteltiere unter sich
Neben dem Badger kommt auch bei einem anderen Add-on ein weiteres Beuteltier zum Einsatz. Privacy Possum lebt seine zerstörerischen Tendenzen aus, indem es dafür sorgt, das Werbenetzwerke beim Tracking durch Verkürzung und Verfälschung wertlose Informationen erhalten. Relativ bekannt ist Smart HTTPS, dass seit kurzem nun als WebExtension vorliegt. Es ändert automatisch das HTTP-Protokoll in das sichere HTTPS, falls der Webserver letzteres unterstützt. Tritt ein Fehler beim Laden auf, geht’s zurück nach HTTP.
Sauber machen
Bleiben noch die beiden Saubermänner History Cleaner und Link Cleaner. Das erste Tool löscht den Browser-Verlauf nach einem von Anwender festzulegenden Zeitraum, während das andere Werkzeug armlange URLs für das Kopieren durch die Entfernung von überflüssigen Tracking-Parametern bereinigt.
Alle aufgeführten Add-ons sind einfach zu handhaben und brauchen keine bis wenig Einarbeitung. Erweiterungen wie uMatrix oder uBlock Origin, mit denen selbst geübte Anwender viel Zeit bei der Einstellung verbringen, sind auf Mozillas Liste nicht vertreten.
Der beliebte E-Mail-Client Thunderbird hat eine Aktualisierung auf Version 60 erhalten, die viele wichtige Änderungen mit sich bringt. Die wichtigste dieser Änderungen betrifft Erweiterungen und Themes, die künftig die WebExtensions-APIs unterstützen müssen. Das bedeutet, dass nun auch bei Thunderbird, wie schon bei Firefox Quantum standardmäßig nur noch Erweiterungen installiert werden können, die dem neuen Standard entsprechen.
WebExtensions auch bei Thunderbird 60
Die alten XUL-basierten Erweiterungen werden deaktiviert oder lassen sich erst gar nicht mehr installieren. Allerdings gibt es auch hier eine Übergangsfrist, während derer diese Vorgabe übergangen werden kann. Dazu geht man unter Bearbeiten – Einstellungen auf die Registerkarte Erweitert und dort unten auf Konfiguration bearbeiten. Daraufhin öffnet sich, was wir bei Firefox als about: config kennen. Nach Eingaben von extensions.strict kann der Wert durch Doppelklick auf die Zeile von true auf false gesetzt werden.
Noch lässt sich die Vorgabe zu WebExtensions übergehen
Zeitweiliger Workaround
Daraufhin sollten die meisten Erweiterungen wieder aktivier- bzw. installierbar sein. Wie lange diese Möglichkeit besteht, ist jedoch unbekannt. Die Kompatibilität von Erweiterungen mit Thunderbird 60 lässt sich auch vorab überprüfen. Erst kürzlich erhielt Thunderbird hierzu eine eigene Webseite, auf der die Kompatibilität von allen verfügbaren Erweiterungen angegeben wird.
Bei der Optik erfuhr Thunderbird 60 eine Modernisierung. So werden neben dem Standard-Theme eine Light- und eine Dark-Variante mit ausgeliefert. Ansonsten sind nun auch Themes nach dem neuen Standard WebExtensions installierbar. Das Logo von Thunderbird wurde ebenfalls modernisiert.
Aufwertung an vielen Stellen
Der Kalender wurde ebenfalls aufgewertet und erlaubt es, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auch wiederkehrende Ereignisse lassen sich nun kopieren, ausschneiden und löschen.
Beim Verfassen von E-Mails können bereits eingetragene Empfänger einzeln wieder entfernt werden, wenn sich die Maus über dem entsprechenden Feld befindet. Das Menü für Anhänge ist an den rechten Rand des Fensters gerückt und wurde um die Möglichkeit erweitert, bereits eingestellte Anhänge per Dialog, Tastatur oder Drag&Drop zu sortierern.
Thunderbird 60 mit neuem Dialog für Anhänge
Sicherheit verbessert
Bei der Sicherheit wurde OAuth2-Authentifizierung- für Yahoo und AOL hinzugefügt. Zudem wird generell FIDO U2F unterstützt. Als experimentelle Funktion können Ordner von mbox nach maildir und zurück konvertiert werden. Dazu muss in den Einstellungen wie bereits oben beschrieben der String mail.store_conversion_enabled gesetzt werden. Alle weiteren Änderungen bei Thunderbird 60 können den Release Notes entnommen werden.
Wenn Mozilla am 23. Oktober Firefox 63 veröffentlicht, wird dieser unter Linux mit den Ausgaben für Windows und macOS gleichziehen, wenn es um die Auslagerung von Funktionalität in eigene Prozesse geht. Die Windows-Version erhielt einen eigenen Prozess für Erweiterungen bereits mit Firefox 56, macOS zog vor rund einem Monat mit dem derzeit aktuellen Firefox 61 nach. Lediglich bei Linux blieb es bisher standardmäßig bei Prozessen für Browser-Kern und Tabs.
Erweiterungen im eigenen Prozess
Mit Firefox 63 kommen nun auch Linux-Anwender in den Genuss von getrennten Prozessen für WebExtensions, dem seit Firefox 57 Quantum gültigen und mittlerweile verbindlichen Standard für Firefox-Erweiterungen. Das ist dem als gelöst markierten Bug 1357487 zu entnehmen. Bereits seit einer Weile konnte das Feature in Firefox Nightly freigeschaltet werden, problemlos läuft die Funktion allerdings erst seit Firefox 63 Nightly, wo sie auch bereits eingeschaltet ist. Beim aktuellen Firefox bedarf es der Freischaltung durch Eingabe von about:config gefolgt von extensions.webextensions.remote. Dort muss der Wert durch Doppelklick auf true geschaltet werden.
Tracking-Schutz ausgebaut
Firefox 63 wird zudem einen verbesserten Tracking-Schutz bieten. Mit Tracking Protection verhindert Firefox, dass Skripte von missbräuchlichen Trackern geladen werden. Dadurch wird nicht nur nervige Werbung geblockt und die Verfolgung beim Surfen erschwert, als Effekt daraus werden Seiten auch schneller geladen. Nachdem Tracking Protection in den letzten Ausgaben bereits optisch durch die Platzierung bei den Sicherheitsmerkmalen in der Adresszeile prominent hervorgehoben wurde, wird die Funktion für Firefox 63 nochmals erweitert.
Firefox 63 erweitert den Schutz um das Blockieren von Crypto-Jacking– und Fingerprinting-Scripten und erlaubt in den Einstellungen eine feinere Kontrolle, was genau geblockt werden soll. Benutzer haben dann die Option, Tracking für Werbung, Analysen, Fingerprinting, soziale Medien und Crypto-Mining getrennt ein- oder auszuschalten.
Vor rund sechs Wochen erschien Chrome 67 und führte als neues Sicherheitsmerkmal Site Isolation, zu deutsch Seiten-Isolierung, ein. Damit verschärfte Google die Trennung von Inhalten im Browser. Jetzt wurde bekannt, dass Mozilla seit April an einem ähnlichen Projekt arbeitet, dass unter dem Namen Project Fission läuft. Dabei soll jeder Rendering-Prozess auf Dokumente von einer einzigen Domain beschränkt werden.
Ein Prozess pro Domain
Seiten-Isolierung stellt sicher, dass Zugriffe von einer Webseite auf eine andere Domain immer in eigene Prozesse eingebunden werden, die jeweils in einer Sandbox laufen, die die Möglichkeiten des Prozesses einschränkt. Außerdem wird der Empfang bestimmter Arten von sensiblen Daten von anderen Websites eingeschränkt. Infolgedessen wird es für eine bösartige Webseiten schwieriger, Daten von anderen Seiten zu stehlen. Firefox Seiten-Isolierung richtet sich im Besonderen gegen Universal Cross-Site-Scripting (UXSS).
Gegen UXSS-Angriffe
Technisch wird das bei Chrome etwa so gelöst, dass seitenübergreifende Inhalte immer in einen eigenen Prozess geladen werden, unabhängig davon, ob sich die Navigation im aktuellen Tab, einem neuen Tab oder einem Iframe befindet. Seitenübergreifende Daten wie HTML-, XML- und JSON-Dateien werden nicht an den Prozess einer Webseite ausgeliefert, es sei denn, der Server sagt, dass dies erlaubt sei.
Firefox im Wandel
Mozilla hatte bereits 2016 seit Firefox 48 mit Electrolysis die Aufteilung des Renderns in mehrere Prozesse begonnen und im späteren Verlauf sukzessive bis hin zu Firefox 57 Quantum weiter ausgebaut. Diese Multi-Prozess-Architektur besteht derzeit aus einem Prozess für die grafische Benutzerschnittstelle (GUI) und mehreren Prozessen zum Rendern der Seiten. Bei Firefox ist die Zahl der maximal möglichen Prozesse nach oben beschränkt, weil mehr Prozesse auch mehr RAM binden.
RAM-Verbrauch herunterfahren
Um Firefox Seiten-Isolierung sinnvoll umzusetzen, müssen mindestens 100 Prozesse in einer Firefox-Sitzung laufen können. Derzeit erzeugt ein Prozess, unabhängig von seinem Inhalt, einen Overhead zwischen 17 und 35 MByte, je nach Plattform. Somit würde eine Sitzung mit Firefox Seiten-Isolierung bis zu 3,5 GByte belegen. Um hier nicht noch weiter in den Verruf des Speicherfressers zu geraten, versucht Mozilla, diesen Overhead im Rahmen von Fission MemShrink auf 10 MByte pro Prozess zu reduzieren. Im vergangenen Monat konnte bereits eine Reduzierung um 3 – 4 MByte erreicht werden. Die Erfolge können im Bugzilla verfolgt werden. Derzeit gibt es noch keine Angaben darüber, wann Ergebnisse aus Project Fission in Firefox ankommen werden.
Datendiebstähle im großen Stil sind zu einem lästigen Übel geworden, mit dem Anwender im Internet leben müssen. Der größte bisher bekannte Einbruch in eine Webseite betraf 2016 Yahoo, es wurden nach verspäteter Einlassung des Unternehmens rund 3 Milliarden Datensätze entwendet. Jeder von uns ist bei vielen Webseiten und Diensten registriert und hat dort mehr oder weniger wichtige, aber in jedem Fall private Daten hinterlegt. Leider ist die Unsitte, ein Passwort für mehrere Anmeldungen zu nutzen immer noch nicht ausgestorben, was die Auswirkungen einer solchen Kompromittierung nochmals multipliziert.
Um hier etwas mehr Information und Schutz zu bieten, begann Mozilla im letzten Jahr eine Zusammenarbeit mit dem Sicherheitsexperten Troy Hunt, der den Dienst Have I been Pwned (HIBP) betreibt. Dabei geht es um die Integration des Dienstes in Firefox. Der Dienst informiert nach Eingabe einer E-Mail-Adresse darüber, ob diese Adresse in der Vergangenheit in einen Datendiebstahl verwickelt war.
Dienst ausgeweitet
Die Integration von HIBP in Firefox multipliziert dessen Reichweite um ein Vielfaches. Durch die Partnerschaft ist Mozilla in der Lage, mit Firefox Monitor die E-Mail-Adresse des Anwenders mit der HIBP-Datenbank abzugleichen. Neben der einfachen Abfrage über vergangene Datendiebstähle bietet Mozilla aber noch mehr. So wird angezeigt, ob eine besuchte Webseite jemals durch einen Einbruch mit Diebstahl von Datensätzen kompromittiert wurde. Anwender können sich zudem benachrichtigen lassen, falls die eigene E-Mail-Adresse bei einem neuen Vorfall betroffen ist.
Erster Testlauf
Mozilla startet jetzt einen Testlauf von Firefox Monitor mit 250.000 Anwendern überwiegend aus den USA. Dabei geht es um das Design und die generelle Akzeptanz des Dienstes bei den Anwendern. Besonderes Augenmerk legt Mozilla dabei auf Anonymität, wobei sichergestellt wird, dass die E-Mail-Adresse des Anwenders niemals zur Gänze in die Hände Dritter gelangt. Verläuft dieser Test positiv, wird der Dienst für alle Firefox-Nutzer ausgerollt. Darüber wird im Vorfeld ein weiterer Blogeintrag informieren.
Firefox 60 bringt viele kleinere Neuerungen in allen Bereichen und den erneuten Versuch, mit personalierten Werbeeinblendungen Geld zu verdienen. Dieser Versuch bleibt vorerst allerdings auf die USA beschränkt. Einige Funktionen der beliebten Erweiterung Tab Mix Plus wurden zudem direkt in den Browser integriert.
Die mit Firefox 57 eingeführte Quantum-CSS-Engine spendierte dem Browser einen zeitgemäßen Unterbau. Dieser wandert mit der runden 60 nun auch in die Android- und ESR-Versionen des Browsers. Zudem übernimmt Quantum nun auch die Darstellung der Oberfläche des Browsers.
Personalisierte Werbung
Mit Firefox 60 nimmt Mozilla einen neuen Anlauf, mit Werbung zusätzliche Einnahmequellen zu erschließen. Mozilla möchte damit etwas unabhängiger von Spenden und den Einnahmen aus den Verträgen mit Suchmaschinenbetreibern werden. Der erste Versuch 2014 war gescheitert und wurde 2015 wieder eingestellt.
Die Werbetafeln werden, derzeit nur für Anwender in den USA, vereinzelt auf der Seite eines neuen Tabs eingeblendet. Dort sie bei den Empfehlungen von Pocket eingereiht, aber gesondert als bezahlte Einblendung gekennzeichnet. Einzelne Werbekacheln können ebenso entfernt werden wie die Pocket-Empfehlungen auch. Zudem kann die Werbung generell über die Tab-Einstellungen abgestellt werden. Mozilla betont, dass diese Art der Werbung zwar personalisiert sei, aber trotzdem die Privatsphäre schütze. Das wird laut Mozilla dadurch erreicht, das alle Daten beim Nutzer verbleiben, die Personalisierung findet clientseitig statt.
Notwendiges Übel
Werbung ist ein notwendiges Übel zur Finanzierung. Das Model »Werbung im Internet« ist völlig kaputt und muss dringend überholt werden. Dass Mozilla alternative Einnahmequellen sucht, ist verständlich, die fast völlige Abhängigkeit von Suchmachinenanbietern ist kein verlässliches Finanzierungsmodell. Mozilla versucht, die Anwender behutsam mit einem nach eigenen Aussagen die Privatsphäre achtenden Modell von dem Konzept zu überzeugen. Dass die Werbung dazu standardmäßig eingeschaltet ist, widerspricht zwar dem Empfinden vieler Nutzer. Aber seien wir mal ehrlich: Wer würde Werbung freiwillig einschalten?
Tab Mix Plus integriert
Die Erweiterungen waren bis zur Neugestaltung des Browsers eines der Highlights für Firefox-Anwender. Kaum ein anderer Browser war in so hohem Maße anpassbar. Seit Erweiterungen nun auf WebExtensions beruhen, ist die Zahl der Erweiterungen geschrumpft und viele Entwickler haben sich wegen zu vieler Einschränkungen von der Firefox-Entwicklung abgewandt. Eines der beliebtesten Add-ons für Firefox ist ohne Zweifel Tab Mix Plus, das derzeit immer noch im experimentellen Stadium ist. So wird es viele Anwender freuen, dass einige Grundfunktionen des Add-ons jetzt direkt im Browser integriert worden sind. So gibt es nun eine Einstellung, um alle Eingaben in der Adressleiste in einem neuen Tab zu öffnen. Die neue Funktion ist in den Einstellungen noch nicht zu finden, muss also noch über about:config freigeschaltet werden. Dazu muss dazu der Eintrag browser.urlbar.openintab auf true gesetzt werden. Der Eintrag browser.search.openintab öffnet in die Suchleiste eingegebene Anfragen in einem neuen Tab. Lesezeichen öffnen in einem neuen Tab über die Einstellung browser.tabs.loadBookmarksInTabs.
Die Verbesserung der Sicherheit nimmt bei Firefox 60 eine wichtige Rolle ein. Wie bereits angekündigt, verschärft Mozilla für Firefox 60 die Warnhinweise beim Besuch von unverschlüsselten Websites. Anwender, die im privaten Modus eine HTTP-Seite besuchen, sehen ein durchgestrichenes Schlosssymbol am Anfang der Adresszeile. Wem das noch nicht genug ins Auge fällt, der kann in about:config den Schalter security.insecure_connection_text.enabled auf true setzen und erhält neben dem durchgestrichenen Schlosssymbol zusätzlich der Text »Nicht sicher«. Darüber hinaus wird TLS-Zertifikaten, die vor dem 1. Juni 2016 von Symantec ausgestellt wurden, nicht mehr vertraut.
2-Faktor-Authentifizierung
Einen Schritt in eine sicherere Zukunft ohne den Zwang zu Passwörtern geht Mozilla mit der Einführung des bereits Ende Januar vorgestellten WebAuthentification-API, kurz WebAuthn. Diese führt für die Anmeldung auf Webseiten alternativ eine Zwei-Faktor-Authentifizierung ein, die auf Public-Key-Kryptographie basiert und die gegen Phishing, wie wir es heute kennen, immun ist. Zur Authentifizierung werden dabei zusätzlich USB-Keys nach Googles U2F-Spezifikation wie etwa ein Yubikey oder viele ähnliche Tokens genutzt. Mozilla ist hier Vorreiter, Google Chrome und Microsoft Edge werden das WebAuthn-API aber bald übernehmen.
Quantum für ESR
Im Rahmen des Updates auf Firefox 60 wird auch Firefox ESR aktualisiert. Nicht nur erhält die ESR-Version nun auch die Quantum-CSS-Engine, sie ist auch mit einer neue Richtlinien-Engine ausgestattet, mit der ein Administrator im Unternehmen Richtlinien für die User entweder über eine plattformunabhängige JSON-Datei oder über die Windows-Gruppenrichtlinie erlassen kann. Für Desktop-Anwender, die in den letzten Monaten die ESR-Version benutzt haben, um noch möglichst lange Add-ons nach dem alten Standard nutzen zu können, gibt es allerdings eine schlechte Nachricht: Mit Firefox 60 ESR werden auch hier die Erweiterungen nach dem neuen WebExtension-Standard verbindlich. Damit gibt es mit Firefox keine Möglichkeit mehr, Legacy Add-ons auszuführen.
Titelleiste entfernen
Ebenfalls der Sicherheit zugute kommen die verbesserten Kamera-Privatsphäre-Indikatoren: Firefox schaltet jetzt die Webcam aus, wenn die Videoaufzeichnung deaktiviert wird, und schaltet sie erst wieder ein, wenn die Aufzeichnung fortgesetzt wird. Eine kleine Verbesserung, die vor allem Linux-Anwender mit kleineren Bildschirmen freuen wird, ist die Möglichkeit, die Titelleiste des Browsers zu entfernen. Der Schalter dazu findet sich in der «Anpassen«-Ansicht ganz unten links.
Mozilla Thunderbird 60 wird auch den letzten Zweifler überzeugen, dass der weit verbreitete E-Mail-Client nicht ausentwickelt ist, wie das Mozillas Michelle Baker vor Jahren behauptet hatte. Das war einer der Gründe, warum Mozilla sich von Thunderbird zurückziehen wollte. Heute nutzt Thunderbird zwar noch Mozillas Infrastruktur, wird aber ansonsten von einem unabhängigen Entwicklerteam betreut.
Lange wurde dementsprechend Thunderbird lediglich gepflegt anstatt weiter entwickelt. Das damit seit einiger Zeit Schluss ist, belegt auch die jetzt erschienene Beta-Version zu Thunderbird 60. Nachdem die optische Erneuerung in den Händen eines Design-Teams liegt, sind im Dezember 2017 vier neue Entwickler zum Team gestoßen.
Empfänger entfernen
Thunderbird 60 zeigt beim Überfahren des Empfänger-Felds der Adresseingabe eine Entfernen-Schaltfläche in Form eines X, sodass bereits eingetragene Empfänger mit einmem Klick wieder entfernt werden können. Zudem wird bei der Adresseingabe der bereits eingegebene Teil einer Adresse aus einem Adressbuch fett angezeigt. Der Tastenkürzel ALT-M zeigt während der Erstellung einer Mail das Eingabefeld für Anhänge.
Mbox oder Maildir
Ordner können nun vom Mbox-Format nach Maildir und zurück konvertiert werden. Diese Funktion ist derzeit allerdings noch im experimentellen Stadium. Zudem bietet Thunderbird 60 an, IMAP-Ordner zu komprimieren, auch wenn das Konto online ist. Auch die Kalender-Komponente wurde aufgewertet. So können einzelne oder mehrere Einträge kopiert, ausgeschnitten oder entfernt werden. Zudem ist es möglich, Orte für Kalenderereignisse sowohl in der Tages- als auch in der Wochenansicht anzuzeigen.
Die Kalender-Komponente bietet zudem nun auch die Möglichkeit, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auf der Seite mit den Release Notes kann Thunderbird 60 Beta heruntergeladen werden.
Angesichts der Nachrichten über das millionenfache Abgreifen von Daten von Facebook durch die Firma Cambridge Analytica hat Mozilla eine seit Jahren in der Entwicklung befindliche Technik aufgegriffen und, beschleunigt durch die Ereignisse, ein neues Add-on veröffentlicht, dass auf den Namen Facebook Container hört. Es basiert auf der Entwicklung der bereits länger verfügbaren Erweiterung Firefox Multi-Account Containers und soll das Tracking der Anwender von Firefox beim Besuch von Facebook verhindern.
Weniger Tracking von Facebook
In einem Beitrag im Mozilla-Blog schreibt Firefox Vice President Nick Nguyen, es sei heute für den Anwender kaum noch zu verstehen, wie technisch komplex Imperien wie Facebook, Google und andere mit den Informationen handeln, die sie über uns im Internet abgreifen. Die Seiten, die wir im Internet besuchen, sagen viel über uns aus. Per Tracking können Anbieter ableiten, wo wir leben, welche Hobbys wir nachgehen und welcher politischen Überzeugung wir den Vorrang geben. Die per Tracking gewonnenen Daten werden mit unseren sozialen Profilen verknüpft und an Dritte verkauft oder einfach entwendet, wie im jüngsten Fall. Facebook verfügt über ein Netzwerk von Trackern auf verschiedenen Websites, die genau diesen Fall begünstigen.
Weniger Verknüpfung von Daten
Facebook Container isoliert die Facebook-Identität des Anwenders vom Rest seiner Web-Aktivitäten. Facebook kann damit weiterhin normal genutzt werden. Der Unterschied ist, dass es für Facebook viel schwieriger ist, die während der Facebook-Sitzungen gesammelten Informationen zu nutzen, um maßgeschneiderte Werbung und andere gezielte Nachrichten zu versenden. Mozilla betont, die Erweiterung richte sich nicht gegen Facebook, denn viele Nutzer von Firefox würden Nutzen aus Facebook ziehen. Es versuche, dem Anwender mehr Kontrolle über seine Daten zu geben. Zum Schluss verlinkt Nguyen noch zu einer Seite der Electronic Frontier Foundation (EFF), die gute Tipps für mehr Privatspäre im Zusammenhang mit Facebook bietet.
Nach der Installation der Erweiterung werden zunächst die Facebook-Cookies gelöscht und der Anwender von Facebook abgemeldet. Beim nächsten Besuch von Facebook wird der Dienst in einem neuen blauen Browser-Tab, einem sogenannten »Container-Tab« geöffnet. Auf diesem Tab kann sich der Anwender bei Facebook einloggen und es wie gewohnt nutzen. Wird auf einen Nicht-Facebook-Link geklickt oder zu einer Nicht-Facebook-Website in der URL-Leiste navigiert, werden diese Seiten außerhalb des Containers geladen. Ein Klick auf Facebook-Share-Buttons in anderen Tabs lädt diese in den Facebook-Container. Beim Benutzen dieser Schaltflächen werden üblicherweise Informationen über die Website, auf der sie geklickt wurden, als Referrer an Facebook gesendet.
Anders als gewohnt
Werden Facebook-Anmeldeinformationen verwendet, um bei einem anderen Dienst ein Konto zu erstellen oder mit Facebook-Anmeldeinformationen anzumelden, kann es sein, dass der Container das unterbindet. Da der Anwender im Container-Tab bei Facebook angemeldet ist, funktionieren auch eingebettete Facebook-Kommentare und Like-Buttons in Tabs außerhalb des Facebook-Container-Tabs nicht. Dadurch wird verhindert, dass Facebook Informationen über Ihre Aktivitäten auf externen Webseiten außerhalb von Facebook mit Ihrer Facebook-Identität verknüpft.
Sowohl Firefox als auch Thunderbird erlauben es Benutzern, in den Einstellungen ein »Master-Passwort« einzurichten. Dieses Master-Passwort dient der Verschlüsselung von Passwörtern, die in den Anwendungen vom Nutzer gespeichert werden. Generell ist diese Methode unterhalb der von ausgewachsenen Passwort-Managern angesiedelt, aber immer noch besser als keine Passwortverwaltung und daraus meist resultierend, die Mehrfachverwendung einfach zu merkender Passwörter.
Mozilla Passwort-Manager unsicher
Wie sich jetzt herausstellte, ist diese Funktion bei den Mozilla-Produkten nur sehr schlecht abgesichert und für jeden Hacker, der jemals den Begriff Brute-Force gehört hat, ein Kinderspiel. Das entdeckte jetzt Wladimir Palant, Entwickler der Adblock-Erweiterung. Herzstück der Verschlüsselung bei Mozilla ist die Funktion sftkdb_passwordToKey(), die ein Passwort in einen Schlüssel umwandelt, indem es SHA-1-Hashing auf einen String anwendet, der aus einem zufälligen Salt und dem Master-Passwort besteht.
SHA-1 zum Hashen
Dieser Ansatz mit SHA-1 und die Implementierung seitens Mozilla hat zwei gewichtige Probleme. Zunächst ist SHA-1 bereits seit 2005 als gebrochen bekannt, wie der Kryptographieexperte Bruce Schneier damals in seinem Blog schrieb. Allerdings rechtfertigte damals der nötige Aufwand die Kosten nicht.
2017 gelang Forschern bei Google und aus den Niederlanden erstmals ein Kollisionsangriff, bei dem zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash erzeugt wurden. Seit 2015 gilt generell die Empfehlung, von SHA-1 auf die Nachfolger SHA-2 und SHA-3 zu wechseln, da es sich durch günstige Rechenkraft mittlerweile durchaus lohnen kann, SHA-1 zu knacken.
Nur eine Iteration
Das zweite Problem bei Mozillas Master-Passwort ist, das SHA-1 bei der Erzeugung des Schlüssels genau einmal iteriert. Branchenüblich sind hier Werte zwischen 10.000 und 500.000 Iterationen, je nachdem, was verschlüsselt wird. Das ist grob vergleichbar mit einem Paket, das nur einmal mit Geschenkpapier umwickelt ist, es ist schnell ausgepackt. Mit der Zahl der Lagen steigt auch der Aufwand des Entpackens.
Bugreport mit Bart
Nun hat Mozilla seit neun Jahren einen entsprechenden Bugreport vorliegen, dessen Brisanz unverständlicherweise niemand realisiert hat. Dabei ist SHA-2 bereits seit 2001 standardisiert. Mittlerweile kommt durch die Berichterstattung auf BleepingComputer und der Diskussion auf Reddit wieder Leben in den Bugreport und die Mozillianer fragen sich, wie das passieren konnte. Nun wird hoffentlich schnell eine Lösung erarbeitet, die dieses Problem aus der Welt schafft.
