image

Firefox krijgt bescherming tegen cache-aanvallen via http

dinsdag 13 februari 2018, 10:18 door Redactie, 8 reacties

Mozilla gaat een beveiligingsmaatregel binnen Firefox doorvoeren die gebruikers tegen cache-aanvallen via http moet beschermen. De browser beschikt over een feature genaamd Application Cache (AppCache) waarmee websites ook offline kunnen werken, websites sneller worden geladen en serverbelasting wordt verminderd. Hierbij wordt er informatie van de website lokaal op het systeem opgeslagen.

AppCache kent echter verschillende beperkingen als het gaat om het controleren of de cache moet worden vernieuwd. Een aanvaller kan hier misbruik van maken en ervoor zorgen dat de browser de opgeslagen cache nooit zal vernieuwen. Mozilla geeft als voorbeeld een scenario waarbij een gebruiker via een openbaar wifi-netwerk het internet opgaat. Zelfs als deze gebruiker slechts één website via http bezoekt, kan de aanvaller door middel van onveilige iframes kwaadaardige content in de cache plaatsen en zodoende al die websites voor altijd manipuleren. Zelfs een voorzichtige gebruiker die alleen thuis op websites inlogt loopt door deze "oude cache" risico, aldus Mozilla.

Om gebruikers tegen een dergelijke aanval te beschermen zullen testversies vanaf Firefox 60 http-pagina's geen toegang meer tot de AppCache geven. Alleen bij een onversleutelde verbinding kan een aanvaller namelijk de inhoud van het verkeer en zo de cache manipuleren. Met de lancering van Firefox 62 zal Application Cache voor http-websites ook in de standaardversie worden verwijderd, zo laat Mozilla weten. Ook andere browsers zoals Chrome, Edge en WebKit waar Safari van gebruikmaakt hebben aangegeven deze maatregel door te zullen voeren. Het uiteindelijke plan is om steeds meer features van Firefox alleen maar toegankelijk voor https-sites te maken. Firefox 62 staat gepland voor 21 augustus van dit jaar.

Reacties (8)
13-02-2018, 10:45 door Anoniem
Dat zijn de dingen die ze aankondigen.

Maar de vraag is waarom Mozilla bepaalde functies in de telemetrie heeft gelockt waardoor de gebruiker ze niet meer kan veranderen. Zie daarvoor: about:config in de adresbalk typen en de preference name opzoeken : toolkit.telemetry.enabled. Die kan je niet meer veranderen.
13-02-2018, 14:55 door Anoniem
Pfff, sinds die nieuwe versie crashed hij alleen maar meer, misschien eerst eens richten op dat dat ding gaat werken, en die android versie is ook alleen maar trager geworden.
13-02-2018, 14:58 door Anoniem
Bij mij staat de inderdaad nu vergrendelde 'toolkit.telemetry.enabled standaard op Waarde 'false'.
Dat is ook hoe ik het wil, geen gesnuffel.
13-02-2018, 15:58 door Anoniem
Weer een NEP maatregel voor de gratis PR

Als mozilla namelijk firefox browser gewoon had geleverd met de instellingen op privacy en security ingesteld, wat ze dus al zolang ze bestaat ten ene male weigert om te doen, dan had ze dit nieuws circusje niet hoeven opvoeren.

Maar privacy en security staat niet voorop.
Nee, pr staat voorop.

Dan krijg je de volgende strategie : al aanwezige mogelijkheden per PR moment activeren

Nader toegelicht, firefox heeft onder de about:config een verweldigende hoeveelheid mogelijkheden aan parameters (waarden) die je zo kan zetten dat het je privacy en security verhoogt.
Dat doet mozilla standaard niet, dus als je de browser standaard uit the package installeert heb je dus bepaald geen privacy minded browser (en dus ook bepaald minder veilige browser).

Wat mozilla vervolgens de laatste jaren doet is vanuit die overweldigende keuzelijst die ze meer dan een decennium totaal heeft genegeerd, nu om de tijd er eentje uitpikken om met wat poespas op te leuken : kijk eens wat een mooie nieuwe functie!

Nou mozzi, meestal zat die functie er allang in of had je er al jarenlang de gebruiker op kunnen wijzen.
Maar dat doet men niet, want met deze manier, elke keer iets eruit pikken wat al aanwezig is en als nieuw verkopen kan je nog 20 jaar vooruit met gratis pr.
Gratis PR?
Ja, gratis PR want je kan het als nieuwsbericht de wereld insturen onder het mom van kijk eens wat mooi!

We hebben de sjoemelauto gehad, de sjoemel sigaret, en nu dus de Sjoemelbrowser van sjoemelzilla.

Wat er al tijden inzit in die browser is de privacy voorkeur om de browsegeschiedenis te wissen bij afsluiten van de browser.
Dat betekent dat als jij je browsersessie afsluit voor het opbergen van je computer en verlaten van terras en thuis die browser weer opent er dus helemaal geen cache te hermisbruiken is.
Dat betekent dat je helemaal geen extra moeite en of geld hoeft uit te geven voor een opschoonprogramma om rotzooi uit een luie browser te verwijderen.

Maar het betekent wel dat je je gedrag iets moet aanpassen, namelijk dat je iets meer virtuele hygiene in acht neemt door je programmas en je computer regelmatig af te sluiten.
Dat is echt de allersimpelste manier om zowel je privacy en security te managen, mits die app dan goed is ingesteld.

En dat goed instellen van die app wordt dus al meer dan een decennium niet gedaan.
Moeten we nu ineens in de rij gaan staan, rode pakjes aan en olympische synchroon gaan klappen voor mozilla?
Dat lijkt mij op zijn minst nogal overdreven en misplaatst voor een organisatie die selectief en veel te laat af en toe haar verantwoordelijkheid neemt en dat vooral doet uit eigenbelang : gratis pr.

Die gratis pr had ze natuurlijk ook niet nodig gehad als ze haar kop uit het eigen zand had gestoken, bescherming tegen http? Waar de hele wereld overgaat op https? Waar de concurrent met overweldigend marktaandeel de gebruikersperceptie over http standaard als onveilig probeert te labelen?
'Goede' marketingstrategie om iets dat aan het verdwijnen is uit te gaan kiezen om op te profileren.

In essentie; die gratis pr had ze natuurlijk helemaal niet zo nodig gehad als ze al die jaren wel haar werk netjes had gedaan, dan had ze van nature dat respect gehad en had ze er niet om hoeven smeken bij terecht verlies van marktaandeel dat ook veel weg heeft van een olympisch record in afdaling.

Last but not least,
Er wordt gesproken over het misbruik van iframes.
Welke browser addon was perfect voor het blokkeren van die iframes en nog veel meer?
Welke browser addon en nog veel meer is totaal kapot gemaakt dor haar te dwingen tot een redesign op bais van andere code?

Juist, Noscript e.a.
Een ander extreem kwalijk gevolg van het jarenlange rampzalige mozilla beleid was dat gebruikers hun toevlucht zochten in functie compensatie via aanvullende addons.
Door het redesign van firefox en het verplicht moeten opnieuw ontwerpen van de oude addons zijn velen afgehaakt en hebben anderen zwaar moeten inboeten op oude functionaliteit.
Gevolg, de extra beschermenede addons zijn weg in eenbrowser die er nog steeds niet standaard voor kiest gebrukers te beschermen.

Ik durf gerust de stelling aan dat firefox qua privacy (en veiligheid) in standaard out of the box configuratie weinig beter is dan andere browsers.
Is het dan raar dat gebruikers massaal voor google chrome gaan?

Dat komt ervan als plast over je eigen unique selling points en je eigen aanhang door het putje spoelt omdat je denkt op nieuwe functievlakken en nieuwe speelvelden kunt concurreren met anderen.
Dat is nogal stom en we zien het resultaat.

Een oude wijsheid : geen oude schoenen weggooien voor je nieuwe hebt.

Sterker nog, die oude schoenen hoef je helemaal niet weg te gooien!
Mozila heeft haar unieke oude schoenen weggegooid en ingeruild voor iets dat voor weinig te halen is bij menig reus voor schoenen.
Weinig opvallend, weinig onderscheidend; praatjes vullen geen gaatjes mozilla, het kan het werkelijke wanbeleid nauwelijks verhullen.

Staan de beste stuurlui hier aan wal?
Dat zou kunnen, maar is niet heel uniek bij zulks beleid, zeg maar gerust dat de hele kade vol staat met stuurlui die dit wel kunnen zien.

@ SjoemelFox: je bent een rund als je verkeerde met pr stunt
14-02-2018, 00:31 door softwaregeek
Door Anoniem: Dat zijn de dingen die ze aankondigen.

Maar de vraag is waarom Mozilla bepaalde functies in de telemetrie heeft gelockt waardoor de gebruiker ze niet meer kan veranderen. Zie daarvoor: about:config in de adresbalk typen en de preference name opzoeken : toolkit.telemetry.enabled. Die kan je niet meer veranderen.
Dit is WEL te veranderen!!!
14-02-2018, 01:20 door Anoniemand
Door softwaregeek:
Door Anoniem: Dat zijn de dingen die ze aankondigen.

Maar de vraag is waarom Mozilla bepaalde functies in de telemetrie heeft gelockt waardoor de gebruiker ze niet meer kan veranderen. Zie daarvoor: about:config in de adresbalk typen en de preference name opzoeken : toolkit.telemetry.enabled. Die kan je niet meer veranderen.
Dit is WEL te veranderen!!!

O? Maar je vertelt er niet meteen eventjes bij hoe dan wel?
14-02-2018, 01:54 door Anoniemand - Bijgewerkt: 14-02-2018, 02:15
(Ach, als ik nu toch bezig ben...)

Door Anoniem: (15:58) @ SjoemelFox: je bent een rund als je verkeerde met pr stunt

En gelukkig ben jij er, Anoniem, om ons dat te vertellen! En dan draai je twee woorden om... Heel misschien ook een paar draadjes verwisseld in je hoofd? :-D Ga je toch lekker IE ofzo gebruiken...

On topic:

"Alleen bij een onversleutelde verbinding kan een aanvaller namelijk de inhoud van het verkeer en zo de cache manipuleren." In dat geval is deze maatregel natuurlijk een goede zaak! Deze 'Application Cache' is (als ik het juist begrepen heb na een snel onderzoekje) niet hetzelfde als de/het 'Cache' en/of de 'Offline Website Data' in 'Settings for Clearing History' en wordt dus niet verwijderd...

Edit: Uhmm, dit wordt gewoon gewist; Options, Privacy & Security, Cached Web Content en Site Data... Clear!
14-02-2018, 14:32 door Anoniem
Firefox volgt hiermee gewoon Google Chrome policies.

Ik zie het verschil tussen de grote browsers ook steeds kleiner worden, sinds Google de browseroorlog heeft gewonnen en zeker de grote browsers wat betreft toegang en engines steeds meer op elkaar zijn gaan lijken ten behoeve van Google's core business natuurlijk (data slurper numero uno).

flock als leuke browser weggejorist. Het enige leuke alternatief dat overblijft naast Iridium (iets gebruikersvriendelijker Google chrome kloon), is Brendan Eich's Brave, zeker op het android platform. Brave laat men om bepaalde redenen echter nogal links liggen, op Google Android viindt ik het echter de beste browser van dit moment en daar nog advertentie vrij! Browzar is een gimmick op basis van IE. Wel leuk om even te proberen, vanwege de options clear module bij sluiten van deze IE overhead.

Ook developers dwingen ons deze weg op omdat ze slechts nog in twee smaken ontwerpen. Je wilt toch thuis de schoorsteen laten roken, dus api's ontwikkel je in de smaken Chrome en het enige andere alternatief.

Dus wat betreft http restricties, alles wegjassen via https only via non-public cloud (steeds meer laten draaien op de client in plaats van de server, zodat Google met algoritmen en account gegevens gemakkelijker bij jouw en mijn data kan, is demoderne modus operandi (methode van opereren) van Google en consorten (facebook en andere big data schuivers)).

Het topic hier heeft niets met de werking van no script te maken, dat de toegang tot lager in de browser steeds meer gesloten wordt voor externe developers is een feit, meer gelijkvormigheid is meer mono-cultuur en dus meer kwetsbaarheid.

Slechte tijd voor browser tweakers en "those that like to tinker", behalve wat eigen user scripts draaien via Tampermonkey in Google Chrome en firefox q. is alles al aardig dichtgespijkerd tot een stuk software dat je even mag vasthouden en waar jij het hoofdproduct bent, want dan is ales pas gratis.

Jodocus Oyevaer (een F.R.A.V.I.A. adept)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.