image

Mozilla lanceert nieuwe Firefox-versie die ftp deels blokkeert

dinsdag 26 juni 2018, 16:00 door Redactie, 6 reacties

Mozilla heeft een nieuwe versie van Firefox gelanceerd waarin het ftp-protocol deels wordt geblokkeerd. Een zeer groot nadeel van ftp is dat er op onbeveiligde wijze informatie wordt uitgewisseld. Zo worden inloggegevens als platte tekst naar de ftp-server verstuurd.

Daarnaast maken volgens Mozilla veel malware-campagnes gebruik van gehackte ffp-servers en downloaden via het ftp-protocol malware op de apparaten van eindgebruikers. Daarom worden in Firefox 61 alle "ftp subresource loads" vanaf http- en https-sites geblokkeerd. Hierdoor zal het voor websites niet meer mogelijk zijn om bijvoorbeeld afbeeldingen, scripts en iframes via ftp te laden. Verder draaien WebExtensions op macOS nu in hun eigen proces, wat de veiligheid en stabiliteit ten goede moet komen. Ook ondersteunt Firefox nu standaard de laatste versie van de TLS 1.3-specificatie.

Nieuwe Firefox-versies bevatten over het algemeen ook beveiligingsupdates, maar Mozilla maakt daar in de release notes geen melding van. Op het moment van schrijven geeft de Mozilla-pagina met "Security Advisories" geen nieuwe informatie weer. Het komt echter voor dat Mozilla beveiligingsupdates pas op een later moment bekendmaakt als gebruikers de mogelijkheid hebben gehad om te updaten naar de nieuwe versie. Dat kan via de automatische updatefunctie en Mozilla.org.

Reacties (6)
26-06-2018, 17:18 door Anoniem
ftp? Nooit problemen mee gehad.
Maar laat ze wel even via https aan de downloaders weten wat de hash van de download is. (liefst sha2)
26-06-2018, 20:59 door Anoniem
Door Anoniem: ftp? Nooit problemen mee gehad.
Maar laat ze wel even via https aan de downloaders weten wat de hash van de download is. (liefst sha2)

Kan je vinden in de FTP directory van mozilla :-D

https://ftp.mozilla.org/pub/firefox/releases/61.0/
https://ftp.mozilla.org/pub/firefox/releases/60.1.0esr/
https://ftp.mozilla.org/pub/firefox/releases/52.9.0esr/
27-06-2018, 08:30 door Anoniem
Door Anoniem: ftp? Nooit problemen mee gehad.
Maar laat ze wel even via https aan de downloaders weten wat de hash van de download is. (liefst sha2)
Ik vraag me af hoe je daar precies mee omgaat als een webpagina een afbeelding of een ander object bevat dat via ftp in plaats van http(s) wordt geladen. Want daar gaat het over, niet over een hyperlink naar een downloadlocatie vanaf een website die de hashes netjes noemt.
27-06-2018, 08:51 door Anoniem
Door Anoniem:
Door Anoniem: ftp? Nooit problemen mee gehad.
Maar laat ze wel even via https aan de downloaders weten wat de hash van de download is. (liefst sha2)

Kan je vinden in de FTP directory van mozilla :-D

https://ftp.mozilla.org/pub/firefox/releases/61.0/
https://ftp.mozilla.org/pub/firefox/releases/60.1.0esr/
https://ftp.mozilla.org/pub/firefox/releases/52.9.0esr/

Dit is https geen ftp. Er staat wel ftp, maar dit is een subdomein van mozilla.org
27-06-2018, 10:04 door Anoniem
Via HTTP kun je ook user id/wachtwoord in plain text doorgeven. Ik weet niet of het nog zo is, maar vroeger werd eerst het plain text wachtwoord gebruikt alvorens het met een hash werd gedaan.

FTP is best veilig te gebruiken door gebruik te maken van encryptie, via explicit TLS (eerst plain text verbinding en daarna encryptie) of implicit TLS (begin met encryptie). FTP kan ook via SSH.
27-06-2018, 15:48 door Anoniem
Door Anoniem:
FTP is best veilig te gebruiken door gebruik te maken van encryptie, via explicit TLS (eerst plain text verbinding en daarna encryptie) of implicit TLS (begin met encryptie). FTP kan ook via SSH.
Ja, maat helaas ondersteunen browsers geen onversleutelde FTP en zijn er ook geen plannen om FTPS/SFTP-ondersteuning toe te voegen. (Op zich wel begrijpelijk omdat voor normale bestandsuitwisseling in de browser HTTP(S) voldoet.)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.