image

Mozilla schakelt Site Isolation in bij klein deel van Firefox-gebruikers

vrijdag 1 oktober 2021, 11:20 door Redactie, 7 reacties

Mozilla is begonnen om Site Isolation, een nieuwe en belangrijke beveiligingsmaatregel, bij een klein deel van de Firefox-gebruikers in te schakelen. Site Isolation zorgt ervoor dat elke website in een apart besturingssysteemproces wordt geladen, wat het lastiger voor kwaadaardige sites maakt om data van andere websites te lezen.

"Deze nieuwe beveiligingsarchitectuur zorgt ervoor dat Firefox code van verschillende sites volledig kan scheiden, en zo beschermt tegen kwaadaardige sites die gevoelige data van andere bezochte sites proberen te benaderen", liet Anny Gakhokidze van Mozilla eerder dit jaar weten. Zonder Site Isolation zou het bijvoorbeeld via kwetsbaarheden als Spectre en Meltdown mogelijk voor malafide sites zijn om toegang tot gegevens van andere sites te krijgen.

Site Isolation is sinds mei beschikbaar in de desktopversies van Firefox Nightly, Firefox Beta en Firefox Release, maar moest nog wel door gebruikers zelf worden ingeschakeld. Mozilla is nu begonnen om Site Isolation bij een "fractie" van de gebruikers van de standaard Firefox-versie in te schakelen. Volgens Mozilla blijkt uit telemetriegegevens dat dit tot nu toe niet voor stabiliteits- en prestatieproblemen heeft gezorgd.

Het zelf inschakelen van Site Isolation in Firefox is mogelijk via about:config en dan moet 'fission.autostart' op true worden gezet, waarna het nodig is de browser te herstarten.

Image

Reacties (7)
01-10-2021, 13:27 door Anoniem
Hebben ze dan ook de zogeheten Specter spook.js aanval al ongedaan gemaakt,
waardoor de site-isolation tussen twee websites niet meer werkt om zo je data te kunnen stelen?
Dit kan ook via extensie misbruik.

Lees: https://security.googleblog.com/2018/07/mitigating-spectre-with-site-isolation.html
Er zijn er altijd weer die dit te baat nemen voor zgn. side-channel attacks.

#sockpuppet
01-10-2021, 14:16 door Anoniem
Heel interessant, maar de informatie van Amy Gakhokidze van Mozilla blijkt niet compleet, althans niet als je de informatie vergelijkt met de wiki-pagina van Mozilla zelf. Amy zegt onderaan op haar pagina dat je naar about:config moet gaan en noemt alleen fission.autostart die aangezet moet worden.

Volgens de wiki-pagina van Mozilla echter moeten er twee dingen gebeuren na about:config.

En dat is"fission.autostart" en "gfx.webrender.all" preferentie naar "true" zetten (dubbelklikken op het item). Tevens vraagt Mozilla om geen andere fission aan te raken.

https://wiki.mozilla.org/Project_Fission#Known_Issues
https://hacks.mozilla.org/2021/05/introducing-firefox-new-site-isolation-security-architecture/

Overigens kan deze waarde van fission.autostart niet worden aangezet in de Fork Waterfox, want deze is voor de gebruiker gelocked. De truc gaat dus alleen op voor de huidge versies van Firefox.
01-10-2021, 15:29 door Anoniem
Beste anoniem van 14:16,

Met het bovenstaande is volgens mij bewezen, dat nog altijd de beste beveiliging in de browser voor iedere eindgebruiker, die het goed weet te hanteren (toggelen), een script blokker is.

Dus oftewel het oudere NoScript van Giorgio Maone of het iets gemakkelijker te bedienen uMatrix van Gorhill.

Maar dan zitten we in de categorie "advanced users", die weten wat voor bedreiging(en) JavaScript kan betekenen,
zodra je een browser opstart op Interwebz en die ook weten hoe ze zich ertegen dienen te wapenen.
Meestal zijn dit ook de lieden, die weten wat een drievingerig toetsen-saluut als Ctrl+Shift+I hen kan brengen ;).

Kijk het grote voordeel van een script blokker als NoScript en uMatrix is,
dat het ook naadloos werkt tegen scriptbedreigingen uit de toekomst.
Script dat niet kan aflopen, kan ook geen malscript acties uitvoeren.
Simpel en afdoende dus en onder alle omstandigheden.
Eigenlijk is NoScript het uitgevonden "ei van Columbus" en uMatrix volgde als tweede "ei van".
Daarom ook NoScript, als extensie, vast toegevoegd aan de Tor-browser.

Maar bij Google Chrome zal men om begrijpelijke redenen lang moeten wachten op script blokkering of sorts.
Nu ja - of wel alle Javascript of niet - en dan is er feitelijk niet met zo'n bladeraar meer verder te werken.

Ik zeg daarbij absoluut niets over de Google Safebrowsing maatregelen.
Daar valt niets op af te dingen en meestal gaan de Mozilla developers hier naadloos in mee.

m.vr.gr.

luntrus
01-10-2021, 22:17 door Anoniem
Het gros van de mensen heeft Firefox helaas de rug toegekeerd, en het aantal gebruikers is behoorlijk afgenomen. Maar het is diezelfde Firefox die dapper voorop loopt in security gerelateerde issues. Ik ben al vanaf dag één een Firefox gebruiker, en ik zal de browser ook niet laten vallen. Zeker ook niet als het alternatief een browser van Google of Microsoft is.
02-10-2021, 15:48 door Anoniem
En dan te bedenken dat een open source P2P browser zoals bijvoorbeeld de P2P browser, Beaker,
nog werkt met Electron versie 12, terwijl elders al veel latere versies draaien. (Electron is open source en draait in vele smaken -o.a. onder linux, onder Windows.).

Het merendeel van de browsers tegenwoordig van Brave via Epic Browser tot Avast Secure Browser zijn allemaal gebaseerd op chromium en springen vaak noodgedwonen voor de developers door de verschillende Google Chrome hoepeltjes mee.

Maar ja de "run of the mill" browser eindgebruiker gaat hier naadloos in mee, zonder erover na te denken waarom.

Tegenwoordig bestaan er voor velen maar twee soorten mensen of men is zogenaamd "Woke" en anders is men een "wap".
Die tweedeling zal ons nog eens behoorlijk gaan opbreken binnenkort, daar ben ik van overtuigd.

luntrus
02-10-2021, 16:49 door Anoniem
Firefox is de enige browserengine niet in handen van Big Tech - en dat is een belangrijk argument om firefox hardnekkig te blijven gebruiken. Ik doen niet mee aan de chrome-engine-manie!
04-10-2021, 12:41 door Anoniem
zijn aangekomen. De campagne heeft nu volledige vrijheid alleen in het utopische ecosysteem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.