image

Firefox 93 blokkeert standaard downloads via http op https-websites

dinsdag 5 oktober 2021, 10:26 door Redactie, 7 reacties

Vandaag verschijnt Firefox 93 en één van de nieuwe features in de browser is het blokkeren van downloads op https-websites die via http plaatsvinden. Ook downloads in gesandboxte iframes worden voortaan standaard geblokkeerd, tenzij het iframe van een bepaald attribuut gebruikmaakt. Volgens Mozilla moet dit gebruikers tegen onveilige en zelfs ongewenste downloads beschermen.

"Het downloaden van bestanden via een onveilige http-verbinding vormt een groot beveiligingsrisico omdat via het http-protocol verstuurde data onbeschermd en onversleuteld is, waardoor aanvallers de verstuurde data kunnen bekijken, stelen of manipuleren", zegt Mozillas Sebastian Streich. "Anders gezegd, het downloaden van een bestand via een onbeveiligde verbinding laat een aanvaller het bestand door malafide content vervangen, die wanneer geopend tot een volledig gecompromitteerd systeem kan leiden."

Firefox 93 zal downloads via http op https-websites daarom standaard blokkeren. Gebruikers krijgen dan een pop-up te zien waarin voor een "potentieel beveiligingsrisico" wordt gewaarschuwd. Vervolgens hebben gebruikers de keuze om het bestand te verwijderen of de download toe te staan.

Drive-by downloads

Tevens zal de browser voortaan ook het downloaden van bestanden in gesandboxte iframes blokkeren. Volgens Mozilla kan malafide content in een iframe voor een drive-by download worden gebruikt, waarbij de gebruiker wordt verleid tot het downloaden van malafide bestanden. Tenzij de gesandboxte content van het 'allow-downloads' attribuut gebruikmaakt zal Firefox dergelijke downloads standaard en zonder verdere melding blokkeren.

Image

Reacties (7)
05-10-2021, 14:16 door Anoniem
Firefox en andere browsers zijn veel te arrogant aan het worden. Bepalen wat voor gebruikers nodig is. Ditnis ook discriminatie, want ze oordelen dat alle http downloads gevaarlijk(er) zijn en dat alle https downloads ongevaarlijk(er) zijn. Dat is bullshit. Ik hoop dat er wel een functie komt om dit soort bullshit regels mee te overrulen.

Voorbeeld, wanneer een gebruiker weet wat hij/zij aan het doen is en op een site die bekendheid heeft documenten wil downloaden. Dan hoeft een browser ontwikkelaar zich niet te bemoeien. Als ze dan zo bezorgd zijn, biedt dan de optie om de te downloaden bestanden onlinente scannen. Dat zou handig zijn. Maar nee, lijkt wel alsof ze gesponsord worden door hosting bedrijven. Want die verdienen door dit soort aanpassingen bakken met geld omdat iedereen in eens https wip en certificaten laten toevoegen voor tien talken soms wel honderden euro's per jaar.

Als die certificaten zijn bullshit, dat wisten we al en werd het diginotar schandaal nog maar eens bevestigd.
Vermoeiend dat browser makers rechter gaan spelen en toekomstig gebruikers belemmeren om gewenste handelingen uit te voeren. Je zou maar de handleiding van je magnetron willen lezen, dan vind je die maar is die pagina onversleuteld (want x jaar oud) maar de fabrikant heeft een betrouwbare site verder. Dan zou je dus als het aan Firefo, Egde en Chrome ligt de kk kunnen krijgen puur omdat die oude pagina niet versleuteld zou zijn om wat voor reden dan ook.

Vervolgens zoek je veder en vind je een gecloonde website .ru of .cn die deze handleiding ook aanbied, maar dan wel versleuteld is. Echter zit er in die handleiding mallware gestopt. Terwijl dat wel versleuteld en dan zogemaand (aanname) veiliger zou zijn.

Gaat Firefox of Chrome dan de schade vergoeden? Nee
Dus bemoei je niet. Laat gebruikers zelf bepalen wat ze doen.
Bied ze desnoods de optie om derdelijke bestanden te scannen of te rapporteren en of ze in een beveiligde omgeving te openen. Maar nee dat js moeilijk en dit is makkelijker. Dombo's rule the world. Weet zeker dat de ontwiklelaars zelf ook de kortzichtige domheid ervan inzien. Maar ja managers he, die beslissen graag over dingen die ze niet begrijpen.
05-10-2021, 14:42 door Anoniem
Alles wat je uit handen haalt van de eindgebruiker is eigenlijk oppressie
en dus om reden hierboven door Anoniem aangegeven verwerpelijk.

Hoe we langzaam zo'n wereld ingerommeld werden en steeds meer worden is duidelijk.
De machthebbers zijn bang voor de vrijheid van hun shaople.
Ze willen dus zo min mogelijk verrrassingen zien.

Vandaar de steeds restrictiever wordende configuraties en alle hoepeltjes voor de eindgebruiker om dioor heen te springen.
Men wordt ook nog steeds meer product (een bijkomstigheid tot een doel) dan eindgebruiker.

Aan de ene kant de zaak veiliger maken, maar wat ongezien is onverlet onveiliger (tracking, monitoring).
Waarom ook geen doorgezette front-end naar back-end beveiliging.

Header beveiliging, verhinderen van server info proliferatie, goede CSP inregelen e.n nog veel meer.
Maar ja het zijn allemaal top-down maatregelen en security van de eindgebruiker is geen prioriteit,
meer een ongewenste kostenpost. De ware kosten vinden we dus voor alle partijen onder in de zak,
05-10-2021, 15:32 door Anoniem
Iedereen EIST veiligheid op het net en iedereen kraakt die maatregelen meteen af.
Er zijn genoeg programma's, die onbeveiligd kunnen downloaden, dus wat let je.....
05-10-2021, 18:42 door Anoniem
Door bestanden via HTTP te downloaden biedt je de mogelijkheid voor MitM aanvallen. Als eigenaar van een website die met SSL/TLS versleuteld is moet je je eigenlijk al afvragen waarom je in hemelsnaam download links naar bestanden unsecured websites aanbiedt. Download Links op met SSL beveiligde websites naar http download referenties te laten verwijzen is volstrekt onnodig.

Door Anoniem:
Vervolgens zoek je veder en vind je een gecloonde website .ru of .cn die deze handleiding ook aanbied, maar dan wel versleuteld is. Echter zit er in die handleiding mallware gestopt. Terwijl dat wel versleuteld en dan zogemaand (aanname) veiliger zou zijn.

Zegt zoals Anoniem hierboven stelt weinig over de veiligheid van het bestand zelf, want idd, die kan prima nog besmet zijn. True...

... maar je download iig het originele bestand waar door de website die de download links aanbiedt naar verwezen wordt en niet een versie die door een tussenpersoon geïnjecteerd wordt.

En in alle eerlijkheid... Voor webhosting toepassingen zou een hosting provider niet zo verdomde lui moeten zijn en gewoon voor elke gehoste webroot een automatische aanvraag moeten regelen naar Let's Encrypt. Zowel voor Linux als voor Windows zijn er programma's zat om de aanvraag te automatiseren. Hell, ik heb zelf ooit via Windows Poweshell Nitro module een responder in elkaar gehacked die volledig geautomatiseerd de SSL offloader voor een IIS website voorzag van de benodigde ACME response files om de aanvraag er doorheen te krijgen. Met Linux is het voor de kenner waarschijnlijk zelfs nog makkelijker te scripten. Ik mag toch aannemen dat een webhoster mensen in dienst heeft die dat soort dingen snappen. Webhosters die dat niet voor een uiterts klein service bedragje in hun dienstverlening opnemen vallen onder knakenhosting en zijn sowieso af.

Al met al een logische positie om het Internet langzaam aan te bewegen naar een volledig versleuteld internet.
05-10-2021, 23:59 door Anoniem
@ anoniem van 18:42,

Of ze hebben er geen weet van of de beslissers, die er geen weet van hebben, zitten hen in de weg.

Hoeveel websites hebben er feitelijk nog een F-grade security status?
Hebben cloaking, spammy links, iframes en andere issues.

Hoeveel websites hebben de boel niet veilig geconfigureerd,
gebruiken brak CMS en brakke en verouderde, soms verlaten plug-ins?

Om over de beveiliging van achterliggende servers maar te zwijgen.

Het moet graag nog er gelikt uitzien, maar mag daarnaast wel echt onveilig zijn.

Rustig een fuck adblock scriptje draaien om te verdienen aan scam- & mal-ads.
Doorgaan tot ze een keer aan de schandpaal worden genageld. En dan nog arrogant bleren, waarom?

HTTP niet alleen nog hier, maar in vele delen van de wereld nog usance.

Wij zijn roependen in de woestijn, man. Je begrijpt mij en ik jou, maar hoevelen begrijpen ons niet of willen dat niet?

groetjes van,

luntrus
22-10-2021, 15:29 door Anoniem
HTTPS SSL beschermen privacy en hebben wat dat betreft weinig nut bij het versturen van voor iedereen beschikbare
- al dan niet gratis - content. Daar is immers weinig privé aan, behalve natuurlijk als je niet wilt dat iemand (b.v. de baas, ^B) weet waar je naar kijkt of luistert.
Waarom dat versleutelen - ondanks dat de versleuteling veel extra computerkracht, electriciteit, CO2, geld en het milieu kost - toch gebeurd is geen geheim.

DRM

Mozilla c.s zwichten hier voor de DRM lobby van Netflix, HBM, Getty, MS, Disney, Macrovision maar ook Google en Facebook c.s. Veel kleinere sites en vrijwel alle particulieren kunnen het zich nu niet meer veroorloven om grote
hoeveelheden content te distribueren.Ze zullen een SSL certificaat moeten aanschaffen, up to date houden,
alle content versleutelen. En dat is precies de bedoeling hiervan. Op grote schaal is dat behoorlijk kostbaar zowel in stroomverbruik als servercapaciteit. Alles, zowel de rechten als de distributie
mogelijkheden, zal in handen komen van maar een paar spelers.
23-10-2021, 22:55 door Anoniem
Nogal negatief dat commentaar hierboven.
Je kan gewoon nog http websites bezoeken hoor. Het gaat om de downloads.
En als jij denkt het wel te kunnen vertrouwen, dan hoef je alleen nog even op de "allow download" knop drukken.

Downloads zijn vaak executables, en dan kan je zo malware installeren (of mee installeren)
in plaats van het programmaatje dat je dacht te hebben gedownload.
Zelfs van overheidswege is dit al eens ergens gebeurd.
Daarom mogen ze in China alleen maar http gebruiken, want anders kan de overheid niet meekijken,
en iemand niet heimelijk van spyware/malware voorzien zonder dat die persoon het in de gaten heeft.
Dus wees blij dat Mozilla zo attent is om je nog even te waarschuwen dat je bezig bent om nogal een risico te nemen,
zodat je er niet blind per ongeluk in hoeft te trappen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.