Poll
image

2022 wordt het jaar van:

maandag 3 januari 2022, 22:23 door Redactie, 23 reacties
Ransomware (alweer!)
76.23%
Anders:
23.77%
Reacties (23)
03-01-2022, 23:02 door [Account Verwijderd]
Anders:

Firefox v.100 ;-)

Eerste was bij mij v.2 Ergens rond 2006 en Ik weet nog dat het enkele jaren heeft geduurd voordat v.3 uitkwam. Onvoorstelbaar als je nu ziet dat de versies over elkaar lijken te buitelen. Soms wel twee per maand.
04-01-2022, 08:58 door Anoniem
Door Ard van Wiersum: Anders:

Firefox v.100 ;-)

Eerste was bij mij v.2 Ergens rond 2006 en Ik weet nog dat het enkele jaren heeft geduurd voordat v.3 uitkwam. Onvoorstelbaar als je nu ziet dat de versies over elkaar lijken te buitelen. Soms wel twee per maand.
Wanneer Firefox met het huidige beleid doorgaat, gaat het overeenkomsten krijgen met een kalkoen...
04-01-2022, 09:49 door Anoniem
Door Ard van Wiersum: Anders:

Firefox v.100 ;-)

Eerste was bij mij v.2 Ergens rond 2006 en Ik weet nog dat het enkele jaren heeft geduurd voordat v.3 uitkwam. Onvoorstelbaar als je nu ziet dat de versies over elkaar lijken te buitelen. Soms wel twee per maand.
Dat is ook wel logisch. Het dreigingsbeeld van vroeger kun je namelijk niet vergelijken met het dreigingsbeeld van vandaag. Wie had immers nog gedacht dat FF een sandbox zou krijgen om processen gescheiden te houden?

Hieronder een mooi voorbeeld dat bij mij in Firefox niet werkt via copy/paste als een Terminal opdracht (maar wel in andere browsers). https://www.wizer-training.com/blog/copy-paste
04-01-2022, 12:37 door Spiff has left the building
Door Anoniem, 09:49 uur:
Hieronder een mooi voorbeeld dat bij mij in Firefox niet werkt via copy/paste als een Terminal opdracht (maar wel in andere browsers). https://www.wizer-training.com/blog/copy-paste
Heb je in Firefox in about:config dom.event.clipboardevents.enabled ingesteld als false?
Dan is dat de reden dat dat scenario/ die aanval niet werkt.
Zie de reactie van Mr. Chip, hieronder, https://www.wizer-training.com/blog/copy-paste,
en ook de diverse bevestigingen in deze thread:
https://www.wilderssecurity.com/threads/dont-copy-paste-commands-from-webpages-you-can-get-hacked.443174/
04-01-2022, 13:57 door Anoniem
Door Spiff:
Door Anoniem, 09:49 uur:
Hieronder een mooi voorbeeld dat bij mij in Firefox niet werkt via copy/paste als een Terminal opdracht (maar wel in andere browsers). https://www.wizer-training.com/blog/copy-paste
Heb je in Firefox in about:config dom.event.clipboardevents.enabled ingesteld als false?
Dan is dat de reden dat dat scenario/ die aanval niet werkt.
Zie de reactie van Mr. Chip, hieronder, https://www.wizer-training.com/blog/copy-paste,
en ook de diverse bevestigingen in deze thread:
https://www.wilderssecurity.com/threads/dont-copy-paste-commands-from-webpages-you-can-get-hacked.443174/
Hallo Spiff. Ja, wat je zegt klopt inderdaad. Dat staat bij mij op false.
04-01-2022, 18:14 door [Account Verwijderd]
Door Anoniem:
Door Ard van Wiersum: Anders:

Firefox v.100 ;-)

Eerste was bij mij v.2 Ergens rond 2006 en Ik weet nog dat het enkele jaren heeft geduurd voordat v.3 uitkwam. Onvoorstelbaar als je nu ziet dat de versies over elkaar lijken te buitelen. Soms wel twee per maand.
Dat is ook wel logisch. Het dreigingsbeeld van vroeger kun je namelijk niet vergelijken met het dreigingsbeeld van vandaag. Wie had immers nog gedacht dat FF een sandbox zou krijgen om processen gescheiden te houden?

Is dat al zover? Ik kan mij wel iets herinneren van een poos geleden dat de Sandbox in een Nightly version van Firefox werd getest. Hoe kun je zelf eenvoudig testen of de Sandbox inmiddels actief is? In Chromium kun je de URL: chrome://sandbox/ invoeren en dan krijg je de status te zien.
Hieronder een lijst met alle waardes waar het woord Sandbox in voorkomt in 'about:config', maar welke is nu leidend om ja/neen te zien of de sandbox actief is?


dom.block_download_in_sandboxed_iframes true
media.cubeb.sandbox true
security.sandbox.content.headless false
security.sandbox.content.level 4
security.sandbox.content.read_path_whitelist
security.sandbox.content.syscall_whitelist
security.sandbox.content.tempDirSuffix 8f112b25-d6be-4563-8f1d-b566d76143ee
security.sandbox.content.win32k-disable false
security.sandbox.content.write_path_whitelist
security.sandbox.plugin.tempDirSuffix 6229e46e-f19a-4cce-aaf9-8eb5c5e66af4
security.sandbox.socket.process.level


Ik heb nog even verder gezocht In about:about waar je een lijst met alle Firefox instellingspagina's kan vinden, maar daar vind je geen pagina met de naam (bijvoorbeeld) about:sandbox.
Voor alle duidelijkheid: die pagina bestaat niet.
04-01-2022, 19:32 door Spiff has left the building
Door Ard van Wiersum, 18:14 uur:
Is dat al zover? Ik kan mij wel iets herinneren van een poos geleden dat de Sandbox in een Nightly version van Firefox werd getest. Hoe kun je zelf eenvoudig testen of de Sandbox inmiddels actief is?
Firefox RLBox:
https://hacks.mozilla.org/2021/12/webassembly-and-back-again-fine-grained-sandboxing-in-firefox-95/
https://www.security.nl/posting/733135/Mozilla+lanceert+Firefox+95+met+nieuwe+sandbox+en+Spectre-bescherming

Hoe te checken of dit daadwerkelijk actief is, dat weet ik niet zo gauw, maar misschien dat je dat zelf weet te vinden op basis van het bovenstaande.
05-01-2022, 09:06 door gradje71 - Bijgewerkt: 05-01-2022, 09:21
Beste Ard, het probleem is niet firefox V555.3

Het probleem is iets heel anders. Denk er een keer over na wat het probleem van het huidige internet is. Het probleem van het internet in het algemeen is dat het niet veilig is. Je KAN het veilig maken, maar dat is optioneel (we weten allemaal dat optionele veiligheid in essentie geen veiligheid is). Daar komt nog bij dat de complexiteit van het web gigantisch is. Dus het veilig maken is een illusie (zie bv de grote VDL ransomware attack). Daar komt nog bij dat het gros van de software closed source is en dus niet te compilen zoals jij dat zelf wil.

Dat is het probleem van het internet en het www. De standaarden zijn verouderd en worden niet geupde of verwijderd (meestal om de status quo niet aan te hoeven passen).

Daar komt ook nog bij kijken dat tegenwoordig iedereen aan het internet hangt, iedereen, dus mensen met heel veel ervaring maar ook mensen zoals jij en ik.

Dus denk nog een keer serieus na over wat het probleem van het huidige internet is. Als het goed is dan word je misschien een keer wakker vanuit een heel grote nachtmerrie. Want een grote nachtmerrie dat is het huidige internet.
05-01-2022, 10:29 door Anoniem
Door Ard van Wiersum: Anders:

Firefox v.100 ;-)

Eerste was bij mij v.2 Ergens rond 2006 en Ik weet nog dat het enkele jaren heeft geduurd voordat v.3 uitkwam. Onvoorstelbaar als je nu ziet dat de versies over elkaar lijken te buitelen. Soms wel twee per maand.
Ze zijn in 2011 op een andere werkwijze overgestapt met inderdaad een snellere opeenvolging van versienummers. Zie:
https://en.wikipedia.org/wiki/Firefox_version_history#Rapid_releases
05-01-2022, 12:25 door [Account Verwijderd]
Door Spiff:
Door Ard van Wiersum, 18:14 uur:
Is dat al zover? Ik kan mij wel iets herinneren van een poos geleden dat de Sandbox in een Nightly version van Firefox werd getest. Hoe kun je zelf eenvoudig testen of de Sandbox inmiddels actief is?
Firefox RLBox:
https://hacks.mozilla.org/2021/12/webassembly-and-back-again-fine-grained-sandboxing-in-firefox-95/
https://www.security.nl/posting/733135/Mozilla+lanceert+Firefox+95+met+nieuwe+sandbox+en+Spectre-bescherming

Hoe te checken of dit daadwerkelijk actief is, dat weet ik niet zo gauw, maar misschien dat je dat zelf weet te vinden op basis van het bovenstaande.

@Spiff,

Dank voor je reactie!
De informatie in de tweede URL die je post: https://www.security.nl/posting/733135/Mozilla+lanceert+Firefox+95+met+nieuwe+sandbox+en+Spectre-bescherming heb ik voorheen niet gezien.
Ik ga niet meer dieper graven. Te samen met de regels die je ziet in about:config waarin het woord 'sandbox' meerdere keren wordt genoemd én het feit dat ik dit zie in de actuele versie in Linux Mint van Firefox die ik gebruik (dat is momenteel v.95.01) ga ik er vanuit dat ik in 'in de zandbak zit' ;-)
05-01-2022, 12:40 door Spiff has left the building - Bijgewerkt: 05-01-2022, 12:41
Door Ard van Wiersum, 12:25 uur:
[...] ga ik er vanuit dat ik in 'in de zandbak zit' ;-)
Ja, anders dan eerder Site Isolation, die in fasen werd uitgerold en pas in Firefox 95 voor alle gebruikers werd ingeschakeld, wijst niets erop dat RLBox niet gelijk voor iedereen werd ingeschakeld met Firefox 95.
Nette toevoegingen.
05-01-2022, 12:49 door Anoniem
@Ard van Wiersum

Instellingen van de sandbox in Firefox en welke items het hier betreft kan men hier lezen:
https://www.ghacks.net/2017/01/23/how-to-change-firefoxs-sandbox-security-level/

Sandbox levels get more restrictive the higher they are. Level 0 is the least restrictive level, level 2 the most restrictive currently. Once level 3 is introduced, it will become the most restrictive level available.

Mocht het item security.sandbox.content.level dus bij jou op 3 staan, dan raad ik aan om verder niets te veranderen.
05-01-2022, 13:39 door Spiff has left the building
Door Anoniem, 12:49 uur:
Instellingen van de sandbox in Firefox en welke items het hier betreft kan men hier lezen:
https://www.ghacks.net/2017/01/23/how-to-change-firefoxs-sandbox-security-level/
Sandbox levels get more restrictive the higher they are. Level 0 is the least restrictive level, level 2 the most restrictive currently. Once level 3 is introduced, it will become the most restrictive level available.
Mocht het item security.sandbox.content.level dus bij jou op 3 staan, dan raad ik aan om verder niets te veranderen.
Eh.. dat Ghacks artikel is van 23 januari 2017. We zijn inmiddels een kleine vijf jaar verder, en er is sindsdien nogal wat veranderd in Firefox, waaronder recent nog de toevoeging van Site Isolation en RLBox.
about:config toont voor security.sandbox.content.level inmiddels niveau 4.
05-01-2022, 14:51 door Anoniem
Door Spiff:
Door Anoniem, 12:49 uur:
Instellingen van de sandbox in Firefox en welke items het hier betreft kan men hier lezen:
https://www.ghacks.net/2017/01/23/how-to-change-firefoxs-sandbox-security-level/
Sandbox levels get more restrictive the higher they are. Level 0 is the least restrictive level, level 2 the most restrictive currently. Once level 3 is introduced, it will become the most restrictive level available.
Mocht het item security.sandbox.content.level dus bij jou op 3 staan, dan raad ik aan om verder niets te veranderen.
Eh.. dat Ghacks artikel is van 23 januari 2017. We zijn inmiddels een kleine vijf jaar verder, en er is sindsdien nogal wat veranderd in Firefox, waaronder recent nog de toevoeging van Site Isolation en RLBox.
about:config toont voor security.sandbox.content.level inmiddels niveau 4.
Hoi Spiff. Ja, sorry voor mijn fout. Ik wist niet dat dit artikel uit 2017 kwam.
Aangezien het niveau van mijn sandbox nog op 3 staat, zal ik het vandaag op 4 zetten.
05-01-2022, 15:20 door Anoniem
Bij nader inzien is het verhogen van de waarden van de sandbox (groter dan 3) niet aan te bevelen. Het getal 4 is dermate streng dat het de browser doet bevriezen. Zelfs het typen van een URL wordt niet meer uitgevoerd. Getal 3 is de beste beveiliging zo te zien.
05-01-2022, 15:59 door Spiff has left the building - Bijgewerkt: 05-01-2022, 16:16
Door Anoniem, 14:51 uur:
Hoi Spiff. Ja, sorry voor mijn fout. Ik wist niet dat dit artikel uit 2017 kwam.
Aangezien het niveau van mijn sandbox nog op 3 staat, zal ik het vandaag op 4 zetten.
Door Anoniem, 15:20 uur:
Bij nader inzien is het verhogen van de waarden van de sandbox (groter dan 3) niet aan te bevelen. Het getal 4 is dermate streng dat het de browser doet bevriezen. Zelfs het typen van een URL wordt niet meer uitgevoerd. Getal 3 is de beste beveiliging zo te zien.
Het in about:config aanpassen van security.sandbox.content.level dat lijkt me niet verstandig. Dat blijkt uit je resultaten.
Het lijkt me wel nuttig om ons af te vragen waarom jij security.sandbox.content.level 3 vond, en ik level 4.
Iets is blijkbaar anders op jouw systeem met jouw Firefox instellingen dan op mijn systeem.
Ik weet niet wat dat verschil bepaalt.
Ik kan me voorstellen dat in Firefox Settings, Privacy & Security, de instelling van Enhanced Tracking Protection verschil kan betekenen. Ik heb voor de Enhanced Tracking Protection instelling een Custom instelling die nog een fractie strenger is dan de Strict instelling, namelijk, voor te blokkeren cookies ingesteld: All third-party cookies. Ik weet niet of het dat kan zijn dat security.sandbox.content.level 4 set, in plaats van 3 bij jou.
Edit:
Bij nader inzien, vraag ik me af of de Enhanced Tracking Protection instelling een security.sandbox.content.level kan bepalen, dat lijkt niet gerelateerd.
Misschien is het verschil in security.sandbox.content.level OS gerelateerd? Ik Firefox op Kubuntu, jij een ander OS, met in Firefox een ander security.sandbox.content.level?
Dit stuk lijkt iets dergelijks te tonen:
https://wiki.mozilla.org/Security/Sandbox#Current_Status
05-01-2022, 19:41 door Anoniem
2022FA:
Voordat je op een site kunt inloggen niet 2, maar 2022 keer met verschillende factoren identificeren.

(hier kun je los op gaan welke dat moeten zijn dan).

Waar je bent
Wat je weet
Wat je hebt
...
...
...
06-01-2022, 17:22 door [Account Verwijderd] - Bijgewerkt: 06-01-2022, 17:23
Door Spiff op 5 jan. 2022, 15:59 uur:
Ik kan me voorstellen dat in Firefox Settings, Privacy & Security, de instelling van Enhanced Tracking Protection verschil kan betekenen. Ik heb voor de Enhanced Tracking Protection instelling een Custom instelling die nog een fractie strenger is dan de Strict instelling, namelijk, voor te blokkeren cookies ingesteld: All third-party cookies. Ik weet niet of het dat kan zijn dat security.sandbox.content.level 4 set. (knip)

@ Spiff,

Bij mij staat de tracking protection op standaard. OS: Linux Mint, en security.sandbox.content.level óók op 4.
Een hele voorzichtige opmerking zou dus kunnen zijn dat de te kiezen veiligheidsinstellingen tegen volgers niet van invloed zijn op security.sandbox.content.level.
06-01-2022, 19:20 door Spiff has left the building
Door Ard van Wiersum, 17:22 uur, bijgewerkt 17:23 uur:
@ Spiff,
Bij mij staat de tracking protection op standaard. OS: Linux Mint, en security.sandbox.content.level óók op 4.
Een hele voorzichtige opmerking zou dus kunnen zijn dat de te kiezen veiligheidsinstellingen tegen volgers niet van invloed zijn op security.sandbox.content.level.
Dank je, Ard,
Dat lijkt me een correcte gevolgtrekking.
En met die informatie, en met de informatie over Content Levels zoals vermeld in de eerder genoemde pagina https://wiki.mozilla.org/Security/Sandbox, vermoed ik nu sterk dat die Content Levels voor Windows, macOS en Linux geheel verschillend zijn. Voor Windows level 6, voor macOS level 3 en voor Linux level 4.
Ik durf daarmee ook de veronderstelling uit te spreken dat Anoniem van gisteren 12:49, 14:51 en 15:20 uur wellicht macOS gebruikt :-)
07-01-2022, 09:55 door Anoniem
2022 wordt het jaar van de QR code en privacykwesties. Een door de overheid ontwikkelde (closed source) app die toegang tot delen van je leven gaat bepalen. Het gaat privacydiscussies op scherp zetten, maar ongeacht de uitkomst van deze discussies zal de overheid haar oplossingen door gaan drukken. Nederland gaat hiermee China 2.0 worden.
09-01-2022, 11:08 door Anoniem
Door Anoniem: 2022 wordt het jaar van de QR code en privacykwesties. Een door de overheid ontwikkelde (closed source) app die toegang tot delen van je leven gaat bepalen. Het gaat privacydiscussies op scherp zetten, maar ongeacht de uitkomst van deze discussies zal de overheid haar oplossingen door gaan drukken. Nederland gaat hiermee China 2.0 worden.
Print je eigen post uit, hang hem aan de muur, en kijk bij de volgende jaarwisseling eens serieus wat ervan uitgekomen is. Als blijkt dat die app er niet is gekomen, of als die (net als de tot nu toe ontwikkelde apps) open source zijn, of als er wel een app is maar een die iets anders doet dan jij nu beweert, vraag je dan eens af hoe goed je eigenlijk bent in het doen van voorspellingen, en leer er iets van over de waarde van aannames doen en doen alsof die de werkelijkheid zijn.
09-01-2022, 15:24 door Anoniem
Het jaar waarin de mooie datum 22-02-2022 voorkomt.
10-01-2022, 11:00 door [Account Verwijderd]
Door Anoniem: 2022 wordt het jaar van de QR code en privacykwesties. Een door de overheid ontwikkelde (closed source) app die toegang tot delen van je leven gaat bepalen.

Toegang tot je leven ?!?

Daar heb ik alleen 's-ochtends last van voor de koffie. :-)

Nederland gaat hiermee China 2.0 worden.

Ik zie soms een China 2.0 als ik de deur van mijn koelkast open, om te ontdekken dat er nog een schaaltje koe lo yuk met bami in staat van de vorige dag. (v.1.0)

Opmerkelijk: Wat je hier toch almaar vaker leest is een bron van ernstige lachstuipen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.