News Browser: Firefox 72 blockt Push-Abo-Popups und Fingerprinting

[Nicht die Mama]

Diesmal scheint es ja zumindest einen Sinn haben das Update einzuspielen ... also da es mit 72.0.1 eine (scheinbar) schwere Sicherheitslücke mit JavaScript gefixt wird (welche laut diverser Artikel schon in freier Wildbahn ausgenutzt werden soll). Ich finde JavaScript wird immer mehr zu einer Seuche ... selbst wenn es oft harmlose Scripts sind so sind sehr viele Seiten überladen damit und laufen entsprechend. Aber auch schon CSS ist eine pure Seuche inzwischen - was auch nur gut angedacht war bremst meinen PC teils richtig arg aus. Bin ich froh über uBlock und uMatrix!

 

[MotherPink]

Firefox hat jetzt scheinbar eine zur Website passende Scrollbar:

 

[DeusoftheWired]

Kann man sich mit der erweiterten Cookiebehandlung von Firefox eigentlich ein Addon wie Cookie Auto Delete sparen? Ich fand es dafür praktisch, die ganzen Nervseiten, die ohen Drittanbietercookies nicht funktionierten, aufrufen zu können, und sämtliche ihrer Cookies sofort beim Schließen des Tabs gelöscht wurden. Die interne Behandlung von Firefox klingt für mich so, daß sie die ganze Sitzung über behalten und erst beim Schließen des Browsers gelöscht werden, was durchaus ja ein paar Stunden dauern kann.

 

[gh0sthunter]

Ist denn nun die Verschlüsselung der gespeicherten Logins durch das Masterpasswort sicher?

Dass die Passwörter im Prinzip im Klartext im Profilordner stehen ist das Eine¹, dass das Masterpasswort so unsicher verschlüsselt, dass es frei verfügbare Entschlüsselungstools gibt, ist das Andere.²

10 Jahre nach der ursprünglichen Bugmeldung scheint es nun geglückt zu sein, die verantwortliche Komponente (NSS) zu fixen.³⁴ Wenn ich das richtig verstehe, sollte der Fix mit dieser Firefox Version also erscheinen.⁵

Ich finde aber weder in den Firefox Release Notes noch hier auf Computerbase eine Erwähnung. Ist das einfach nicht so wichtig, wie es mir erscheint? Oder habe ich vielleicht nicht genau genug geschaut?

---

¹

The passwords stored in logins.json are encrypted, but the encryption key is stored in key4.db (previously in key3.db) [...]
- Mozilla Support - "What is the default protection of saved logins in Firefox?"

² Bugzilla - "master password ... currently easily brute forced" (Oktober 2009)
³ Bugzilla - "Increase NSS MP KDF default iteration count ... (RESOLVED FIXED)"
⁴ Mozilla Developer - NSS 3.48 released
⁵ Mozilla Wiki - NSS:Release Versions

 

[Nicht die Mama]

Dazu weiß ich selber zwar nichts ob diese nun besser im Browser gespeichert werden.
Meine persönliche Meinung (völlig egal ob sicher oder nicht): Man speichert keine Passwörter im Browser, ganz egal was gesagt wird wie sicher oder unsicher das sei. Man speichert einfach keine Passwörter in einem Programm was a) ständig mit dem Internet verbunden ist und b) auf welches (in welcher Form auch immer) etliche Webseiten Zugriff drauf haben. Punkt. Erinnert mich grade an die aktuelle Diskussion zu Win7 und Win10. Da ist es dann schon wieder völlig egal welches OS man verwendet weil die Sicherheitsprobleme scheinbar ganz woanders liegen in diesem Fall.

 

[failXontour]

Dazu kann ich nur noch hinzufügen im Allgemein speichert man keine Passwörter im zugänglichen Internet selbst nicht auf einer verschlüsselten Datenbank, rein von der Logik her sind das selbst im Bestenfall nur Schutzmechanismen ähnlich wie beim Banktresor ja gut dieser hat einige Schutzwände, Kameras, Sensoren. Aber schließlich gibt man nicht jeden Wachmann auch für den Banktresor den Zugang zu diesem handelt sich hierbei um Präventivmaßnahmen diese sind teils einfach wichtiger als die Schutzmechanismen selber. Denn Mechanismen, i.d.F Algorythmen können entschlüsselt, geknackt und umgangen werden kein Onlinesystem ist somit zu 100% sicher nur komfortabler.

 

[gh0sthunter]

@Nicht die Mama @Klosteinmann Ob man das tun sollte ist nicht wirklich die Frage. Die Funktion ist da und ihr wird von vielen vertraut.

Ist zwar nicht der Punkt, aber die Passwörter, von denen ich hier spreche, sind prinzipiell offline bzw. lokal gespeichert.

Der Hintergrund meiner Frage ist auch weniger das Prinzip von Passwörtern im Browser, sondern die (anscheinend) schlechte Umsetzung in Firefox, die falsche Sicherheit vorgaukelt. Dass das Prinzip seine Grenzen hat, sollte jedem klar sein, aber dass es - meinem Verständnis nach - unzureichend umgesetzt ist, wirft an einer so kritischen Stelle in einem so weit verbreiteten Produkt Fragen bei mir auf.

Ich sehe die Funktion leider an Stellen genutzt, die wirklich sicherheitsrelevant wären, daher meine Nachfrage.

 

[MaverickM]

Aber schließlich gibt man nicht jeden Wachmann auch für den Banktresor den Zugang zu diesem

Wie kommst Du dadrauf, das wäre so!? Bspw. LastPass verschlüsselt den Passwort-Container lokal. Ist dein Masterpasswort weg, ist alles andere auch weg. Haste halt Pech gehabt. LastPass selbst (Oder ähnliche Anbieter mit Cloud-Speicherung) haben keinen Zugriff auf deine Daten.

 

[Bigeagle]

Ich habe dem Fuchs sowohl unter Windows als auch Linux auch die Treue gehalten als es nicht so gut lief

Wann lief es denn nicht so gut in einem Sinne dass es die Nutzer gestört hätte? Habe ich etwas verpasst?
Paar Kleinigkeiten funktionierten hin und wieder nicht so wie gewollt, aber das traf auch die Konkurrenz soweit ich sie ausprobiert habe.

FTFY

FTFFY ^^
http://geekxgirls.com/images/firefox/firefox_cosplay_01.jpg sfw
scnr

 

[SVΞN]

Wann lief es denn nicht so gut in einem Sinne dass es die Nutzer gestört hätte? Habe ich etwas verpasst?

Hinsichtlich der Performance hatte der Fuchs schon eine ganze Zeit lang das Nachsehen und ich kenne viele Nutzer die dem Firefox in der Zeit den Rücken gekehrt haben und nicht wieder zurückgekehrt sind.

Wie ich schon sagte, für mich hielt es sich im Rahmen und ich bin geblieben, aber andere sahen das schon kritischer.

 

[Bigeagle]

@SV3N soweit ich weiß betraf das aber mehr theoretische und gefühlte Leistung. Es sieht schon etwas heftig aus wenn FF mit 5 GB RAM im Taskmanager steht und bei Chrome nur irgendwas um die 200-500 MB. Nur dass Chrome davon mehrere Prozesse hat (FF inzwischen ggf auch) und in meinen eigenen Tests war Chrome nie sparsamer an Speicher. Im Gegenteil, bei Chrome habe ich Speicherlecks gefunden weil offenbar bei der Garbage Collection etwas zu aggressiv optimiert wurde.

Ansonsten hatte FF lange das UI an die Engine gekoppelt, wenn es also hing, hing alles. Aber was nützt es mir wenn ich flüssig Tabs wechseln und Buttons anklicken kann wenn doch nichts passiert weil das Backend hängt? Ich fand es da persönlich deutlich angenehmer wenn ich auch über eine solche direkte Rückmeldung merke dass das Programm gerade nicht hinterherkommt.
Tests habe ich vor allem 2011 bis 2015 gemacht wo ich mich mit Webentwicklung herumgeschlagen habe und versuchte wahlweise ein dutzend Livecharts oder einen über einen großen Datensatz darzustellen. Bei den Livecharts konnte Chrome etwa doppelt so schnell (bzw doppelt so viel flüssig) darstellen, allerdings waren nach 30-120 Minuten 4 GB RAM voll und der Prozess wurde gekillt. Nicht ganz das was man für eine Datenüberwachung haben will. Bei dem großen, statischen Datensatz waren die Unterschiede minimal mit leichtem Vorteil beim Speicherverbrauch bei Firefox.
Letztlich habe ich Chrome immer wieder verworfen. Was nützt mir ein Browser der nicht mal einen Arbeitstag ohne Neustart auskommt?

Aufgrund dessen habe ich auch nie richtig verstehen können warum Leute aufgrund von Performance oder Speicherverbrauch zu Chrome wechseln. Mein FF läuft teils tagelang und mit bis zu 700 offenen Tabs. (inzwischen versuche ich unter 300 zu bleiben ^^') Wenn er zu langsam wird starte ich ihn neu, das setzt die geladenen Tabs und temporären JS berechtigungen zurück und wenn das nicht reicht muss ich eben mal wieder Tabs aufräumen. Chrome hat das zumindest damals einfach nicht leisten können, bessere Performance in einem einzelnen Tab über kurze Zeit hin oder her.
Vielleicht ist da mein Nutzungsprofil einfach zu unüblich?

 

[failXontour]

OT:

Wie kommst Du dadrauf, das wäre so!?

Weil Bankangestellte sei es der Wachmann, Hausmeister auch gerne mehr Geld hätten. Kann man es diesen Leuten übel nehmen, nein eigentlich nicht.

Lokale Daten sind meiner Meinung nach sicherer.
Ja LastPass mag ein vertrauenswürdiges Unternehmen sein, doch vertraue ich mir selber mehr als einen Unternehmen, falls das bei dir anderes sein sollte bitte ist halt so. Doch ich sehe nicht erstens den Service als Lohneswert für eine Person. Auch kann ich doch auch einfach eine Datei zwischen meinen Geräten austauschen kann per USB/Datenprotokoll XY. Auch habe ich Lokal einen größeren Funktionsumfang wie LastPass bietet mir bietet durch Add-Ons (Plugins, Erweiterungen) wie man Sie auch nennen möchte Skripte die ich für bestimmte Funktionen schreiben kann hier gilt natürlich auch diese sind nur so sicher wie natürlich die andere Person am anderen Ende deiner Meinung nach Vertrauneswürdig ist.

LastPass selbst (Oder ähnliche Anbieter mit Cloud-Speicherung) haben keinen Zugriff auf deine Daten.

Das glaubst du doch hoffentlich selber nicht. Natürlich haben diese Zugriff auf die Daten, alleine schon um zu Wissen welche Kundenklientel gegen Ihre AGBs (Nutzungsbedingungen) verstößt.

BTT: Firefox ist definitiv nach mMn. einen besseren Pfad als Google es ist, mit Privatspähren Orientieren Updates. Statt wie Google versucht die Konkurrenz aufzukaufen und durch Barrieren im Web andere Browserhersteller künstlich auszubremsen mit deren Engine zwingt und unter dem Deckmantel von Google zu agieren um entsprechende Webfunktionen den Nutzern zu bieten um Ihren Marketshare zu vergrößeren um noch mehr Macht bzwh. deren Vormachtsstelung in der künftigen Gestaltung des Internets zu behalten.

 

[Turrican101]

Gegen online PW spricht nix, wenn man sie selber sichern kann. Also bei sich hosten, mit PW drauf usw.

 

[MaverickM]

Das glaubst du doch hoffentlich selber nicht.

Nein, haben sie nicht. Hast Du Beweise für deine Behauptung? Wie soll das auch gehen, wenn die Container lokal verschlüsselt werden? Bisherige Audits haben hierzu auch keinen Anlass zur Sorge gegeben, dem wäre nicht so.

 

[cbtestarossa]

@Bigeagle
Es ist eher so dass FF bei mir mit ca 600 MB im PE steht und Chrome mit 1800

@SV3N
Lass sie doch irgendwelche speicherfressenden, unbedienbaren Schickimickibrowser benutzen wenn sie wollen.
Reisende kannst und sollst du auch nicht aufhalten.
Ist verschwendete Zeit. Glaubs mir.

 

[Cool Master]

Warum beschwert sich eigentlich immer jeder über den RAM-Verbrauch? Genau deswegen hat man doch den RAM damit er benutzt wird. Warum sollte ich mir 32, 64 oder 128 GB Ram kaufen wenn ich nur 4 GB nutze? Es ist nun mal einfach sinnvoller Daten im RAM abzulegen statt auf der HDD/SSD da der RAM deutlich schneller ist. In der heutigen Zeit wo man 32 GB für ~120 € bekommt kann ich das einfach nicht nachvollziehen. Wenn ein System mal wirklich zu wenig RAM haben sollte kann ich nur empfehlen sein Script- und Ad-Blocker zu nutzen. Diese haben zwar selbst auch ein gewissen Speicherbedarf aber das ist immer noch weniger als einige Seiten die auf zig Scripte setzen.

 

[cbtestarossa]

@Cool Master

Weil gewisse Programme so schlau sind und bei wenig Speicher nicht starten wollen wenn der Browser vorher schon mal 4 gig für sich reserviert.
Ja das gibt es alles.

Und nur weil ein Browser so ein Verhalten an den Tag legt, sollen sich nun alle User mit 16 oder 32 gig Ram eindecken, wo womöglich das ganze gut funktionierende System auch noch gewechselt werden muss?
Ich denke das ist die falsche Antwort auf das Problem.

Und es betrifft nicht nur die Browser.
Alles ist nur noch sinnlos aufgebläht und frisst Ressis ohne Ende.

 

[Cool Master]

Also das mit den 4 GB reservieren hört sich nach einem Windows Problem an Im Anhang mal ein Screenshot von meinem aktuellen Verbrauch. Aktuell 1 Tab auf und 25 Tabs die ich wiederherstellen könnte.



Aufrüsten muss natürlich niemand. Wenn man aber wirklich ein Problem mit dem Verbrauch hat muss man sich zwei Fragen stellen:

1. Habe ich (noch) die passenden HW? und/oder 2. Ist evtl. mein Verhalten an dem Verbrauch schuld?

Ich stimme dir zu, dass aktuell Programmierer leider eher die Route des "Resourcen sind da, scheiß auf Optimierung" gehen. Das liegt aber auch daran weil die HW halt wirklich sau Leistungsstark geworden ist und Optimierung nun mal Geld kostet, was die Leute nicht bereit sind zu zahlen gerade z.B. bei einem Browser. Sei mal ehrlich würdest du ein Browser kaufen z.B. für 10-20 € oder würdest du nicht eher auf ein kostenlosen setzen der etwas mehr Resourcen verbraucht? Ich denke mal 99,5% der Leute würden nichts zahlen und auf die Optimierung pfeifen.

Wie ich schon sagte für vieles sind die Browser aber auch nicht verantwortlich. Das sind heute leider auch die Webseiten die zum Teil hunderte Scripte laden und damit alles voll ballern sei es für eine Animation, Tracking oder Werbung. Gerade News Seiten sind da sehr schlimm. Mein bestes Beispiel ist/war aber immer noch Tumblr. Sobald man da mal ein paar Minuten drauf war wurde der Browser (egal welcher) so unglaublich lahm das war nicht mehr schön.

 

[cbtestarossa]

4 gig hab ich nur als Beispiel genannt.
Aber Chrome steht (ohne offenen Tab) mit 1800 MB im PE.
Und ich seh was noch freier Speicher übrig ist.
Ändert aber am Grundsatzproblem nix.
Und es ist auch kein Windowsproblem.