News Mozilla Firefox 83: Browser mit neuer JavaScript-Engine und HTTPS-Only

[leipziger1979]

Solche Seiten gibt's eh nicht mehr.

Wenn ich lokale Geräte administriere schon.
Und die haben maximal selbstsignierte Zertifikate wo der Browser dann auch erst einmal meckert.

"HTTPS-Only" bedeutet hier also nur das, im Gegensatz zu früher wo man nur am Schloss-Symbol gehen hat das es keine https Verbindung zur Seite aufgebaut hat, eine Vollbildanzeige einem erzählt das keine https Verbindung möglich ist.

 

[poly123]

@Der-Orden-Xar nein was suggeriert denn eine Seite mit statischen Inhalten und Zertifikat? Maximal Integrität, Mehrwert für Vetraulichkeit? - 0

 

[Turrican101]

Ich finde ja man sollte den ganzen javascript ranz los werden damit die Seiten mal schneller laden.

Eher sollte man mal Werbung und Tracker abschaffen. Die paar kb JS machen auch nichts aus. Dafür die Megabytes an Werbung und etliche Serververbindungen, die bei jedem Aufruf geladen werden.

 

[Der-Orden-Xar]

@leipziger1979 lies nochmal meinen Beitrag direkt vor deinem. Lokale IPs sind ausgenommen.

@poly123 beantwortet der Link das nicht? Es gibt keinen Grund mehr, warum man noch auf http setzen sollte.
Wirklich keinen.
Vielleicht noch ein beispiel:
Wären wir in den USA könnte ich sagen, das deine Lischen Müller vielleicht mit etwas Werbung sich ein neues Wollknäul kaufen möchte - schlecht, wenn der Provider einfach so die Werbung austauscht und sich das Geld selbst in die Tasche schiebt. Mit https wird ja, auch die Vertraulichkeit sichergestellt. Ja, sowas in der Art gab es schon.

oder was fast überhaupt nicht konstruiertes?
Wenn es wirklich um was rein statisches geht, was, wenn jemand auf dem Transportweg einfach so den Tipp einbaut, sich ganz dolle mit der Häckelnadel zu pieksen? Das würde deine Lieschen Müller sicher sehr traurig machen, wenn sich jemand verletzt, weil sie so eine Kleinigkeit ignoriert hat.

 

[poly123]

@Der-Orden-Xar es ist halt ne Vogue, gerade jetzt (insbesondere seit letˋ s encrypt), dass man sich für jede Seite ein (trotz dessen, dass nicht notwendig) Zertifikat für lau generieren kann und über den Trust „legitimiert“ ist. Bei Verisign oder Quo Vadis kostet es halt...

PS: bin dahingehend ggf. beruflich zu negativ eingestellt 😁

 

[Der-Orden-Xar]

@poly123 , nein, es gibt keine Seite, bei der es nicht notwenig ist

Aber was sagt https überhaupt? Also wenn ich zB per https auf spaßkasse.to.ru.xyz gehe?
[ ] Die Verbindung zu der Seite sich sicher
[ ] Der Server ist sicher
[ ] Onlinebanking, auf gehts!!!!!!!!


Edit: Danke für den Shortcut zum Posten >.>

 

[poly123]

Wir können die Diskussion endlos weiterführen - im beruflichen Umfeld sind so vermeintlich abgesicherte und “vertrauenswürdige“ Seiten eine Pest ^^

Ergänzung (17. November 2020)

Keine inhaltsbasierte Analyse möglich.... unnötige Kosten, wenn Corporate Policy

 

[Drakonomikon]

Bei mir flackert jetzt der Browser seit der Version 83.

 

[Der-Orden-Xar]

Tja, man kann die Diskussion abkürzen, wenn du bemerkst, dass “vertrauenswürdige Seiten" und https zwei verschiedene Dinge sind.

Es ist der Transportweg, der abgesichert wird. Deswegen die frage mit spaßkasse.to.ru.xyz
Was macht das für einen Unterschied, ob da jemand sich das Konto per http oder https leerräumen lässt?

Wenn dich beruflich https stört, warum habt ihr keinen Proxy, der den Spaß aufbricht? Gefährdet zwar in gewisser weise die Sicherheit in eurem Unternehmen, aber he, der Netzverkehr ist auslesbar.

Privat kann ich dir sagen, dass die Probleme für mich immer kleiner sind, als von machen heraufbeschworen.
Früh per umatrix mixed contend verboten. ja, einige Seiten machten Probleme, inzwischen habe ich genau eine Ausnahme noch eingetragen.
Mit dem https only Mode sollte es noch einfacher sein, sind doch nach den telemetriedaten von Mozilla die meisten Seitenaufrufe inzwischen eh über das sichere Protokoll.

 

[Cool Master]

Hat evtl. jemand mehr Infos zu der Gestensteuerung und ob dies auch für Mäuse geht? Das könnte mich evtl. wieder auf den FF bringen, wobei ich sagen muss ich bin mit Vivaldi aktuell sehr zufrieden.

 

[poly123]

Ich rede nicht über billige Phishingseiten, sondern über C&C Server, mal als bestes Bsp. - erstere bekomm ich über malwaredomainlist und ähnliche Angebote (X-Force oder MISP) gefiltert. Bei Letzteren brauch ich IoCs und inhaltsbasierte Analyse. Kostet halt in Summe, wenn so 0815-Seiten am Proxy auch noch umherschwirren.

PS: als kleiner Anhaltspunkt, über was ich rede, in meinem Umfeld: ~ 500 Mio Requests pro Tag

 

[Marco01_809]

Wir haben beruflich große Probleme damit, denn auch Schadcodeseiten stellen sich für ihre kurze Überlebensdauer (der Webseite selbst) vermeintlich vertrauenswürdige Zertifikate über dieses Projekt aus 😠

[ ] Ihr habt verstanden wovor HTTPS und Zertifikate schützen.

 

[Black Phoenix]

Betragsergänzung über Sicherheitsfixes in Version 83.0
(natürlich nur für diejenigen, die dies interessert)

Sicherheitsfixes v83.0

 

[poly123]

[ ] Ihr habt verstanden wovor HTTPS und Zertifikate schützen.

Klär mich auf ansonsten #22 und #31 nicht gelesen oder verstanden....

 

[gopeter]

Mit Javascript? Ja. Das meine ich ernst. Es ist meiner Meinung nach eine Schande das so was jemals entwickelt wurde und ins WWW geschafft hat. Auf Javascript entwickler kann man auch nur runter schauen. Gibt einen haufen an Gruende die ich jetzt auflisten koennte, aber ich will meinen Blutdruck runter halten.

Oh, die Gründe würde ich aber gerne hören. Ich bin JavaScript-Entwickler.

Also los, schau mal auf mich runter und lass deinen Blutdruck brodeln.

 

[Marco01_809]

Klär mich auf

Es schützt davor dass dritte, also Angreifer, die Verbindung zwischen dir und dem von dir gewünschten Ziel einsehen oder manipulieren. Wenn du sicher mit katzenbilder24.de kommunizieren will, dann kannst du das mit HTTPS tun. HTTPS sagt nichts darüber aus WAS auf katzenbilder24.de zu finden ist und erst recht nicht ob der Besitzer von katzenbilder24.de vertrauenswürdig ist. Das muss es auch nicht, TLS ist eine Transportverschlüsselung und sie ist sehr sicher und funktioniert gut.

ansonsten #22 und #31 nicht gelesen oder verstanden....

In der Tat nicht verstanden, scheinen aber auch Blödsinn zu sein

nein was suggeriert denn eine Seite mit statischen Inhalten und Zertifikat? Maximal Integrität, Mehrwert für Vetraulichkeit? - 0

Ich glaube du unterschätzt den Wert der Integrität. Nicht nur kann ein Angreifer dir nicht mehr abweichende Informationen unterschieben um dich so vielleicht zu manipulieren (analog Enkeltrickbetrüger), Angreifer können auch keinen Schadcode mehr in deinen Browser einschleußen. Letzteres bringt natürlich erst was wenn 100% der Seiten die du besuchst HTTPS haben, aber wir sind auf einem guten Weg dahin (siehe News).

Vertraulichkeit verbessert sich auch; es ist nicht mehr sichtbar welche Unterseiten du ansurfst bzw. für welche Informationen du dich interessierst. Mit zunehmer Verwendung von DoT/DoH und dem in TLS 1.3 enthaltenen eSNI wird bald selbst die Domain nicht mehr sichtbar sein für Schnüffler.

Und warum sollte man bitte auf diese zusätzliche Sicherheit verzichten? SSL-Zertifikate kostenlos, Renewal geht heute dank ACME automatisch, Konfiguration muss man etwa einmal jährlich an aktuelle Standards anpassen, Performancekosten sind gering dank AES-Instruktionen und Session Cache/Tickets, insbesondere im Vergleich zu irgendwelchen Applikationssoftwares die dahinter laufen.

Ich rede nicht über billige Phishingseiten, sondern über C&C Server, mal als bestes Bsp. - erstere bekomm ich über malwaredomainlist und ähnliche Angebote (X-Force oder MISP) gefiltert. Bei Letzteren brauch ich IoCs und inhaltsbasierte Analyse. Kostet halt in Summe, wenn so 0815-Seiten am Proxy auch noch umherschwirren.

Ich weiß nicht an welchem Punkt du filterst oder was HTTPS damit zu tun, bzw. verstehe nicht wie es dir helfen würde wenn HTTPS eine schlechtere Verbreitung (aber noch >0) hätte.

Wenn du Inhalte filtern willst musst du das doch eh auf den Endgeräten konfigurieren, damit sie deinem ggf. filternden Proxy vertrauen und alles was um den Proxy herum geht blockieren.

EDIT: Wenn man nur per Domain filtern will kann man ja DNS machen (und auf den Endgeräten/Browsern DoH bzw. TRR abstellen) - aber Malware die schon im Netzwerk auf irgendeinem Computer ist kann man damit so oder so nicht daran hindern mit C&C Servern u.Ä. zu kommunizieren. Die Malware muss ja weder DNS, noch HTTPS, noch HTTP, noch von CAs ausgestellte Zertifikate nutzen zur Kommunikation.

 

[poly123]

Ok, viel Text, im Grundsatz geb ich dir Recht, gerade in Bezug auf Integrität, da Kommunikation von Besucher zu Host validiert wird (habe ich ja auch nicht in Abrede gestellt, siehe #22). Mein Problem, im Speziellen, auch Schadcodeseiten nutzen die „vertrauliche“ Verbindung (dein „Was“, darum geht es, #31).

Und nein, auf Endgeräten filtern ist u. E. viel zu spät 😔 - außer man investiert weiter, in SW auf dem Client wie DefendPoint, o. ä. oder zusätzliche IDS / IPS SW - wir machen mitm am Proxy

Edit: zu deinem Edit: hab ich unter #31 erläutert. Ansonsten wird es halt auffällig, wenn direkte Kommunikation, ausgehend, bei Proxystrukturen versucht wird.

SIEM 4tw 😁

PS: gute Diskussion 🙂

 

[BalthasarBux]

Grad durch die Firefox-Einstellungen gescrollt und hab mich gefragt, warum ich HTTPS-only nicht aktiv habe und seit wann ich das übersehen hatte. Offensichtlich nicht lange

 

[GregoryH]

Und wie bitte soll das funktionieren wenn der Webserver die Seite nur mit http, Port 80, hostet und kein https Zertifikat vorliegt?

Wobei die meisten bei https so oder so "sicher" mit "sicher" verwechseln.

Es kommt eine Fehlerseite die dem Nutzer erklärt, dass der Server kein https unterstützt...

 

[DieRenteEnte]

Achja... schneller, größer, weiter, besser...

Wie viel schneller ist 20% schneller?
0,123 statt 0,153 Sekunden?

Wo sind die Beispielseiten für diese 20% schneller?
Ist das ein Geheimnis, um es nicht prüfen zu können?