News Mozilla Firefox 83: Browser mit neuer JavaScript-Engine und HTTPS-Only

[Poati]

wenn man Benutzern die den Hintergrund nicht verstehen beibringt diese Warnung zu ignorieren.

Nein so war es gar nicht gemeint. Spätestens wenn Anwender ins Spiel kommen, dann kann man auch selbstsignierte Zertifikate vergessen. Ich wollte lediglich darauf aufmerksam machen, dass es im LAN keine schlechte Idee ist, trotzdem HTTPS zu verwenden, auch wenn dann der Browser sich daran stört. Es wird der Tag kommen, da werden sich gängige Browser auch in default Einstellungen im lokalen Netz an HTTP stören, bis es ausgestorben ist. Integrität zwischen zwei Parteien ist einfach enorm wichtig und das stellt HTTPS sicher, zumindest solange, bis viele gängige Verschlüsselungen von Quanten-Rechnern geknackt werden können. Zum Glück gibt es da aber auch schon Algorithmen, die dann noch immer noch als sicher gelten.

 

[Dalek]

Nein so war es gar nicht gemeint. Spätestens wenn Anwender ins Spiel kommen, dann kann man auch selbstsignierte Zertifikate vergessen. Ich wollte lediglich darauf aufmerksam machen, dass es im LAN keine schlechte Idee ist, trotzdem HTTPS zu verwenden, auch wenn dann der Browser sich daran stört. Es wird der Tag kommen, da werden sich gängige Browser auch in default Einstellungen im lokalen Netz an HTTP stören, bis es ausgestorben ist. Integrität zwischen zwei Parteien ist einfach enorm wichtig und das stellt HTTPS sicher, zumindest solange, bis viele gängige Verschlüsselungen von Quanten-Rechnern geknackt werden können. Zum Glück gibt es da aber auch schon Algorithmen, die dann noch immer noch als sicher gelten.

Das ist jetzt schon der Fall. Die Browser meckern recht lautstark z.B. bei Passwörten und HTTP. Ist natürlich völlig berechtigt, aber bisher hat niemand eine gute Lösung für interne Webanwendungen bereit. Ich will da natürlich auch HTTPS verwenden, und nicht nur weil die Browser ansonsten meckern. Aber das ist so extrem schwierig in der Praxis umzusetzen, wenn nicht sogar unmöglich in vielen Fällen.

 

[_casual_]

Gehöre auch der Fraktion an, die JS eher spektisch entgegen tritt. Gut, ich arbeite damit, vielleicht deshalb

Aber die JS Loads sind ein Symptom für das Tracking-Problem. Das Tracking-Problem ist ein Symptom vom Datensammelproblem. Das Datensammelproblem ist ein Symptom vom Algorithmusproblem. Das Algorithmusproblem ist das Problem. Den der braucht Daten als Futter, um dem mündigen Verbraucher noch früher besser mitzuteilen, was er nicht braucht. Von der Mschttrunkenheit einiger weniger (pun intented) reden wir da noch gar nicht. Klar, Statistiken sind immer wichtig. Aber wenn ein Tracker den Tracker des Trackers trackt, müssen wir uns nicht wundern, warum wir bald alle 16-Kerner in den Handys brauchen.

Bin da pessimistisch, was die Zukunft angeht. So bereitwillig wie wir Daten preis geben, wundert es mich nicht, dass so viele Schweine am Trog rumsauen.

 

[Tawheed]

Auf Javascript entwickler kann man auch nur runter schauen. Gibt einen haufen an Gruende die ich jetzt auflisten koennte, aber ich will meinen Blutdruck runter halten.

Dein Ausmaß an Überheblichkeit ist schon krankhaft. Hier versucht der durschnitt sachlich zu bleiben aber bei dir ist nur noch Selbstverliebtheit angesagt. Du solltest dich schleunigst ändern

 

[Faust II]

Keiner hat z.B. Lust auf ein Ruckeln beim Scrollen durch Youtube oder kleine Hänger bei Outlook o.ä.

Hinweis: Es ruckelt und hängt beim Scrollen o.ä. - immer noch. Das wird auch in den nächsten Versionen bleiben, 20% hin oder her, meinetwegen 200% es wird bleiben. Da es weniger mit den Browser sondern der Seite zu tun hat.

 

[M-X]

Das ist eine Katastrophe!

Gerade im LAN habe ich viele Server ohne Verschlüsslung.
Und für Let's Enrypt im LAN, und dann nur 3Monate Gültigkeit, ist mir zuviel Aufwand ...

Wer so was im LAN betreibt wird auch wissen wie man den Modus deaktviert.

@cgs let‘s encrypt ist die Seuche schlechthin - was brauch die Seite „Lieschen Müllerˋ Häckelbedarf“ für deren statische Inhalte ein scheiß Zertifikat. Wir haben beruflich große Probleme damit, denn auch Schadcodeseiten stellen sich für ihre kurze Überlebensdauer (der Webseite selbst) vermeintlich vertrauenswürdige Zertifikate über dieses Projekt aus 😠

Tante Edith: SSL-Interception 4tw, die reinste Materialschlacht...

Bösewichte konnten sich auch vor Lets Encrypt für ein paar Euro ein SSL Zertifikat kaufen. Dieser Kohlemacherrei wurde nun ein Ende gesetzt. Lets Encrypt ist das beste was dem "Broken SSL Design" passieren konnte. Auch wenn das Thema Root certs nach wie vor nicht das beste Konzept ist....

Wenn eure Sicherheit darauf basiert das:

• Verbindung mit TLS/SSL = Gut und sicher
• Verbindung ohne TLS/SSL = Bösewichte

dann solltet ihr an euren Security Konzepten arbeiten. Die Vorteile einer durchgehenden SSL nutzung überwiegen einfach die Nachteile. Das ist ja das gleiche wie die EU die nun e2e Verschlüsselung aushebeln will weil das ja auch Terroristen nutzen...

 

[KitKat::new()]

Hinweis: Es ruckelt und hängt beim Scrollen o.ä. - immer noch. Das wird auch in den nächsten Versionen bleiben, 20% hin oder her, meinetwegen 200% es wird bleiben.

20% schneller ist 20% schneller und kürzer

 

[iGameKudan]

HTTPS Everywhere hat sowieso schon seit Ewigkeiten zur Grundausstattung an AddOns gehört. Aber schön, dass eine HTTPS only-Funktion nun richtig im Browser integriert ist. 🙂

Ebenfalls nutze ich schon seit der Testphase die TRR-Funktion per DoH. network.trr.mode 3

Was die Geschwindigkeit angeht kann ich nur sagen, dass Quantum dafür gesorgt hat, dass ich zum Glück wieder auf den FF umgestiegen bin - direkt mit der 57er-Nightly. Der alte Firefox war einfach nur noch quälend langsam. (Und Australis war potthässlich...)

Klar möge man von Geschwindigkeitsverbesserungen anfangs wenig spüren, aber Websites werden ja immer komplexer.

Natürlich hängt die Seitenladegeschwindigkeit auch von der Gegenstelle und vom Netz ab, aber das heißt doch noch lange nicht, dass man den Faktor Browser daher ignorieren sollte. Es spart ja am Ende auch beim Clienten Rechenzeit bzw. Systemressourcen...

Nebenher brachte Quantum dank der Multiprozessarchitektur den erheblichen Vorteil mit sich, dass eine abstürzende Website oder ein abstürzendes AddOn nicht mehr den ganzen Browser mitreißt - also eine erheblich erhöhte Stabilität.

Die paar Nerds denen durch die Umstellung Funktionen verloren gegangen sind machen den Kohl nicht fett. Firefox kann im Vergleich zu Chromium-Browsern immernoch sehr viel und sehr stark angepasst werden.

Was den Kohl aber fett macht ist die breite Masse - und die interessiert in erster Linie halt die Geschwindigkeit und Stabilität. Dass der FF außerhalb von Europa kaum noch ne Rolle spielt ist in meinen Augen daher nicht nur Googles agressiver Vermarktung von Chrome/Chromium zu verdanken, sondern (in meinen Augen) eben auch der Tatsache, dass man lieber auf veraltete Technik (effektiv Einzelprozesstechnik - nur für die AddOns insgesamt gabs nen zweiten Prozess...) gesetzt hat um es wenigen Nerds recht zu machen.

 

[cbtestarossa]

Mozilla schießt sich gleich wieder das nächste Eigentor.
Und wenn sie in Zukunft nur noch HTTPS zulassen dann werden genervte User einen anderen Browser verwenden.
Nach dem Motto "Mit dem Firefox kann man nichts mehr ansurfen oder sieht die Hälfte nicht."

Bravo - Glanzleistung Mozilla!!

 

[Poati]

Aber das ist so extrem schwierig in der Praxis umzusetzen, wenn nicht sogar unmöglich in vielen Fällen.

Und wie wäre es, wenn du dir ein Wildcard Zertifikat für eure Domain ausstellen lässt? Das muss natürlich manuell im Regelfall alle zwei Jahre erneuert werden und kostet Geld. Aber es funktioniert.

Ansonsten gibt es da auch Möglichkeiten von Microsoft wenn man ein AD betreibt. Aber da kenn ich jetzt eure Struktur nicht.

 

[cbtestarossa]

Ob sich Mozilla da nicht bei den falschen bedankt?
"HTTPS Everywhere" arbeitet mit einer gigantischen Filterliste, was da nicht drinnen steht wird auch nicht per https besucht, genau deshalb ist es xxx und praktisch nutzlos wenn man sich abseits des mainstreams bewegt! Die liste kann man selbst auf der Seite einsehen.
Das richtigere Addon wäre "Smart HTTPS"! Hier wird https immer aufgerufen, dann wird die Zeit überwacht ob was kommt oder nicht und wenn nicht wird die Seite auf eine Blacklist gesetzt und beim nächsten mal über http aufgerufen.

Stimmt, genau soetwas sollte in Firefox eingebaut werden.
Jedoch werden auch da wiederum Fehler passieren können.
Und dann wenden sich genervte User ab da sie nicht wissen warum ein Problem besteht.
Unproblematischer ist aber HTTPS-Everywhere sofern die Liste aktuell ist und auch stimmt.
Man sieht also, es gibt keine 100% gute Lösung.
Es gibt eben noch immer Seiten die gemischt übertragen oder gar Geräte die standardmäßig kein HTTPS aktiviert oder gar verbaut haben.

 

[gaelic]

Mozilla schießt sich gleich wieder das nächste Eigentor.
Und wenn sie in Zukunft nur noch HTTPS zulassen dann werden genervte User einen anderen Browser verwenden.
Nach dem Motto "Mit dem Firefox kann man nichts mehr ansurfen oder sieht die Hälfte nicht."

Bravo - Glanzleistung Mozilla!!

Kannst du eigentlich Lesen?

a) ist das ganze optional und im Moment per Default nicht aktiviert
b) Sollten sich Websites mit dem HTTPS-Only-Modus nicht aufrufen lassen, lässt sich der Modus gezielt für einzelne Internetpräsenzen deaktivieren, indem der Nutzer auf das Schloss-Symbol klickt und den Modus für die entsprechende Website deaktiviert.

Meine Güte, die Raunzerei ist wirklich erbärmlich

 

[Cool Master]

Die gefallen zwar zu Recht keinem Browser,

Warum zu recht? Was macht ein Let's Encrypt und andere vertrauenswürdiger? Meiner Meinung nach nichts. Einzige Unterschied ist, dass die Browser Hersteller wohl ein paar Euro von den Zertifizierungsstellen bekommen und dadurch sind sie vertrauenswürdig.

Ich würde meinem selbst signiertem Zertifikat mehr vertrauen als einer Zertifizierungsstellen aus z.B. China.

Auch lustig im Vivaldi unter MacOS lässt er mich nicht auf mein NAS ohne das ich "thisisunsafe" eintippe. Unter Windows geht es einfach mittels Link.

 

[cbtestarossa]

Kannst du eigentlich Lesen?

Ja und auch über den Tellerrand schauen und nachdenken.
Erbärmlich sind nur halbgare Lösungen die User irgendwann zu anderen Browsern treiben falls default dann alles auf HTTPS festgenagelt wird und der Switch womöglich auch noch aus den Settings verschwinden.
Es ist ja nicht so dass solche Dinge nich schon passiert wären oder dass sich bei einem Update wie von Geisterhand Schalter verändert hätten.
Und nicht jeder USER liest CB oder Changelogs oder interessiert sich für irgendwelche Symbole in der Adressleiste.
Und die meisten wissen nicht mal was HTTPS bedeutet oder kennen Dinge wie about:config.

 

[ChrFr]

Erstmal schön das an der Performance weiter gearbeitet wird und das man weiter versucht Sicherheit so einfach wie möglich zu halten.🙂
Gerade habe ich bei den Kollegen von Golem noch noch gelesen das die Browser-Engine Servo an die Linux Foundation gehen soll bzw. gehen wird. Evtl. könnte das ergänzt oder als eigener Artikel beleuchtet werden? @SV3N (Quelle: Golem.de)

MfG
Christian

 

[gaelic]

Warum zu recht? Was macht ein Let's Encrypt und andere vertrauenswürdiger?

Du hast anscheinend noch immer nicht verstanden wozu ein Zertifikat bzw. https da ist und wozu nicht.

 

[Madman1209]

Hi,

In der Summe? In welcher Summe? Der übliche Benutzer betrachtet eine Seite gleichzeitig. In welchen Fall sollen die Paar ms eine Rolle spielen? Mal geschaut wie viel ms die menschliche Reaktionszeit in Anspruch nimmt? Lächerlich...

und du schaust nur einmal im Jahr eine Seite an? Wenn ich überlege, wie oft und lange ich im Netz Dinge tue, bei denen JavaScript involviert ist, summieren sich da übers Jahr vermutlich Stunden oder sogar Tage auf, die ich nicht mit sinnlosem Warten verbringe.

Stell dir vor der Fall in dem du 20% mehr Gehalt bekommst tritt ein mal im Jahr auf und macht ein Unterschied von 20 Cent zu 22 Cent.

wenn 20% mehr Gehalt 2 Eurocent ausmachen würde ich nicht arbeiten gehen. Wenn ich einen Monat im Jahr 20% mehr Gehalt bekomme würde ich - genauso wie vermutlich jeder - das sehr begrüßen.

Das wäre jedem egal und man würde sich nicht darum bemühen

wo genau "bemühe" ich mich, wenn ich ein Firefox Update aufspiele? Ist das Aufwand? Du bekommst hier im worst case die identische Performance wie davor auch, im best case 20% mehr Leistung. Für lau. Ich sehe nicht, wo das irgendwo ein schlechter Deal sein kann.

Aber lassen wir das, jedem das Seine. Ich bin als Softwareentwickler um jeden Performanceboost dankbar, den ich nicht teuer selber durch Mehrleistung erbringen muss.

VG,
Mad

 

[Poati]

Warum zu recht?

Naja das zumindest die Domäne, geprüft durch Dritte, zum entsprechenden Server gehört. Selbstsigniert kann man ja an der Stelle im offenen Web gänzlich vergessen, also das macht es eben besser. Ansonsten mach ich dir ganz flott eine Phishing Website fertig, zu der man über einen Link gelangt, der auch noch halbwegs vertrauenswürdig aussieht und danach bist du dann bei bankXY.de, dass du wirklich bei der Bank gelandet bist, das Zertifikat habe ich selbst signiert und du kannst dir dann überlegen wen du mehr vertraust.

Und da dies eben kein Browser ohne weiteres durchwinkt, ist es da verbreiteter, sich ein Zertifikat für bpsw. bankXY.net statt bankXY.de zu besorgen.

Wenn wir sagen, dass selbstsignierte Zertifikate auch in Ordnung sind, stellen wir eigentlich auch nur eins sicher, die Kommunikation zwischen zwei Punkten ist verschlüsselt. Wer dahinter steckt ist dann gänzlich egal.

 

[Gönndir]

(...) Auf Javascript entwickler kann man auch nur runter schauen. (...)

Könntest Du Deinen Kommentar vielleicht noch mit Argumenten unterfüttern? Welche Aspekte dieser Programmiersprache brachten Dich zu dieser Erkenntnis?

Die teils sehr qualifizierten und mit Fachwissen angereicherten Kommentare in diesem Forum, machen das Lesen zur wahren Freude.

 

[poly123]

Wenn eure Sicherheit darauf basiert das:

• Verbindung mit TLS/SSL = Gut und sicher
• Verbindung ohne TLS/SSL = Bösewichte

Zusammengefasst: ging eigentlich in allen Posts darum, dass 0815 Webseiten mit Zertifikaten den Aufwand für inhaltsbasierte Analyse extrem erhöhen. Von mir aus kann jede Seite mit 2 Besuchern im Jahr nen Zertifikat haben ^^