ComputerBase Menü
Aktuelles

News Mozilla Firefox 83: Browser mit neuer JavaScript-Engine und HTTPS-Only

mastakilla91 schrieb:
[...] aber gefühlt ist es n Stückchen schneller.
Zum Vergrößern anklicken....

Von subjektiver Seite bestätige das Gefühl ebenfalls.
 
Ich finde das alles nicht so prickelnd.
Der Anwender sollte bis in alle Ewigkeit die Möglichkeit haben, die Empfehlungen auszuschlagen, wenn es die Situation erfordert.
Man denke nur an archive.org or die vielen Legacy-Seiten aus den 90ern, die noch online sind.
Ich für meinen Teil will auch weiterhin die Möglichkeit haben, etwas Dummes zu tun (aus Sicht der Entwickler).
Wie z.B. einen Blog zu schreiben oder eine Website zu erstellen, welche(r) an Fans alter Computer gerichtet ist.

Apropos etwas Sicherheit vs grundsäztliche Freiheit bzw. Unabhängigkeit:
"Those who would give up essential liberty to purchase a little temporary safety, deserve neither liberty nor safety.

Benjamin Franklin"
 
  • Gefällt mir
Reaktionen: denglisch
gaelic schrieb:
Du hast anscheinend noch immer nicht verstanden wozu ein Zertifikat bzw. https da ist und wozu nicht.
Zum Vergrößern anklicken....

Was soll ich daran nicht verstehen? Es ist einzig und alleine für die Vertraulichkeit und Integrität da.

Daher ja auch die Frage warum sollte man einem Let's Encrypt und co mehr vertrauen als jemand der ein Zertifikat selber signiert und seine Daten im Zertifikat hinterlegt?

Statt mir zu unterstellen ich wüsste nicht für was HTTPS da ist wäre eine Antwort auf die Frage besser gewesen...

Poati schrieb:
Naja das zumindest die Domäne, geprüft durch Dritte, zum entsprechenden Server gehört.
Zum Vergrößern anklicken....

Das kann man doch auch beim selbstsignierten machen. Einfach das Zertifikat anklicken und die URL überprüfen. Klar, nicht automatisiert aber es ist möglich man muss es halt per hand machen.

Poati schrieb:
Selbstsigniert kann man ja an der Stelle im offenen Web gänzlich vergessen, also das macht es eben besser.
Zum Vergrößern anklicken....

Ja aber genau hier kommt meine Frage zum tragen. Warum sollte man einem Let's Encrypt mehr vertrauen schenken?

Poati schrieb:
Ansonsten mach ich dir ganz flott eine Phishing Website fertig, zu der man über einen Link gelangt, der auch noch halbwegs vertrauenswürdig aussieht und danach bist du dann bei bankXY.de, dass du wirklich bei der Bank gelandet bist, das Zertifikat habe ich selbst signiert und du kannst dir dann überlegen wen du mehr vertraust.
Zum Vergrößern anklicken....

Das kann dir aber genau so gut durch eine Man in the Middle Attacke passieren oder mit einem echten Zertifikat.

Poati schrieb:
Wenn wir sagen, dass selbstsignierte Zertifikate auch in Ordnung sind, stellen wir eigentlich auch nur eins sicher, die Kommunikation zwischen zwei Punkten ist verschlüsselt. Wer dahinter steckt ist dann gänzlich egal.
Zum Vergrößern anklicken....

Korrekt das kann dir aber auch bei Let's Encrypt keiner garantieren. Da kann ich genau so gut aus bank-example.com ein bank-example.net machen wenn ich die Domain habe und genau das betreiben was du angesprochen hast.
 
  • Gefällt mir
Reaktionen: RalphS
poly123 schrieb:
let‘s encrypt ist die Seuche schlechthin - was brauch die Seite „Lieschen Müllerˋ Häckelbedarf“ für deren statische Inhalte ein scheiß Zertifikat.
Zum Vergrößern anklicken....

Unverschlüsselte Seiten sind die Seuche schlechthin. Was geht es irgendjemanden außer den Seitenbetreiber und Seitenaufrufer an, welche Inhalte ein Seitenaufrufer betrachtet und abschickt?

poly123 schrieb:
es ist halt ne Vogue, gerade jetzt (insbesondere seit letˋ s encrypt), dass man sich für jede Seite ein (trotz dessen, dass nicht notwendig) Zertifikat für lau generieren kann und über den Trust „legitimiert“ ist. Bei Verisign oder Quo Vadis kostet es halt...
Zum Vergrößern anklicken....

Und es war gut, daß Let’s Encrypt angefangen hat, diesen Zertifikatsmafiasumpf trockenzulegen. Vertraulichkeit sollte nicht davon abhängen, ob oder wieviel Geld ein Seitenbetreiber an jemand Externen zahlt.

Zweiter Punkt ist, daß Nutzer zwischen Integrität und Vertraulichkeit lernen müssen zu unterscheiden. Ein Schloßicon in der Adreßleiste sagt erst mal nur, daß niemand in die Verbindung zwischen Seitenbetreiber und Seitenaufrufer schauen kann. Ende. Ob der Seitenbetreiber aber auch der ist, für den er sich ausgibt, steht auf einem ganz anderen Blatt. Das kann und sollte man nicht vom Schloßsymbol abhängig machen.

Man muß den Leuten diese übervereinfachte Formel „Schloß = gut“ aus den Köpfen hämmern.

-----

Davon ab: Welches Geschäft ist denn eigentlich so wichtig, daß es darauf angewiesen ist, in Verbindungen hineinschauen zu können? Machst du dein Geld etwa mit Schlangenöl? :>
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: cbtestarossa, chartmix, LukS und 4 andere
Cool Master schrieb:
Was soll ich daran nicht verstehen? Es ist einzig und alleine für die Vertraulichkeit und Integrität da.
Zum Vergrößern anklicken....
Eben, du hast es nicht verstanden und schreibst das auch deutlich nieder.

Es geht nicht um Vertraulichkeit (? was auch immer das sein soll) und auch nicht um Inegrität (im Sinne von: der Websitebetreiber ist integer und kein Betrüger).
Es geht rein um: die Verbindung zwischen Browser und Server (Website) sicher ist (also nicht durch Dritte beeinflusst oder verändert werden kann). Fertig.
 
  • Gefällt mir
Reaktionen: LukS
@DeusoftheWired nur zum letzten Absatz: soll ich jetzt vorrechnen, was ein größerer IT-Ausfall an Produktivität kostet, wenn man sich was schickes wie Emotet usw. einfängt? Wohl noch nie in nem größeren Unternehmen gearbeitet und mit sandboxing o. ä. in Berührung gekommen? Snakeoil (ganz unvoreingenommene Wortwahl für klassische AV) war vorgestern, kann dich beruhigen 😁
 
Zuletzt bearbeitet von einem Moderator:
Okay, also Schlangenöl. Keine weiteren Fragen. Du mußt fefe ja sehr gern lesen. :D
 
  • Gefällt mir
Reaktionen: Madman1209 und poly123
Firefox als mein langjähriger alter Begleiter bekommt IMMER eine neuen Chance. Also mal antesten. Leider verzerren beim FF nicht selten Addons die Performance.
 
Cool Master schrieb:
Das kann man doch auch beim selbstsignierten machen. Einfach das Zertifikat anklicken und die URL überprüfen. Klar, nicht automatisiert aber es ist möglich man muss es halt per hand machen.
Zum Vergrößern anklicken....

Nein, ein selbstsigniertes Zertifikat kann man nicht überprüfen. Die Verbindung ist trotzdem verschlüsselt, aber man kann nicht überprüfen ob man mit dem richtigen Server verbunden ist. Ich kann mir selbstsignierte Zertifikate für jede beliebige Domain ausstellen.

Cool Master schrieb:
Ja aber genau hier kommt meine Frage zum tragen. Warum sollte man einem Let's Encrypt mehr vertrauen schenken?
Zum Vergrößern anklicken....

Ein Let's Encrypt Zertifikat beweist das man die Kontrolle über diese Domain hat. Um das Zertifikat zu bekommen muss ich beweisen das ich diese spezifische Domain kontrolliere. Das ist viel, viel mehr als ein selbstsigniertes Zertifikat das gar nichts beweist.
 
  • Gefällt mir
Reaktionen: Marco01_809, Madman1209, denglisch und 2 andere
poly123 schrieb:
Mein Problem, im Speziellen, auch Schadcodeseiten nutzen die „vertrauliche“ Verbindung (dein „Was“, darum geht es) -.-
Zum Vergrößern anklicken....
Naja genau, du kannst vertraulich mit der Schadcodeseite kommunizieren :D
Es ist nicht die Aufgabe der CA dir vorzuschreiben mit wem du verschlüsselt reden kannst und mit wem nicht.

cbtestarossa schrieb:
Nach dem Motto "Mit dem Firefox kann man nichts mehr ansurfen oder sieht die Hälfte nicht."
Zum Vergrößern anklicken....
Ich nutze den HTTPS-only mode schon seit Monaten in der Beta und die Seiten die kein HTTPS können sind rar gesät. Fast alle davon waren irgendwelche kleinen/persönlichen Blogs. Man kann die Warnung ja ignorieren und trotzdem unverschlüsselt drauf. Aber man wird eben deutlich darauf hingewiesen dass man sich ab jetzt auf unsicherem Terrain bewegt und lieber keine vertraulichen Daten eingibt.

joshy337 schrieb:
Man denke nur an archive.org or die vielen Legacy-Seiten aus den 90ern, die noch online sind.
Zum Vergrößern anklicken....
archive.org kann einwandfrei HTTPS, inkl. der WaybackMachine. Legacy-Seiten kann man auch für HTTPS fit machen ohne das man den Inhalt ändern muss. Wenn an der Seite noch ausreichendes Interesse besteht ist es ein einfaches für einen Admin vor das bestehende Setup einen modernen Webserver als Reverse-Proxy zu hängen der TLS terminiert und absolute Referenzen auf https:// umschreibt.

Nur weil die Seiten alt sind ändert dass ja nichts an dem Problem, dass die Seiten nicht sicher aufgerufen werden können und sich Nutzer einer Gefahr aussetzen beim Aufruf. Auf das Problem sollte man hingewiesen werden.

ZFS schrieb:
Man kann es abschalten, hurra.
Zum Vergrößern anklicken....
Dazu müsstest du es vorher aber auch erstmal manuell einschalten :freak:
 
  • Gefällt mir
Reaktionen: Madman1209, chartmix und LukS
gaelic schrieb:
Es geht nicht um Vertraulichkeit (? was auch immer das sein soll) und auch nicht um Inegrität (im Sinne von: der Websitebetreiber ist integer und kein Betrüger).
Es geht rein um: die Verbindung zwischen Browser und Server (Website) sicher ist (also nicht durch Dritte beeinflusst oder verändert werden kann). Fertig.
Zum Vergrößern anklicken....

Es scheint so, als ob du die übliche Bezeichnungen der Informationssicherheit nicht verstehst. Les dir mal das hier durch:

https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure

Vor allem der erste Satz unter "Nutzen". Da wird "Vertraulichkeit" (In dem Fall durch Verschlüsselung) und "Integrität" (Korrektheit (Unversehrtheit) von Daten) gut erklärt. Also genau das was du ansprichst...

Dalek schrieb:
Nein, ein selbstsigniertes Zertifikat kann man nicht überprüfen.
Zum Vergrößern anklicken....

Klar geht das... Siehe:

self signed.png

Das habe ich gerade für mein NAS erstellt. Ich kann nun schauen stimmen die Daten mit der eingegeben Domain überein. Klar, wie gesagt kann hier ein Phishing Angriff wie mit einem "echten" Zertifikat passieren wenn der DNS kompromittiert ist oder ein MITM vorliegt.

Dalek schrieb:
Ich kann mir selbstsignierte Zertifikate für jede beliebige Domain ausstellen.
Zum Vergrößern anklicken....

Klar, das ist ja auch so gewollt :)

Dalek schrieb:
aber man kann nicht überprüfen ob man mit dem richtigen Server verbunden ist.
Zum Vergrößern anklicken....

Klar geht das. Sieht man ja am "Allgemeiner Name". Die IP stimmt mit der in der Adressbar überein. Würde ich das mit einer Domain machen wäre es genau das gleiche.

Dalek schrieb:
Um das Zertifikat zu bekommen muss ich beweisen das ich diese spezifische Domain kontrolliere.
Zum Vergrößern anklicken....

Musste ich bei meinen Domains noch nie machen, aber gut evtl. macht das ISPConfig automatisch.

Mein Punkt ist folgender siehe z.B. diesen Artikel:

https://www.globalsign.com/de-de/ssl-information-center/selbstsignierte-zertifikate

https://www.globalsign.com/de-de/ssl-information-center/selbstsignierte-zertifikate schrieb:
Obwohl selbstsignierte SSL-Zertifikate auch Log-in- und andere persönliche Anmeldeinformationen verschlüsseln, veranlassen sie die meisten Webserver, eine Sicherheitswarnung anzuzeigen, da das Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle verifiziert wurde.
Zum Vergrößern anklicken....

Was macht eine Zertifizierungsstelle vertrauenswürdig? Das ist doch das Hauptproblem. Vor allem weil ich schon selber Zertifikate erstellt habe (vor Let's Encrypt) und die (ich glaube damals bei Thawte) hochgeladen habe und diese haben mir das Zertifikat durch bezahlen genehmigt. Da hat auch keine Überprüfung der Domain statt gefunden. Damit wurde aus einem Self Signed Zertifikat ein ganz normales Zertifikat welches von jedem Browser angenommen wurde.
 
  • Gefällt mir
Reaktionen: RalphS
Cool Master schrieb:
Es scheint so, als ob du die übliche Bezeichnungen der Informationssicherheit nicht verstehst.
Zum Vergrößern anklicken....

Nein, eher daß du je nachdem wie du es gerade brauchst die Termini verwendest. Hier ein Zitat von dir:

Warum zu recht? Was macht ein Let's Encrypt und andere vertrauenswürdiger? Meiner Meinung nach nichts. Einzige Unterschied ist, dass die Browser Hersteller wohl ein paar Euro von den Zertifizierungsstellen bekommen und dadurch sind sie vertrauenswürdig.

Ich würde meinem selbst signiertem Zertifikat mehr vertrauen als einer Zertifizierungsstellen aus z.B. China.
Zum Vergrößern anklicken....

Kurz: du bist ein Troll.
 
Cool Master schrieb:
Das habe ich gerade für mein NAS erstellt. Ich kann nun schauen stimmen die Daten mit der eingegeben Domain überein. Klar, wie gesagt kann hier ein Phishing Angriff wie mit einem "echten" Zertifikat passieren wenn der DNS kompromittiert ist oder ein MITM vorliegt.
Zum Vergrößern anklicken....

Ich kann ein Zertifikat das genauso aussieht bei mir erstellen, diese Informationen zu überprüfen bring keine Sicherheit bei einem selbstsignierten Zertifikat. Jeder kann da reinschreiben was er will.

Cool Master schrieb:
Was macht eine Zertifizierungsstelle vertrauenswürdig? Das ist doch das Hauptproblem. Vor allem weil ich schon selber Zertifikate erstellt habe (vor Let's Encrypt) und die (ich glaube damals bei Thawte) hochgeladen habe und diese haben mir das Zertifikat durch bezahlen genehmigt. Da hat auch keine Überprüfung der Domain statt gefunden. Damit wurde aus einem Self Signed Zertifikat ein ganz normales Zertifikat welches von jedem Browser angenommen wurde.
Zum Vergrößern anklicken....

Jede Zertifizierungsstelle die Zertifikate ausstellt zu denen sie nicht berechtigt ist bekommt von den Browserherstellern ein paar richtig unangenehme Fragen gestellt, und wenn die nicht zufrieden sind dann kicken die diese Zertifizierungsstelle komplett aus dem Markt. Das ist mit der Symantec CA schonmal passiert.

Wenn du es schaffst bei einer CA ein Zertifikat für eine Domäne die du nicht kontrollierst zu bekommen (weil die CA das nicht richtig überprüft, nicht weil du den Server für diese Domäne gehackst hast oder ähnliches), dann wäre das ein ernsthaftes Sicherheitsproblem. Wenn das auffällt oder gemeldet wird, wird das Zertifikat sofort zurückgezogen und die CA muss das erklären und sich rechtfertigen.
 
Marco01_809 schrieb:
Dazu müsstest du es vorher aber auch erstmal manuell einschalten
Zum Vergrößern anklicken....
Die Überschrift des Artikels suggerierte mir, dass V83 nur noch HTTPS unterstützt. Man möge mir diesen Fauxpas verzeihen. Aber nachdem mich die Firefox Entwickler schon ein paar Mal mit ihrer Featuritis abgenervt haben, werde ich einen Teufel tun und gleich ein Update ziehen nur um alle Funktionalitäten abzuprüfen. Der Webbrowser ist für mich ein Werkzeug. Und es gibt (leider) immer noch alte Hardware, welche sich nur via http administrieren lässt (Storage Arrays, USVs, Print Server usw.).
 
Die Überschrift ist eine Überschrift. Für den Inhalt gibt es den weiteren Text.
Also erstmal den kompletten Artikel lesen und erst dann kommentieren. ;-)
Ergänzung ()

joshy337 schrieb:
Der Anwender sollte bis in alle Ewigkeit die Möglichkeit haben, die Empfehlungen auszuschlagen, wenn es die Situation erfordert.
Man denke nur an archive.org or die vielen Legacy-Seiten aus den 90ern, die noch online sind.
Zum Vergrößern anklicken....
about:config regelt
Und archive.org bietet HTTPS an.
 
poly123 schrieb:
Wir haben beruflich große Probleme damit, denn auch Schadcodeseiten stellen sich für ihre kurze Überlebensdauer (der Webseite selbst) vermeintlich vertrauenswürdige Zertifikate über dieses Projekt aus 😠
Zum Vergrößern anklicken....
HTTPS bedeutet ja nur dass zwischen dem Nutzer und der Hoster der Seite sonst keiner den Datenverkehr mitlesen kann. Es bedeutet nicht dass die Seite sicher oder vertrauenswürdig ist, auch nicht wenn man für das Zertifikat bezahlt hat!

Ein vertrauenswürdiger Shop hat SSL, aber das reicht nicht um vertrauenswürdig zu sein.

Let's Encrypt ist sicher nicht perfekt, aber dass man kostenlos an ein Zertifikat kommt, ist nicht das Problem.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz