Miljoenen Firefox gebruikers kwetsbaar door extensies
Miljoenen Firefox gebruikers lopen het risico om gehackt te worden omdat ze allerlei extensies gebruiken. Het gaat met name om commerciële third-party extensies, zoals die van Google, Yahoo, Ask, Facebook, LinkedIn, Del.icio.us, Netcraft Anti-Phishing Toolbar en de PhishTank SiteChecker.
In tegenstelling tot alle extensies die Mozilla aanbiedt, zoeken de commerciële extensies naar updates op servers die geen https gebruiken. Een aanvaller zou, in het geval van een draadloos netwerk, de update check van de extensie kunnen kapen, en zo een kwaadaardig bestand aanbieden. Op deze manier kan de aanvaller het systeem overnemen of vertrouwelijke gegevens achterhalen.
De ontdekking werd gedaan door Christopher Soghoian, de student die eerder al het nieuws haalde met zijn vliegticketgenerator. "Het is wel erg ironisch dat je door het downloaden van een anti-phishing toolbar je jezelf kwetsbaarder maakt dan als je het niet had gedownload. Het was erg eenvoudig te ontdekken, en het heeft me meer tijd gekost om de vendors zover te krijgen dat ze het probleem oplossen," aldus Soghoian. De beveiligingsonderzoeker raadt gebruikers aan om alle extensies die ze niet via de officiële Mozzilla extensie pagina hebben gedownload, te verwijderen.
als je niet weet hoe je ze hebt gekregen.
Ik gebruik geen enkele toolbar en dat is ook nog nooit nodig geweest om
mij goed en veilig over het internet te begeven.
Firefox = Google spyware inside
Er zijn geen volwaardige alternatieven waarin geen onzinnige
shit in is verwerkt.
Hoogtijd voor een firefox fork() zonder Google en andere
partijen erin.
Internet explorer = Microsoft spyware inside
Firefox = Google spyware inside
Er zijn geen volwaardige alternatieven waarin geen onzinnige
shit in is verwerkt.
Hoogtijd voor een firefox fork() zonder Google en andere
partijen erin.
Hey, je vergeet opera en safari af te zuigen...
'k Vind je mening amper ergens op slaan en zeker slecht
onderbouwd.
Internet explorer = Microsoft spyware inside
Firefox = Google spyware inside
Er zijn geen volwaardige alternatieven waarin geen onzinnige
shit in is verwerkt.
Hoogtijd voor een firefox fork() zonder Google en andere
partijen erin.
Hoe kom jij aan firefox dan?
Via google pack ofzo? Of via de website van google;
"Firefox + Google toolbar"
Als je firefox gewoon download via mozilla.com zit
er geen google in, alleen dan maakt het phising filter
gebruik van
google. Maar dat kun je uitzetten.
worden bereikt met alleen een verwijzing in de bookmarks
toolbar. Dan is geen externe en potentieel gevaarlijke code
nodig.
en bij mij zat er gewoon een google toolbar bij :-S
Nee, extenties zijn lek. Dat is net zoiets als zeggen "Ferrari's kunnen
makkelijk gestolen worden"... en dan vervolgens verder gaan met dat als je
alle deuren en ramen open laat staan en de sleutel in het contact laat dat
dan je auto wel eens gestolen kan worden. Bovendien werkt het alleen bij
ongesigneerde extenties EN wanneer je DNS server al geowned is... Nou,
als die al geowned is, hoef je van je extenties niet zo bang meer te zijn.
Dat is toch VRAGEN om moelijkheden? Ik neem aan dat men toch ook
bankzaken en betalingen via een beveiligde lijn doet?
Tsjaaa zeg! Wie haalt nu extensies op zonder een
https-verbinding?
Dat is toch VRAGEN om moelijkheden? Ik neem aan dat men toch
ook
bankzaken en betalingen via een beveiligde lijn doet?
95% van de gebruikers
"Users are most vulnerable to this attack when they cannot
trust their
domain name server."
Ik denk dat je dan grotere problemen hebt dan je Firefox
extensies...
Een spectaculaire titel, meer niet.
Gebruiken die wel https?
Dit is geen probleem met Firefox, dus het is bijzonder
oneerlijk om firefox en niet Google in de titel te gooien.
Firefox heeft genoeg te lijden van authentieke exploits.
netwerk, de update check van de extensie kunnen kapen, en zo
een kwaadaardig bestand aanbieden.
draadloos netwerk komt meestal niet veel verder dan de
buren, dus als je dan wat gebeurd, weet je meestal ook wel
waar het vandaan komt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
