Tor Browser gaat Firefox niet voor Chrome inruilen
Het Tor Project is niet van plan om Mozilla Firefox als basis voor Tor Browser door Google Chrome te vervangen, ook al wordt dat wel door een beveiligingsbedrijf aangeraden. Tor Browser bestaat uit Firefox en software om verbinding met het Tor-netwerk te maken.
Via het Tor-netwerk kunnen gebruikers hun IP-adres afschermen en gecensureerde websites bezoeken. Daarnaast biedt Tor Browser verschillende andere opties die de privacy van gebruikers verder beschermen. In mei van dit jaar kreeg beveiligingsbedrijf iSEC Partners van het Open Technology Fund de opdracht om de beveiliging van Tor Browser te controleren, maatregelen te onderzoeken om de beveiliging aan te scherpen, naar een overzicht van bekende Firefox-lekken te kijken en andere zaken om het aanvalsoppervlak te verkleinen.
Beveiliging
Het onderzoek leverde verschillende punten op. Zo blijkt Address Space Layout Randomization (ASLR) op zowel Windows als Mac te zijn uitgeschakeld. Dit is een beveiligingsmaatregel die misbruik van een beveiligingslek lastiger moet maken. Een oplossing voor Windows zou binnenkort moeten verschijnen, aangezien het probleem hier al bekend was. Dat geldt echter niet voor Mac OS X. Om het probleem hier op te lossen moet er een 64-bit versie van Tor Browser voor Mac OS X worden gecompileerd.
Verder kreeg het Tor Project het advies om aan de Pwn2Own-wedstrijd mee te doen. Dit is een jaarlijks evenement waarbij hackers en onderzoekers worden uitgedaagd om kwetsbaarheden in veel gebruikte browsers en browserplug-ins te vinden. Ook moet het gebruik van de Microsoft Enhanced Mitigation Experience Toolkil (EMET) op Windows worden getest en uiteindelijk aan gebruikers worden geadviseerd. EMET is ontwikkeld om het aanvallen van onbekende lekken lastiger te maken of tegen te gaan.
Google Chrome
iSEC Partners adviseerde ook om op Google Chrome over te stappen. Chrome biedt namelijk een sandbox, wat een belangrijke beveiligingsmaatregel is. Firefox beschikt nog altijd niet over een sandbox, ook al heeft Mozilla tien ingenieurs op de ontwikkeling ervan gezet. Verder ondersteunt Chrome ook andere aanvullende beveiligingsmaatregelen en innovaties. Toch wordt een overstap niet overwogen. Het budget voor het browserproject is nog steeds beperkt ten opzichte van de privacyeigenschappen die volgens het Tor Project belangrijk zijn.
De Tor-ontwikkelaars stellen dat Firefox een veel kosteneffectiever platform is, met name vanwege het veelzijdige extensie-systeem, de degelijke proxy-ondersteuning en aan te passen gebruikersinterface. Daarnaast zou Google Chrome veel minder gericht zijn op het ondersteunen van basale webprivacy en features die belangrijk voor Tor zijn. In het verleden zou er al zijn samengewerkt met Google, maar bleken er verschillende hindernissen te zijn als het om Tor-specifieke features en aanpassingen ging.
Hoewel het Tor Project Google Chrome niet wil uitsluiten, zou het op dit moment inhouden dat er nog meer aanpassingen aan Tor browser moeten worden verricht dan met Firefox het geval is. "Mozilla Firefox blijft voor ons het beste platform om te demonstreren dat het mogelijk is om echte "privacy by design" voor het web te bieden voor de mensen die het willen", zegt Mike Perry van het Tor Project.
We gaan een 'privacy by design' browser maken, en dan gaan we die baseren op Chrome van Google???
Dezelfde Google die 'privacy bestaat niet' als onofficieel motto heeft?
ROFLOLBBQ!
Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.
Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.
Waarom !
Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.
Google Chrome is op Chromium gebaseerd en dat is een open source project dus waarom zou dat gestoord zijn.
Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.
Google Chrome is op Chromium gebaseerd en dat is een open source project dus waarom zou dat gestoord zijn.
Dat wilde ik net zeggen. In principe zou elke browser in dat geval mogelijk ongeschikt kunnen zijn. niet alleen chrome(ium).
Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.
Google Chrome is op Chromium gebaseerd en dat is een open source project dus waarom zou dat gestoord zijn.
Dat wilde ik net zeggen. In principe zou elke browser in dat geval mogelijk ongeschikt kunnen zijn. niet alleen chrome(ium).
"Google Chrome is op Chromium gebaseerd". Dat zegt Google graag, maar de source van Google Chrome is net als die van IE en Opera Propietary !!!!!
De kern van Google Chrome is weliswaar gebaseerd op Chromium maar wat Google er allemaal aan spyware toegevoegd heeft mogen we niet weten! Geef anders een link waar we de exacte code van de Google Chrome browser in kunnen zien. Tot nu toe heeft Google dat namelijk geweigerd. De enige echte 100% open source browser blijft Firefox.
Why we should all use Firefox and NOT Google Chrome:
"They (Google) never released the entire code, making it more like an iPhone OS type of exploitation than it is a collaborative project
http://tarekshalaby.com/2010/09/why-we-should-all-use-firefox-and-not-google-chrome/
iSEC Partners adviseerde ook om op Google Chrome over te stappen.
Uit : Tor Browser Bundle - iSEC Deliverable 1.3.pdf
Long Term
..
Closely follow the Chrome Security team. The Chrome Security team has been a source of innovation in the browser security space. Tor Browser Bundle is based on Firefox and thus inherits progress made by Mozilla automatically. While improvements in Chrome may not be appropriate for Firefox, they could be integrated in Tor Browser Bundle. In a best case scenario, members of the Chrome Security team may be allowed to work with the Tor Project on these changes.
Dat leest toch een beetje anders .. .
(ahum, nog weer een understatement).
OS X techniek & overwegingen
(van wat ik eruit begrijp, correct me if i'm wrong)
Firefox ESR 24 & 31 zijn allebei al 64 bits op de Mac.
Het probleem zit hem in de ASLR toepassing onder de diverse OS X versies.
Onder OS X 10.5 Leopard en 10.6 Snow Leopard is de ASLR niet zo effectief als onder OS X 10.7 en later.
Voor het implementeren van de 64 bit Firefox is kennelijk een SDK nodig (waarom begrijp ik niet want de 43 bit ESR 24 en 31 versie zijn wel met OS X 10.6 compatible) dat alleen OS X 10.7 en later ondersteunt.
Daar zou het team van de Tor browserbundle zo voor kunnen kiezen.
Of die discussie gevoerd wordt met welke argumenten om dat niet te doen heb ik nog niet gevolgd.
Er zijn op zich redenen om niet 'de markt achterna' te rennen in het droppen van support voor oudere systemen (voorbeelden genoeg).
Er worden dus weliswaar mogelijke security problemen geconstateerd maar die zijn als je het rapport doorbladert voor een groot deel ook al op andere wijze te ondervangen!
Niet met naam en toenaam in het rapport genoemd, maar een goede scherpere standaard config setting van de meegeleverde Noscript (wordt ook wel eens opgemerkt op de blogs, recent nog, ..) lijkt al een deel te kunnen ondervangen, alsmede een scherpere aanpassing van een aantal settings onder de about:config, en het sterker monitoren wat er onder de about:config verandert na elke neiuwe FF release.
Omdat Australisje Firefox wel heel graag opschuift naar de 'functionaliteits markt' en hier en daar gevolgen kan hebben voor de privacy en security van gebruikers die dat wensen of nodig hebben.
Daarnaast is het in praktische zin zo dat OS X zeer weinig te leiden heeft van malware in het algemeen en geavanceerde malware in het bijzonder. Dta is geen legitimering om niet blijvende te werken aan een zo veilig mogelijk systeemmaar het is wel iets om het een beetje in perspectief te plaatsen.
De geavanceerde malware waar ook OS X last van heeft komt nogal eens van overheidsmonitor ondersteunende software leveranciers als de Gamma groep en Hacking team (de bekendste usual suspects).
Daartegen moeten producten zeker beschermd worden maar zal geen sinecure zijn en in dat proces van afwegingen zitten er vele.
Security zal belangrijk zijn.
Een zeker marktaandeel ook, de afweging zal alleen nogal anders kunnen zijn, security in praktische zin inpassen en niet boven bereik laten prevaleren.
Let wel; in grote delen van de wereld hebben gebruikers die wel de Torbrowser willen gebruiken, niet de budgetten om de nieuwste Mavericks Mac's aan te schaffen en zullen het eerder doen met oudere Mac systemen.
Andere variant ter discussie : Security ìn obscurity
Lastig security technisch topic, oninteressant topic voor westerse luxe paardjes met de nieuwste spulletjes.
Oninteressant topic voor het Tor team?
Hopen van niet.
Privacy
Browsertechniek even afscheidend van het privacy topic, ofwel
Privacy en veiligheid; vrijheid blijheid als je je het kan veroorloven, maak een bewuste keuze en niet uit gemakzucht of slechts hang naar comfort.
De Torbrowser is een privacy gerichte browser waarbij het gaat om anonimiteit en dus privacy!
Google heeft een andere insteek als bedrijfsmodel, de producten die het aanbiedt worden gefinancierd bij gratie van het verzamelen van zoveel mogelijk gebruikersgegevens waar het kan.
Dat is op zich best te begrijpen maar staat op zeer gespannen voet met privacy. Als je eigenlijk nog wel over privacy kunt spreken (understatement)
Dat mag je niet erg vinden of niet belangrijk vinden, het niet willen zien of het ronduit ontkennen is van een epische stompzinnigheid.
Vandaar de opmerking : "Advies over te stappen op Chrome is op het gestoorde af."
Dat advies lijkt echter stukken genuanceerder te liggen en eigenlijk van een heel redelijke utopisch uitgangspunt; 'concurrenten' die elkaar helpen met werken aan security oplossingen waar het kan en als het al veel expertise in huis heeft.
Helpen met kennis is wellicht een nuttiger idee dan sponsoring in geld.
Of en hoe dit idee in de praktijk zou werken en zou kunnen leiden tot toegeven aan verleidingen voor Google omgekeerd toepassingen uit de Torbrowser te implementeren in de eigen browser of een aparte browservariant met als gevolg een einde Tor project valt te bezien.
Voor niets gaat de zon op,
voor al het andere moet er een advertentie bij (van Google)
Privacy is niet gratis, niet voor niets, en niet te vangen in één comfortabel 'nooit meer naar omkijken product' : daar moet je zelf continue aan werken, "It's a Mindset"!
(Moraal in de herhaling : letten op je privacy heeft geen ernstige consequenties, het consequent veronachtzamen van je privacy mogelijk wel. Kijk maar over de grens, of eigenlijk zouden we dat juist niet moeten doen en het dicht bij huis houden.
De tijd zal het leren en 'de dommen' van 'de gekkies' feiloos scheiden.
'Zuckie' for president?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
