image

Tor Browser gaat Firefox niet voor Chrome inruilen

dinsdag 19 augustus 2014, 10:55 door Redactie, 10 reacties

Het Tor Project is niet van plan om Mozilla Firefox als basis voor Tor Browser door Google Chrome te vervangen, ook al wordt dat wel door een beveiligingsbedrijf aangeraden. Tor Browser bestaat uit Firefox en software om verbinding met het Tor-netwerk te maken.

Via het Tor-netwerk kunnen gebruikers hun IP-adres afschermen en gecensureerde websites bezoeken. Daarnaast biedt Tor Browser verschillende andere opties die de privacy van gebruikers verder beschermen. In mei van dit jaar kreeg beveiligingsbedrijf iSEC Partners van het Open Technology Fund de opdracht om de beveiliging van Tor Browser te controleren, maatregelen te onderzoeken om de beveiliging aan te scherpen, naar een overzicht van bekende Firefox-lekken te kijken en andere zaken om het aanvalsoppervlak te verkleinen.

Beveiliging

Het onderzoek leverde verschillende punten op. Zo blijkt Address Space Layout Randomization (ASLR) op zowel Windows als Mac te zijn uitgeschakeld. Dit is een beveiligingsmaatregel die misbruik van een beveiligingslek lastiger moet maken. Een oplossing voor Windows zou binnenkort moeten verschijnen, aangezien het probleem hier al bekend was. Dat geldt echter niet voor Mac OS X. Om het probleem hier op te lossen moet er een 64-bit versie van Tor Browser voor Mac OS X worden gecompileerd.

Verder kreeg het Tor Project het advies om aan de Pwn2Own-wedstrijd mee te doen. Dit is een jaarlijks evenement waarbij hackers en onderzoekers worden uitgedaagd om kwetsbaarheden in veel gebruikte browsers en browserplug-ins te vinden. Ook moet het gebruik van de Microsoft Enhanced Mitigation Experience Toolkil (EMET) op Windows worden getest en uiteindelijk aan gebruikers worden geadviseerd. EMET is ontwikkeld om het aanvallen van onbekende lekken lastiger te maken of tegen te gaan.

Google Chrome

iSEC Partners adviseerde ook om op Google Chrome over te stappen. Chrome biedt namelijk een sandbox, wat een belangrijke beveiligingsmaatregel is. Firefox beschikt nog altijd niet over een sandbox, ook al heeft Mozilla tien ingenieurs op de ontwikkeling ervan gezet. Verder ondersteunt Chrome ook andere aanvullende beveiligingsmaatregelen en innovaties. Toch wordt een overstap niet overwogen. Het budget voor het browserproject is nog steeds beperkt ten opzichte van de privacyeigenschappen die volgens het Tor Project belangrijk zijn.

De Tor-ontwikkelaars stellen dat Firefox een veel kosteneffectiever platform is, met name vanwege het veelzijdige extensie-systeem, de degelijke proxy-ondersteuning en aan te passen gebruikersinterface. Daarnaast zou Google Chrome veel minder gericht zijn op het ondersteunen van basale webprivacy en features die belangrijk voor Tor zijn. In het verleden zou er al zijn samengewerkt met Google, maar bleken er verschillende hindernissen te zijn als het om Tor-specifieke features en aanpassingen ging.

Hoewel het Tor Project Google Chrome niet wil uitsluiten, zou het op dit moment inhouden dat er nog meer aanpassingen aan Tor browser moeten worden verricht dan met Firefox het geval is. "Mozilla Firefox blijft voor ons het beste platform om te demonstreren dat het mogelijk is om echte "privacy by design" voor het web te bieden voor de mensen die het willen", zegt Mike Perry van het Tor Project.

Reacties (10)
19-08-2014, 12:00 door Anoniem
Wacht even...

We gaan een 'privacy by design' browser maken, en dan gaan we die baseren op Chrome van Google???

Dezelfde Google die 'privacy bestaat niet' als onofficieel motto heeft?

ROFLOLBBQ!
19-08-2014, 13:35 door Anoniem
Daarnaast zou Google Chrome veel minder gericht zijn op het ondersteunen van basale webprivacy

Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.
19-08-2014, 16:14 door Anoniem
Door Anoniem:
Daarnaast zou Google Chrome veel minder gericht zijn op het ondersteunen van basale webprivacy

Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.

Waarom !
19-08-2014, 16:17 door Anoniem
Door Anoniem:
Daarnaast zou Google Chrome veel minder gericht zijn op het ondersteunen van basale webprivacy

Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.

Google Chrome is op Chromium gebaseerd en dat is een open source project dus waarom zou dat gestoord zijn.
19-08-2014, 19:52 door QaQa79
Door Anoniem:
Door Anoniem:
Daarnaast zou Google Chrome veel minder gericht zijn op het ondersteunen van basale webprivacy

Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.

Google Chrome is op Chromium gebaseerd en dat is een open source project dus waarom zou dat gestoord zijn.

Dat wilde ik net zeggen. In principe zou elke browser in dat geval mogelijk ongeschikt kunnen zijn. niet alleen chrome(ium).
19-08-2014, 20:55 door Anoniem
Ik adviseer Google Chrome om als standaard browser te gebruiken, laat je niet wijsmaken door die privacy-gekkies dat Chrome niet goed is vanwege de zogenaamde privacy.
19-08-2014, 21:52 door Anoniem
Ik lees echter dat: Tor Browser gaat Firefox niet!!! voor Chrome inruilen. Waar maken we ons dan druk om??
19-08-2014, 22:56 door Anoniem
Door QaQa79:
Door Anoniem:
Door Anoniem:
Daarnaast zou Google Chrome veel minder gericht zijn op het ondersteunen van basale webprivacy

Understatement van de eeuw!
Advies over te stappen op Chrome is op het gestoorde af.

Google Chrome is op Chromium gebaseerd en dat is een open source project dus waarom zou dat gestoord zijn.

Dat wilde ik net zeggen. In principe zou elke browser in dat geval mogelijk ongeschikt kunnen zijn. niet alleen chrome(ium).

"Google Chrome is op Chromium gebaseerd". Dat zegt Google graag, maar de source van Google Chrome is net als die van IE en Opera Propietary !!!!!
De kern van Google Chrome is weliswaar gebaseerd op Chromium maar wat Google er allemaal aan spyware toegevoegd heeft mogen we niet weten! Geef anders een link waar we de exacte code van de Google Chrome browser in kunnen zien. Tot nu toe heeft Google dat namelijk geweigerd. De enige echte 100% open source browser blijft Firefox.
19-08-2014, 23:39 door Anoniem
Ik vergat nog een linkje.

Why we should all use Firefox and NOT Google Chrome:

"They (Google) never released the entire code, making it more like an iPhone OS type of exploitation than it is a collaborative project

http://tarekshalaby.com/2010/09/why-we-should-all-use-firefox-and-not-google-chrome/
20-08-2014, 13:55 door Anoniem
Kloppen de kop en de conclusie eigenlijk wel?

Google Chrome

iSEC Partners adviseerde ook om op Google Chrome over te stappen.

Uit : Tor Browser Bundle - iSEC Deliverable 1.3.pdf
Page 6 of 154

Long Term
..
Closely follow the Chrome Security team. The Chrome Security team has been a source of innovation in the browser security space. Tor Browser Bundle is based on Firefox and thus inherits progress made by Mozilla automatically. While improvements in Chrome may not be appropriate for Firefox, they could be integrated in Tor Browser Bundle. In a best case scenario, members of the Chrome Security team may be allowed to work with the Tor Project on these changes.

Dat leest toch een beetje anders .. .
(ahum, nog weer een understatement).


OS X techniek & overwegingen
(van wat ik eruit begrijp, correct me if i'm wrong)

Dat geldt echter niet voor Mac OS X. Om het probleem hier op te lossen moet er een 64-bit versie van Tor Browser voor Mac OS X worden gecompileerd.

Firefox ESR 24 & 31 zijn allebei al 64 bits op de Mac.
Het probleem zit hem in de ASLR toepassing onder de diverse OS X versies.

Onder OS X 10.5 Leopard en 10.6 Snow Leopard is de ASLR niet zo effectief als onder OS X 10.7 en later.
Voor het implementeren van de 64 bit Firefox is kennelijk een SDK nodig (waarom begrijp ik niet want de 43 bit ESR 24 en 31 versie zijn wel met OS X 10.6 compatible) dat alleen OS X 10.7 en later ondersteunt.

Daar zou het team van de Tor browserbundle zo voor kunnen kiezen.
Of die discussie gevoerd wordt met welke argumenten om dat niet te doen heb ik nog niet gevolgd.
Er zijn op zich redenen om niet 'de markt achterna' te rennen in het droppen van support voor oudere systemen (voorbeelden genoeg).

Er worden dus weliswaar mogelijke security problemen geconstateerd maar die zijn als je het rapport doorbladert voor een groot deel ook al op andere wijze te ondervangen!

Niet met naam en toenaam in het rapport genoemd, maar een goede scherpere standaard config setting van de meegeleverde Noscript (wordt ook wel eens opgemerkt op de blogs, recent nog, ..) lijkt al een deel te kunnen ondervangen, alsmede een scherpere aanpassing van een aantal settings onder de about:config, en het sterker monitoren wat er onder de about:config verandert na elke neiuwe FF release.
Omdat Australisje Firefox wel heel graag opschuift naar de 'functionaliteits markt' en hier en daar gevolgen kan hebben voor de privacy en security van gebruikers die dat wensen of nodig hebben.

Daarnaast is het in praktische zin zo dat OS X zeer weinig te leiden heeft van malware in het algemeen en geavanceerde malware in het bijzonder. Dta is geen legitimering om niet blijvende te werken aan een zo veilig mogelijk systeemmaar het is wel iets om het een beetje in perspectief te plaatsen.
De geavanceerde malware waar ook OS X last van heeft komt nogal eens van overheidsmonitor ondersteunende software leveranciers als de Gamma groep en Hacking team (de bekendste usual suspects).

Daartegen moeten producten zeker beschermd worden maar zal geen sinecure zijn en in dat proces van afwegingen zitten er vele.
Security zal belangrijk zijn.
Een zeker marktaandeel ook, de afweging zal alleen nogal anders kunnen zijn, security in praktische zin inpassen en niet boven bereik laten prevaleren.
Let wel; in grote delen van de wereld hebben gebruikers die wel de Torbrowser willen gebruiken, niet de budgetten om de nieuwste Mavericks Mac's aan te schaffen en zullen het eerder doen met oudere Mac systemen.

Andere variant ter discussie : Security ìn obscurity

Lastig security technisch topic, oninteressant topic voor westerse luxe paardjes met de nieuwste spulletjes.
Oninteressant topic voor het Tor team?
Hopen van niet.


Privacy

Browsertechniek even afscheidend van het privacy topic, ofwel
Privacy en veiligheid; vrijheid blijheid als je je het kan veroorloven, maak een bewuste keuze en niet uit gemakzucht of slechts hang naar comfort.

De Torbrowser is een privacy gerichte browser waarbij het gaat om anonimiteit en dus privacy!

Google heeft een andere insteek als bedrijfsmodel, de producten die het aanbiedt worden gefinancierd bij gratie van het verzamelen van zoveel mogelijk gebruikersgegevens waar het kan.
Dat is op zich best te begrijpen maar staat op zeer gespannen voet met privacy. Als je eigenlijk nog wel over privacy kunt spreken (understatement)
Dat mag je niet erg vinden of niet belangrijk vinden, het niet willen zien of het ronduit ontkennen is van een epische stompzinnigheid.

Vandaar de opmerking : "Advies over te stappen op Chrome is op het gestoorde af."

Dat advies lijkt echter stukken genuanceerder te liggen en eigenlijk van een heel redelijke utopisch uitgangspunt; 'concurrenten' die elkaar helpen met werken aan security oplossingen waar het kan en als het al veel expertise in huis heeft.
Helpen met kennis is wellicht een nuttiger idee dan sponsoring in geld.

Of en hoe dit idee in de praktijk zou werken en zou kunnen leiden tot toegeven aan verleidingen voor Google omgekeerd toepassingen uit de Torbrowser te implementeren in de eigen browser of een aparte browservariant met als gevolg een einde Tor project valt te bezien.
Voor niets gaat de zon op,
voor al het andere moet er een advertentie bij (van Google)

Privacy is niet gratis, niet voor niets, en niet te vangen in één comfortabel 'nooit meer naar omkijken product' : daar moet je zelf continue aan werken, "It's a Mindset"!


(Moraal in de herhaling : letten op je privacy heeft geen ernstige consequenties, het consequent veronachtzamen van je privacy mogelijk wel. Kijk maar over de grens, of eigenlijk zouden we dat juist niet moeten doen en het dicht bij huis houden.
De tijd zal het leren en 'de dommen' van 'de gekkies' feiloos scheiden.
'Zuckie' for president?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.