Mozilla bekijkt Tor-integratie Firefox en lanceert privacytool
Mozilla gaat de integratie van Tor binnen Firefox onderzoeken en heeft een nieuwe privacytool gelanceerd waarmee gebruikers zich tegen trackers op het web kunnen beschermen. De twee projecten zijn onderdeel van het Polaris-initiatief, dat Mozilla gisteren aankondigde. Polaris heeft als doel om samen met andere partijen de privacy op het web te bevorderen, anonimiteit te beschermen en censuur te bestrijden.
Zo wordt er samengewerkt met het Center for Democracy & Technology (CDT) en het Tor Project, die Polaris-projecten zullen ondersteunen en hierover zullen adviseren. Bij het eerste project dat gisteren werd aangekondigd zullen Mozilla-ingenieurs onderzoeken hoe de code van Firefox moet worden aangepast zodat de browser eenvoudiger en sneller met Tor kan werken. Ook zal Mozilla binnenkort beginnen met het hosten van snelle Tor-relays, om het Tor-netwerk sneller te laten werken en ervoor te zorgen dat het meer gebruikers aankan.
Via Tor kunnen gebruikers hun IP-adres verbergen en gecensureerde websites bezoeken. Op dit moment maken veel Tor-gebruikers gebruik van Tor Browser. Dit is een aangepaste Firefox-versie aangevuld met software om verbinding met het Tor-netwerk te maken. Begin oktober was het Tor-directeur Andrew Leman die al op een mogelijke integratie tussen Tor en Firefox wees. Mogelijk gaat Firefox Tor als "private browsingmode" aanbieden, waarbij gebruikers eenvoudig met het Tor-netwerk verbinding kunnen maken.
Privacytool
Het tweede experiment dat als onderdeel van Polaris werd aangekondigd is de introductie van trackingbescherming in Firefox. Deze maatregel is nu alleen nog aanwezig in een vroege testversie van de browser en zorgt ervoor dat bekende trackingdomeinen worden geblokkeerd. Het gaat dan met name om domeinen die de Do Not Track-optie niet respecteren. De blocklist die Firefox gebruikt is van Disconnect, een browserplug-in die allerlei trackers blokkeert. Uit eerste resultaten blijkt dat het blokkeren van de trackers het laden van websites met gemiddeld 20% versnelt.
Namelijk ik gebruik al Openvpn,dat is al goed genoeg,Tor wil ik niet afkraken opzicht wel een redelijk alternatief voor Openvpn,maar ja niet iedereen wil Tor gebruiken.
Dus het moet ook niet door de strot van Firefoxgebruikers worden geduwd.
Namelijk ik gebruik al Openvpn,dat is al goed genoeg,Tor wil ik niet afkraken opzicht wel een redelijk alternatief voor Openvpn,maar ja niet iedereen wil Tor gebruiken.
Dus het moet ook niet door de strot van Firefoxgebruikers worden geduwd.
Binnen Firefox zijn er verschillende manieren om op je privacy te letten, de private modus is er er één van.
Tor en VPN zijn twee verschillende dingen, met verschillende voordelen en nadelen.
https://www.torproject.org/docs/faq.html.en#IsTorLikeAVPN
Je kan ze ook combineren, dan heb je het beste van twee werelden.
Behalve als je die VPN alleen maar hebt om anoniem veel te kunnen downloaden, voor het downloaden of films kijken is Tor niet bedoeld en niet geschikt, daar is het te langzaam voor of is in strijd met je privacy (media plugins).
Verder zijn er vele soorten plugins beschikbaar voor Firefox, waarschijnlijk heb je helemaal geen last van deze toekomstige uitbreiding, als deze Mozilla Tor-plannen al door zouden gaan.
Zover is het nog lang niet en in de about:config kan meestal nog een heleboel weer aangepast worden.
Nothing on the hand
Onzinnig voorbeeld : waarom wil jij je bankzaken zo graag met de Torbrowser doen?
De Torbrowser is bedoeld om je anonimiteit te garanderen.
Anoniem bankieren is er niet bij (en waarom ook wel?), je logt immers in op je eigen bankaccount op naam en is daarmee per definitie niet anoniem.
Maar inderdaad: Voor het WK gangers in Brazilië werd er inderdaad geadviseerd daar voor internetbankieren gebruik te maken van de Torbrowser om te 'voorkomen 'dat mensen fraude problemen zouden ondervinden met internetbankieren.
Dat had niet zozeer met het Tornetwerk te maken maar met het feit dat er twee belangrijke addons al in de Torbrowser zitten; Https Everywhere om secure verbindingen over wifi af te dwingen. En de NoScript addon (die weliswaar veel beter kan worden ingesteld maar weinigen doen).
Snel advies om die Torbrowser aan te raden, in plaats van neem Firefox en installeer de twee addons,.. (haken mensen al af).
Verder, anonimiteit en veiligheid worden nog wel eens doorelkaar gehaald, zeker als het om de Torbrowser gaat.
De Torbrowser focust zich op anonimiteit en heeft in die zin in bepaalde situaties een positief effect op je veiligheid.
Die (persoonlijke / privacy) veiligheid moet je niet verwarren met meer specifieke computer security maatregelen.
Neem die dus ook naast het gebruik van de Torbrowser. *
Wat betreft het volgens jou makkelijke sniffen etc, onderbouw je uitspraken met verwijzingen.
De veronderstelde vlieger gaat 'vast niet' op voor https verbindingen, die 'opmerkelijk genoeg' veel websites waarbij je moet inloggen weer hebben.
Komt dat even goed uit.
Wel ben ik het met je eens dat het idee van snotapen die exitnodes alleen maar draaien voor het sniffen (meekijken) een minder prettig idee is.
Voor wat het waard is, je exitnode verbinding wisselt elke 10 minuten.
Algemene aanbeveling, persoons (gevoelige) gegevens uitwisselen over onbeveiligde http verbindingen is inderdaad niet aan te raden.
* (de maatregelen werken ook iets anders, bijvoorbeeld let erop dat je eventuele lijst van host blokkeer rules danwel je 'oude' Firewall blocking rules niet meer werken. Je maakt immers geen direct contact meer met het internet maar via een ander).
Onzinnig voorbeeld : waarom wil jij je bankzaken zo graag met de Torbrowser doen?
Juist niet dus, maar als mensen zonder veel verstand van Tor dat wel willen doen, dan zitten daar ook bepaalde risico's aan vast. Het verschil tussen anonimiteit en veiligheid is mij bekend, maar bij velen niet.
De presentatie kan ik niet zo snel meer terug vinden, het was een CCC of Blackhat presentatie door een Spanjaard/Portugees, die zonder veel problemen irl streaminjection demonstreerde. Hij maakte wel gebruikt van een open proxy (ipv Tor), maar het principe blijft wel hetzelfde. Met https is het natuurlijk moeilijker, maar daar kunnen nog velen intrappen wanneer niet het goede certificaat wordt getoond. Zijn aanbeveling was dan ook om die gratis open proxies niet te gebruiken, wat ik na zijn demonstraties wel kon begrijpen. Persoonlijk vind ik inderdaad dat sniffen van die "snotapen" niet zo leuk idee, maar ieder zijn mening. Wie vertrouw je meer, die snotapen of jouw isp/overheid, blijft lastig!
Ik had op dit moment liever gezien dat HttpsEverywhere standaard in Firefox wordt ondergebracht i.p.v. Tor. Momenteel ben ik niet tegen Tor, maar voorlopig doe ik er nog niks mee.
De laatste 10 updates hebben ze goede dingen gesloopt (click to play) en onzin erin gebouwt...
Serieus wie wil in hemelsnaam nou tor in z'n normale browser en al z'n data via tig andere computers (welke besmet of mallicious kunnen zijn, was daar laatst niet een artikel over op security.nl?) routen?
Mozilla is totaal de weg kwijt.
Onzinnig voorbeeld : waarom wil jij je bankzaken zo graag met de Torbrowser doen?
Het Tor netwerk wordt door Tor, gebruikers en onderzoekers in de gaten gehouden, oneffenheden worden gemeld, bad exit nodes komen op de zwarte lijst en worden verwijderd. Een langdurige kans op misbruik is daarmee kleiner dan bij een 'open proxy' waar jij het over hebt.
Open proxy is dus geen Tor.
Zelf Https Everywhere installeren is simpel, daar heb je Mozilla echt niet voor nodig.
https://www.eff.org/https-everywhere
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
