image

Ontwikkelaar: Firefox NoScript geen beveiligingsrisico

vrijdag 8 april 2016, 10:14 door Redactie, 6 reacties

De ontwikkelaar van de populaire Firefox-extensie NoScript, Giorgio Maone, stelt dat zijn creatie geen beveiligingsrisico is en hekelt een nieuwsbericht waarin het tegenovergestelde wordt beweerd. Aanleiding voor het bericht is recent gepubliceerd beveiligingsonderzoek naar Firefox-extensies en add-ons.

Daaruit blijkt dat een kwaadaardige add-on, die door Mozilla is goedgekeurd en door de gebruiker zelf is geïnstalleerd, andere geïnstalleerde add-ons voor malafide doeleinden kan gebruiken om zo zelf onopgemerkt te blijven. De onderzoekers ontdekten dat onder andere NoScript door zo'n kwaadaardige add-on kan worden gebruikt. Firefox NoScript is een populaire uitbreiding die allerlei scripts op pagina's blokkeert, wat tracking en drive by download-aanvallen kan voorkomen. Veel beveiligingsexperts adviseren de extensie dan ook.

Website Digital Trends berichtte over het onderzoek en stelde dat populaire extensies zoals NoScript de computer kwetsbaar voor malware en beveiligingslekken maken. "Je kunt ook zeggen dat je Microsoft Office moet verwijderen omdat je morgen een virus kunt installeren dat de automatiseringsinterface van Word gebruikt om zichzelf te verspreiden", aldus Maone. "Het is sensatie en een FUD-verhaal, dat op zo'n onzorgvuldige wijze wordt verslagen dat het nu zeer moeilijk is om de perceptie van gebruikers te veranderen."

Maone is ook teleurgesteld in de reactie van Mozilla-topman Nick Nguyen, die het verhaal niet ontkracht maar bevestigt en gebruikt om het nieuwe extensiemodel van Firefox aan te prijzen. Het nieuwe extensiemodel is volgens Maone beter maar kan kwaadaardige intenties in een add-on niet voorkomen. "Alleen het getrainde oog van iemand die de code controleert kan het risico wegnemen en dat zorgt ervoor dat addons.mozilla.org zoveel beter is dan andere 'marktplaatsen', ook al is er ruimte voor verbetering", besluit de NoScript-ontwikkelaar.

Reacties (6)
08-04-2016, 10:27 door Anoniem
"Het is sensatie en een FUD-verhaal, dat op zo'n onzorgvuldige wijze wordt verslagen dat het nu zeer moeilijk is om de perceptie van gebruikers te veranderen."

Maar dat geldt voor vrijwel alle security verhalen! Het is nou eenmaal leuk om een kwetsbaarheid aan het licht te brengen,
sommige mensen kicken hier echt op zeker als het een bekend product betreft, zelfs als die kwetsbaarheid in de praktijk
niet echt wat voorstelt.

Wat ik ernstiger vind is dat de ontwikkelaar stelt dat zijn product "geen beveiligingsrisico is". Dat is een bewering die
zacht als boter is en zomaar van de ene op de andere dat totaal onwaar kan blijken te zijn. Dat kun je als ontwikkelaar
beter niet zeggen.
08-04-2016, 11:24 door Anoniem
Ik gebruik Firefox omdat Noscript ervoor is en ik stel enkele keren per sessie de filters bij naar mijn wens. Had hier ook Firefox op mijn tablet maar nu daar Noscipt niet meer op werkt ben ik overgegaan op Opera.

Voor mij is Noscript onmisbaar om zelf de controle over mijn browser te houden. Het komt de industrie niet goed uit omdat zij geen vrij spel meer hebben en diegene die onze vrijheid in dit zouden moeten verdedigen als grote speler zijn vaak te afhankelijk van die industrie.
08-04-2016, 12:00 door Anoniem
Lees aub de referentie links uit dit bericht.
Dan zal het duidelijk zijn waar het probleem ligt: Bij FF die geen waterdichte sandbox heeft.
En Mozilla-topman Nick Nguyen doet wat veel topmannen doen: recht praten wat scheef is. Het was beter geweest als deze persoon uit eigen beweging op deze zwakte in zijn produkt had gewezen.
08-04-2016, 12:54 door Anoniem
Door Anoniem: Wat ik ernstiger vind is dat de ontwikkelaar stelt dat zijn product "geen beveiligingsrisico is". Dat is een bewering die zacht als boter is en zomaar van de ene op de andere dat totaal onwaar kan blijken te zijn. Dat kun je als ontwikkelaar beter niet zeggen.
Dat zijn woorden van security.nl, niet van Maone zelf. Ik zie ze althans niet in de reactie van Maone (laatste link in het artikel) staan.

Zo komt het op mij over:

Onderzoekers: NoScript heeft een ernstig probleem!
Maone: Doe verdorie niet zo dramatisch, wat jullie aankaarten is lang niet zo erg als jullie het voorstellen.
Security.nl: Maone stelt dat NoScript probleemvrij is.
08-04-2016, 16:04 door Anoniem
Het valt mij wel op dat Giorgio Maone de dingen wel vaker verkeerd ziet.
Jammer, want zo heeft niemand daar wat aan.
08-04-2016, 17:33 door Anoniem
Ja maar waarom moet Firefox zo lang achterblijven met haar security sandbox beveiliging vergeleken bij Google Chrome en consorten, hoewel daar is ook niet alles koek en ei is. Kijk maar eens naar de fouten die optreden bij bijvoorbeeld een extensie als Disconnect, zodra andere extensies deze op omleidingssnelheid weten af te troeven. Voor extensies moet er een afschermend speelveld en whitelisting komen en de code moet goed beveiligd zijn. Firefox kondigde pas in augustus vorig jaar de beveiliging van het add-ons model aan met haar elektrolysis sandbox, signeren van add-ons, en het maken van een verse start. Kennelijk hebben ze toch nog een jarenlange achterstand op Google Chrome, die al vanaf het lanceren van de browser kon werken aan de betere sandbox beveiliging van de browser en halen ze dat niet een, twee, drie meer in. Aan deze slechte sandbox beveiliging kan Giorgi Maone met zijn hele verhaal ook niets afdoen en misschien kijkt hij daarom een beetje zuur naar zijn Mozilla-broodheer. Maar het is nog steeds: ´Wiens brood men eet, diens woord men spreekt`, aldus het spreekwoord.
Overigens naast uMatrix en met een goed adblocker vindt ik script-blocking nog de beste vorm van in-browser-beveiliging.
Maar malware script detector userscript van d0ubl3_h3lix http ://yehg.net draaien in de browser via Tampermonkey is ook een goed beveiligingsidee, lees: http://www.slideshare.net/guest31a5be/introducing-malware-script-detector
Heb nog al eens wat aanvalscode en xss scriptjes ermee gedetecteerd.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.