Firefox 54 wordt eerste Firefox-versie met sandbox-beveiliging
Firefox 54 zal de eerste Firefox-versie worden die over een sandbox beschikt, een belangrijke beveiligingsmaatregel om gebruikers tegen aanvallen te beschermen die al geruime tijd in andere moderne browsers aanwezig is. Een sandbox wordt als belangrijk gezien omdat het kan voorkomen dat via één enkele kwetsbaarheid er meteen toegang tot het systeem kan worden verkregen.
Vorig jaar augustus lanceerde Mozilla de eerste Firefox-versie met "meerdere processen". Deze 'multi-proces Firefox' scheidt de webcontent van de processen van de gebruikersinterface. Dit houdt in dat een webpagina die veel rekenkracht in beslag neemt de knoppen en het menu van Firefox niet meer kan laten vastlopen, maar moet ook de stabiliteit en veiligheid vergroten. De functie was echter niet bij alle gebruikers ingeschakeld.
Met de lancering van Firefox 53 op 19 april aanstaande zal multiproces standaard voor alle gebruikers staan ingeschakeld. In het geval add-ons niet met multiproces werken zullen ze in de browser worden uitgeschakeld, tenzij de add-on een speciale optie heeft ingeschakeld. Uiteindelijk zal deze stap leiden naar een echte sandbox, die met Firefox 54 wordt gelanceerd. Zo kan er vanuit bepaalde contentprocessen geen bestandstoegang meer worden verkregen.
WebExtensions
Tegelijkertijd werkt Mozilla aan het uitfaseren van traditionele add-ons, zodat de browser met de lancering van Firefox 57 op 14 november dit jaar alleen nog WebExtensions ondersteunt. Mozilla had dit vorig jaar november al aangekondigd, maar heeft nu ook de bijbehorende mijlpalen onthuld.
Mozilla wil de traditionele add-ons vervangen door een model waarbij extensies straks in alle browsers kunnen werken, net zoals met webapplicaties nu het geval is. Om dit te realiseren is er voor WebExtensions gekozen, een verzameling van programmeerinterfaces (api's) voor het ontwikkelen van extensies. Extensies voor Chrome, Opera en Microsoft Edge zullen in Firefox als WebExtension kunnen draaien.
Ze zijn voorbij gestreefd in rap tempo door Google en zelfs Microsoft.
Ik betwijfel sterk of deze sandbox implementatie die twee jaar na de competitie te laat geimplementweerd wordt nog iets aan het imago kan verbeteren.
'multi-proces Firefox' = multi instabiel ?
'extensies straks in alle browsers kunnen werken' = meer malware dreiging ?
Waarom niet meteen de hele browser op java laten draaien.
Dan weet je zeker dat het altijd over al werkt en je wordt er ontzettend populair mee.
Bij bepaalde groepen.
Ondertussen stoten ze steeds meer trouwe gebruikersgroepen af.
'multi-proces Firefox' = multi instabiel ?
'extensies straks in alle browsers kunnen werken' = meer malware dreiging ?
Waarom niet meteen de hele browser op java laten draaien.
Dan weet je zeker dat het altijd over al werkt en je wordt er ontzettend populair mee.
Bij bepaalde groepen.
Ondertussen stoten ze steeds meer trouwe gebruikersgroepen af.
WTF, JAVA ?!!?
Als er bij mij iets NIET opkomt is het dat brakke Java.
Waarom?
- Omdat je daarmee de favorieten uit IE kunt gebruiken binnen Firefox.
- Alle reorganisatie van die favorieten gewoon in een mapje op je documentenschijf kunt doen.
- Zonder bijzondere programma's een backup kunt maken van je favorieten
En nog meer voordelen tov bookmarks.
Ik vrees nu roch het ergste voor die extensie.
Verder gebruik ik diverse Addons om Firefox gewoon met een menu te gebruiken en er ongeveer uit te laten zien als vóór de grote move. Zoals Classic Theme Restorer en Classic toolbar buttons. Ben ik erg tevreden over. Ook dat zal straks wel niet meer werken...
En ik heb mbv Stylish werkelijk vanalles aangepast om sites er zo te laten uitzien als ik dat graag wil. Dat kan ik straks vast ook wel vergeten denk ik.
Ik zag hier en daar suggesties om dan over te gaan naar Seamonkey, maar in de engelse commentaren (zie link 'mijlpalen' in startpost) wordt verondersteld dat die na enige tijd ook over zullen moeten stappen.
Dan is er eigenlijk geen enkele reden meer om Firefox te blijven gebruiken - en ik denk dat er vele anderen zijn die er zo over denken...
'multi-proces Firefox' = multi instabiel ?
'extensies straks in alle browsers kunnen werken' = meer malware dreiging ?
Waarom niet meteen de hele browser op java laten draaien.
Dan weet je zeker dat het altijd over al werkt en je wordt er ontzettend populair mee.
Bij bepaalde groepen.
Ondertussen stoten ze steeds meer trouwe gebruikersgroepen af.
WTF, JAVA ?!!?
Als er bij mij iets NIET opkomt is het dat brakke Java.
Ooit van sarcasme gehoord? https://www.ensie.nl/redactie-ensie/sarcasme
on topic:
Te laat Mozilla.
Sinds v.3. of 4 was ik zo'n trouwe gebruiker.
Bij v.24 begon ik grote twijfels te krijgen want of je het nu gebruikte onder OSX of Windows: het meest kenmerkende werd traagheid. Ik heb starttijden meegemaakt van bijna 20 seconden. OSX hoestte FF wel een stuk sneller naar de homepage, maar het bleef ergerlijk.
Sinds het op Chrome begon te lijken werd het alleen maar beroerder, lees instabieler: Er zomaar mee ophouden en/of meldingen in de menubar: "Firefox reageert niet".
M.i.v. FF48 heb ik nog een 64bit versie geinstalleerd in de hoop dat het allemaal wat stabieler werd...
...pff.
Bij mij was het vandaar bij v50 gedaan met FF en ik heb van het alternatief Palemoon - ook Mozilla engine - geen moment spijt.
Met dezelfde extensies als in FF50 start het net zo snel op als FF in 'safe mode': 2 à 3 seconden.
Het gedraagt zich al bijna twee maanden volledig stabiel en je hebt de werkelijk aantrekkelijke features die FF ooit zo populair maakten terug, zoals Status Bar opties en Menu Button linksboven.
Epiloog: Het was lang een mooie tijd met FF maar voor mij definitief verleden tijd.
Sinds v.3. of 4 was ik zo'n trouwe gebruiker.
Bij v.24 begon ik grote twijfels te krijgen want of je het nu gebruikte onder OSX of Windows: het meest kenmerkende werd traagheid. Ik heb starttijden meegemaakt van bijna 20 seconden. OSX hoestte FF wel een stuk sneller naar de homepage, maar het bleef ergerlijk.
Sinds het op Chrome begon te lijken werd het alleen maar beroerder, lees instabieler: Er zomaar mee ophouden en/of meldingen in de menubar: "Firefox reageert niet".
M.i.v. FF48 heb ik nog een 64bit versie geinstalleerd in de hoop dat het allemaal wat stabieler werd...
...pff.
Bij mij was het vandaar bij v50 gedaan met FF en ik heb van het alternatief Palemoon - ook Mozilla engine - geen moment spijt.
Met dezelfde extensies als in FF50 start het net zo snel op als FF in 'safe mode': 2 à 3 seconden.
Het gedraagt zich al bijna twee maanden volledig stabiel en je hebt de werkelijk aantrekkelijke features die FF ooit zo populair maakten terug, zoals Status Bar opties en Menu Button linksboven.
Epiloog: Het was lang een mooie tijd met FF maar voor mij definitief verleden tijd.
Misschien ligt het toch wel aan iets anders.
Wat ik ook beweer is dat niemand (buiten met tor en tails en VPN om dan) meer de tracking and browser data handel zal weten te omzeilen of in ieder geval heel moeilijk. CanvasFingerprinting, HSTS, Strict CSP, CSRF blocker, Fix URL, WEb RTC Leak, WebGL, IDs tracking, etc. etc. Achter 14 gekoppelde proxies zitten, is het niet leuk meer.
Tegen dit grote data handel geweld via extensies de browser dichten, maakt dat de browser bijna niet meer vooruit te branden zal zijn of dat men constant door captcha's in te vullen zit te bewijzen, dat men geen bot is, maar een menselijk wezen. Zo ver hebben ze "het product" (u en ik) alles al uit handen genomen. Dag browser tweaker, dag resource engineer, searchlore expert, dag surveillance validatie. "U mag het alleen maar even vasthouden, maar wel zoals wij het bedoeld hebben, hoor!".
En het product zweeg en is over het algemeen oorverdovend stil.
Waarom er minderwaardige browsers als vervanger worden voorgesteld ontgaat me geheel.
Waarom niet meteen de hele browser op java laten draaien.
Is er al: Lobo Evolution - https://github.com/oswetto/Loboevolution.
"Al" vind ik best wel grappig - een browser in Java hadden 1997 "al": https://en.wikipedia.org/wiki/HotJava :-)
Als er bij mij iets NIET opkomt is het dat brakke Java.
Ooit van sarcasme gehoord? https://www.ensie.nl/redactie-ensie/sarcasme
Hoezo zou je het gebruik van Java voor een webbrowser scharen onder sarcasme?
Omdat het zo bedoeld was.
Nou ja, het was cynisch bedoeld.
Een cynische hint naar het stoppen van eigenheid en overstappen naar code van anderen en je platform onveiliger maken door het toegankelijker te maken voor derden.
Het OS X platform is bijvoorbeeld behoorlijk veilig omdat er vrijwel geen malware voor wordt geschreven.
Apple had ooit om het platform wat meer onder de aandacht van andere ontwikkelaars te brengen Java code geïmplementeerd.
Op enig moment kregen malware ontwikkelaars dat ook door en was het hommeles.
Jarenlang heeft java voor een extra security risico gezorgd voor Apple producten.
Totdat het er weer af geknikkerd werd.
De opmerking was cynisch bedoeld.
Cynisch naar mozilla en ook naar 'adware'-java.
Maar het topic betreft mozilla en niet java.
Mozilla producten werken alleen nog naar enig behoren op snelle Mac’s met nieuwe besturingssystemen.
Omdat ze de problemen die ze zelf creëerden voor oudere systemen niet konden oplossen.
Opmerkelijk detail daarbij is dat de ESR versie van Torbrowser er vrijwel geen last van heeft.
Dat geeft te denken, Torbrowser is een privacy browser en heeft de anti privacy code er vergaand uit gesloopt of het geblokkeerd.
Dan is de browser wel stabiel, Firefox lijkt dus kapot te gaan aan, c.q. niet te werken door haar eigen extra fratsen in de code.
Mozilla implementeert steeds meer fratsen terwijl gebruikers gewoon een stabiele browser willen hebben en een product dat ze ook niet misleidt.
Firefox is nieuw geïnstalleerd geen privacy vriendelijke browser, dat moet je zelf instellen, de meeste mensen zullen dat niet doen omdat ze denken dat dat al zo ingesteld staat.
Niet dus, en zo wordt je belazerd waar je bij staat en onderscheidt Firefox zich minder van een Google browser dan je denkt.
14:17 door Anoniem
Klopt, alleen staat het niet meer standaard op Mac's voorgeinstalleerd (slechts een niet op zichzelfwerkende deelstructuur) en dat is een vooruitgang in het security model van Apple en een heel praktische oplossing bij het voorkomen van ongewenste adware van Oracle.
Over cynisme gesproken.
Oracle heeft het voor OS X voorelkaar gekregen (na de flashback malware epidimie) de volledige Java software als all-in Java plugin aan te bieden.
Te vinden in de internet plugins directory van Mac OS X (na installatie).
Maar je bent geen Mac man en hebt er geen verstand van dus met jou hier verder over Mac aangelegenheden in discussie gaan is meer dan een beetje zinloos.
Wat al eerder gebleken is overigens.
Als je Java niet strict noodzakelijk nodig hebt, laat het dan weg van je systeem.
Simpele en doeltreffende maatregel, die ook voor andere OS systemen geldt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
