Firefox gaat gebruikers waarschuwen voor datalekken
Mozilla werkt aan een nieuwe Firefox-feature die gebruikers gaat waarschuwen als hun inloggegevens mogelijk onderdeel van een datalek zijn, zo heeft de browserontwikkelaar aangekondigd. Mozilla werkt hiervoor samen met de website Have I Been Pwned, die allerlei datalekken indexeert.
De feature zal onderdeel van Firefox worden, maar is op dit moment alleen beschikbaar als legacy-extensie. De functionaliteit van de extensie is op dit moment ook nog beperkt en zal gebruikers alleen een waarschuwing laten zien als ze een website bezoeken die is gehackt en door Have I Been Pwned is geïndexeerd. De Firefox-extensie is via GitHub te downloaden.
Reacties (8)
Die database van Have I Been Pwned zal wel de nodige negatieve aandacht trekken. Ik ga ook zoiets opzetten gratis email adressen.
Tuurlijk kun je ook zoiets opzetten, maar of je er veel aan hebt is een tweede. Ten eerste moet je om het werkend te hebben al een database van vele miljoenen email adressen hebben, en een groot deel van je bezoekers is niet nieuw.. Die staan al in die lijst. De paar nieuwe email adressen die je zult vergaren zijn zo weinig waard dat het moeilijk zal opwegen tegen de kosten. Als laatste vergis je je denk ik in hoe lastig het is om je website bekend te maken, zeker als er al bekende alternatieven zijn.
Misschien interessant:
Je kunt Legacy extensies schijnbaar nog wel gebruiken in Firefox 57 - voor hoelang natuurlijk is de vraag - door een aanpassing via about:config. Hiervan maakt Github gewag in de link die in het redactioneel artikel staat:
citaat:
Navigate to about:config
Search for the extensions.legacy.enabled pref and change the value to true
https://github.com/nhnt11/BreachAlerts
Je kunt Legacy extensies schijnbaar nog wel gebruiken in Firefox 57 - voor hoelang natuurlijk is de vraag - door een aanpassing via about:config. Hiervan maakt Github gewag in de link die in het redactioneel artikel staat:
citaat:
Navigate to about:config
Search for the extensions.legacy.enabled pref and change the value to true
https://github.com/nhnt11/BreachAlerts
Ik word zo verdrietig als ik Mozilla zo bezig zie de laatste tijd. Een stuurloos schip met een wanhopige bemanning die de ene rare beslissing na de andere maakt. Wie zit nu op deze onzin te wachten? De mogelijkheid om Javascript uit te schakelen: nee, daar doen we niet aan, dat verwijderen we uit de browser, daar installeer je maar plugin voor, wat denk je wel. Maar deze pwned-functionaliteit: ja natuurlijk! Integreer maar gauw in de browser! Heel belangrijk! Wat een innovatie!
Het ironische is dat als Mozilla een browser zou maken die enkel doet wat het moet doen (namelijk: browsen) zonder allerlei bloat, dan zouden ze meer bestaansrecht hebben dan nu, en zouden ze zich meer kunnen onderscheiden van Chrome dan nu. Zo'n minimalistische browser zou natuurlijk haast per definitie ook een veiliger browser zijn. En dat is iets waar de wereld heel veel behoefte aan heeft. Maar ja, uit paniek shitfeatures aan je browser toevoegen in de hoop er nog een beetje toe te doen, dat vindt Mozilla blijkbaar een veel betere strategie...
Het ironische is dat als Mozilla een browser zou maken die enkel doet wat het moet doen (namelijk: browsen) zonder allerlei bloat, dan zouden ze meer bestaansrecht hebben dan nu, en zouden ze zich meer kunnen onderscheiden van Chrome dan nu. Zo'n minimalistische browser zou natuurlijk haast per definitie ook een veiliger browser zijn. En dat is iets waar de wereld heel veel behoefte aan heeft. Maar ja, uit paniek shitfeatures aan je browser toevoegen in de hoop er nog een beetje toe te doen, dat vindt Mozilla blijkbaar een veel betere strategie...
yes yes yes, laten we als Firefox bedenken dat het een goed is om gebruikers een constante feed van bezochte domeinnamen te laten leveren aan Troy Hunt zodat je op een paar domeinnamen ooit eens een warning kan ontvangen. 99,9% van de domeinen komt niet voor in dat lijstje van have i been powned maar Troy krijgt zo gratis wel een leuk overzicht welke IP adressen op welk moment interesse hebben in welk domein.
Het is toch goed dat je een melding kan krijgen? Er is niet eens nagedacht waar die melding "You visited hacked site " voor moet dienen.
Firefox heeft al een service om je te waarschuwen als je een domein bezoekt waar iets mee mis is. De domeinen worden dan op een veiligere manier vergeleken met een blacklist. Veel sites komen daar tussen omdat onderzoekers informatie onderling willen uitwisselen. Troy deelt niets, die wil dat je bij hem langs komt met data die nog meer over je zegt zodat hij misschien iets terug geeft. Hij vraagt dus meer dan dat hij aanlevert. En dat geeft hem de gelegenheid om nog meer aandacht te krijgen, nog meer de wereld rond te reizen en nog meer centjes te verdienen aan de vaak illegaal verkregen persoonsgegevens.
Het is toch goed dat je een melding kan krijgen? Er is niet eens nagedacht waar die melding "You visited hacked site " voor moet dienen.
Firefox heeft al een service om je te waarschuwen als je een domein bezoekt waar iets mee mis is. De domeinen worden dan op een veiligere manier vergeleken met een blacklist. Veel sites komen daar tussen omdat onderzoekers informatie onderling willen uitwisselen. Troy deelt niets, die wil dat je bij hem langs komt met data die nog meer over je zegt zodat hij misschien iets terug geeft. Hij vraagt dus meer dan dat hij aanlevert. En dat geeft hem de gelegenheid om nog meer aandacht te krijgen, nog meer de wereld rond te reizen en nog meer centjes te verdienen aan de vaak illegaal verkregen persoonsgegevens.
Nutteloos nutteloos nutteloos
Welke grote websites hebben niet een keer een datalek gehad?
Waar hebben de meeste gebruikers een pesthekel aan gekregen en wat negeren de meeste gebruikers?
Juist ja, meldingen, meldingen zijn irritant en worden weggeklikt.
En dan nog, dan heeft iemand een Yahoo adres en is niet van plan dat van de hand te doen, en dan?
Blieb, blieb blieb, flikkertochoooooooopp!
We zijn met zijn allen al heel lang aan het doorslaan.
Aan het doorslaan in het proberen te verzinnen waar we techniek wel niet voor kunnen gebruiken, apps om de apps, en nu dus dit modieuze lelijke eendje met nieuw kotsleijk geairbrushed jasje dat zelf addons om de addons gaat maken.
Wel Monmartrepastelletjeslulhannes heeft zich daar voor laten lenen?
Kijk eens ! nieuw nieuw nieuw nieuw! Glim glim glim!
Ekstertjes komm komm komm.
Ondertussen laat deze airbrushycode club honderdduizenden zo niet miljoenen gebruikers keihard vallen door vele addons die de nek zijn omgedraaid omdat de makers ervan gewoon niet de capaciteiten hebben om weer nieuwe te bouwen en gebruikers die er gewoon keihard uitgetrapt zijn met onnodig verhoogde system requirements.
Mozilla laat zich vooral kennen als een club die heel hard wegloopt voor eigen onkunde en dat probeert te verhullen met nieuwigheden waar niemand op zit te wachten.
Zie nog wel 1 waarschuwing zitten, in te voeren door OS leveranciers, een waarschuwing voor mozilla producten die je voor de gek houden.
Waarschuwingen gewenst voor deze geldverspillende fake club.
BLIEB BLIEB BLIEB MOZALERT : STOP !!
Welke grote websites hebben niet een keer een datalek gehad?
Waar hebben de meeste gebruikers een pesthekel aan gekregen en wat negeren de meeste gebruikers?
Juist ja, meldingen, meldingen zijn irritant en worden weggeklikt.
En dan nog, dan heeft iemand een Yahoo adres en is niet van plan dat van de hand te doen, en dan?
Blieb, blieb blieb, flikkertochoooooooopp!
We zijn met zijn allen al heel lang aan het doorslaan.
Aan het doorslaan in het proberen te verzinnen waar we techniek wel niet voor kunnen gebruiken, apps om de apps, en nu dus dit modieuze lelijke eendje met nieuw kotsleijk geairbrushed jasje dat zelf addons om de addons gaat maken.
Wel Monmartrepastelletjeslulhannes heeft zich daar voor laten lenen?
Kijk eens ! nieuw nieuw nieuw nieuw! Glim glim glim!
Ekstertjes komm komm komm.
Ondertussen laat deze airbrushycode club honderdduizenden zo niet miljoenen gebruikers keihard vallen door vele addons die de nek zijn omgedraaid omdat de makers ervan gewoon niet de capaciteiten hebben om weer nieuwe te bouwen en gebruikers die er gewoon keihard uitgetrapt zijn met onnodig verhoogde system requirements.
Mozilla laat zich vooral kennen als een club die heel hard wegloopt voor eigen onkunde en dat probeert te verhullen met nieuwigheden waar niemand op zit te wachten.
Zie nog wel 1 waarschuwing zitten, in te voeren door OS leveranciers, een waarschuwing voor mozilla producten die je voor de gek houden.
Waarschuwingen gewenst voor deze geldverspillende fake club.
BLIEB BLIEB BLIEB MOZALERT : STOP !!
Ben het wel eens met de reacties hier. Dit is niet echt een feature waar mensen om zitten te springen. Laat Mozilla eens tijd steken in een goeie scriptblocker à la NoScript. De nieuwste versie voor FF57 is een drama, en de oude wordt niet meer ondersteund. Ik weet niet waar het naartoe gaat met NoScript, maar ik zie overal op internet dat het nu al héél erg wordt gemist. Het was ook één van de paradepaardjes van de Firefox-extensies.
Laat Mozilla zo'n scriptblocker nu eens standaard inbouwen in plaats van gare gimmicks toe te voegen. Niemand zit erop te wachten. Maar wel op een fatsoenlijke scriptblocker dus.
O ja... voor diegene(n) die de nieuwste NoScript niks vinden: Umatrix is ook een goeie. Het vereist ietwat gewenning in het gebruik, maar werkt uitstekend als je de werking doorhebt. ;-)
Laat Mozilla zo'n scriptblocker nu eens standaard inbouwen in plaats van gare gimmicks toe te voegen. Niemand zit erop te wachten. Maar wel op een fatsoenlijke scriptblocker dus.
O ja... voor diegene(n) die de nieuwste NoScript niks vinden: Umatrix is ook een goeie. Het vereist ietwat gewenning in het gebruik, maar werkt uitstekend als je de werking doorhebt. ;-)
Naast het om zeep geholpen NoScript (wel of niet, heel of half in ieder geval) is ook Request Policy verdwenen als webextensie, die door veel security beluste power users graag werd gebruikt naast NoScript.
Men kan het als legacy add-on nog een tijdje laten werken onder speciale about:config setting, maar de vraag is hoe lang?
Alles omdat men Google Chrome met haar extensie engine en api engine achterna wilde.
Nu moeten developers van de legacy extensies opnieuw aan de bak of door hoepeltjes gaan springen?
Velen doen dit dus niet en we hebben heel wat mooie verlaten legacy add-ons over. Waardeloos.
De n00b en de in 1-klik-oplossing gelovigen, die zich blind staren op snelheid en gelikte eenvormigheid overal,
maakt het geen zier uit. Ze zijn wel blij met de gelimiteerde toegang onder de motorkap van hun bladeraar
en ondertussen gebeurt er een heleboel aan tracking and profilering onderhuids,
waar de honden geen brood van lusten, en wat zelden echt aan de orde wordt gesteld.
Commercie doet waar het mee weg komt en steeds brutaler en meer onverdroten.
Handhaving is overwonnen. Ze zijn nu alleenheersers in deze wereld,
zeker de grote Amerikaanse technoreuzen.
Eenvoudig gezegd, wat maakt het "Miep Muts" aan de balie uit?
Ze doet wat ze anderen ziet doen, toch? Leuk, joh...
De power user die een beetje lijwind wil met zijn browser, buiten het Google-gedreven geweld,
wordt weer eens in zijn hemd gezet. Goede ontwikkelingen? (NOT dus).
Ik vind dit helemaal geen goede ontwikkeling, maar ja ik ben maar onderdeel van een minderheid,
die let op info proliferatie, security headers, same origin regels, SRI hash code gegenereerd of niet,
naamserver versie verborgen of niet, script errors door bij voorbeeld undefined code niet te valideren
of aan het begin van een file te plaatsen gevaarlijk. Retirable jQuery code afgevoerd of niet..
Ik ben vrijwillig website security analist en website foutenjager. Ik heb een iets andere ervaring en insteek.
Ik hield van de flock browser vanaf het eerste uur en de code daar van een paar jongere developers uit
een Palo Alto garage, maar de investeerders trokken de uier op, weg flock. Weer een leuke browser weg.
Nu hebben we Brave, maar de developer is hier'weer controversieel met zijn christelijk orthodoxe visie.
Hij is dus niet gender neutraal genoeg. Foei, kan niet. Moest weg bij Mozilla.
Brave is een leuke browser, daar niet van, maar mist wel losstaande extensies.
Zo blijft het altijd wat. Het lijkt wel of ze het er om doen.
Ik richt me dus met mijn analyses op allerlei onveiligheid, die de n00b soms niet eens fatsoenlijk weet uitte spreken,
maar wel een grote impact hebben op ieders dagelijkse veiligheid op de website infrastructuur.
Nu gaat de vuurvos voor gimmicks als data-breach alarms en nog meer data verzamelen van de gebruikers
& voor wat dan wel?
Denken ze nou echt dat we allemaal domme kleuters zijn?
Hier op security dot nl zullen er wel een paar het met mee eens zijn, maar dat is niet het grote publiek.
Het grote publiek krijgt meestal wat het verdient, jammer!
Men kan het als legacy add-on nog een tijdje laten werken onder speciale about:config setting, maar de vraag is hoe lang?
Alles omdat men Google Chrome met haar extensie engine en api engine achterna wilde.
Nu moeten developers van de legacy extensies opnieuw aan de bak of door hoepeltjes gaan springen?
Velen doen dit dus niet en we hebben heel wat mooie verlaten legacy add-ons over. Waardeloos.
De n00b en de in 1-klik-oplossing gelovigen, die zich blind staren op snelheid en gelikte eenvormigheid overal,
maakt het geen zier uit. Ze zijn wel blij met de gelimiteerde toegang onder de motorkap van hun bladeraar
en ondertussen gebeurt er een heleboel aan tracking and profilering onderhuids,
waar de honden geen brood van lusten, en wat zelden echt aan de orde wordt gesteld.
Commercie doet waar het mee weg komt en steeds brutaler en meer onverdroten.
Handhaving is overwonnen. Ze zijn nu alleenheersers in deze wereld,
zeker de grote Amerikaanse technoreuzen.
Eenvoudig gezegd, wat maakt het "Miep Muts" aan de balie uit?
Ze doet wat ze anderen ziet doen, toch? Leuk, joh...
De power user die een beetje lijwind wil met zijn browser, buiten het Google-gedreven geweld,
wordt weer eens in zijn hemd gezet. Goede ontwikkelingen? (NOT dus).
Ik vind dit helemaal geen goede ontwikkeling, maar ja ik ben maar onderdeel van een minderheid,
die let op info proliferatie, security headers, same origin regels, SRI hash code gegenereerd of niet,
naamserver versie verborgen of niet, script errors door bij voorbeeld undefined code niet te valideren
of aan het begin van een file te plaatsen gevaarlijk. Retirable jQuery code afgevoerd of niet..
Ik ben vrijwillig website security analist en website foutenjager. Ik heb een iets andere ervaring en insteek.
Ik hield van de flock browser vanaf het eerste uur en de code daar van een paar jongere developers uit
een Palo Alto garage, maar de investeerders trokken de uier op, weg flock. Weer een leuke browser weg.
Nu hebben we Brave, maar de developer is hier'weer controversieel met zijn christelijk orthodoxe visie.
Hij is dus niet gender neutraal genoeg. Foei, kan niet. Moest weg bij Mozilla.
Brave is een leuke browser, daar niet van, maar mist wel losstaande extensies.
Zo blijft het altijd wat. Het lijkt wel of ze het er om doen.
Ik richt me dus met mijn analyses op allerlei onveiligheid, die de n00b soms niet eens fatsoenlijk weet uitte spreken,
maar wel een grote impact hebben op ieders dagelijkse veiligheid op de website infrastructuur.
Nu gaat de vuurvos voor gimmicks als data-breach alarms en nog meer data verzamelen van de gebruikers
& voor wat dan wel?
Denken ze nou echt dat we allemaal domme kleuters zijn?
Hier op security dot nl zullen er wel een paar het met mee eens zijn, maar dat is niet het grote publiek.
Het grote publiek krijgt meestal wat het verdient, jammer!
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
