image

Mozilla gaat data-url's deels blokkeren in Firefox 58

dinsdag 28 november 2017, 10:24 door Redactie, 5 reacties

Mozilla gaat in Firefox 58 data-url's deels blokkeren, wat gebruikers tegen phishingaanvallen moet beschermen. Een data-url laat webontwikkelaars kleine bestanden in html of css embedden. Het grootste voordeel van data-url's is dat ze de laadtijd van de pagina versnellen, omdat het embedden van anderzijds externe bronnen het aantal http-requests vermindert dat een browser moet versturen om data te laden.

Criminelen maken echter al jaren misbruik van data-url's. Het gaat dan voornamelijk om phishingaanvallen. Gebruikers krijgen e-mails toegestuurd met een linkje. Zodra de link wordt geopend zal de data-url in de browser worden geladen, die vervolgens een phishingsite weergeeft. Voor criminelen heeft het gebruik van data-url's het voordeel dat ze geen volledige website hoeven te hosten voor het uitvoeren van de aanval. Alle data van de phishingsite bevindt zich namelijk binnen de data-url.

"Eindgebruikers vertrouwen op de adresbalk van een browser om de te zien op welke pagina ze zich bevinden. De meeste eindgebruikers zijn niet bekend met het concept van de data-url, die een string met een legitiem adres kan bevatten, waardoor de eindgebruiker denkt dat die op een bepaalde pagina zit. In werkelijkheid kan een malafide data-url echter vermomde content weergeven waardoor eindgebruikers hun inloggegevens verstrekken", zegt Mozilla's Christoph Kerschbaumer.

Om gebruikers tegen dergelijke phishingaanvallen te beschermen zal Firefox 58 voorkomen dat webpagina's in de adresbalk een data-url kunnen laten zien. Het navigeren naar een data-url zal mogelijk blijven als deze actie daadwerkelijk van de eindgebruiker afkomstig is. Het gaat dan bijvoorbeeld om het kopiëren en plakken van een data-url in de adresbalk of het downloaden van een data-url.

Image

Reacties (5)
28-11-2017, 12:38 door Anoniem
Deels, want ze kopiëren hier Google chrome weer: https://www.thesslstore.com/blog/chrome-data-url-phishing/
Waarin is Mozilla nog Mozilla?

Deels omdat ze met de maatregelen vooral niet Google's core-business in de weg willen zitten, daarom gaat de tracking, de profilering, het fingerprinten en het spammen, scammen en de phishing gewoon onderhuids onverdroten voort.

Elke truc uit de trukendoos, zoals zelfs het misbruiken van Google's Tag Manager en short urls wordt ingezet. Jammer dat er meer mee willen plukken uit de Google ruif. Google een te groot geworden mega data-slurp monopolist, die nodig in controleerbare en beheersbare stukken dient te worden opgehakt.

Daar is toch een wet voor in de USA! Kijk naar bijvoorbeeld Westinghouse, ook in tweeën gesplitst destijds en zo zijn er vele, vele voorbeelden.

Maar ja ,dat zal de NSA wel niet zo best uitkomen en alle andere drie- of vier-letterdiensten. Google is het voertuig dat alles mogelijk maakt. En Mozilla heeft ook haar ziel al verkocht aan Google (webextensie engine, api-engine, gelimiteerde toegang, denk aan het uitkleden van de recente NoScript add-on, de enige extensie die echt zoden aan de dijk zette qua in-browser beveiliging).

Jammere ontwikkelingen, geen concreet tegenspel, alleen symbool politiek en kunst voor de kunst.
28-11-2017, 17:55 door Anoniem
...denk aan het uitkleden van de recente NoScript add-on, de enige extensie die echt zoden aan de dijk zette qua in-browser beveiliging.

Even offtopic: Tegenwoordig gebruik ik uMatrix in plaats van het verkreupelde NoScript. Houd ook alle ongewenste scripts tegen en werkt - na wat korte gewenning - minstens zo goed.
28-11-2017, 18:45 door Anoniem
Ja een combinatie van uBlock Origin en uMatrix is een zeer werkzame. Goed af te regelen ook.

Ook wat filters van derden opnemen in uBlock O. Zoals: http://cinsscore.com/list/ci-badguys.txt & http://www.networksec.org/grabbho/block.txt & https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset

Tegen bitcoin mining scripts werkt uMatrix ook effectief.

Laat alleen datgene toe in uMatrix wat je nodig hebt voor het juist functioneren voor jou
in de browser client van een bezochte website.

Het is echt geen heksentoer, iedereen kan het aanleren met een beetje goede wil en wat veiligheid aanvoelen.

luntrus
28-11-2017, 21:58 door Anoniem
Type eens in je snelle* Glibbberfox urlbar

about:config
ja je bent voorzichtig, klik

Type in het searchveld en bekijk de resultaten bij
telemetry

Type in het searchveld en bekijk de resultaten bij
%locale

Type in het searchveld en bekijk de resultaten bij
mozilla.org

Type in het searchveld en bekijk de resultaten bij
mozilla.com

Type in het searchveld en bekijk de resultaten bij
google.com

Valt best mee hè dat google, dat is nog wel te behappen en te begrijpen toch?
Ik zou me als ik jou was heel veel drukker maken over al die firefox urls die jouw systeem en browser data over de lijn gooien en ongewilde content ophalen voor in je tegeltjes muur.
Daar kan heel wat van weg.

Dacht precies 1 miliseconde dat mozilla het over het inperken van de eigen url had.
Nee, niet echt, de enige reden dat dit soort berichten in de pers komen is voor de gratis reclame, niet omdat ze echt wat positiefs te melden hebben, want ze blijven inzetten op maximaal half werk, zo niet minder.


* en als je echt naar de vele mogelijke settings onder je voorkeruen kijkt en onder de motorkap bij de about:config dan zul je zien dat die zogenaamde snelheid verkregen is door alle mogelijk privacy settings en andere hobbels uit te schakelen.
Je kan zelfs webgl op een superstand zetten!

En zelfs dan is firefox helemaal niet de snelste browser, ze schijnt op dit moment het meest efficient te zijn voor je batterij verbruik.
Maar dan moet je wel heel wat uren met batterijen aan tabs en pagina's open browsen voordat ze het net wat lnager uithoudt dan de concurrentie.

De vraag dringt zich dan wel een beetje op of de oude browser ook niet snel te krijgen was door alles vol op groen te zetten.
Beetje valse actie, lekker belangrijk als je daarvoor je privacy mag inwisselen.
Bij Google weet je tenminste waar je aan toe bent en die houdt het helder en zakelijk.
Niet zo raar dat google de grootste is en niet zo raar dat ruim 40% op een oude firefox 56 en eerder blijft hangen.

Sterker nog, de oude browserversie 56/52ESR pakt alweer langzaam 2 a 5% aan terrein terug naar meer dan 40%, niet zo raar bij om zeep gehoplen addons.
29-11-2017, 13:07 door Anoniem
@ anoniem van 21:58

Ik zou graag van jou willen vernemen, wat nu eigenlijk precies de verschillen zijn tussen de "oude" Mozilla en die met de recente extensie- en api-engines? Waarin heeft men de toegang tot de browser gelimiteerd als je de browser met legacy add-ons vergelijkt met die met de webextensies van nu en in hoeverre is er nog verschil tussen Mozilla Quantum en bijvoorbeeld een Google-kloon als Iridium? Gaat het om het perse niet willen frustreren van Google core business?

Wat jij meldde over telemetry. Er wordt dus steeds meer onderhuidse 'tinkering' mogelijkheden gesloopt uit de browser -
het wordt een tracking en profileringsintstrument voor de n00b super-user, die niet wezenlijk verschilt van de andere grote bladeraars als Google Chrome & Blue E.

Dan nog liever Brave, maar dat mag je weer niet in goeden gemoed gebruiken, omdat developer, Brendan Eich, geen common-gender koshere opvattingen heeft en daarom vanwege zijn fundamentalistisch christelijk-orthodoxe opvattingen is weggetrapt bij Mozilla (je bent horig aan de visie van policor-correct of je ligt er tegenwoordig uit, behalve als je..
je weet wel waarop tegenwoordig geen kritiek mag worden geuit...).

Brave is een soort anti-Chrome ethereum gebaseerde browser, daar waar Mozilla voor het Chrome concept totaal lijkt gecapituleerd te hebben.

Waarom legt Giorgio Maone niet eens haarfijn uit wat hij allemaal moest onttakelen om van zijn No Script de nieuwe uitgeklede versie te laten draaien.

Waarom nu ook niet naar Chrome porten, dan gaat firefox nog eerder onderuit lijkt mij?

Laten we de laatste stuiptrekkingen en het laatste gerochel van firefox quantum niet te lang rekken.

Even hier gekeken: https://github.com/mozilla-mobile/focus-ios/wiki/Event-Tracking-with-Mozilla's-Telemetry-Service
en https://github.com/mozilla-mobile/telemetry-ios en hier: https://github.com/mozilla-mobile/focus-ios/blob/master/Blockzilla/TelemetryIntegration.swift Wat denk je? (alles json-achtige tracking).

Ik hield van de tweakability van een browser als flock.
Deze Palo-Alto browser was opeens verdwenen, toen de financiering voor het development wegviel
(een Anglo-Amerikaanse soort Kolenhandelsvereniging sponsorde deze
door jongeren in een Californische garage gebouwde browser). Ineens floep gediscontinueerd en weg.

Zal firefox dezelfde weg gaan?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.