image

Firefox 78 toont overzicht van datalekken en trackers in Protections Dashboard

dinsdag 30 juni 2020, 17:12 door Redactie, 3 reacties

Mozilla heeft vandaag Firefox 78 gelanceerd, een nieuwe versie van de browser die via één dashboard een overzicht geeft van geblokkeerde trackers en datalekken waarin de gebruiker voorkomt. Ook staan TLS 1.0 en 1.1 voortaan standaard uitgeschakeld.

Het Protection Dashboard laat zien welke socialmediatrackers, cross-site trackingcookies, fingerprinters en cryptominers door Firefox zijn geblokkeerd. Verder toont het dashboard welke in de browser opgeslagen wachtwoorden in een datalek voorkomen, alsmede van hoeveel gecompromitteerde accounts de gebruiker het wachtwoord heeft gewijzigd.

Een andere nieuwe feature is het standaard uitschakelen van de ondersteuning van TLS 1.0 en 1.1. Het TLS-protocol wordt gebruikt voor het opzetten van een beveiligde verbinding tussen websites en bezoekers. TLS 1.0 en 1.1 zijn kwetsbaar voor verschillende aanvallen. Wanneer een website nog TLS 1.0 of 1.1 gebruikt laat Firefox nu een waarschuwing zien. Gebruikers kunnen echter via één muisklik de support van TLS 1.0 en 1.1 weer inschakelen.

Tevens zijn er meerdere kwetsbaarheden in de browser opgelost. Op het moment van schrijven was er nog geen informatie over deze beveiligingslekken door Mozilla openbaar gemaakt. Updaten naar Firefox 78 kan via de automatische updatefunctie en Mozilla.org.

Reacties (3)
30-06-2020, 17:40 door [Account Verwijderd] - Bijgewerkt: 30-06-2020, 17:45
Vijf jaar geleden waarschuwde EFF voor de mogelijkheid dat de National Security Agency (NSA) in staat was grote hoeveelheden HTTPS, SSH en VPN verbindingen te ontsleutelen, door gebruik te maken van een aanval op de implementaties van Diffie-Hellman Key exchange algorithm met 1024-bit primes.

Een methode om deze aanval via Firefox te dwarsbomen lag in het uitschakelen van de Diffie-Hellman ciphersuites, via de opdracht About:Config. Wie dus de NSA-aanval onmogelijk wilde maken via de browser Firefox moest daarvoor "security.ssl3.dhe_rsa_aes_128_sha" en "security.ssl3.dhe_rsa_aes_256_sha" op FALSE zetten, want standaard stonden deze gewoon op TRUE.

Vandaag bij het ter perse gaan van de nieuwe Firefox merk ik voor het eerst (ik weet niet wanneer ze hiermee begonnen zijn overigens!) dat deze waarden standaard al op FALSE stonden, terwijl dit toch heel wat jaren standaard op TRUE stond. Ook vandaag heb ik gemerkt dat de laatste Tor-browser die ik heb (versie 9.5) de oude waarden nog steeds heeft en dan moet de gebruiker erop dubbelklikken om alles op FALSE te zetten. Het voordeel is nu dat de plek van de aanval is dichtgegooid voor Firefox gebruikers met versie 78.0.
30-06-2020, 17:58 door [Account Verwijderd] - Bijgewerkt: 30-06-2020, 18:04
Door Advanced Encryption Standard: Vijf jaar geleden waarschuwde EFF voor de mogelijkheid dat de National Security Agency (NSA) in staat was grote hoeveelheden HTTPS, SSH en VPN verbindingen te ontsleutelen, door gebruik te maken van een aanval op de implementaties van Diffie-Hellman Key exchange algorithm met 1024-bit primes.
Het is iets genuanceerder dan dat, het ging namelijk over een (of enkele) specifieke getallen/groepen. Daar komt bij dat voor de meeste verbindingen je waarschijnlijk ECDHE zal gebruiken omdat dit sneller is, waarvoor de genoemde aanval (https://weakdh.org/) in de praktijk lastig te misbruiken zal zijn. Het blijft iets waar aandacht voor nodig is, maar dan vooral op al die ooit ingestelde IPSEC tunnels waar nooit meer naar omgekeken wordt. (En voor de volledigheid: mocht je echt geen ECDHE kunnen gebruiken, gebruik dan een van de groepen uit RFC7919)

Ook vandaag heb ik gemerkt dat de laatste Tor-browser die ik heb (versie 9.5) de oude waarden nog steeds heeft en dan moet de gebruiker erop dubbelklikken om alles op FALSE te zetten.
Dat is sterk af te raden, de lijst met ondersteunde ciphers is namelijk zichtbaar bij het opzetten van de verbinding en daarmee te fingerprinten. Als jij als enige deze aanpassing maakt, is daarmee in een oogopslag te zien (voor inlichtendiensten, ISP's, exit nodes, etc.) dat het om jou verkeer gaat. Pas in de tor browser dus geen instellingen aan die je fingerprint veranderen.
30-06-2020, 18:24 door [Account Verwijderd] - Bijgewerkt: 30-06-2020, 18:30
Het is iets genuanceerder dan dat, het ging namelijk over een (of enkele) specifieke getallen/groepen.
Ik kan het natuurlijk nog genuanceerder uitleggen, maar dan volgt de rest van de lezers het niet meer. Encryptie is trouwens geen gemakkelijk onderwerp.

Dat is sterk af te raden, de lijst met ondersteunde ciphers is namelijk zichtbaar bij het opzetten van de verbinding en daarmee te fingerprinten.
Ik heb ook niets aangeraden. Ik heb alleen maar iets gesteld waar een gebruiker rekening mee kan houden. Misschien ben ik niet duidelijk genoeg geweest, maar Ik zeg dus nergens dat men dit ook moet doen.

Als jij als enige deze aanpassing maakt,
Dat klopt, maar er is al vijf jaar op de site van het EFF te lezen hoe je Firefox kun configureren. Het lijkt mij stug dat er maar 1 persoon zou zijn die de aanpassing heeft gemaakt waardoor hij of zij makkelijk te fingerprinten is. Daarbij komt dat het fingerprinten nu van weinig nut is, aangezien deze instelling in Firefox 78 standaard voor iedereen op FALSE staat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.