Mozilla ontvangt 1800 meldingen over 'onofficiële' sites die Firefox aanbieden
De campagne die Mozilla afgelopen juni startte over 'onofficiële' websites die Firefox aanbieden heeft ruim achttienhonderd meldingen opgeleverd, zo laat de Firefox-ontwikkelaar weten. Het gaat om sites die downloads van Firefox aanbieden, waarbij er niet direct wordt doorgelinkt naar Mozilla.org. Volgens Mozilla waren veel van de Firefox-downloads vorig jaar afkomstig van onbekende bronnen.
Dit brengt verschillende risico's met zich mee, bijvoorbeeld dat gebruikers een verouderde of malafide versie van de browser downloaden en installeren, aldus de Firefox-ontwikkelaar. Die riep gebruikers op om dergelijke websites te rapporteren. De campagne heeft in totaal 1844 meldingen opgeleverd, aan de hand waarvan 683 unieke third-party websites en 105 unieke downloadlinks werden geïdentificeerd. Mozilla gebruikt de meldingen voor verder onderzoek dat nog gaande is.
https://www.ghacks.net/2022/03/17/each-firefox-download-has-a-unique-identifier/
Daarnaast kan het zijn dat veel van deze "nep"sites gewoon repositories zijn voor menig GNU+Linux distro.
https://www.ghacks.net/2022/03/17/each-firefox-download-has-a-unique-identifier/
Daarnaast kan het zijn dat veel van deze "nep"sites gewoon repositories zijn voor menig GNU+Linux distro.
https://firefox-source-docs.mozilla.org/browser/components/attribution/docs/index.html
De doelen zijn:
• Gauge the success of marketing campaigns
• Determine (roughly) the origin of an installer that a user ran
• Support the Return to AMO workflow.
"Return to AMO workflow" zei me niets en dat moest ik opzoeken. AMO blijkt te staan voor https://addons.mozilla.org en Return to AMO is iets waarbij ze het kennelijk voor elkaar krijgen dat een gebruiker die een addon probert te downloaden zonder Firefox al te hebben de gelegenheid krijgt om Firefox te donwloaden en dan op de welkom-pagina van de browser meteen een knopje krijgt om die add-on te downloaden.
https://firefox-source-docs.mozilla.org/browser/components/asrouter/docs/first-run.html
https://williamdurand.fr/2023/05/01/moziversary-5/
Drie doelen dus waarbij geen van die doelen is om de gebruiker zelf te volgen.
https://www.security.nl/posting/847605/Mozilla+start+campagne+tegen+'onoffici%C3%ABle'+websites+die+Firefox+aanbieden#posting847671
https://www.ghacks.net/2022/03/17/each-firefox-download-has-a-unique-identifier/
Daarnaast kan het zijn dat veel van deze "nep"sites gewoon repositories zijn voor menig GNU+Linux distro.
Als ze gebruikers volgen via een unique ID, geldt dat ook als je hem via Ninite installeert?
Als het doel onder andere marketing werking is te controleren en je vraagt aan mensen om dat voor jou te controleren en rapporteren dan begint dat verdacht veel te lijken op onbetaald werk. Maar daar zijn ook regels aan gebonden en als derde partij data doorgeven van data voor marketing doeleinde valt gewoon onder GDPR richtlijnen.
Ik denk dat Mozilla nog wel eens ellende hier mee gaat krijgen als er ook maar één iemand klaagt dat er informatie zonder toestemming is gedeeld voor marketing doeleinden of als ze data binnen krijgen van iemand die het heeft opgehaald uit een afgesloten omgeving of als ze domeinnaam waar het vanaf komt een persoonsnaam bevat.
Merknaam of niet dat soort onderzoek is besteed aan mensen die de richtlijnen in en uit kennen.
https://ftp.mozilla.org/pub/firefox/releases/
Handig voor een retro computer waarop de nieuwe Firefox versie niet kunnen draaien.
https://www.ghacks.net/2022/03/17/each-firefox-download-has-a-unique-identifier/
Daarnaast kan het zijn dat veel van deze "nep"sites gewoon repositories zijn voor menig GNU+Linux distro.
Als ze gebruikers volgen via een unique ID, geldt dat ook als je hem via Ninite installeert?
Ja want Ninite download gewoon van de officiële website.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
