ICT Security-Sécurité PC et Internet

Mozilla und das Tor-Projekt arbeiten gemeinsam daran, einen anonymen und sicheren Surfmodus für den Firefox-Browser zu entwickeln. Die zugrundeliegende Technologie stammt aus dem Tor Browser.

Mozillas Firefox-Browser ist bereits in der aktuellen Version mit zahlreichen Tools ausgestattet, die Anwender vor Tracking-Cookies, Fingerprinting, Cryptominern und anderen Nervensägen aus dem Internet schützen sollen. Wie nun aber das Security-Portal Bleeping Computer berichtet, wollen die Open-Source-Spezialisten die Stellschrauben in Sachen Datenschutz noch feiner justieren. So soll künftig ein eigener Tor-Modus in Firefox ein anonymes und sicheres Surfen im Netz garantieren. Hinweise auf das neue Datenschutz-Tool tauchen auch im Mozilla Research Grants 2019H1 auf.

Bevor die Tor-Technologie aus dem gleichnamigen Browser auch in Firefox einziehen kann, gilt es die Performance-Probleme im Zusammenhang mit dem anonymen Netzwerk in den Griff zu bekommen. So erlaubt der Tor-Browser zwar ein nahezu anonymes Surfen im Internet und Darknet, allerdings kann die Performance dabei nicht mit herkömmlichen Browsern wie Firefox oder Chrome mithalten. Im Tor Browser werden Server-Anfragen über ein Netzwerk von Knotenpunkten versendet, um die Identität des Anwenders zu verschleiern - und das kostet Zeit. Neue Technologien wie Tor-over-QUIC, mit DTLS und Walking Onions versprechen hier Abhilfe.

Tor-Modus als Add-on in Firefox

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=TOR

Mozilla has released Firefox 60 with support for a new option to sign in to websites without using a password.

That's thanks to an emerging W3C standard called Web Authentication or WebAuthn, which is enabled by default in Firefox 60 and is coming later this month to Chrome 67, and Microsoft Edge. It's also under consideration for Safari.

By removing passwords, the WebAuthn API will make phishing attacks a lot harder and gives users more convenient authentication choices, including hardware security key dongles such as a YubiKey device, fingerprint readers on smartphones, or facial-recognition systems like the iPhone X's Face ID.

A key advantage, like the FIDO Alliance's predecessor U2F standard for security keys, is that WebAuthn generates cryptographic public-private pairs for signing in, which means no shared secrets that could be leaked if a site is hacked.

Though the standard is currently only rolling out to desktop browsers, in future mobile browsers are likely to support it too.

Beyond signing into websites, WebAuthn combined with another WC3 standard in development, the Payment Request API, will one day make it possible to authorize online purchases from a mobile browser using a fingerprint.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Browsers

Mozilla hat das Sicherheitswerkzeug Observatory ins Netz gestellt. Damit können Seitenbetreiber die eigene Website auf Schwachstellen überprüfen.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=OWASP

Das Tracking wird über die US-Firma Laserlike abgewickelt. Damit die Empfehlungen in der Seitenleiste auch passen, ist der umfangreiche Zugriff auf Daten, etwa den Browser-Verlauf und die aktuell geöffneten Seiten, nötig. Außerdem sammelt Laserlike IP-Adresse, Zugriffszeiten und Verweildauer auf Webseiten.

Im Rahmen von Test-Pilot tracken Laserlike und Mozilla noch Daten zur Nutzung von Advance, etwa Verweildauer auf empfohlenen Seiten oder Informationen zum Betriebssystem. Was man Mozilla zugute halten muss: Sie verschweigen das Thema Tracking nicht und bauen einen Schalter ein, um Advance pausieren zu lassen.

Auch im Privatmodus oder mit eingeschaltetem Tracking-Schutz funktioniert die Erweiterung nicht. Wer möchte, kann die übermittelten Daten einsehen und löschen.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=tracking

Mozilla confirms everybody's worst fears
In research published online late last night, Google didn't provide specific ways in which an attack could take place, but many security experts that looked over the Meltdown and Spectre academic papers said that web-based attacks are possible, and not just attacks using locally-delivered malicious code.

Hours after Google's announcement, Mozilla confirmed everybody's worst fear, that both Meltdown and Spectre are remotely exploitable by embedding attack code in mundane JavaScript files delivered via web pages.

"Our internal experiments confirm that it is possible to use similar techniques from Web content to read private information between different origins," said Luke Wagner, a software engineer with the Mozilla Foundation.

Firefox added Meltdown and Spectre mitigations in November 2017
Details about the Meltdown and Spectre flaws had been shared with Mozilla since last year, and Wagner says that Firefox 57, released in mid-November, already includes some countermeasures.

Both Meltdown and Spectre are side-channel attacks that produce leak memory data. They both rely on the ability to very precisely measure time to deliver exploits that leak memory data.

To hinder the attacks' efficiency, Mozilla says it reduced the precision of Firefox's internal timer functions. This is not a full mitigation, but just an efficient and clever workaround.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Meltdown+and+Spectre+Attacks