Schlagwort: Mozilla

Einen Browser alle sechs Wochen mit neuen Funktionen auszuliefern ist kein leichtes Unterfangen. So sind denn auch manche Firefox-Versionen hauptsächlich aus sicherheitstechnischen Gründen interessant.

Neuerungen allerorten

Der jetzt veröffentlichte Firefox 70 gehört aber definitiv nicht dazu. Mozilla hat der neuen Version reichlich Verbesserungen angedeihen lassen. Bereits äußerlich gibt sich Firefox im neuen Gewand. So heißt er nicht mehr wie seit dem großen Umbau ab 2017 Firefox Quantum, sondern einfach Firefox Browser. Damit deutet Mozilla an, der Quantensprung ist beendet und eine neue Ära beginnt.

Marken-Familie Firefox

Das Logo wurde ebenfalls überarbeitet. Der bisherige Fuchs beim Umschlingen der Erde wurde für die Gesamtmarke Firefox völlig abstrahiert und zeigt nun einen Wirbel in den bekannten Farben. Auch das Logo von Firefox Browser wurde weiter stilisiert.

Der neue Look steht für die Marken-Familie Firefox, die sich in weitere Einzelprodukte wie etwa Firefox Send, Firefox Monitor, Firefox Lockwise oder Firefox Proxy verzweigt. Mozilla hat zur Entstehung des neuen Logos ein Video bereitgestellt.

Neue Symbole für die Adressleiste

Beim Betrachten der Adressleiste in Firefox 70 fallen auch hier Veränderungen auf. Das bisherige »i« für Information ist einem Schildsymbol gewichen, ein Klick darauf vermittelt, welche Cookies und Tracking-Mechanismen die Seite verwendet und welche Schutzmaßnahmen eingeschaltet sind.

Ein Klick auf Schutzmaßnahmeneinstellungen öffnet die Einstellungen und offenbart einen neuen Eintrag in der Rubrik Aktivitätenverfolgung. Hier wurden neue Skripte zur Verhinderung von Verfolgung durch soziale Netzwerke hinzugefügt.

HTTPS mit grauem Schloss

Rechts daneben prangte bei Firefox 69 noch ein grünes Schloss, das eine per HTTPS verschlüsselte Webseite anzeigte. Dieses Schloss ist bei einer HTTPS-Seite in Firefox 70 nun grau, was signalisiert, HTTPS sei jetzt Standard. HTTP-Seiten werden mit einem roten Kreuz über dem Schloss versehen.

Damit nicht genug, warnt Firefox 70 künftig, wenn eine Webseite zwar per HTTPS lädt, aber bestimmte Inhalte wie Grafiken weiterhin per HTTP nachlädt. Solche Seiten sind mit grauem Schloss mit Ausrufezeichen markiert. Webseiten, die Geolokalisierung verwenden werden in der Adressleiste angezeigt. Alle Änderungen für die Adressleiste hat Mozilla im Security-Blog zusammengefasst.

Schneller dank Baseline-Interpreter

Eine um acht Prozent verkürzte Seitenladezeit will Mozilla bei Firefox 70 erreichen, indem man der JavaScript-Engine einen »JavaScript-Baseline-Interpreter« an die Seite gestellt hat.

Passwortmanager an Bord

Mehr Sicherheit soll die Integration des Passwortmanagers Firefox Lockwise direkt im Firefox Browser bringen. Bisher musste Lockwise als Erweiterung installiert werden, jetzt ist er fester Bestandteil des Firefox Browser.

Man kann neue Einträge anlegen und diese per Firefox Sync mit anderen Geräten auch unter Android und iOS teilen und sichere Passwörter erstellen. Die Warnung vor bei Datenlecks kompromittierten Passwörtern durch Firefox Monitor ist ebenfalls Teil von Firefox Lockwise.

DNS over HTTPS (DoH) ist ein am 19. Oktober 2018 als RFC 8484 standardisiertes Protokoll zur DNS-Auflösung über das HTTPS-Protokoll. Ziel ist es, Sicherheit und Privatsphäre der Anwender zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird. Zudem soll mit DNS über HTTPS, die Leistung verbessert werden.

DNS over HTTPS

Nach rund 18 Monaten intensiver interner Tests und der Bereitstellung in Firefox Nightlies und Firefox Beta vor rund einem Jahr soll DoH nun noch im September für eine Teilmenge der Anwender in den USA freigeschaltet werden. Die Tests mit rund 25.000 Teilnehmern ergaben, dass die Verwendung von DNS over HTTPS nur einen geringen Performance-Einfluss auf die Mehrheit der nicht gecachten DNS-Abfragen im Vergleich zu herkömmlichem DNS hatte.

Fast gleich schnell

Die meisten Abfragen waren etwa 6 Millisekunden langsamer, was laut Mozilla eine akzeptable Einbuße für die Vorteile der Datensicherung darstellt. Die langsamsten DNS-Transaktionen schnitten mit dem neuen DoH-basierten System jedoch viel besser ab als das traditionelle – manchmal Hunderte von Millisekunden besser. Verläuft die Einführung bei einem Prozentsatz der Anwender problemlos, soll DoH zeitnah bei Firefox zum Standard werden.

Kritik an der Art der Ausführung

Allerdings verstummt auch die Kritik an DoH von verschiedenen Seiten nicht. Die Nominierung von Mozilla als Internet-Schurke 2019 lassen wir als speziell britisches Problem dabei einmal außen vor. Ernstzunehmende Kritik entzündet sich an der Art und Weise, wie die DNS-Anfragen über HTTPS an die DNS-Resolver verteilt werden sollen. Die Blog Nethinks beschreibt DNS-Resolver so:

Eine spezielle Rolle von DNS-Servern sind die sogenannten »Resolver« oder auch »Caching Name-Server«. Diese Resolver sind Systeme, deren einzige Aufgabe es ist, DNS-Anfragen von Clients entgegenzunehmen, diese rekursiv im globalen DNS-System aufzulösen und dem Client schließlich wieder bereitzustellen. Die Resolver cachen alle DNS-Abfragen für eine bestimmte Zeit, um bei der wiederholten Abfrage das Ergebnis direkt ausliefern zu können.

Konzentration auf zu wenige Dienstleister

Die Kritik entzündet sich hier an der Tatsache, dass zur Namensauflösung nicht der Resolver verwendet werden soll, der im Betriebssystem des jeweiligen Geräts festgelegt ist, sondern der, den die Browser-Entwickler bevorzugen. Hier steht laut der Kritik zu befürchten, dass dies zu einer Konzentration der DNS-Anfragen bei den von Google und Mozilla bevorzugten Dienstleistern, wie etwa Cloudflare führen kann. Auch Google plant nämlich die baldige Einführung von DoH.

Angriffsvektoren reduziert

Sollte dies eintreten, könnte diese Konzentration dazu führen, dass die beiden Hersteller die DNS-Daten für kommerzielle Belange nutzen könnten. Auch die Angriffsvektoren würde dadurch konzentriert. Große Telekommunikationsunternehmen wünschen sich eine langsame und behutsame Einführung von DoH. Zudem gibt es auch Anhänger des parallel entwickelten DNS over TLS (DoT). Hier wird als Vorteil gesehen, dass ein DoT-Client Tracking erschwert, indem Anfragen zufallsgesteuert breit verteilt.

Laut Mozilla haben bereits rund 70.000 Anwender im Firefox freiwillig aktiviert. Für den Anwender wichtig bei alledem: DoH kann, wenn es denn einmal Standard ist, im Browser deaktiviert werden.

Firefox 69 ist fertig und steht zum Download auf Mozillas FTP-Servern bereit. Die offizielle Veröffentlichung wird am heutigen 3. September erwartet. Wie bereits der Vorgänger Firefox 68 bietet auch Firefox 69 keine herausragenden Neuerungen, sondern verbessert den Browser hauptsächlich in Sachen Geschwindigkeit und Sicherheit.

Prozess-Priorisierung für Windows

Was die Steigerung der Geschwindigkeit anbelangt kommen derzeit nur Windows-Anwender in den Genuss der Prozess-Priorisierung durch den neuen »Process Priority Manager«. Bereits seit längerem nutzt Firefox mehrere parallele Prozesse, in denen der Browser selbst und die geöffneten Webseiten getrennt laufen.

Hier werden mit Firefox 69 Vordergrundaktivitäten des Anwenders priorisiert, während Aktivitäten im Hintergrund mit niedrigerer Dringlichkeit behandelt werden. Das gilt für alle Prozesse außer Audio und Video, die automatisch immer höchste Priorität haben. Wann diese Priorisierung auch für Linux verfügbar ist, ist unklar. Noch lässt sich unter Linux die Option auch über about:config nicht einschalten, der Schalter fehlt bisher völlig.

Flash weiter eingeschränkt

Die Sicherheit des Browsers wurde gleich an mehreren Stellen erhöht. Die Verwendung des Flash-Players, der nächstes Jahr von Adobe komplett eingestellt wird, wurde weiter eingeschränkt. Die Einstellung, dass Flash Player auf bestimmten Seiten automatisch verwendet werden kann, wurde gestrichen. Somit muss die Verwendung bei jedem Aufruf erneut bestätigt werden.

Krypto-Miner verhindert

Der Schutz vor Tracking wurde für Firefox 69 weiter verbessert. Die neue Version des Browsers erhält automatisch den erweiterten Standardschutz vor Tracking, falls keine benutzerdefinierten Einstellungen vorliegen. Damit werden zusätzlich zum Tracking-Schutz nun auch Krypto-Miner gesperrt.

Kein Gezappel mehr

In den Einstellungen zu »Automatische Wiedergabe« konnte bisher das automatische Abspielen von Sound bei Videos blockiert werden. Damit wurden Videos auf Webseiten zwar abgespielt, aber ohne Sound. Mit Firefox 69 hat nun auch das lautlose Gezappel ein Ende, wenn in den Einstellungen »Audio und Video blockieren« eingestellt sind.

Optische Änderungen erschwert

Firefox lädt die Dateien userChrome.css und userContent.css nicht mehr standardmäßig. Benutzer, die Firefox mithilfe dieser Dateien anpassen möchten, können die in about:config die Einstellung toolkit.legacyUserProfileCustomizations.stylesheets auf true setzen, um diese Fähigkeit wiederherzustellen.

Am heutigen 9. Juli hat Mozilla Firefox 68 und gleichzeitig Firefox ESR 68 veröffentlicht. Die mit Firefox 67 begonnene Auslieferung von WebRender wird fortgesetzt. Probleme mit Antiviren-Software sollen künftig automatisch gelöst werden.

Grafikbeschleuniger auch für AMD

WebRender ist ein Teil von Firefox Quantum, wird aber aufgrund der längeren Entwicklungszeit erst jetzt langsam zugänglich gemacht. Wie WebRender das Surferlebnis verbessert, erläutert ein Blogeintrag. Mit Firefox 67 begann Mozilla mit dem Ausrollen der neuen GPU-Render-Engine, die Teil der Browser-Engine Servo ist, an Anwender von Windows 10 mit NVIDIA GPUs.

Mit dem jetzt verfügbaren Firefox 68 werden die Anwender von Windows 10 und AMD GPUs mit der neuen Technik bekannt gemacht. Sie lässt sich allerdings auch unter Linux und für Intel-Grafikkarten einschalten, indem man unter about:config den Eintrag gfx.webrender.all auf true setzt.

Probleme mit Antiviren-Software

Wiederum den Windows-Anwendern kommt der Umstand zugute, dass sich Mozilla für Firefox 68 um die Problematik der häufigen Kollision von Firefox mit AV-Software aus dritter Hand gekümmert hat. Die Probleme entstehen laut einem Blogeintrag, da Mozilla aus Sicherheitsgründen eine eigene Liste von vertrauenswürdigen Certificate Authorities in einem eigenen Zertifikatsspeicher führt, anstatt die des Betriebssystems zu benutzen.

Das bedeutet, dass Antiviren-Software zusätzlich zum Betriebssystem auch Firefox ordnungsgemäß neu konfigurieren muss, und wenn dies aus irgendeinem Grund fehlschlägt, kann Firefox keine Verbindung zu Websites über HTTPS herstellen, selbst wenn andere Browser auf demselben Computer dies können.

Die daraus resultierenden Probleme beim Untersuchen von HTTPS-Verbindungen will Mozilla nun automatisch lösen, indem in solchen Fällen die Option security.enterprise_roots.enabled geschaltet wird, die dafür sorgt, dass Firefox solche Fehler übergeht, indem direkt auf den Zertifikatsspeicher des Betriebssystems zugegriffen wird.

Die Einstellung ist bei Firefox ESR 68 standardmäßig aktiv, während sie beim normalen Firefox aktiviert bleibt, nachdem sie erstmals wegen eines solchen Problems erfolgreich eingeschaltet wurde. Das funktioniert allerdings nur, wenn der Anwender hier nicht bereits vorher manuell Änderungen vornahm.

Erweiterungsseite überarbeitet

Verbesserungen, die alle Betriebssysteme betreffen gibt es bei der Verwaltung von Erweiterungen zu berichten. Hier wurde der unter about:addons oder im Menü erreichbare Erweiterungsmanager überarbeitet. Nun ist auf einen Blick zu erkennen, welche Add-ons installiert, aktiviert oder deaktiviert sind. Ein Klick auf eine Erweiterung zeigt weitere Informationen und Einstellungen.

Mozilla zeigt auf der Seite nun zusätzlich Empfehlungen für Add-ons, basierend auf der bisherigen Nutzung des Browsers. Die Personalisierung kann in den Einstellungen unter Datenschutz & Sicherheit abgeschaltet werden. Wer gar keine Empfehlungen für Add-ons mag, kann diese unter about:config mit dem Schalter extensions.htmlaboutaddons.discover.enabled auf false setzen.

Neue Hauptversion für Firefox ESR

Mit Firefox wird auch eine neue Hauptversion von Firefox ESR ausgeliefert. die hauptsächlich Unternehmen entgegen kommt. Im Unterschied zur Normalversion bietet Firefox ESR 68 noch keine Unterstützung für WebRender. Insgesamt ist Firefox 68 besonders für Linux-Anwender ein eher unscheinbares Release, geht aber den eingeschlagenen Weg konsequent weiter. Ein Grund zum Update sind auf jeden Fall die bereinigten Sichberheitsprobleme. Weitere Einzelheiten sind in den Release Notes erläutert.

Mozilla reagiert mit der Veröffentlichung von Firefox 67.0.3 und Firefox ESR 60.7.1 auf eine bereits aktiv ausgenutzte Zero-Day-Sicherheitslücke. Die als kritisch bezeichnete Lücke, die unter CVE-2019-11707 katalogisiert ist, wurde von Sicherheitsforscher Samuel Groß, der für Coinbase Security arbeitet, im Rahmen von Googles Project Zero entdeckt.

Type Confusion Vulnerability

Es handelt sich dabei um eine sogenannte Type-Confusion-Verwundbarkeit. Mozilla hält sich sehr bedeckt in seiner Meldung zu dieser Sicherheitslücke. Es wird lediglich klar, dass die Lücke über einen Fehler in der JavaScript-Funktion Array.pop ausgenutzt werden kann und dass dies bei ungepatchten Installationen von Firefox 67 bereits aktiv geschieht.

Bei der Manipulation von JavaScript-Objekten kann es dabei zu einer Verwechslung kommen, die zu einem ausnutzbaren Absturz führen kann. Da Entdecker Groß im Bereich Cryptocurrencies arbeitet, darf vermutet werden, dass die Lücke in diesem Bereich für Angriffe ausgenutzt wird.

Selten Zero-Days in Browsern

Zero-Days in Browsern sind relativ selten, wie ZDNet berichtet. Der letzte Firefox-Zero-Day-Patch stammt demnach vom Dezember 2016, als eine Sicherheitslücke ausgenutzt wurde, um die Anonymität von Benutzern des Tor-Browsers aufzuheben, der Firefox als Grundlage nutzt. Bei Google wurde im März dieses Jahres eine Zero-Day-Lücke geschlossen, die zusammen mit einer Zero-Day-Lücke gegen Windows 7 in komplexen Angriffsszenarien genutzt wurde.

Anwender von Firefox 67 und Firefox ESR 60, die keine automatischen Updates erhalten, sind dringend angehalten, ihren Browser auf den neuesten Stand zu bringen. Mozilla gebührt ein Lob für die konsequente Art und Weise, die Nutzung von Firefox für uns alle sicher zu gestalten. desgleichen gilt auch für Google in Bezug auf den Browser Chrome.

Mozilla plant noch für dieses Jahr eine Firefox-Premiumversion. Das geht aus einem Interview der deutschen Medienplattform T3N mit Mozillas CEO Chris Beard hervor. Auf Seite 3 spricht Beard dabei über die diesbezüglichen Pläne, die den Anwendern zunächst als Abo-Modell angeboten werden sollen.

Mehr finanzielle Unabhängigkeit

Der Browser-Hersteller will damit etwas unabhängiger von den Suchmaschinenbetreibern wie Google, Yandex oder Baidu werden, die derzeit rund 90 Prozent der Einnahmen darstellen. Diese betrugen 2017 insgesamt rund 542 Mio. USD. Mozilla will zwei weitere Standbeine aufbauen, um Einnahmen zu generieren. Neben Search gibt es bereits das zweite Standbein Content, wozu beispielsweise die Einnahmen aus teilweise gesponsorten Inhalten von Pocket zählen.

Drittes Standbein

Das dritte Standbein, an dem derzeit gearbeitet wird, soll ein Firefox-Abo-Modell mit Premiumangeboten werden. Das soll zunächst in Form von verschiedenen entgeltpflichtigen Abo-Diensten umgesetzt werden. Später könnte es eine Firefox-Premiumversion geben, die verschiedene Zusatzangebote vereint.

VPN-Dienst als Freemium-Modell

Vorstellbar ist beispielsweise, dass die freie Version von Firefox eine gewisse Menge an Bandbreite als Freemium-VPN bereitstellt und den Anwender, der sich in einem öffentlichen WLAN befindet und die Webseite einer Bank öffnet, daran erinnert, dass jetzt ein guter Zeitpunkt wäre, VPN einzuschalten. Dabei soll dann auch die Premiumebene über ein monatliches Abo angeboten werden.

Zusätzlicher Nutzen garantiert

Eine weitere Idee, die Beard kurz ansprach, sind Speicherlösungen, ohne dass hier weitere Einzelheiten zu erfahren waren. Beard stellt aber klar, Mozilla werde keinesfalls Geld für Dinge verlangen, die derzeit kostenlos sind. Die Firefox-Premiumversion wird zusätzlichen Nutzen als Abo anbieten. Das Firefox-Abo-Modell soll mit einer ersten Premiumebene vermutlich im Oktober starten.

Firefox 67 erscheint wegen dem von Mozilla selbstverschuldeten Debakel mit gesperrten Erweiterungen mit einer Woche Verspätung, bringt aber eine Menge an neuen und verbesserten Funktionen sowie mehr Sicherheit mit.

Mehr bösartige Inhalte blockierbar

Der Inhaltsblocker, der erstmals in Firefox 63 eingesetzt wurde, integriert mit Firefox 67 für den anwender auswählbar auch Maßnahmen gegen Fingerprinting und Cryptomining. In den Einstellungen wurden unter der Rubrik Datenschutz und Sicherheit bei den benutzerdefinierten Einträgen zwei neue Positionen hinzugefügt. Damit können automatisch Domains, die entweder für Fingerprinting oder Cryptomining bekannt sind, gesperrt werden. Beide Einstellungen sind standardmäßig aktiviert. Für vertrauenswürdige Seiten können Ausnahmen definiert werden.

Mehr Kontrolle über Add-ons

Die Kontrolle, welche Erweiterungen künftig im privaten Modus laufen, geht mit Firefox 67 an den Anwender über. Alle Erweiterungen, die vom Nutzer installiert werden, werden künftig nicht standardmäßig in privaten Fenstern ausgeführt und haben keinen Zugriff auf die Online-Aktivitäten in diesen Fenstern.

Dazu wird entweder während der Installation von Erweiterungen ein Dialog eingeblendet oder der Anwender klickt in den Einstellungen auf die Erweiterung und setzt einen entsprechenden Haken.

Screenshots ohne Upload

Firefox bietet seit geraumer Zeit eine fest eingebaute Erweiterung zum Aufnehmen von Screenshots. Bisher konnten diese Aufnahmen auf einen Mozilla-Server geladen und dort gespeichert werden. Dies ist ab Firefox 67 nicht mehr möglich, die Screenshots werden künftig nur noch lokal gespeichert.

Mehrere Profile

Firefox-Nutzer, die neben der stabilen Version auch Beta- oder Nightly-Versionen nutzen, werden sich freuen, dass die Verwaltung dieses Szenarios nun einfacher wird. Arbeiten bisher alle gleichzeitig installierten Versionen des Browsers standardmäßig mit einem einzigen Profil, erhält ab jetzt jede Installation ein eigenes Profil.

Die Ära WebRender beginnt

Nach mehr als drei Jahren Entwicklung beginnt Mozilla mit Firefox 67 mit dem Ausrollen von WebRender an die Anwender. Anfangs erhalten jedoch standardmäßig nur fünf Prozent der kompatiblen Nutzer Zugriff auf die neue, in der Programmiersprache Rust umgesetzten Render-Engine.

WebRender ist ein Teil von Firefox Quantum, wird aber aufgrund der längeren Entwicklungszeit erst jetzt langsam zugänglich gemacht. Wie WebRender das Surferlebnis verbessert, erläutert ein Blogeintrag aus dem Jahr 2017.

Rendern über die GPU

Der neue GPU-Renderer, der Teil der Browser-Engine Servo ist, wird zunächst nur an Anwender von Windows 10 mit NVIDIA GPUs verteilt. Sie lässt sich allerdings auch unter Linux und mit Intel- oder AMD-Grafikkarte einschalten, indem unter about:config der Eintrag gfx.webrender.all auf true gesetzt wird.

Es war ein peinlicher Fehler, der Mozilla da unterlaufen war und am letzten Wochenende dazu führte, dass fast alle von Firefox angebotenen Add-ons deaktiviert wurden und auch keine neuen Erweiterungen installiert werden konnten.

Betriebsames Wochenende

Mozilla erfuhr erst durch Anwender von dem Problem. Daraufhin brach in Mountain View in Kalifornien hektische Betriebsamkeit aus, die mehrere Teams das ganze Wochenende in Atem hielt und nach einem ersten Workaround zur Eindämmung des Problems die beiden außerplanmäßigen Veröffentlichungen Firefox 66.0.4 und 66.0.5 nach sich zog.

Peinlicher Fehler

Was war geschehen? Mozilla hatte es versäumt, ein Zertifikat rechtzeitig zu erneuern, dass für die Signaturprüfung der Firefox-Erweiterungen zuständig war. Ohne gültiges Zertifikat konnte keine Signaturprüfung stattfinden und somit wurde der Großteil der mehr als 15.000 Firefox-Add-ons mit einem Schlag ungültig. Jetzt veröffentlichte der Browser-Hersteller sowohl eine Entschuldigung als auch eine technische Erläuterung der Zusammenhänge.

Zur Sicherheit signiert

Die digitale Signaturpflicht für Erweiterungen, die auf Mozillas offizieller Add-ons-Webseite AMO angeboten werden, wurde bereits 2015 eingeführt, um die Anwender vor bösartigen Add-ons zu schützen. Die Art und Weise, wie die Add-On-Signatur funktioniert, ist, dass Firefox mit einem vorinstallierten Root-Zertifikat konfiguriert ist. Das Original-Zertifikat wird von Mozilla offline in einem Hardware-Sicherheitsmodul (HSM) gespeichert.

Verschachtelte Zertifikate

Alle paar Jahre wird damit ein neues Zwischenzertifikat (intermediate certificate) unterzeichnet, das online gehalten und im Rahmen des Signaturprozesses verwendet wird. Wenn ein Add-on zur Signatur vorgelegt wird, generiert Mozilla ein neues temporäres Entitätszertifikat und signiert dieses mit dem Zwischenzertifikat. Das Entity-Zertifikat wird dann verwendet, um das Add-on selbst zu signieren.

Zu spät bemerkt

Das Problem entstand durch das am 4. Mai unbemerkt abgelaufene Zwischenzertifikat. Mozilla überprüft seine Add-ons alle 24 Stunden, wobei der Zeitpunkt der Überprüfung durch verschiedene Zeitzonen für jeden Benutzer unterschiedlich ist. Das Ergebnis war, dass einige Nutzer sofort Probleme hatten, andere erst viel später. Mozilla wurde also erst durch die Meldungen verunsicherter Anwender auf das Problem aufmerksam.

Für fast alle Anwender behoben

Daraufhin wurde ein Lösungskonzept erarbeitet, das vorsah, ein neues gültiges Zertifikat zu erstellen und schnellstmöglich an alle Nutzer auszuliefern. Dies wurde als Workaround innerhalb von 12 Stunden umgesetzt und ausgeliefert und behob das Problem für die meisten Anwender, aber nicht für alle. Mit Firefox 66.0.4 und 66.0.5 sind aber nun fast alle Anwender wieder in der Lage, ihre Erweiterungen zu nutzen.

In einer Nachlese will Mozilla in der nächsten Woche klären, wie solche groben Fehler künftig vermieden werden können und wie sie, falls sie doch auftreten, schneller zu beheben sind.

Mit Project Fission will Mozilla die Prozessarchitektur von Firefox besser gegen bestehende und künftige Verwundbarkeiten wie die von Spectre absichern. Dazu soll die Zahl der Prozesse erhöht werden, um eine komplette Seitenisolierung zu bieten.

Electrolysis

Bereits 2016 begann Mozilla im Rahmen von Electrolysis eine Multiprozessarchitektur umzusetzen, die die Inhalte von der Benutzerschnittstelle isolierte. Die Zahl der Prozesse für Inhalte wurde dann 2018 nochmals von 4 auf maximal 8 erhöht.

Chrome unterteilt besser

Aber im Gegensatz zu Googles Chrome-Browser erhält derzeit nicht jede geladene Seite ihren eigenen Prozess, sodass Inhalte verschiedener Seiten sich einen Prozess teilen. Dabei geladene eingebettete Cross-Site-iFrames, die in einem Tab geladen sind, nutzen bisher den Elternprozess, obwohl sie von einer anderen URL stammen.

Prozesse für jeden iFrame

Project Fission will dies nun ändern und jedem iFrame einen eigenen Prozess zuordnen. Die Infrastruktur für das aufwendige Projekt wird bereits seit rund einem Jahr erstellt. Nun soll es an die effektive Umsetzung der neuen Browser-Architektur gehen, die Bauarbeiten können auf Bugzilla verfolgt werden.

Die einzelnen Bausteine, die es braucht, um die Prozessarchitektur umzubauen, lassen sich auch den bisher formulierten Milestones entnehmen. Ende Februar soll bereits Milestone 1 erreicht werden.

20 Prozent mehr Speicherverbrauch

Nach Abschluss des Umbaus will Firefox besser gegen bösartigen JavaScript-Code gewappnet sein. Mozilla will seinen Anwendern dabei in einer Zeit, in der wir Prozessoren nicht mehr vertrauen können, auf Browser-Ebene den bestmöglichen Schutz angedeihen lassen. Die Kehrseite der Medaille ist, dass sich der Speicherverbrauch bei voller Seitenisolierung vermutlich im Bereich von 20 Prozent erhöhen wird.

Wann die Erweiterung der Prozessarchitektur von Firefox bei den Anwendern ankommen wird, ist derzeit noch nicht klar. Den beiden bereits formulierten Milestones sollen weitere folgen.

Mozilla beginnt das Jahr gemächlich und verpasst dem jetzt veröffentlichten Firefox 65 viele kleine, nützliche Verbesserungen, ohne dass eine der Änderungen besonders heraussticht.

Am nächsten kommt diesem Merkmal vermutlich die offizielle Unterstützung von Googles Bildformat WebP. Dieses ist frei, bietet verlustbehaftete oder verlustfreie Komprimierung und erzielt Ergebnisse gleicher Qualität wie etwa JPEG oder PNG, die aber kleiner sind.

Der Task-Manager, der seit Firefox 64 – etwas versteckt – im Menü unter Sonstiges zu finden ist, wurde weiter ausgebaut. Alternativ kann er immer noch per about:performance aufgerufen werden. Das überarbeitete Werkzeug meldet nun den Speicherverbrauch neben Tabs auch für Add-ons und ermöglicht so eine schnelle Identifizierung von speicherfressenden Prozessen.

Auch beim Anti-Tracking wurden die Schrauben in Sachen Schutz der Privatsphäre weiter angezogen, wie im Mozilla Blog nachzulesen ist. Hier sind weitere Schritte geplant, die aber intensive Tests voraussetzen, um das Nutzererlebnis nicht negativ durch fehlerhaft dargestellte Webseiten zu trüben.

Als Ergebnis einiger früherer Tests bietet Firefox 65 aber einen neuen Satz von überarbeiteten Steuerelementen für den Abschnitt Seitenelemente blockieren, in dem Benutzer den gewünschten Grad des Datenschutzes auswählen können.

Die Schalter finden sich in den Einstellungen unter Privatsphäre und Datenschutz, können aber auch über das kleine i links in der Adressleiste aufgerufen werden. Die Einstellungsmöglichkeiten reichen von Standard bis Streng und Benutzerdefiniert. Auch die verwendete Blockierliste von Disconnect.me kann schärfer eingestellt werden.

Für Windows-Benutzer unterstützt Firefox jetzt die freie Videokomprimierungstechnologie AV1. Mozilla hat zu diesem neuen offenen Standard beigetragen, der qualitativ hochwertige Videos für alle erschwinglich halten will. Zudem wurden wieder einige Sicherheitslücken geschlossen.

Verbesserte Sicherheit für Anwender von Linux, macOS und Android wurde durch stärkeren Schutz vor Stack Smashing erreicht, der nun standardmäßig für alle Plattformen aktiviert ist. Alle Änderungen zu Firefox 65 und einen Downloadlink halten wie immer die Release Notes bereit.