CleanPress

Schlagwort: Mozilla

  • Mozilla empfiehlt Firefox Add-ons zum Schutz der Privatsphäre

    Mozilla empfiehlt Firefox Add-ons zum Schutz der Privatsphäre

    Mozilla steht beständig in der Kritik der Anwender. So auch dieser Tage wieder wegen der Datensammlung beim Test-Pilot Advance und wegen den Plänen zu DNS over HTTPs. Der Grund, warum viele Anwender trotzdem bei Firefox bleiben sind die vielen verfügbaren Erweiterungen. Mozilla hat jetzt eine Liste mit Empfehlungen zu Add-ons online gestellt, die sich um den Schutz der Privatsphäre kümmern.

    Firefox Add-ons fürs Private

    Auf der Firefox-Webseite für Add-ons kann man die gleiche Liste nach mehreren Gesichtspunkten sortieren. Wenn es um die Beliebtheit geht, so führen Privacy Badger und DuckDuckGo Privacy Essentials die Liste der Empfehlungen mit jeweils rund einer halben Million Anwendern an. Ersteres wird von der Electronic Frontier Foundation (EFF) zur Verfügung gestellt. Während andere Erweiterungen Listen erstellen, lernt dieses Add-on durch Beobachtung, welche Domains den Nutzer beim Surfen verfolgen, automatisch, unsichtbare Tracker zu blockieren.

    DuckDuckGo Privacy Essentials ist ein Rundumschlag in Sachen Privatsphärenschutz. So stehen Tracker-Blockierung, intelligentere Verschlüsselung, private Suche per DuckDuckGo, die Entmystifizierung von Nutzungsbedingungen und vieles mehr auf dem Programm der Firefox-Erweiterung des Suchmaschinen-Herstellers.

    Facebook kaserniert

    Über 300.000 Anwender kann das Add-on Facebook Container aufweisen. Es  funktioniert, indem die Facebook-Identität in einem separaten Container isoliert wird, der es Facebook erschwert, Besuche auf anderen Websites mit Cookies von Drittanbietern zu verfolgen. Mit über 200.000 Nutzern folgt Web Security.  Es ist ein hochentwickeltes Add-on, das eine fortschrittliche Echtzeit-Schutztechnologie sowie eine umfangreiche Datenbank verwendet, um zu verhindern, dass Websites den Computer beschädigen oder sensible Daten abgreifen.

    Tracker visualisiert

    In etwa die gleichen Zahlen kann Disconnect aufweisen. Es blockiert unsichtbare Tracker und kann diese gleichzeitig visualisieren. Dabei können Seiten auch manuell von Schutz ausgenommen werden. Firefox nutzt intern die Listen von Disconnect zum Trackingschutz. Mit etwas mehr als 100.000 Anwendern folgen Firefox Multi-Account Containers, Decentraleyes und Cookie AutoDelete. Letzteres gibt dem Anwender die Kontrolle über Cookies zurück. Wird ein Tab geschlossen, werden nicht verwendete Cookies automatisch gelöscht. Cookies, die das Vertrauen des Nutzers genießen, können ausgenommen werden. Dieses Add-on funktioniert seit Kurzem auch mit Firefox Multi-Account-Containern.

    Alles zusammen getrennt

    Letzteres erlaubt uns, verschiedene Teile des Online-Lebens in farbkodierte Registerkarten unterteilen, die Ihre Privatsphäre schützen. Cookies sind durch Container getrennt, sodass Sie das Web mit mehreren Identitäten oder Konten gleichzeitig in einer Browser-Instanz nutzen und privat und beruflich trennen können. Decentraleyes ist eine Ergänzung zum Tracking-Blocker. Es schützt vor Nachverfolgung bei der zentralen Bereitstellung von Inhalten, etwa durch CDNs. Dabei verhindert das Add-on, dass viele Anfragen nicht in die »Content Delivery Networks« gelangen, und stellt gleichzeitig lokale Dateien zur Verfügung, um zu verhindern, dass Websites nicht korrekt dargestellt werden.

    Zum Wegwerfen

    Bloody Vikings! hat in jedem Fall mehr als die angegebenen knapp 14.000 Anwender verdient, schützt es doch unsere E-Mail-Adressen vor der Verbreitung auf allzu vielen Webseiten. Anstatt die wirkliche E-Mail-Adresse zu exponieren, erlaubt das Add-on die halbautomatische Verwendung von Wegwerfadressen über das Kontextmenü. Dafür werden unter anderem die Dienste 10minutemail.com und anonbox.net verwendet.

    Beuteltiere unter sich

    Neben dem Badger kommt auch bei einem anderen Add-on ein weiteres Beuteltier zum Einsatz. Privacy Possum lebt seine zerstörerischen Tendenzen aus, indem es dafür sorgt, das Werbenetzwerke beim Tracking durch Verkürzung und Verfälschung wertlose Informationen erhalten. Relativ bekannt ist
    Smart HTTPS, dass seit kurzem nun als WebExtension vorliegt. Es ändert automatisch das HTTP-Protokoll in das sichere HTTPS, falls der Webserver letzteres unterstützt. Tritt ein Fehler beim Laden auf, geht’s zurück nach HTTP.

    Sauber machen

    Bleiben noch die beiden Saubermänner History Cleaner und Link Cleaner. Das erste Tool löscht den Browser-Verlauf nach einem von Anwender festzulegenden Zeitraum, während das andere Werkzeug armlange URLs für das Kopieren durch die Entfernung von überflüssigen Tracking-Parametern bereinigt.

    Alle aufgeführten Add-ons sind einfach zu handhaben und brauchen keine bis wenig Einarbeitung. Erweiterungen wie uMatrix oder uBlock Origin, mit denen selbst geübte Anwender viel Zeit bei der Einstellung verbringen, sind auf Mozillas Liste nicht vertreten.

  • Thunderbird 60 von Mozilla veröffentlicht

    Logo: Mozilla Lizenz: CC BY-SA 3.0

    Der beliebte E-Mail-Client Thunderbird hat eine Aktualisierung auf Version 60 erhalten, die viele wichtige Änderungen mit sich bringt. Die wichtigste dieser Änderungen betrifft Erweiterungen und Themes, die künftig die WebExtensions-APIs unterstützen müssen. Das bedeutet, dass nun auch bei Thunderbird, wie schon bei Firefox Quantum standardmäßig nur noch Erweiterungen installiert werden können,  die dem neuen Standard entsprechen.

    WebExtensions auch bei Thunderbird 60

    Die alten XUL-basierten Erweiterungen werden deaktiviert oder lassen sich erst gar nicht mehr installieren. Allerdings gibt es auch hier eine Übergangsfrist, während derer diese Vorgabe übergangen werden kann. Dazu geht man unter Bearbeiten – Einstellungen auf die Registerkarte Erweitert und dort unten auf Konfiguration bearbeiten. Daraufhin öffnet sich, was wir bei Firefox als about: config kennen. Nach Eingaben von extensions.strict kann der Wert durch Doppelklick auf die Zeile von true auf false gesetzt werden.

    Thunderbird 60
    Noch lässt sich die Vorgabe zu WebExtensions übergehen

    Zeitweiliger Workaround

    Daraufhin sollten die meisten Erweiterungen wieder aktivier- bzw. installierbar sein. Wie lange diese Möglichkeit besteht, ist jedoch unbekannt. Die Kompatibilität von Erweiterungen mit Thunderbird 60 lässt sich auch vorab überprüfen. Erst kürzlich erhielt Thunderbird hierzu eine eigene Webseite, auf der die Kompatibilität von allen verfügbaren Erweiterungen angegeben wird.

    Bei der Optik erfuhr Thunderbird 60 eine Modernisierung. So werden neben dem Standard-Theme eine Light- und eine Dark-Variante mit ausgeliefert. Ansonsten sind nun auch Themes nach dem neuen Standard WebExtensions installierbar. Das Logo von Thunderbird wurde ebenfalls modernisiert.

    Aufwertung an vielen Stellen

    Der Kalender wurde ebenfalls aufgewertet und erlaubt es, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auch wiederkehrende Ereignisse lassen sich nun kopieren, ausschneiden und löschen.

    Beim Verfassen von E-Mails können bereits eingetragene Empfänger einzeln wieder entfernt werden, wenn sich die Maus über dem entsprechenden Feld befindet. Das Menü für Anhänge ist an den rechten Rand des Fensters gerückt und wurde um die Möglichkeit erweitert, bereits eingestellte Anhänge per Dialog, Tastatur oder Drag&Drop zu sortierern.

    Thunderbird 60
    Thunderbird 60 mit neuem Dialog für Anhänge

    Sicherheit verbessert

    Bei der Sicherheit wurde OAuth2-Authentifizierung- für Yahoo und AOL hinzugefügt. Zudem wird generell FIDO U2F unterstützt. Als experimentelle Funktion können Ordner von mbox nach maildir und zurück konvertiert werden. Dazu muss in den Einstellungen wie bereits oben beschrieben der String mail.store_conversion_enabled gesetzt werden. Alle weiteren Änderungen bei Thunderbird 60 können den Release Notes entnommen werden.

     

  • Firefox 63 mit eigenem Prozess für WebExtensions

    Firefox 63 mit eigenem Prozess für WebExtensions

    Wenn Mozilla am 23. Oktober Firefox 63 veröffentlicht, wird dieser unter Linux mit den Ausgaben für Windows und macOS gleichziehen, wenn es um die Auslagerung von Funktionalität in eigene Prozesse geht. Die Windows-Version erhielt einen eigenen Prozess für Erweiterungen bereits mit Firefox 56, macOS zog vor rund einem Monat mit dem derzeit aktuellen Firefox 61 nach. Lediglich bei Linux blieb es bisher standardmäßig bei Prozessen für Browser-Kern und Tabs.

    Erweiterungen im eigenen Prozess

    Mit Firefox 63 kommen nun auch Linux-Anwender in den Genuss von getrennten Prozessen für  WebExtensions, dem seit Firefox 57 Quantum gültigen und mittlerweile verbindlichen Standard für Firefox-Erweiterungen. Das ist dem als gelöst markierten Bug 1357487 zu entnehmen. Bereits seit einer Weile konnte das Feature in Firefox Nightly freigeschaltet werden, problemlos läuft die Funktion allerdings erst seit Firefox 63 Nightly, wo sie auch bereits eingeschaltet ist. Beim aktuellen Firefox bedarf es der Freischaltung durch Eingabe von about:config gefolgt von extensions.webextensions.remote. Dort muss der Wert durch Doppelklick auf true geschaltet werden.

    Tracking-Schutz ausgebaut

    Firefox 63 wird zudem einen verbesserten Tracking-Schutz bieten. Mit Tracking Protection verhindert Firefox, dass Skripte von missbräuchlichen Trackern geladen werden. Dadurch wird nicht nur nervige Werbung geblockt und die Verfolgung beim Surfen erschwert, als Effekt daraus werden Seiten auch schneller geladen. Nachdem Tracking Protection in den letzten Ausgaben bereits optisch durch die Platzierung bei den Sicherheitsmerkmalen in der Adresszeile prominent hervorgehoben wurde, wird die Funktion für Firefox 63 nochmals erweitert.

    Firefox 63 erweitert den Schutz um das Blockieren von Crypto-Jacking– und Fingerprinting-Scripten und erlaubt in den Einstellungen eine feinere Kontrolle, was genau geblockt werden soll. Benutzer haben dann die Option, Tracking für Werbung, Analysen, Fingerprinting, soziale Medien und Crypto-Mining getrennt ein- oder auszuschalten.

  • Firefox Seiten-Isolierung als neues Sicherheitsmerkmal

    Firefox Seiten-Isolierung
    Bild: Firefox Logo | Quelle: Mozilla | Lizenz: CC BY-SA 3.0

    Vor rund sechs Wochen erschien Chrome 67 und führte als neues Sicherheitsmerkmal Site Isolation, zu deutsch Seiten-Isolierung, ein. Damit verschärfte Google die Trennung von Inhalten im Browser. Jetzt wurde bekannt, dass Mozilla seit April an einem ähnlichen Projekt arbeitet, dass unter dem Namen Project Fission läuft. Dabei soll jeder Rendering-Prozess auf Dokumente von einer einzigen Domain beschränkt werden.

    Ein Prozess pro Domain

    Seiten-Isolierung stellt sicher, dass Zugriffe von einer Webseite auf eine andere Domain immer in eigene Prozesse eingebunden werden, die jeweils in einer Sandbox laufen, die die Möglichkeiten des Prozesses einschränkt. Außerdem wird der Empfang bestimmter Arten von sensiblen Daten von anderen Websites eingeschränkt. Infolgedessen wird es für eine bösartige Webseiten schwieriger, Daten von anderen Seiten zu stehlen. Firefox Seiten-Isolierung richtet sich im Besonderen gegen Universal Cross-Site-Scripting (UXSS).

    Gegen UXSS-Angriffe

    Technisch wird das bei Chrome etwa so gelöst, dass seitenübergreifende Inhalte immer in einen eigenen Prozess geladen werden, unabhängig davon, ob sich die Navigation im aktuellen Tab, einem neuen Tab oder einem Iframe befindet. Seitenübergreifende  Daten wie HTML-, XML- und JSON-Dateien werden nicht an den Prozess einer Webseite ausgeliefert, es sei denn, der Server sagt, dass dies erlaubt sei.

    Firefox im Wandel

    Mozilla hatte bereits 2016 seit Firefox 48 mit Electrolysis  die Aufteilung des Renderns in mehrere Prozesse begonnen und im späteren Verlauf sukzessive bis hin zu Firefox 57 Quantum weiter ausgebaut. Diese Multi-Prozess-Architektur besteht derzeit aus einem Prozess für die grafische Benutzerschnittstelle (GUI) und mehreren Prozessen zum Rendern der Seiten. Bei Firefox ist die Zahl der maximal möglichen Prozesse nach oben beschränkt, weil mehr Prozesse auch mehr RAM binden.

    RAM-Verbrauch herunterfahren

    Um Firefox Seiten-Isolierung sinnvoll umzusetzen, müssen mindestens 100 Prozesse in einer Firefox-Sitzung laufen können. Derzeit erzeugt ein Prozess, unabhängig von seinem Inhalt, einen Overhead zwischen 17 und 35 MByte, je nach Plattform. Somit würde eine Sitzung mit Firefox Seiten-Isolierung bis zu 3,5 GByte belegen. Um hier nicht noch weiter in den Verruf des Speicherfressers zu geraten, versucht  Mozilla, diesen Overhead im Rahmen von Fission MemShrink auf 10 MByte pro Prozess zu reduzieren. Im vergangenen Monat konnte bereits eine Reduzierung um 3 – 4 MByte erreicht werden. Die Erfolge können im Bugzilla verfolgt werden. Derzeit gibt es noch keine Angaben darüber, wann Ergebnisse aus Project Fission in Firefox ankommen werden.

  • Mehr Sicherheit mit Firefox Monitor

    Mehr Sicherheit mit Firefox Monitor

    Datendiebstähle im großen Stil sind zu einem lästigen Übel geworden, mit dem Anwender im Internet leben müssen. Der größte bisher bekannte Einbruch in eine Webseite betraf 2016 Yahoo, es wurden nach verspäteter Einlassung des Unternehmens rund 3 Milliarden Datensätze entwendet. Jeder von uns ist bei vielen Webseiten und Diensten registriert und hat dort mehr oder weniger wichtige, aber in jedem Fall private Daten hinterlegt. Leider ist die Unsitte, ein Passwort für mehrere Anmeldungen zu nutzen immer noch nicht ausgestorben, was die Auswirkungen einer solchen Kompromittierung nochmals multipliziert.

    Um hier etwas mehr Information und Schutz zu bieten, begann Mozilla im letzten Jahr eine Zusammenarbeit mit dem Sicherheitsexperten Troy Hunt, der den Dienst Have I been Pwned (HIBP) betreibt. Dabei geht es um die Integration des Dienstes in Firefox. Der Dienst informiert nach Eingabe einer E-Mail-Adresse darüber, ob diese Adresse in der Vergangenheit in einen Datendiebstahl verwickelt war.

    Dienst ausgeweitet

    Die Integration von HIBP in Firefox multipliziert dessen Reichweite um ein Vielfaches. Durch die Partnerschaft ist Mozilla in der Lage, mit Firefox Monitor die E-Mail-Adresse des Anwenders mit der HIBP-Datenbank abzugleichen. Neben der einfachen Abfrage über vergangene Datendiebstähle bietet Mozilla aber noch mehr. So wird angezeigt, ob eine besuchte Webseite jemals durch einen Einbruch mit Diebstahl von Datensätzen kompromittiert wurde. Anwender können sich zudem benachrichtigen lassen, falls die eigene E-Mail-Adresse bei einem neuen Vorfall betroffen ist.

    Erster Testlauf

    Mozilla startet jetzt einen Testlauf von Firefox Monitor mit 250.000 Anwendern überwiegend aus den USA. Dabei geht es um das Design und die generelle Akzeptanz des Dienstes bei den Anwendern. Besonderes Augenmerk legt Mozilla dabei auf Anonymität, wobei sichergestellt wird, dass die E-Mail-Adresse des Anwenders niemals zur Gänze in die Hände Dritter gelangt. Verläuft dieser Test positiv, wird der Dienst für alle Firefox-Nutzer ausgerollt. Darüber wird im Vorfeld ein weiterer Blogeintrag informieren.

  • Firefox 60 führt 2-Faktor-Authentifizierung ein

    Firefox 60
    Screenshot: ft

     

    Firefox 60 bringt viele kleinere Neuerungen in allen Bereichen und den erneuten Versuch, mit personalierten Werbeeinblendungen Geld zu verdienen. Dieser Versuch bleibt vorerst allerdings auf die USA beschränkt. Einige Funktionen der beliebten Erweiterung Tab Mix Plus wurden zudem direkt in den Browser integriert.

    Die mit Firefox 57 eingeführte Quantum-CSS-Engine spendierte dem Browser einen zeitgemäßen Unterbau. Dieser wandert mit der runden 60 nun auch in die Android- und ESR-Versionen des Browsers. Zudem übernimmt Quantum nun auch die Darstellung der Oberfläche des Browsers.

    Personalisierte Werbung

    Mit Firefox 60 nimmt Mozilla einen neuen Anlauf, mit Werbung zusätzliche Einnahmequellen zu erschließen. Mozilla möchte damit etwas unabhängiger von Spenden und den Einnahmen aus den Verträgen mit Suchmaschinenbetreibern werden. Der erste Versuch 2014 war gescheitert und wurde 2015 wieder eingestellt.

    Die Werbetafeln werden, derzeit nur für Anwender in den USA, vereinzelt auf der Seite eines neuen Tabs eingeblendet. Dort sie bei den Empfehlungen von Pocket eingereiht, aber gesondert als bezahlte Einblendung gekennzeichnet. Einzelne Werbekacheln können ebenso entfernt werden wie die Pocket-Empfehlungen auch. Zudem kann die Werbung generell über die Tab-Einstellungen abgestellt werden.  Mozilla betont, dass diese Art der Werbung zwar personalisiert sei, aber trotzdem die Privatsphäre schütze. Das wird laut Mozilla dadurch erreicht, das alle Daten beim Nutzer verbleiben, die Personalisierung findet clientseitig statt.

    Notwendiges Übel

    Werbung ist ein notwendiges Übel zur Finanzierung. Das Model »Werbung im Internet« ist völlig kaputt und muss dringend überholt werden. Dass Mozilla alternative Einnahmequellen sucht, ist verständlich, die fast völlige Abhängigkeit von Suchmachinenanbietern ist kein verlässliches Finanzierungsmodell. Mozilla versucht, die Anwender behutsam mit einem nach eigenen Aussagen die Privatsphäre achtenden Modell von dem Konzept zu überzeugen. Dass die Werbung dazu standardmäßig eingeschaltet ist, widerspricht zwar dem Empfinden vieler Nutzer. Aber seien wir mal ehrlich: Wer würde Werbung freiwillig einschalten?

    Tab Mix Plus integriert

    Die Erweiterungen waren bis zur Neugestaltung des Browsers eines der Highlights für Firefox-Anwender. Kaum ein anderer Browser war in so hohem Maße anpassbar. Seit Erweiterungen nun auf WebExtensions beruhen, ist die Zahl der Erweiterungen geschrumpft und viele Entwickler haben sich wegen zu vieler Einschränkungen von der Firefox-Entwicklung abgewandt. Eines der beliebtesten Add-ons für Firefox ist ohne Zweifel Tab Mix Plus, das derzeit immer noch im experimentellen Stadium ist. So wird es viele Anwender freuen, dass einige Grundfunktionen des Add-ons jetzt direkt im Browser integriert worden sind. So gibt es nun eine Einstellung, um alle Eingaben in der Adressleiste in einem neuen Tab zu öffnen. Die neue Funktion ist in den Einstellungen noch nicht zu finden, muss also noch über about:config freigeschaltet werden. Dazu muss dazu der Eintrag browser.urlbar.openintab auf true gesetzt werden. Der Eintrag browser.search.openintab öffnet in die Suchleiste eingegebene Anfragen in einem neuen Tab. Lesezeichen öffnen in einem neuen Tab über die Einstellung browser.tabs.loadBookmarksInTabs.

    [su_slider source=“media: 5113,5112,5111″ limit=“8″ link=“image“ width=“700″ height=“460″ pages=“no“ autoplay=“0″ speed=“0″]

    Sicherheit großgeschrieben

    Die Verbesserung der Sicherheit nimmt bei Firefox 60 eine wichtige Rolle ein. Wie bereits angekündigt, verschärft Mozilla für Firefox 60 die Warnhinweise beim Besuch von unverschlüsselten Websites. Anwender, die im privaten Modus eine HTTP-Seite besuchen, sehen ein durchgestrichenes Schlosssymbol am Anfang der Adresszeile. Wem das noch nicht genug ins Auge fällt, der kann in  about:config den Schalter security.insecure_connection_text.enabled auf true setzen und erhält neben dem durchgestrichenen Schlosssymbol zusätzlich der Text »Nicht sicher«. Darüber hinaus wird TLS-Zertifikaten, die vor dem 1. Juni 2016 von Symantec ausgestellt wurden, nicht mehr vertraut.

    2-Faktor-Authentifizierung

    Einen Schritt in eine sicherere Zukunft ohne den Zwang zu Passwörtern geht Mozilla mit der Einführung des bereits Ende Januar vorgestellten WebAuthentification-API, kurz WebAuthn. Diese führt für die Anmeldung auf Webseiten alternativ eine Zwei-Faktor-Authentifizierung ein, die auf Public-Key-Kryptographie basiert und die gegen Phishing, wie wir es heute kennen, immun ist. Zur Authentifizierung werden dabei zusätzlich USB-Keys nach Googles U2F-Spezifikation wie etwa ein Yubikey oder viele ähnliche Tokens genutzt. Mozilla ist hier Vorreiter, Google Chrome und Microsoft Edge werden das WebAuthn-API aber bald übernehmen.

    Quantum für ESR

    Im Rahmen des Updates auf Firefox 60 wird auch Firefox ESR aktualisiert. Nicht nur erhält die ESR-Version nun auch die Quantum-CSS-Engine, sie ist auch mit einer neue Richtlinien-Engine ausgestattet, mit der ein Administrator im Unternehmen Richtlinien für die User entweder über eine plattformunabhängige JSON-Datei oder über die Windows-Gruppenrichtlinie erlassen kann. Für Desktop-Anwender, die in den letzten Monaten die ESR-Version benutzt haben, um noch möglichst lange Add-ons nach dem alten Standard nutzen zu können, gibt es allerdings eine schlechte Nachricht: Mit Firefox 60 ESR werden auch hier die Erweiterungen nach dem neuen WebExtension-Standard verbindlich. Damit gibt es mit Firefox keine Möglichkeit mehr, Legacy Add-ons auszuführen.

    Titelleiste entfernen

    Ebenfalls der Sicherheit zugute kommen die verbesserten Kamera-Privatsphäre-Indikatoren: Firefox schaltet jetzt die Webcam aus, wenn die Videoaufzeichnung deaktiviert wird, und schaltet sie erst wieder ein, wenn die Aufzeichnung fortgesetzt wird. Eine kleine Verbesserung, die vor allem Linux-Anwender mit kleineren Bildschirmen freuen wird, ist die Möglichkeit, die Titelleiste des Browsers zu entfernen. Der Schalter dazu findet sich in der «Anpassen«-Ansicht ganz unten links.

  • Mozilla Thunderbird 60 als Beta verfügbar

    Logo: Mozilla Lizenz: CC BY-SA 3.0

     

    Mozilla Thunderbird 60 wird auch den letzten Zweifler überzeugen, dass der weit verbreitete E-Mail-Client nicht ausentwickelt ist, wie das Mozillas Michelle Baker vor Jahren behauptet hatte. Das war einer der Gründe, warum Mozilla sich von Thunderbird zurückziehen wollte. Heute nutzt Thunderbird zwar noch Mozillas Infrastruktur, wird aber ansonsten von einem unabhängigen Entwicklerteam betreut.

    Lange wurde dementsprechend Thunderbird lediglich gepflegt anstatt weiter entwickelt. Das damit seit einiger Zeit Schluss ist, belegt auch die jetzt erschienene Beta-Version zu Thunderbird 60. Nachdem die optische Erneuerung in den Händen eines Design-Teams liegt, sind im Dezember 2017 vier neue Entwickler zum Team gestoßen.

    Empfänger entfernen

    Thunderbird 60 zeigt beim Überfahren des Empfänger-Felds der Adresseingabe eine Entfernen-Schaltfläche in Form eines X, sodass bereits eingetragene Empfänger mit einmem Klick wieder entfernt werden können. Zudem wird bei der Adresseingabe der bereits eingegebene Teil einer Adresse aus einem Adressbuch fett angezeigt. Der Tastenkürzel ALT-M zeigt während der Erstellung einer Mail das Eingabefeld für Anhänge.

    Mbox oder Maildir

    Ordner können nun vom Mbox-Format nach Maildir und zurück konvertiert werden. Diese Funktion ist derzeit allerdings noch im experimentellen Stadium. Zudem bietet Thunderbird 60 an, IMAP-Ordner zu komprimieren, auch wenn das Konto online ist. Auch die Kalender-Komponente wurde aufgewertet. So können einzelne oder mehrere Einträge kopiert, ausgeschnitten oder entfernt werden. Zudem ist es möglich, Orte für Kalenderereignisse sowohl in der Tages- als auch in der Wochenansicht anzuzeigen.

    Die Kalender-Komponente bietet zudem nun auch die Möglichkeit, Terminbenachrichtigungen direkt zu versenden, anstatt ein Popup-Fenster anzuzeigen. Andererseits entfernt Thunderbird 60 die Möglichkeit, E-Mail-Einladungen zu versenden, die mit Microsoft Outlook 2002 und früheren Versionen kompatibel sind. Auf der Seite mit den Release Notes kann Thunderbird 60 Beta heruntergeladen werden.

  • Mozillas Facebook Container verbessert die Privatsphäre

    Mozilla Facebook-Container
    Quelle: Mozilla

     

    Angesichts der Nachrichten über das millionenfache Abgreifen von Daten von Facebook durch die Firma Cambridge Analytica hat Mozilla eine seit Jahren in der Entwicklung befindliche Technik aufgegriffen und, beschleunigt durch die Ereignisse, ein neues Add-on veröffentlicht, dass auf den Namen Facebook Container hört. Es basiert auf der Entwicklung der bereits länger verfügbaren Erweiterung Firefox Multi-Account Containers und soll das Tracking der Anwender von Firefox beim Besuch von Facebook verhindern.

    Weniger Tracking von Facebook

    In einem Beitrag im Mozilla-Blog schreibt Firefox Vice President Nick Nguyen, es sei heute für den Anwender kaum noch zu verstehen, wie technisch komplex Imperien wie Facebook, Google und andere mit den Informationen handeln, die sie über uns im Internet abgreifen. Die Seiten, die wir im Internet besuchen, sagen viel über uns aus. Per Tracking können Anbieter ableiten, wo wir leben, welche Hobbys wir nachgehen und welcher politischen Überzeugung wir den Vorrang geben. Die per Tracking gewonnenen Daten werden mit unseren sozialen Profilen verknüpft und an Dritte verkauft oder einfach entwendet, wie im jüngsten Fall. Facebook verfügt über ein Netzwerk von Trackern auf verschiedenen Websites, die genau diesen Fall begünstigen.

    Weniger Verknüpfung von Daten

    Facebook Container isoliert die Facebook-Identität des Anwenders vom Rest seiner Web-Aktivitäten. Facebook kann damit weiterhin normal genutzt werden. Der Unterschied ist, dass es für Facebook viel schwieriger ist, die während der Facebook-Sitzungen gesammelten Informationen zu nutzen, um maßgeschneiderte Werbung und andere gezielte Nachrichten zu versenden. Mozilla betont, die Erweiterung richte sich nicht gegen Facebook, denn viele Nutzer von Firefox würden Nutzen aus Facebook ziehen. Es versuche, dem Anwender mehr Kontrolle über seine Daten zu geben.  Zum Schluss verlinkt Nguyen noch zu einer Seite der Electronic Frontier Foundation (EFF), die gute Tipps für mehr Privatspäre im Zusammenhang mit Facebook bietet.

    [su_slider source=“media: 4632″ link=“image“ width=“700″ height=“460″ arrows=“no“ mousewheel=“no“ autoplay=“0″ speed=“0″]

    Keine Cookies

    Nach der Installation der Erweiterung werden zunächst die Facebook-Cookies gelöscht und der Anwender von Facebook abgemeldet. Beim nächsten Besuch von Facebook wird der Dienst in einem neuen blauen Browser-Tab, einem sogenannten »Container-Tab« geöffnet. Auf diesem Tab kann sich der Anwender bei Facebook einloggen und es wie gewohnt nutzen. Wird auf einen Nicht-Facebook-Link geklickt oder zu einer Nicht-Facebook-Website in der URL-Leiste navigiert, werden diese Seiten außerhalb des Containers geladen. Ein Klick auf Facebook-Share-Buttons in anderen Tabs lädt diese in den Facebook-Container. Beim Benutzen dieser Schaltflächen werden üblicherweise  Informationen über die Website, auf der sie geklickt wurden, als Referrer an Facebook gesendet.

    Anders als gewohnt

    Werden Facebook-Anmeldeinformationen verwendet, um bei einem anderen Dienst ein Konto zu erstellen oder mit Facebook-Anmeldeinformationen anzumelden, kann es sein, dass der Container das unterbindet. Da der Anwender im Container-Tab bei Facebook angemeldet ist, funktionieren auch eingebettete Facebook-Kommentare und Like-Buttons in Tabs außerhalb des Facebook-Container-Tabs nicht. Dadurch wird verhindert, dass Facebook Informationen über Ihre Aktivitäten auf externen Webseiten außerhalb von Facebook mit Ihrer Facebook-Identität verknüpft.

  • Mozillas Passwort-Manager unsicher

    Screenshot: ft

     

    Sowohl Firefox als auch Thunderbird erlauben es Benutzern, in den Einstellungen ein »Master-Passwort«  einzurichten. Dieses Master-Passwort dient der Verschlüsselung von Passwörtern, die in den Anwendungen vom Nutzer gespeichert werden. Generell ist diese Methode unterhalb der von ausgewachsenen Passwort-Managern angesiedelt, aber immer noch besser als keine Passwortverwaltung und daraus meist resultierend, die Mehrfachverwendung einfach zu merkender Passwörter.

    Mozilla Passwort-Manager unsicher

    Wie sich jetzt herausstellte, ist diese Funktion bei den Mozilla-Produkten nur sehr schlecht abgesichert und für jeden Hacker, der jemals den Begriff Brute-Force gehört hat, ein Kinderspiel. Das entdeckte jetzt Wladimir Palant, Entwickler der Adblock-Erweiterung. Herzstück der Verschlüsselung bei Mozilla ist die Funktion  sftkdb_passwordToKey(), die ein Passwort in einen Schlüssel umwandelt, indem es SHA-1-Hashing auf einen String anwendet, der aus einem zufälligen Salt und dem Master-Passwort besteht.

    SHA-1 zum Hashen

    Dieser Ansatz mit SHA-1 und die Implementierung seitens Mozilla hat zwei gewichtige Probleme. Zunächst ist SHA-1 bereits seit 2005 als gebrochen bekannt, wie der Kryptographieexperte Bruce Schneier damals in seinem Blog schrieb. Allerdings rechtfertigte damals der nötige Aufwand die Kosten nicht.

    2017 gelang Forschern bei Google und aus den Niederlanden erstmals ein Kollisionsangriff, bei dem zwei unterschiedliche PDF-Dateien mit demselben SHA-1-Hash erzeugt wurden. Seit 2015 gilt generell die Empfehlung, von SHA-1 auf die Nachfolger SHA-2 und SHA-3 zu wechseln, da es sich durch günstige Rechenkraft mittlerweile durchaus lohnen kann, SHA-1 zu knacken.

    Nur eine Iteration

    Das zweite Problem bei Mozillas Master-Passwort ist, das SHA-1 bei der Erzeugung des Schlüssels genau einmal iteriert. Branchenüblich sind hier Werte zwischen 10.000 und 500.000 Iterationen, je nachdem, was verschlüsselt wird. Das ist grob vergleichbar mit einem Paket, das nur einmal mit Geschenkpapier umwickelt ist, es ist schnell ausgepackt. Mit der Zahl der Lagen steigt auch der Aufwand des Entpackens.

    Bugreport mit Bart

    Nun hat Mozilla seit neun Jahren einen entsprechenden Bugreport vorliegen, dessen Brisanz unverständlicherweise niemand realisiert hat. Dabei ist SHA-2 bereits seit 2001 standardisiert. Mittlerweile kommt durch die Berichterstattung  auf BleepingComputer und der Diskussion auf Reddit wieder Leben in den Bugreport und die Mozillianer fragen sich, wie das passieren konnte. Nun wird hoffentlich schnell eine Lösung erarbeitet, die dieses Problem aus der Welt schafft.

  • Firefox 59 wenig spektakulär

    Firefox 59
    Screenshot: ft

     

    Mozillas neue Ausgabe des Browsers Firefox Quantum in Version 59 bietet im Vergleich mit seinen Vorgängern keine spektakulären Neuerungen. Die wohl wichtigste neue Funktion betrifft den Schutz der Privatsphäre. Dieser erweiterte Schutz greift allerdings bisher nur im privaten Modus. Es geht dabei um die Referrer, die im HTTP-Header von Webseiten mit ausgeliefert werden. Hier wird bis jetzt bei Verlinkung auf eine neue Seite jeweils der volle Pfad mit übertragen, sodass  die Folgeseite weiß, von welcher Seite der Nutzer kommt. Das wird künftig über einen gekürzten Referrer nicht mehr möglich sein. Im normalen Browsermodus ist diese Änderung derzeit so nicht umsetzbar, da manche Seiten diese Information zur korrekten Darstellung benötigen.

    Screenshots editieren

    Der mit Firefox 56 eingeführte Screenshot-Modus erlaubt das Abfotografieren des gesamten Bildschirms oder eines rechteckigen Ausschnitts davon. Die erstellten Screenshots können dann lokal oder auf einem Mozilla-Server gespeichert werden. Jetzt wird die Funktion um eine rudimentäre Editor-Funktion erweitert. Die aufgenommenen Screenshots können nach dem Speichern in der Cloud per Stift mit Anmerkungen versehen oder mit Funktionen wie Crop oder Highlight bearbeitet werden. Es fehlt die wichtige Möglichkeit, private Daten auf den Screenshots unkenntlich zu machen.

    Mehr Kontrolle

    Firefox 59 verfeinert die Kontrolle über bestimmte Benachrichtigungen. Bei den Einstellungen zu den Berechtigungen für Benachrichtigungen können neue Anfragen zum Anzeigen von Benachrichtigungen blockiert werden. Suchvorschläge werden bei Nutzung der als  „Unified Search“ bezeichneten Suche in der Adresszeile künftig vor den Einträgen aus dem Browserverlauf angezeigt werden. Die Reihenfolge kann aber in den Einstellungen wieder geändert werden.

    Health Report unbrauchbar

    Zu wenige Nutzer hatte anscheinend der »Firefox Health Report«. Dieser wurde eingestellt und dessen Funktionalität von about:healthreport nach about:telemetry verlagert. Im Health Report waren unter anderem die Ladezeiten sowie die Laufzeit des Browsers ersichtlich sowie eventuell abgestürzte Plugins. Allerdings fehlt in den Einträgen in Telemetry schnell der Überblick. Zusätzlich wurden einige Änderungen unter der Haube vorgenommen, die laut Mozilla anhand spürbar schnellerer Seiten-Ladezeiten auffallen dürften. Die Release Notes machen zudem auf mehrere geschlossene Sicherheitslücken aufmerksam.