ICT Security-Sécurité PC et Internet

Mozilla und das Tor-Projekt arbeiten gemeinsam daran, einen anonymen und sicheren Surfmodus für den Firefox-Browser zu entwickeln. Die zugrundeliegende Technologie stammt aus dem Tor Browser.

Mozillas Firefox-Browser ist bereits in der aktuellen Version mit zahlreichen Tools ausgestattet, die Anwender vor Tracking-Cookies, Fingerprinting, Cryptominern und anderen Nervensägen aus dem Internet schützen sollen. Wie nun aber das Security-Portal Bleeping Computer berichtet, wollen die Open-Source-Spezialisten die Stellschrauben in Sachen Datenschutz noch feiner justieren. So soll künftig ein eigener Tor-Modus in Firefox ein anonymes und sicheres Surfen im Netz garantieren. Hinweise auf das neue Datenschutz-Tool tauchen auch im Mozilla Research Grants 2019H1 auf.

Bevor die Tor-Technologie aus dem gleichnamigen Browser auch in Firefox einziehen kann, gilt es die Performance-Probleme im Zusammenhang mit dem anonymen Netzwerk in den Griff zu bekommen. So erlaubt der Tor-Browser zwar ein nahezu anonymes Surfen im Internet und Darknet, allerdings kann die Performance dabei nicht mit herkömmlichen Browsern wie Firefox oder Chrome mithalten. Im Tor Browser werden Server-Anfragen über ein Netzwerk von Knotenpunkten versendet, um die Identität des Anwenders zu verschleiern - und das kostet Zeit. Neue Technologien wie Tor-over-QUIC, mit DTLS und Walking Onions versprechen hier Abhilfe.

Tor-Modus als Add-on in Firefox

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=TOR

Das Tracking wird über die US-Firma Laserlike abgewickelt. Damit die Empfehlungen in der Seitenleiste auch passen, ist der umfangreiche Zugriff auf Daten, etwa den Browser-Verlauf und die aktuell geöffneten Seiten, nötig. Außerdem sammelt Laserlike IP-Adresse, Zugriffszeiten und Verweildauer auf Webseiten.

Im Rahmen von Test-Pilot tracken Laserlike und Mozilla noch Daten zur Nutzung von Advance, etwa Verweildauer auf empfohlenen Seiten oder Informationen zum Betriebssystem. Was man Mozilla zugute halten muss: Sie verschweigen das Thema Tracking nicht und bauen einen Schalter ein, um Advance pausieren zu lassen.

Auch im Privatmodus oder mit eingeschaltetem Tracking-Schutz funktioniert die Erweiterung nicht. Wer möchte, kann die übermittelten Daten einsehen und löschen.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=tracking

Die großen Browser-Hersteller Mozilla, Google und Microsoft unterstützen den neuen Web-Standard WebAuthentication, kurz: WebAuthn. Er könnte künftig Passwörter im Internet überflüssig machen.

Der kommende Web-Authentication-Standard – kurz: WebAuthn – macht die Eingabe von Passwörtern bald überflüssig. Nutzer können sich bei Online-Diensten einfach mit ihrem (USB-)Token, Fingerabdruck oder einem anderen biometrischen Verfahren einloggen. Die großen Browser-Hersteller Google, Mozilla und Microsoft haben nun bekannt gegeben, dass sie den Standard unterstützen und in ihre Browser implementieren wollen. Dieser wichtige Support leite eine "neue Ära der allgegenwärtigen, phishing-resistenten und starken Authentifizierung ein", freut sich die FIDO-Allianz. FIDO hatte sich im Sommer 2012 gebildet, um offene Authentifizierungsstandards fürs Internet zu entwickeln.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Browsers

Ein Sicherheitsforscher warnt erneut: In Firefox und Thunderbird gespeicherte Passwörter sind nicht effektiv vor Datendiebstahl geschützt.

Angreifer könnten mit vergleichsweise wenig Aufwand das Master-Kennwort des Passwort-Tresors in Mozillas Firefox und Thunderbird erraten. Wer das kennt, kann die im Mail-Client und Webbrowser gespeicherten Passwörter für Onlinedienste im Klartext einsehen.

Davor warnt nun erneut ein Sicherheitsforscher. Bereits vor neun Jahren gab es Hinweise auf diesen Missstand. Daran hat sich offensichtlich bis jetzt nichts geändert.

Schutz knackbar
Die beiden Anwendungen schützen das Master-Passwort zwar, dafür kommt jedoch das längst als geknackt geltende Hash-Verfahren SHA-1 zum Einsatz. Eine Zufallszahl (Salt) verfremdet den Hash, damit gleiche Passwörter nicht den gleichen Hash bekommen. Das erschwert ein Erraten.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Firefox...

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Browsers

Dieses Jahr haben die Pwn2Own-Veranstalter ein Preisgeld von zwei Millionen US-Dollar ausgerufen. Trotz einiger Hack-Erfolge blieb ein Großteil der Prämie jedoch im Topf.

An zwei Tagen haben sich Hacker aus vielen Teilen der Welt über verschiedene Anwendungen, Browser, virtuelle Maschinen und Windows hergemacht und einige Erfolge erzielt. Auf dem jährlich stattfindenden Wettbewerb Pwn2Own nutzen Hacker für den guten Zweck Zero-Day-Sicherheitslücken unter Zeitdruck aus. Klappt das, streichen die Teilnehmer Prämien ein. Die Entwickler der geknackten Software haben dann 90 Tage Zeit, die Lücken zu schließen.

Dieses Jahr war der Topf mit zwei Millionen US-Dollar prall gefüllt. Der Veranstalter Trend Micro schüttete aber "nur" 267.000 US-Dollar aus. Das könnte unter anderem dran liegen, dass die chinesische Regierung Sicherheitsforschern aus dem eigenen Land seit Neuestem die Teilnahme an Hacking-Wettbewerben verbietet. In der Vergangenheit haben chinesische Sicherheitsforscher den Wettbewerb oft dominiert.

Jacke als Auszeichnung
Gewonnen hat dieses Jahr mit Abstand der Sicherheitsforscher Richard Zhu. Er hat Microsofts Edge und Mozillas Firefox erfolgreich attackiert und übernommen. Dafür hat Zhu 120.000 US-Dollar eingestrichen. Klappt ein Hack, kann der Teilnehmer das gehackte Gerät behalten. Der Hauptgewinner darf sich zudem mit der Master-of-Pwn-Jacke schmücken.

Insgesamt nutzten die diesjährigen Pwn2Own-Hacker fünf Apple-Bugs, vier Microsoft-Lücken, zwei Oracle-Schwachstellen und einen Mozilla-Bug erfolgreich aus. Mit 250.000 US-Dollar war das höchste Preisgeld für einen Ausbruch aus der Sandbox von Microsofts Virtualisierungslösung Hyper-V ausgeschrieben. Das hat dieses Jahr jedoch nicht geklappt.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Pwn20wn

Mozilla patches 28 security vulnerabilities and protects users from entering their sensitive information on insecure webpages.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?&tag=ENCRYPTION

http://www.scoop.it/t/securite-pc-et-internet/?&tag=Passwords

https://gustmees.wordpress.com/2012/05/02/get-smart-with-5-minutes-tutorialsit-securitypart-1-browsers/

Firefox and Tor just received a patch to fix a 0-day exploit that is being used in the wild to strip away your anonymity.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet/?tag=TOR

To protect users from cryptographic attacks that can compromise secure web connections, the popular Firefox browser will block access to HTTPS servers that use weak Diffie-Hellman keys.

Diffie-Hellman is a key exchange protocol that is slowly replacing the widely used RSA key agreement for the TLS  (Transport Layer Security) protocol. Unlike RSA, Diffie-Hellman can be used with TLS's ephemeral modes, which provide forward secrecy -- a property that prevents the decryption of previously captured traffic if the key is cracked at a later time.

Learn more / En savoir plus / Mehr erfahren:

http://www.scoop.it/t/securite-pc-et-internet

CERTFR-2018-AVI-451 : Multiples vulnérabilités dans Mozilla Firefox (24 septembre 2018)
De multiples vulnérabilités ont été découvertes dans Mozilla Firefox. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et une atteinte à la confidentialité des données.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=firefox

Mozilla has released Firefox 60 with support for a new option to sign in to websites without using a password.

That's thanks to an emerging W3C standard called Web Authentication or WebAuthn, which is enabled by default in Firefox 60 and is coming later this month to Chrome 67, and Microsoft Edge. It's also under consideration for Safari.

By removing passwords, the WebAuthn API will make phishing attacks a lot harder and gives users more convenient authentication choices, including hardware security key dongles such as a YubiKey device, fingerprint readers on smartphones, or facial-recognition systems like the iPhone X's Face ID.

A key advantage, like the FIDO Alliance's predecessor U2F standard for security keys, is that WebAuthn generates cryptographic public-private pairs for signing in, which means no shared secrets that could be leaked if a site is hacked.

Though the standard is currently only rolling out to desktop browsers, in future mobile browsers are likely to support it too.

Beyond signing into websites, WebAuthn combined with another WC3 standard in development, the Payment Request API, will one day make it possible to authorize online purchases from a mobile browser using a fingerprint.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Browsers

Ein kleiner Schritt in Richtung Phishing-freie Welt? Schon länger ist bekannt, dass ein Login per Nutzername und Passwort nicht die sicherste Methode ist – Alternativen müssen her. Mozilla, Google und Microsoft unterstützen jetzt einen Login-Standard ohne Passwort-Eingabe.

Eine 2-Faktor-Authentifizierung mit einem zusätzlichen Code per SMS oder Mail gibt es bereits seit einigen Jahren, doch nur wenige Nutzer sichern über diese - eher unbequeme - Weise ihre Accounts ab. Login auch ohne Passwort? Das soll mit einem weiteren Standard, FIDO, möglich sein. Dabei funktioniert der Login etwa durch biometrische Verfahren - wie zum Beispiel dem Iris-Scanner oder Fingerabdruck, die das Smartphone entsperren - oder durch einen Token in Form von einem USB-Stick, der einfach am Schlüsselbund getragen werden kann.

Wie das World Wide Web Consortium (W3C) und die FIDO-Allianz verkündeten, unterstützen künftig Firefox, Chrome und Edge die Schnittstelle zu FIDO für Webseiten: WebAuthn. Firefox unterstützt bereits mit der aktuellen Version, wohingegen Chrome und Edge erst mit kommenden Versionen in den nächsten Monaten nachrücken werden.

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Browsers

Palant commented:

"Turns out that the corresponding NSS bug has been sitting around for the past nine years. That’s also at least how long software to crack password manager protection has been available to anybody interested.

So, is this issue so hard to address? Not really according to Palant: "NSS library implements PBKDF2 algorithm, which would slow down brute-forcing attacks considerably if used with at least 100,000 iterations. Of course, it would be nice to see NSS implement a more resilient algorithm like Argon2, but that’s wishful thinking seeing a fundamental bug that didn’t find an owner in nine years."

It is not clear whether the bug has been fixed by Mozilla. Infosecurity Magazine has contacted the company for comment. 

Learn more / En savoir plus / Mehr erfahren:

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Firefox...

https://www.scoop.it/t/securite-pc-et-internet/?&tag=Browsers

Mozilla arbeitet offenbar an einer Browser-Erweiterung für Firefox, die Nutzer vor gehackten Webseiten warnen soll. Dazu greifen die Entwickler auf die Datenbank des Dienstes "Have i been pwned?" zurück.

Mozilla hat in der aktuellen Firefox-Version 57 vor allem für mehr Performance und Stabilität gesorgt. Jetzt soll auch die Sicherheit des Open-Source-Tools auf ein neues Level gehoben werden. Hierzu arbeitet Mozilla momentan an einer Browser-Erweiterung, die Nutzer vor gehackten Webseiten warnt. Dies belegt die Github-Seite des Firefox-Entwicklers Nihanth Subramanya.
Die Daten zu den Breach Alerts erhält das Add-on von dem Dienst "Have i been pwned?" des australischen Microsoft-Direktors und IT-Sicherheitsexperten Troy Hunt.

Breach Alerts direkt im Browser

Die Browser-Erweiterung prüft in der Praxis, ob Nutzer eine gehackte Webseite ansurfen, die in der Datenbank von Have i been pwned? aufgeführt sind. Sobald ein Eintrag mit der URL übereinstimmt, spielt das Add-on eine Warnmeldung aus. Darüber hinaus soll die Erweiterung dem Nutzer auch zusätzliche Informationen über die Datenlecks liefern und auf weiterführende Support-Webseiten verweisen. Als weiteres Feature führt der Firefox-Entwickler einen optionalen Warn-Service auf. Dieser könne angemeldete Anwender per E-Mail über mögliche Datenlecks genutzter Dienste informieren.

Learn more / En savoir plus / Mehr erfahren:

https://gustmees.wordpress.com/2012/05/02/get-smart-with-5-minutes-tutorialsit-securitypart-1-browsers/

Die neue Firefox-Version 51 unterstützt FLAC und WebGL 2. Außerdem warnt der Browser vor unsicheren Log-ins.

Learn more / En savoir plus / Mehr erfahren:

https://gustmees.wordpress.com/2012/05/02/get-smart-with-5-minutes-tutorialsit-securitypart-1-browsers/

Une faille permet à une extension malveillante d’utiliser les fonctionnalités des autres extensions pour pirater l’ordinateur de l’utilisateur. Parmi le Top 10 des extensions Firefox, toutes sont vulnérables... sauf AdBlock Plus.

Learn more / En savoir plus / Mehr erfahren:

https://gustmees.wordpress.com/2014/03/05/often-asked-questions-are-there-cyber-security-dangers-with-apps-and-whats-about-privacy/