Hier als Link zum Heise-Artikel, der bisher nur auf deutsch ist:
Firefox 68: Mozilla behebt Konflikte zwischen Browser und Antiviren-Software
... indem man einer Security Suite erlaubt, HTTPS-Datenübertragungen abzuhören, ohne den Verlust der Zertifikatssicherheit zu melden. Diese Funktion wird auch zwangsaktiviert sein, nach dem Abschalten wieder eingeschaltet, sobald Firefox entsprechende HTTPS-Fehlermeldungen bemerkt.
Firefox v68 wird Man-in-the-Middle-Angriffe unterstützen
-
LigH1L
- Fanatic
- Posts: 122
- Joined: 2013-02-22, 19:08
- Location: rural central Germany
Firefox v68 wird Man-in-the-Middle-Angriffe unterstützen
Fun and success!
-
loxodont
- Astronaut
- Posts: 725
- Joined: 2014-07-26, 23:03
- Location: Mare Serenitatis
Re: Firefox v68 wird Man-in-the-Middle-Angriffe unterstützen
Wenn ich's richtig verstehe ist die AV-Software schonmal ein "MitM", der sich im
Datenverkehr vor den Browser schaltet und einen Abgleich mit den Zertifikaten des
Betriebssystems - oder eigenen - vornimmt. Da Firefox aber bislang nur auf seine browser-
eigenen Zertifikate zugriff musste es konsequenterweise zu den "Unbekannter Herausgeber-
Meldungen" kommen, wenn das Sicherheitsprogramm nur auf die OS-Zertifikate prüft und es
also Abweichungen der Firefox-Certs feststellt.
Daher wohl die Mozilla-Idee diese OS-Zertifikate bei jedem Browserstart zusätzlich zu
importieren und bei dann immer noch auftretenden Verbindungsfehler-Meldungen den besagten
about:config Wert, falls manuell deaktiviert, dauerhaft zu aktivieren. Hört sich nach
oberflächlicher Kosmetik an, mit der Mozilla die störenden Falschmeldungen wegbekommen
möchte. Inwieweit das ein tatsächliches neues Einfallstor für andere sein kann, kann ich
schlecht beurteilen.
Das ganze Zertifikate-Theater ist ja ohnehin schon recht fragwürdig (s. Symantec
Rausschmiss als Cert-Herausgeber vor einiger Zeit, MS als Zertifakte-Lieferant, u.a.) Dann
noch die diversen Av-Herteller, die aus den zunehmend kontrollierten Verbindungen ihr
eigenes Daten-Süppchen kochen... es müsste eigentlich schon "Men in the Middle" heissen.
Naja, ist vielleicht noch eine Aufregung mehr für Firefox-Nutzer, die den OS-Zertifikate-
Import disabled haben und dies nach jeder Auto-Aktivierung nun wiederholen können.
Mit Pale Moon hab ich solche fehlerhaften Verbindungsmeldungen noch nicht gehabt; es gab
aber im Forum zu einer älteren Version ein paar posts über Zertifikats-Meldungen und
Probleme mit Comodo-Software (die behoben sein sollten), weiss aber nicht, ob das überhaupt
mit dem im heise-Artikel genannten Problem vergleichbar war.
Ansonsten, Danke für die Warnung, aber FF68 werden wohl nur wenige hier noch nutzen
Datenverkehr vor den Browser schaltet und einen Abgleich mit den Zertifikaten des
Betriebssystems - oder eigenen - vornimmt. Da Firefox aber bislang nur auf seine browser-
eigenen Zertifikate zugriff musste es konsequenterweise zu den "Unbekannter Herausgeber-
Meldungen" kommen, wenn das Sicherheitsprogramm nur auf die OS-Zertifikate prüft und es
also Abweichungen der Firefox-Certs feststellt.
Daher wohl die Mozilla-Idee diese OS-Zertifikate bei jedem Browserstart zusätzlich zu
importieren und bei dann immer noch auftretenden Verbindungsfehler-Meldungen den besagten
about:config Wert, falls manuell deaktiviert, dauerhaft zu aktivieren. Hört sich nach
oberflächlicher Kosmetik an, mit der Mozilla die störenden Falschmeldungen wegbekommen
möchte. Inwieweit das ein tatsächliches neues Einfallstor für andere sein kann, kann ich
schlecht beurteilen.
Das ganze Zertifikate-Theater ist ja ohnehin schon recht fragwürdig (s. Symantec
Rausschmiss als Cert-Herausgeber vor einiger Zeit, MS als Zertifakte-Lieferant, u.a.) Dann
noch die diversen Av-Herteller, die aus den zunehmend kontrollierten Verbindungen ihr
eigenes Daten-Süppchen kochen... es müsste eigentlich schon "Men in the Middle" heissen.
Naja, ist vielleicht noch eine Aufregung mehr für Firefox-Nutzer, die den OS-Zertifikate-
Import disabled haben und dies nach jeder Auto-Aktivierung nun wiederholen können.
Mit Pale Moon hab ich solche fehlerhaften Verbindungsmeldungen noch nicht gehabt; es gab
aber im Forum zu einer älteren Version ein paar posts über Zertifikats-Meldungen und
Probleme mit Comodo-Software (die behoben sein sollten), weiss aber nicht, ob das überhaupt
mit dem im heise-Artikel genannten Problem vergleichbar war.
Ansonsten, Danke für die Warnung, aber FF68 werden wohl nur wenige hier noch nutzen