Mozilla führt in Firefox 37 opportunistische Verschlüsselung für HTTP ein

Mozilla hat Firefox 37 herausgebracht und neben der versprochenen zentralen Sperrliste für nicht vertrauenswürdige Zertifikate, OneCRL, hat das Unternehmen auch eine opportunistische Verschlüsselung integriert, die bei der Verbindung mit Servern, die HTTPS nicht unterstützen, greift.

Die neue Funktion gibt Anwendern einen neuen Schutzmechanismus vor verschiedenen Formen der Überwachung an die Hand und macht keinerlei Einstellungen seitens des Anwenders erforderlich. Wenn der Webserver korrekt konfiguriert ist und einen bestimmten Header in den Antwortpaketen ausgibt, so beginnt Firefox Anfragen an einen angegebenen verschlüsselten Port zu senden, anstellte von Port 80, der für nicht verschlüsselte Verbindungen verwendet wird. Die opportunistische Verschlüsselung ersetzt SSL nicht, in diesem Fall erfolgt keine Authentifizierung, doch sie ist eine Alternative für Organisationen, die aus irgendeinem Grund nicht vollständig auf HTTPS umsteigen können.

„OE bietet unauthentifizierte Verschlüsselung über TLS für Daten, die sonst in Klartext übermittelt würden. Das schafft eine gewisse Vertraulichkeit gegenüber passivem Abhören und bietet zudem einen besseren Integritätsschutz Ihrer Daten als reines TCP, wenn es um den Umgang mit zufälligem Netzrauschen geht. Es ist sehr einfach, den Server dafür zu konfigurieren“, schrieb Patrick McManus von Mozilla und erklärte die neue Funktion. „Wenn der Browser diesen Header erhält, beginnt er zu überprüfen, ob es auf Port 443 den Service HTTP/2 gibt. Wenn mit diesem Port eine Session aufgebaut wird, leitet er die Anfragen, die normalerweise in offener Form an Port 80 gesendet würden, mit Verschlüsselung an Port 443. Dabei gibt es keine Verzögerungen bei der Antwort, da die neue Verbindung vollständig im Hintergrund aufgebaut wird, bevor sie benutzt wird. Wenn der alternative Dienst (Port 443) nicht verfügbar ist oder nicht überprüft werden kann, kehrt Firefox automatisch zum unverschlüsselten Datenaustausch über Port 80 zurück.“

Im vergangenen Monat gab Mozilla bekannt, dass Firefox 37 das Feature OneCRL enthalten werde, eine zentrale Sperrliste von Zertifikaten, die den Rückrufprozess von schlechten oder problematischen Zertifikaten vereinfachen soll. Irrtümlich ausgegebene, auslaufende oder schädliche Zertifikate sind insbesondere in den letzten paar Jahren zu einem ernsthaften Problem für Anwender und Browseranbieter geworden, da Cyberkriminelle begonnen haben, Zertifikatsstellen anzugreifen und legitime Zertifikate von Organisationen zu stehlen. Die Möglichkeit, schlechte Zertifikate schnell zurückzurufen, ist für den Schutz der Anwender unerlässlich, und wie Vertreter von Mozilla mitteilten, erleichtert die Funktion OneCRL diesen Prozess für die Firefox-Nutzer.

„In Firefox gibt es bereits einen Mechanismus zur periodischen Suche auf Dinge, die den Anwendern schaden könnten, die so genannten Schwarzen Listen. OneCRL weitet die Schwarzen Listen auf Zertifikate aus, die zurückgerufen werden müssen, als Ergänzung zu fehlgeleiteten Add-Ons und Plug-Ins und fehlerhaften Grafik-Treibern, die derzeit schon enthalten sind. Dadurch hat der Nutzer den Vorteil, über die letzten Rückrufe informiert zu werden, ohne den Browser aktualisieren oder neu starten zu müssen“, sagte Mark Goodwin von Mozilla.

Neben OneCRL und der opportunistischen Verschlüsselung enthält Firefox 37 auch ein Patch für eine Reihe von Schwachstellen des Sicherheitssystems, von denen vier als kritisch eingestuft wurden. Zwei der kritischen Sicherheitslücken sind Use-After-Free-Bugs, eine ist ein Absturz bei Speicherkorruption und die letzte ist ein Paket von Sicherheitsproblemen des Speichers. Zudem wurde die Möglichkeit beseitigt, die Same-Origin-Policy in Firefox zu umgehen, die zu einem ähnlichen, aber schon älteren Bug gehört.

„Der Mozilla-Entwickler Olli Pettay erklärte, beim Studium des Mozilla Foundation Security Advisory 2015-28 gemeinsam mit einem anderen Mozilla-Entwickler, Boris Zbarsky, einen alternativen Weg gefunden zu haben, eine ähnliche Sicherheitslücke auszunutzen. Der schon vorher beschriebene Bug nutzte ein Problem mit der SVG-Content-Navigation, um den Schutz der Same-Origin-Policy zu umgehen und Skripte in einem privilegierten Kontext zu starten. Diese neuere Variante desselben Bugs könnte während der Ankernavigation über eine Seite ausgenutzt werden und es ermöglichen, den Schutz der Same-Origin-Policy zu umgehen“, heißt es in einer Erklärung von Mozilla.

Quelle:        Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.