News

Mozilla führt in Firefox 37 opportunistische Verschlüsselung für HTTP ein

Mozilla hat Firefox 37 herausgebracht und neben der versprochenen zentralen Sperrliste für nicht vertrauenswürdige Zertifikate, OneCRL, hat das Unternehmen auch eine opportunistische Verschlüsselung integriert, die bei der Verbindung mit Servern, die HTTPS nicht unterstützen, greift.

Die neue Funktion gibt Anwendern einen neuen Schutzmechanismus vor verschiedenen Formen der Überwachung an die Hand und macht keinerlei Einstellungen seitens des Anwenders erforderlich. Wenn der Webserver korrekt konfiguriert ist und einen bestimmten Header in den Antwortpaketen ausgibt, so beginnt Firefox Anfragen an einen angegebenen verschlüsselten Port zu senden, anstellte von Port 80, der für nicht verschlüsselte Verbindungen verwendet wird. Die opportunistische Verschlüsselung ersetzt SSL nicht, in diesem Fall erfolgt keine Authentifizierung, doch sie ist eine Alternative für Organisationen, die aus irgendeinem Grund nicht vollständig auf HTTPS umsteigen können.

„OE bietet unauthentifizierte Verschlüsselung über TLS für Daten, die sonst in Klartext übermittelt würden. Das schafft eine gewisse Vertraulichkeit gegenüber passivem Abhören und bietet zudem einen besseren Integritätsschutz Ihrer Daten als reines TCP, wenn es um den Umgang mit zufälligem Netzrauschen geht. Es ist sehr einfach, den Server dafür zu konfigurieren“, schrieb Patrick McManus von Mozilla und erklärte die neue Funktion. „Wenn der Browser diesen Header erhält, beginnt er zu überprüfen, ob es auf Port 443 den Service HTTP/2 gibt. Wenn mit diesem Port eine Session aufgebaut wird, leitet er die Anfragen, die normalerweise in offener Form an Port 80 gesendet würden, mit Verschlüsselung an Port 443. Dabei gibt es keine Verzögerungen bei der Antwort, da die neue Verbindung vollständig im Hintergrund aufgebaut wird, bevor sie benutzt wird. Wenn der alternative Dienst (Port 443) nicht verfügbar ist oder nicht überprüft werden kann, kehrt Firefox automatisch zum unverschlüsselten Datenaustausch über Port 80 zurück.“

Im vergangenen Monat gab Mozilla bekannt, dass Firefox 37 das Feature OneCRL enthalten werde, eine zentrale Sperrliste von Zertifikaten, die den Rückrufprozess von schlechten oder problematischen Zertifikaten vereinfachen soll. Irrtümlich ausgegebene, auslaufende oder schädliche Zertifikate sind insbesondere in den letzten paar Jahren zu einem ernsthaften Problem für Anwender und Browseranbieter geworden, da Cyberkriminelle begonnen haben, Zertifikatsstellen anzugreifen und legitime Zertifikate von Organisationen zu stehlen. Die Möglichkeit, schlechte Zertifikate schnell zurückzurufen, ist für den Schutz der Anwender unerlässlich, und wie Vertreter von Mozilla mitteilten, erleichtert die Funktion OneCRL diesen Prozess für die Firefox-Nutzer.

„In Firefox gibt es bereits einen Mechanismus zur periodischen Suche auf Dinge, die den Anwendern schaden könnten, die so genannten Schwarzen Listen. OneCRL weitet die Schwarzen Listen auf Zertifikate aus, die zurückgerufen werden müssen, als Ergänzung zu fehlgeleiteten Add-Ons und Plug-Ins und fehlerhaften Grafik-Treibern, die derzeit schon enthalten sind. Dadurch hat der Nutzer den Vorteil, über die letzten Rückrufe informiert zu werden, ohne den Browser aktualisieren oder neu starten zu müssen“, sagte Mark Goodwin von Mozilla.

Neben OneCRL und der opportunistischen Verschlüsselung enthält Firefox 37 auch ein Patch für eine Reihe von Schwachstellen des Sicherheitssystems, von denen vier als kritisch eingestuft wurden. Zwei der kritischen Sicherheitslücken sind Use-After-Free-Bugs, eine ist ein Absturz bei Speicherkorruption und die letzte ist ein Paket von Sicherheitsproblemen des Speichers. Zudem wurde die Möglichkeit beseitigt, die Same-Origin-Policy in Firefox zu umgehen, die zu einem ähnlichen, aber schon älteren Bug gehört.

„Der Mozilla-Entwickler Olli Pettay erklärte, beim Studium des Mozilla Foundation Security Advisory 2015-28 gemeinsam mit einem anderen Mozilla-Entwickler, Boris Zbarsky, einen alternativen Weg gefunden zu haben, eine ähnliche Sicherheitslücke auszunutzen. Der schon vorher beschriebene Bug nutzte ein Problem mit der SVG-Content-Navigation, um den Schutz der Same-Origin-Policy zu umgehen und Skripte in einem privilegierten Kontext zu starten. Diese neuere Variante desselben Bugs könnte während der Ankernavigation über eine Seite ausgenutzt werden und es ermöglichen, den Schutz der Same-Origin-Policy zu umgehen“, heißt es in einer Erklärung von Mozilla.

Quelle:        Threatpost

Mozilla führt in Firefox 37 opportunistische Verschlüsselung für HTTP ein

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach