Gregory's ServerWer in dieser Kackfirma hat sich ausgedacht das firefox unsicher ist und jetzt geblockt wird...
Glaube ich muss mir nen neuen Job suchen...
|
31 comments
@marudor naja, die sind schon durchaus sicherer als Firefox https://madaidans-insecurities.github.io/firefox-chromium.html  @mxey @ytvwld theoretisch ja, da müsstest du auch aber erstmal TLS jandhsakes von Firefox erkennen und du musst ja trotzdem valide Zertifikate haben, eins von einer CA die du irgendwie überzeugt hast es nicht zu loggen (ist optional) und ein anderes. Das ist schön Aufwand. Also i mean, all for it, sollte endlich mal implementiert werden, aber ist jetzt auch kein großes Sicherheitsproblem. @rugk natürlich ist es Aufwand, aber dann könntest du auch sagen es bringt generell wenig dass Browser CT erzwingen. TLS-Handshakes von Firefox erkennen sollte jedenfalls nicht so schwierig sein, außerdem müsste man den Angriff sowieso targeten. Ja, es ist kein großes praktisches Problem, ich fand es nur symbolisch. @ytvwld @mxey @marudor jup wirkt bisschen cherry picking. Und wenn dann selbst erklärt wird dass ACG bspw. auch im Chromium nur wenig verwendet wird dann toll. Finally scheint es veraltet zu sein. Das x11 Problem ist nach dem selbst verlinkten bug bereits behoben in Firefox 99 (>1 Jahr) bspw.: https://bugzilla.mozilla.org/show_bug.cgi?id=1129492 That said mag schon sein dass einige Dinge da besser sein könnten aber praktisch come on. @ytvwld @mxey @marudor ha auch das mit fonts macht Firefox schob aus ptivscy gründen seit der Weile, ist auch fixed https://bugzilla.mozilla.org/show_bug.cgi?id=1689128. Aber aus sicherheitsgründen naja lol wenn du nen malicious font auf deinem system hast ist dein system pwned. Ob es dann im Firefox oder jede andere app ausgenutzt wird ist ja dann sich egal. @rugk ich hatte den Artikel als Erklärung dafür verlinkt wieso Leute durchaus berechtigt sagen, Chrome ist sicherer. Unten sind auch diverse andere Personen verlinkt, die das ähnlich sehen. D.h. IMO nicht, dass Firefox total unsicher ist und man den keinesfalls benutzen sollte, vor allem für die Allgemeinheit.  @marudor Tja, da hat halt einfach irgend ein Corporate IT Security Manager fernab von jeglicher Fachkompetenz eine Checkliste abgehakt, um im nächsten Audit mit guten Compliance KPIs dazustehen. Da machste dann nix. Dass das nur dazu führt, dass die Leute sich dann halt kreative Wege um absurde Vorgaben und Einschränkungen herum suchen (die dann am Ende unsicherer sind, als es einfach zu erlauben) spielt ja für das Management Bullshit Bingo keine Rolle. Oh und sowas wird gemacht, aber wir haben immer noch keinen vernünftigen konzernweiten password manager (Bitwarden als Konzern anbieten wäre z.B. mal was) @marudor wir haben einen firmenweiten Passwort-Manager! Der so eingestellt ist, dass der Default bei jedem neuen Eintrag "für die ganze Firma freigeben" ist… (selbst für geteilte Passwörter unpraktisch, weil auch die maximal mit der eigenen Abteilung geteilt werden sollten) @marudor vermutlich langwierig durchzusetzen, aber wir setzen https://www.passbolt.com ein, was ich nur empfehlen kann Die veröffentlichen allerdings nicht ihre Audits. Ich sehe auch keine gute Beschreibung zum security Konzept nur PR gelaber. @stadtkind2 "Auf eine Fehlfunktion von MS Defender" Wage ich zu bezweiflen. Da ist ganz bewusst ne Regel eingebaut die den blockt... |
@marudor da musst du mal in deinen eigenen Reihen fragen. Ich hab's damals selbst nicht verstanden.