Email or username:

Password:

Forgot your password?
marudo(r)'s posts Post Back to profile
Top-level
Niklas

@mxey @marudor der Artikel ärgert mich, auch wenn er nicht falsch ist

a) e10s wird als Fission-Vorgänger nicht erwähnt und Fission wird nicht erklärt, während die Erklärung von Chrome Site Isolation sehr ausführlich ist. Da werden auch ganz viele coole Blogs und Vorträge verlinkt, während hacks.mozilla.org/2021/05/intr fehlt.

b) Ich finde es fahrlässig, Menschen wegen solcher Kleinigkeiten von Firefox abzuraten, wenn das offene Web auf dem Spiel steht. (Ich sehe, dass der Artikel das nicht tut.)

13 Dec 2023 at 22:53 | Wall-to-wall | Open on chaos.social
9 comments
mxey

@ytvwld „Kleinigkeiten“ ist subjektiv… ich bin letztens fast vom Stuhl gefallen als ich gelesen hab, dass Firefox kein Certificate Transparency erfordert. Ich dachte das machen alle Browser. Das spricht für mich nicht dafür, dass Sicherheit da ernstgenommen ist.

13 Dec 2023 at 23:05 | Open on hachyderm.io
rugk

@mxey @ytvwld naja es sind Implementierungsprioritäten und Kapazitäten. Und was user nicht direkt sehen naja. Das ist auch nicht so leicht zu implementieren, github.com/iNPUTmice/Conversat und links dort erklären teilweise die Fallstricke weswegen das bspw viele Android Apps auch nicht implementiert haben.

Bzw ja das feature fehlt mir auch aber da chrome das ja erzwingt sind sind eh alle im CT log. Also der persönliche Sicherheitsgewinn hmm.

Vgl. bugzilla.mozilla.org/show_bug. und wiki.mozilla.org/PKI:CT

@mxey @ytvwld naja es sind Implementierungsprioritäten und Kapazitäten. Und was user nicht direkt sehen naja. Das ist auch nicht so leicht zu implementieren, github.com/iNPUTmice/Conversat und links dort erklären teilweise die Fallstricke weswegen das bspw viele Android Apps auch nicht implementiert haben.

14 Dec 2023 at 10:46 | Open on chaos.social
mxey

@rugk @ytvwld Dass Chrome das erzwingt heißt nicht, dass ich nicht dann nem Firefox-User ein Zertifikat unterschieben kann was ich nicht geloggt habe.

14 Dec 2023 at 10:53 | Open on hachyderm.io
rugk

@mxey @ytvwld theoretisch ja, da müsstest du auch aber erstmal TLS jandhsakes von Firefox erkennen und du musst ja trotzdem valide Zertifikate haben, eins von einer CA die du irgendwie überzeugt hast es nicht zu loggen (ist optional) und ein anderes. Das ist schön Aufwand.

Also i mean, all for it, sollte endlich mal implementiert werden, aber ist jetzt auch kein großes Sicherheitsproblem.

14 Dec 2023 at 10:58 | Open on chaos.social
mxey

@rugk natürlich ist es Aufwand, aber dann könntest du auch sagen es bringt generell wenig dass Browser CT erzwingen.

TLS-Handshakes von Firefox erkennen sollte jedenfalls nicht so schwierig sein, außerdem müsste man den Angriff sowieso targeten.

Ja, es ist kein großes praktisches Problem, ich fand es nur symbolisch.

14 Dec 2023 at 11:43 | Open on hachyderm.io
rugk

@ytvwld @mxey @marudor jup wirkt bisschen cherry picking. Und wenn dann selbst erklärt wird dass ACG bspw. auch im Chromium nur wenig verwendet wird dann toll.

Finally scheint es veraltet zu sein. Das x11 Problem ist nach dem selbst verlinkten bug bereits behoben in Firefox 99 (>1 Jahr) bspw.: bugzilla.mozilla.org/show_bug.

That said mag schon sein dass einige Dinge da besser sein könnten aber praktisch come on.

14 Dec 2023 at 10:57 | Open on chaos.social
rugk

@ytvwld @mxey @marudor ha auch das mit fonts macht Firefox schob aus ptivscy gründen seit der Weile, ist auch fixed bugzilla.mozilla.org/show_bug.. Aber aus sicherheitsgründen naja lol wenn du nen malicious font auf deinem system hast ist dein system pwned. Ob es dann im Firefox oder jede andere app ausgenutzt wird ist ja dann sich egal.

14 Dec 2023 at 11:03 | Open on chaos.social
mxey

@rugk ich hatte den Artikel als Erklärung dafür verlinkt wieso Leute durchaus berechtigt sagen, Chrome ist sicherer. Unten sind auch diverse andere Personen verlinkt, die das ähnlich sehen.

D.h. IMO nicht, dass Firefox total unsicher ist und man den keinesfalls benutzen sollte, vor allem für die Allgemeinheit.

14 Dec 2023 at 11:48 | Open on hachyderm.io
rugk

@mxey jup und ich hab diese Hypothese hinterfragt und geschaut ob der Artikel halbwegs korrekt und aktuell ist

14 Dec 2023 at 13:24 | Open on chaos.social
Go Up