Firefox: Prüfungen sollen vor Spionage-Tools schützen
von caschy | 10 Kommentare
Trust but Verify – so die Überschrift im Beitrag von Mozillas Andreas Gal (VP Mobile and R&D) und Brendan Eich ( CTO and SVP Engineering). Sie sprechen davon, dass es für Nutzer im Internet immer schwieriger wird, zu erkennen, welche Firmen, Gruppen und Einzelpersonen unsere Daten ohne unser Wissen ausspionieren, wenn wir Software und Services nutzen.
Zwar würden sich viele Firmen den Schutz der Privatsphäre auf die Flagge schreiben, doch am Ende des Tages müssen sie Daten doch herausgeben, wenn die Anfragen von den richtigen Stellen kommen – und wir Nutzer erfahren nicht einmal was davon. Ebenfalls erwähnt man den Umstand, dass Software zusätzliche Module verpasst bekommen könnten, die das Ausspionieren der Benutzer möglich machen.
Aus diesem Grunde will Mozilla es realisieren, dass jeder Nutzer nachvollziehen kann, ob der Firefox auf dem Rechner Code-technisch auch dem entspricht, was Mozilla auf den Servern zur Verfügung gestellt hat. Man ruft Sicherheits-Experten dazu auf, ein weltweites System zu realisieren, welches den Mozilla-Code mit den Firefox-Paketen vergleicht und bei Ungereimtheiten Alarm schlägt.
Im Gegensatz zu anderen Lösungen wie Chrome, Safari und Internet Explorer ist der Firefox zu 100 Prozent Open Source, ein Prüf-Tool wird sicherlich eine sehr große Aufgabe, dürfte aber das Vertrauen bei den Nutzern stärken. Allerdings könnte man sich fragen, was denn ein „sicherer“ Browser auf einer vielleicht „nicht sicheren“ System-Plattform wirklich wert ist.
Wird geladen ...
Und wenn selbst das System sicher ist, stellt sich die Frage ob es sich um eine sichere Leitung handelt.
Klar gibt das keine 100%ige Sicherheit, aber es ist ein Schritt in die richtige Richtung. Ist doch besser als wenn auch noch der Browser unsicher ist.
Solche Dinge sind einer der Hauptgründe, wieso ich Firefox nutze. Mozilla arbeitet wirklich offen und transparent und gibt mir als Nutzer auch das Gefühl, dass sie ein bisschen weiter denken und sich Gedanken um den Schutz meiner Daten machen.
„und bewirbt Firefox als den einzigen Browser, der vor Manipulationen durch die US-Schnüffler geschützt ist – weil nur Firefox vollständig Open Source sei.“
Das wurde SO nicht gesagt wie du es gerade darstellst. Aber natürlich ist es ein Vorteil, dass Firefox komplett Open Source ist, das ist natürlich transparenter. Das kannst du nicht leugnen.
„Klingt einleuchtend, ist dann aber auch nicht mehr als ein Werbegag.“
Für einen Werbegag ist es merkwürdig, dass Mozilla genau daran arbeitet. Im Artikel ist übrigens ein dazugehöriger Bug verlinkt, falls du das verfolgen möchtest.
Man kann natürlich alles schlecht reden…
Und wenn auch das nicht stimmen sollte, gibt es einen weiteren Grund, warum diese Anstrengungen sich als völlig nutzlos herausstellen werden:
Die NSA (wie auch Google/NASA) ist gerade dabei, mit maximalem Einsatz einen Quantencomputer zu bauen, der alle Verschlüsselungen knacken wird. Bereits jetzt werden alle verschlüsselten Datenströme für spätere Zeiten erfasst und gespeichert.
So gesehen ist und bleibt es ein Marketing-Gag.
> Nur mal hypothetisch: Mozilla könnte gezwungen werden, über seine Update-Server ein unsichtbares Plugin auszuliefern, und schon wäre die Prüfung umgangen.
Die Anforderung zum Download käme dann aber aus dem Hauptprogramm – und dieses soll ja eben validiert werden… ganz so einfach wäre es also nicht.
Hypothese aus einem anderen Forum:
Wenn man einen NSL bekommt ein Backdoor einzubauen und nicht darüber reden darf, wie kommuniziert man das am besten?
Möglich, dass sie entweder mitteilen möchten, dass es sich lohnt zu suchen, oder aber eine entsprechende Aufforderung die sie bekommen haben damit verdorben haben, da jetzt keiner mehr ein Backdoor versteckt bekommt, wo die Aufforderung es zu suchen im Raum steht.
Das klingt nach „Wir *dürfen* das nicht finden, also durchsucht bitte mal unseren Source-Code und schaut was dabei raus kommt!“
Vlt müssen erst Browser in China oder sonst wo entwickelt werden, um sicher zu sein, dass die NSA nicht wieder die Finger im Spiel hat. Auf Android nutze ich oft „UC Browser“, der wohl schon jetzt ein solcher Kandidat sein dürfte. Klar, der chinesische Geheimdienst könnte auf diesen Zugriff haben, aber die NSA sicher NICHT 🙂
„Wenn man einen NSL bekommt ein Backdoor einzubauen und nicht darüber reden darf, wie kommuniziert man das am besten?“
Dazu gibt’s tatsächlich Tricks. Zum Beispiel kann man noch vor Erhalt eines NSL irgendwo sichtbar verkünden, dass man noch keinen bekommen hat; am besten direkt auf der offiziellen Webseite. Sollte man dann einen NSL erhalten wird dieser Vermerk einfach entfernt.
Viel wichtiger als ein „sicherer“ Browser wäre ein sicheres Betriebsystem… zumindest eines das nicht so unsicher ist wie MS Windows