Mozilla sollte es vermeiden FUD zu verbreiten, wenn sie gerade dabei sind sich als die Guten zu verkaufen. Das steigert nicht gerade das Vertrauen. Also: Es gibt einige freie Browser. IE, Chrome, Safari, Opera gehören nicht dazu. Bei Chrome wird das leider gerne mal vergessen...
Ist nicht Chromium (die Basis von Chrome) auch komplett Open Source? Zumindest ist der auch in den Linuxdistributionen verpackt, die ihre (normalen) Repos selber bauen.
Ist nicht in Firefox irgendso ein Anonymisierungsdings standardmäßig eingebaut welches die Verbindungen über die USA leitet? Habe mich letztens auf einem anderen PC mit Firefox in meinen Gmail Account eingeloggt und dann standen plötzlich seltsame Loginorte im Log. Eine kurze Recherche brachte heraus das es an einem Firefox "Feature" liegt. Nicht gerade vertrauenswürdig.
Auch im offenen Quellcode können absichtlich Bugs eingeschleust werden, die vllt. erst nach einigen Jahren entdeckt werden, selbst bei einer eingehenden Prüfung zu der die wenigstens vom Knowhow und Zeitgründen in der Lage sind. In der Zwischenzeit können die fröhlich ausgenutzt werden.
Überhaupt wieviel nützt ein sauberer Browser wenn die ganze Internetinfrastruktur kompromitiert ist.
Ein sauberer Browser ist natürlich nur eine der erforderlichen Komponenten. Also notwendig, wenn auch leider nicht hinreichend für ein sicheres Surfen.
Naja... also mal rein theoretisch... die Mozilla-Foundation unterliegt ja amerikanischen Gesetzen... und wenn die von der NSA beauftragt werden, da eine Hintertür einzubauen, dann müssen die das machen, und dürfen dann nichtmal darüber reden... Da ist so ein allgemeiner Aufruf, den Quellcode doch nochmal zu überprüfen vielleicht schon das Höchste, was man rechtlich machen kann... Also, ich mein'... naja, rein theoretisch gesprochen.
Naja, bei allen Browsern halte ich die SSL Komponente für die einzig relevante Ecke das ganze zu kompromitieren.
Alles was man irgendwo mitschneidet ist ja erstmal egal, der Upload zum "NSA Server" wäre das Problem und Netzwerktraffic fällt auf - vielleicht nicht dir und nicht mir, aber spätestens vor dem nächsten XYC3 wird sich einer aus langeweile dran machen
Schön wäre ja ein Pluggable SSL - dann könnte man es austauschen gegen eine Variante die etwa im eigenen Land entwickelt wurde, der rest spielte keine Rolex.
Naja, bei allen Browsern halte ich die SSL Komponente für die einzig relevante Ecke das ganze zu kompromitieren.
Ach, da gäb es schon einiges mehr. Zum Beispiel könnte man die Historie der besuchten Webseiten abrufbar machen, oder gespeicherte Passwörter, oder gar alle Formulareingaben, oder ein Griff in die Keksdose...
Von Ein Demokrat am Di, 14. Januar 2014 um 13:09 #
Ich frage mich sowieso, warum nicht schon längst etliche Unternehmen und Institutionen ihre Standorte gewechselt haben, zumindest vom Gerichtsstand her. An der Software-Entwicklung können sich die Mitarbeiter von jedem Ort aus beteiligen.
Ich finde, dass in den Sicherheitsdiskussionen zu wenig zwischen der allfälligen Massenabschnorchelei und punktuellen Angriffen auf hochwertige Ziele unterschieden wird.
In der IT sind 30 Jahre lang so unglaublich hohe Gebirge von Scheisse aufgetürmt worden (es reichte, wenn es irgendwie funktionierte, der Bastelkram wurde flugs zum Quasi-Standard, und jedes Jahr wurden einfach neue Layer draufgepappt), dass die Karre unter Sicherheitsaspekten heute völlig im Dreck steckt.
Daher kann man dem ganzen IT-Zeugs schlicht nicht mehr vertrauen. Man kann nur noch versuchen, seine eigenen Aktivitäten herunterzufahren und so den eigenen Fussabdruck möglichst klein zu halten.
Hinsichtlich der Massenabschorchelei kann man mit Linux und freier Software versuchen, es den 3-Buchstaben-Diensten und den industriellen Datenabschnorchlern ein bisschen schwerer zu machen - in der Hoffnung, dass die sich mit den leichter auszuspionierenden Opfern zufriedengeben.
Für dieses Szenario sind die vorgeschlagenen Massnahmen sicherlich besser als gar nichts. Noch besser wäre es, wenn Mozilla die NoScript-Funktionalität direkt in den Browser aufnehmen würde statt irgendwelcher Kinkerlitzchen, die ihr Haupt- (90%-) Sponsor Google von ihnen erwartet.
Mit den Staatsterroristen der Abteilung für "tailored operations" wird man es als normaler User wohl nie zu tun bekommen, und falls doch, kann man getrost seine gesamte Umwelt als "compromised" betrachten - nicht nur den Rechner, das OS oder den Browser.
PS: spannende Frage ist, ob die beiden das Thema wirkich so völlig abstrakt aufgegriffen haben, oder ob bei Mozilla einschlägige Aufforderungen eingegangen sind. Über die dürften sie ja nicht sprechen....
Wer auf die Ursprünge von mozillas Webkit guckt merkt, dass es da mindestens nochmal einen Gibt – Konqueror.
Aber auch ansonsten gibt's da midori, uzbl, dwb, w3m, chromium... Noch ein paar duzend andere freie browser.
Mozilla sollte es vermeiden FUD zu verbreiten, wenn sie gerade dabei sind sich als die Guten zu verkaufen. Das steigert nicht gerade das Vertrauen. Also: Es gibt einige freie Browser. IE, Chrome, Safari, Opera gehören nicht dazu. Bei Chrome wird das leider gerne mal vergessen...
Ist nicht Chromium (die Basis von Chrome) auch komplett Open Source? Zumindest ist der auch in den Linuxdistributionen verpackt, die ihre (normalen) Repos selber bauen.
Chromium ja, aber Chrome eben nicht!
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 13. Jan 2014 um 20:39.Die sind nicht identisch und sollten darum nicht verwechselt werden.
Ist nicht in Firefox irgendso ein Anonymisierungsdings standardmäßig eingebaut welches die Verbindungen über die USA leitet? Habe mich letztens auf einem anderen PC mit Firefox in meinen Gmail Account eingeloggt und dann standen plötzlich seltsame Loginorte im Log. Eine kurze Recherche brachte heraus das es an einem Firefox "Feature" liegt. Nicht gerade vertrauenswürdig.
"Wer auf die Ursprünge von mozillas Webkit guckt"
Mozilla hat Webkit nicht entwickelt. Webkit ist Apples Engine, basieend auf KHTML.
Mozilla Engine nennt sich Gecko.
Auch im offenen Quellcode können absichtlich Bugs eingeschleust werden, die vllt. erst nach einigen Jahren entdeckt werden, selbst bei einer eingehenden Prüfung zu der die wenigstens vom Knowhow und Zeitgründen in der Lage sind. In der Zwischenzeit können die fröhlich ausgenutzt werden.
Überhaupt wieviel nützt ein sauberer Browser wenn die ganze Internetinfrastruktur kompromitiert ist.
Ein sauberer Browser ist natürlich nur eine der erforderlichen Komponenten. Also notwendig, wenn auch leider nicht hinreichend für ein sicheres Surfen.
Naja... also mal rein theoretisch... die Mozilla-Foundation unterliegt ja amerikanischen Gesetzen... und wenn die von der NSA beauftragt werden, da eine Hintertür einzubauen, dann müssen die das machen, und dürfen dann nichtmal darüber reden...
Da ist so ein allgemeiner Aufruf, den Quellcode doch nochmal zu überprüfen vielleicht schon das Höchste, was man rechtlich machen kann...
Also, ich mein'... naja, rein theoretisch gesprochen.
Naja, bei allen Browsern halte ich die SSL Komponente für die einzig relevante Ecke das ganze zu kompromitieren.
Alles was man irgendwo mitschneidet ist ja erstmal egal, der Upload zum "NSA Server" wäre das Problem und Netzwerktraffic fällt auf - vielleicht nicht dir und nicht mir, aber spätestens vor dem nächsten XYC3 wird sich einer aus langeweile dran machen
Schön wäre ja ein Pluggable SSL - dann könnte man es austauschen gegen eine Variante die etwa im eigenen Land entwickelt wurde, der rest spielte keine Rolex.
Ach, da gäb es schon einiges mehr. Zum Beispiel könnte man die Historie der besuchten Webseiten abrufbar machen, oder gespeicherte Passwörter, oder gar alle Formulareingaben, oder ein Griff in die Keksdose...
Eben, evtl. ist Brendan Eichs und Andreas Gals Mitteilung ein verklausulierter Hinweis darauf, dass Mozilla bereits kompromitiert ist?
Ich frage mich sowieso, warum nicht schon längst etliche Unternehmen und Institutionen ihre Standorte gewechselt haben, zumindest vom Gerichtsstand her. An der Software-Entwicklung können sich die Mitarbeiter von jedem Ort aus beteiligen.
In ein Land ohne Geheimdienst?
Da muss man aber suchen.
Vielleicht chartert deshalb Frachter, um den Sitz in internationale Gewässer zu verlegen?
+google
Ich finde, dass in den Sicherheitsdiskussionen zu wenig zwischen der allfälligen Massenabschnorchelei und punktuellen Angriffen auf hochwertige Ziele unterschieden wird.
In der IT sind 30 Jahre lang so unglaublich hohe Gebirge von Scheisse aufgetürmt worden (es reichte, wenn es irgendwie funktionierte, der Bastelkram wurde flugs zum Quasi-Standard, und jedes Jahr wurden einfach neue Layer draufgepappt), dass die Karre unter Sicherheitsaspekten heute völlig im Dreck steckt.
Daher kann man dem ganzen IT-Zeugs schlicht nicht mehr vertrauen. Man kann nur noch versuchen, seine eigenen Aktivitäten herunterzufahren und so den eigenen Fussabdruck möglichst klein zu halten.
Hinsichtlich der Massenabschorchelei kann man mit Linux und freier Software versuchen, es den 3-Buchstaben-Diensten und den industriellen Datenabschnorchlern ein bisschen schwerer zu machen - in der Hoffnung, dass die sich mit den leichter auszuspionierenden Opfern zufriedengeben.
Für dieses Szenario sind die vorgeschlagenen Massnahmen sicherlich besser als gar nichts. Noch besser wäre es, wenn Mozilla die NoScript-Funktionalität direkt in den Browser aufnehmen würde statt irgendwelcher Kinkerlitzchen, die ihr Haupt- (90%-) Sponsor Google von ihnen erwartet.
Mit den Staatsterroristen der Abteilung für "tailored operations" wird man es als normaler User wohl nie zu tun bekommen, und falls doch, kann man getrost seine gesamte Umwelt als "compromised" betrachten - nicht nur den Rechner, das OS oder den Browser.
PS: spannende Frage ist, ob die beiden das Thema wirkich so völlig abstrakt aufgegriffen haben, oder ob bei Mozilla einschlägige Aufforderungen eingegangen sind. Über die dürften sie ja nicht sprechen....