Login
Newsletter
Werbung

Thema: Firefox lässt TLS 1.0 und 1.1 langsam sterben

27 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
1
Von Josef Hahn am Di, 17. September 2019 um 12:09 #

Auf dem Desktop habe ich zufällig irgendwann 'falkon' gefunden. Das tut's schon erstmal, und ist trotz Webkit (nicht Blink) der weniger faule Kompromiss. Ein Analogon zu UMatrix scheint es nicht zu geben - meiner Erfahrung nach ist das aber auch zunehmend wertlos geworden.

Auf dem Mobiltelefon habe ich immernoch den Firefox. Den hat Mozilla selbst schon auf die Abschussliste gesetzt. Die arbeiten ja derzeit an einem Nachfolger. Der ist mir viel zu überladen und aufmerksamkeitsbedürftig. Dem Faß den Bogen würde es ausschlagen, wenn sie am Ende tatsächlich keine Addons dort mehr unterstützen - im Preview ist das auf jeden Fall so.

Hoffentlich finde ich aufm Mobiltelefon in den nächsten Monaten auch noch was Nettes...

  • 0
    Von rgsidler am Di, 17. September 2019 um 15:25 #

    Ich habe auf meinem Mobiltelefon ebenfalls Fennec in der Vorschauversion installiert. Davon, dass keine Addons mehr installiert werden können, habe ich nichts bemerkt. Bei mir laufen sie ohne Probleme.

    Fennec wird ja gemäss Mozilla der Nachfolger von Firefox sein. Überladen finde ich den überhaupt nicht; die Anwendung beschränkt sich nicht wie "Firefox klar" auf das Allernötigste, lässt sich aber meiner Meinung nach dennoch verhältnismässig einfach einrichten.

    Es grüsst


    Roland

    • 0
      Von Josef Hahn am Di, 17. September 2019 um 15:58 #

      Hast du da einen Link von?

      Ich meine das Ding, was sie derzeit als "Firefox Preview" ausliefern.

      github.com/mozilla-mobile/fenix/releases

      Das erinnert mich _sehr_ an dieses Firefox Klar/Focus.

      • 0
        Von klopskind am Di, 17. September 2019 um 17:20 #

        Ich vermute, dass das hier gemeint war.

        Beste Grüße

        • 0
          Von Josef Hahn am Di, 17. September 2019 um 17:40 #

          Nagut, das ist halt einfach der Fennec. Der benutze ich selbst auch. Aber der ist ja eher ein alter Hut, und soll genau von dem, was heute "Firefox Preview" heißt, abgelöst werden.

          • 0
            Von klopskind am Mi, 18. September 2019 um 09:48 #

            Achso, aber Sie haben doch selbst einen Link für Firefox Preview aka fenix angegeben. Nach was für einer Art Link hatten Sie also gefragt? Ein Link auf die App im Google Play Store?

            Das Teil weist wirklich viele Parallelen zu Firefox Klar/Focus auf - sowohl in den Zielen als auch in der Umsetzung.
            Allerdings ist Firefox Preview ein reiner/integrierter Android-Browser. Vermutlich soll er das bisherige Angebot (Firefox/Fennec) unter Android ersetzen.
            Dahingegen läuft Firefox Klar/Focus auch unter iOS und wurde erst später zum Browser ausgebaut. Es war und heute ist es primär ein Content-/Werbe-Blocker, welcher bis heute einem Browser der jeweiligen Plattform vorgeschaltet werden konnte. Zudem ist die Telemetrie-Einstellung im Firefox Klar/Focus standardmäßig deaktiviert.

            Auf mich wirkt es im Wesentlichen wie ein Marketing-Schachzug, der dahintersteckt. Allein die regionale Markennamentrennung von Firefox Klar/Focus ist mehr als nur ein unnötiges Hindernis für die Verbreitung des Browsers.
            Man wird sehen...

            • 0
              Von Josef Hahn am Mi, 18. September 2019 um 11:21 #

              > Achso, aber Sie haben doch selbst einen Link für Firefox Preview aka fenix angegeben.

              Firefox Preview ist _nicht_ Fenix. Es soll Fenix genau ablösen.

              Und nein, mit einem Link zu Google Play kann ich wenig anfangen. Ich finde es bezeichnend, dass der große Freedom Klub namens Mozilla auf der Webseite erstmal nur mit dem Google Play Link rausrückt, und man nach dem Direktdownload erst wieder lange fischen muss. Aber naja, ich ärgere mich über Mozilla nicht mehr. Das ist vorbei.

              Im Weiteren schreibst du es genau, wie ich es auch sehe: Dieser "Preview" ist sehr nah am "Focus", und soll wahrscheinlich Fennec ablösen. Das könnte für den Mozilla-Freund erstmal wieder eine Kröte sein, die man erstmal schlucken muss... Aber gut... Nicht mein Problem...

              Und "about:config" solls in dem Preview auch nicht tun, habe ich gehört?! Ich hab's garnicht mehr ausprobiert... Viel Spaß beim Cloudflareflügelstutzen... :D :D :D Der neue Geldgeber weiß schon, was er tut... :)

              • 0
                Von Josef Hahn am Mi, 18. September 2019 um 11:25 #

                Edit: Vergiss "Firefox Preview ist _nicht_ Fenix. Es soll Fenix genau ablösen." - da habe ich in der Eile 'Fennec' gelesen/gedacht...

                Aber das ändert ja nichts am Kern...

                0
                Von klopskind am Mi, 18. September 2019 um 12:06 #

                > Firefox Preview ist _nicht_ Fenix. Es soll Fenix genau ablösen.

                Ähm, hier ein Zitat aus Ihrem Link (siehe oben):

                Firefox Preview (internal code name: "Fenix") is an all-new browser for Android, based on GeckoView and Mozilla Android Components.
                Demnach wären Firefox Preview und Fenix zwei Namen für ein und dasselbe.

                Es tut mir leid, dass ich Sie mit meinen Links bzw. meiner Unterstützung nicht weiterhelfen konnte. Es war gut gemeint. Allerdings ist mir weiterhin unklar, nach welchem Link für "Das Ding" Sie rgsidler ursprünglich überhaupt fragten.

                Es wird sich zeigen, was passiert.
                Bis dahin heißt es - für mich jedenfalls - mit optimistischer Einstellung und guten Absichten "Abwarten und Tee trinken", also bis die erwähnten Entwicklungen und Ereignisse tatsächlich eingetroffen sind. Ich glaube an so etwas wie die selbsterfüllende Prophezeiung. Bei vorauseilender und allzu negativer/pessimistischer bis mürrisch/grantiger Denke kann dies nicht gut für einen selbst enden.
                Wenn Sie möchten, können Sie das gerne als gut gemeinten Rat aufnehmen. Sie müssen es natürlich nicht.

                Und "about:config" solls in dem Preview auch nicht tun, habe ich gehört?! Ich hab's garnicht mehr ausprobiert...
                Das ist immer schwierig zu beurteilen so ganz ohne Quelleangabe. So entstehen Gerüchte und unnötige Panik.

                Ein Beispiel für eine angemessene Quelle wäre diese gewesen. Da steht eigentlich alles dazu drin. Insofern kann man zum Thema about:config in Fenix Entwarnung erteilen. Das ergab eine simple dreisekundige Suche.


                p.s.: Wir leben in einer Informationsgesellschaft, und obwohl es in dieser leichter denn je ist, Quellen zu suchen, finden, anzugeben und auf diese zuzugreifen, haben Sie dies hier unterlassen. Das hinterlässt einen schlechten Eindruck, was ihrerseits vermutlich unbeabsichtigt gewesen ist, da es in dieser Welt auch leichter denn je ist, gezielte Desinformationen zu verteilen. Eine gesellschaftlich Thematik, die aktueller und dringlicher nicht sein könnte.
                Haben Sie schon von FUD gehört?

                In diesem Sinne kann ich lediglich einen Teil der Aussagen Ihrer Kommentare begrüßen - leider. Der unterschwellige, negative Tenor liest sich nicht nur aus dem Subtext heraus. Bitte überdenken Sie Ihre Herangehensweise beim Verfassen zukünftiger Kommentare. Vielen Dank!

                • 0
                  Von Josef Hahn am Mi, 18. September 2019 um 13:40 #

                  > Demnach wären Firefox Preview und Fenix zwei Namen für ein und dasselbe.

                  Jep, diese Stolperei über die Namensgebungen habe ich schon gesehen und versucht, auszuräumen. Fenix und Preview sind dasselbe. Aber trotzdem soll genau dieses Ding halt Fennec ablösen. Darum geht's doch. Fennec wird mittelfristig verschwinden. Oder was übersehe ich?

                  Den Link, nach dem ich (vor einer Weile) gefragt habe, war zu einer _Vorschauversion_ von Fennec, wie rgsidler erwähnt hat. Das klang spannend, weil Vorschauversion ja suggeriert, dass es etwas Neues gibt. Das hat sich aber doch inzwischen erledigt. Ich gehe inzwischen davon aus, dass er halt einfach länger kein Update mehr gemacht hat. Eine neue Vorschauversion aus der Fennec-Ecke gibt es ja offensichtlich nicht.

                  >> Und "about:config" solls in dem Preview auch nicht tun, habe ich gehört?! Ich hab's garnicht mehr ausprobiert...
                  > Wir leben in einer Informationsgesellschaft, und obwohl es in dieser leichter denn je ist, Quellen zu suchen, finden, anzugeben und auf diese zuzugreifen, haben Sie dies hier unterlassen.

                  Exakt. Ich habe es unterlassen! Das darf ich doch tun, oder? Ich habe das doch explizit dazugeschrieben. Es wird ja wohl möglich sein, hier sowas mal reinzuwerfen, wenn man so ehrlich ist, die Ungewissheit extra mit dazuzuschreiben?! Oder steigerst du dich da gerade ein bisschen in etwas rein?

                  > Der unterschwellige, negative Tenor liest sich nicht nur aus dem Subtext heraus. Bitte überdenken Sie Ihre Herangehensweise beim Verfassen zukünftiger Kommentare.

                  Das hatten wir jetzt schon mehrmals durch. In Kurz: Nö. Ich sehe mich nicht als jemanden, der am laufenden Band Unwahrheiten reinstreut und als Faktenwissen kennzeichnet. Und wer einen negativen Tenor (nur nur aus dem Subtext heraus) liest - insbesondere bei Mozilla-Themen, aber auch gern schonmal anderswo - hat zumindest Lesefähigkeit nachgewiesen! ;)

                  • 0
                    Von klopskind am Mi, 18. September 2019 um 15:40 #

                    Jep, diese Stolperei über die Namensgebungen habe ich schon gesehen und versucht, auszuräumen. Fenix und Preview sind dasselbe.
                    Ja, Ihren Kommentar diesbezüglich habe ich leider erst hinterher entdeckt. Ich hatte den Tab vorm Kommentieren offenbar nicht aktualisiert. Das tut mir leid.

                    Aber trotzdem soll genau dieses Ding halt Fennec ablösen. Darum geht's doch. Fennec wird mittelfristig verschwinden. Oder was übersehe ich?
                    Tja, ich weiß auch nicht, welche Absichten seitens Mozilla hier genau verfolgt werden. Vielleicht weiß es Mozilla auch noch nicht so genau und erwägt innerhalb eines Versuchsprojekts lediglich, ob der Aufwand einer speziell in Android integrierten Variante von Firefox (Fenix) gegenüber den Entwicklungsarbeiten zur Aufrechterhaltung der Portabilität des richtigen Firefox langfristig geringer ist oder nicht.

                    Ich habe auf die Schnelle noch folgenden Blogeintrag von Mozilla gefunden. Darin heißt es unter Anderem:
                    "While continuously improving Firefox Focus over time, we realized that users demanded a full-fledged mobile browsing experience, but more private and secure than any existing app. So we decided to make Firefox more like Focus, but with all the ease and amenities of a full-featured mobile browser. The result is an early version of what we currently call Firefox Preview."

                    Das klingt so, als ob die Eigenschaften von Firefox Android und Firefox Klar/Focus vereint werden sollen, womit diese indirekt obsolet würden (zumindest unter Android, da Firefox Klar/Focus auch unter iOS läuft), da ja nach Vervollständigung der geplanten Ziele für Firefox Preview alle vorherigen Anwendungsszenarien abgedeckt würden.
                    Es bleibt jedoch weiterhin nur eine Vermutung.

                    Außerdem heißt es da:
                    "How our new mobile strategy affects existing products

                    For the rest of 2019, we’re going to direct our efforts into optimizing the entire Firefox experience on all Android devices. In order to have a strong foundation for the next generation of mobile Firefox browsers and put all our efforts and resources in GeckoView, work on Firefox Focus will currently be on hold. Don’t worry though, you can still keep using our privacy browser, Focus, as well as our current Firefox for Android."

                    Das bestätigt und konkretisiert im Wesentlichen nur obige Vermutungen.

                    Den Link, nach dem ich (vor einer Weile) gefragt habe, war zu einer _Vorschauversion_ von Fennec, wie rgsidler erwähnt hat. Das klang spannend, weil Vorschauversion ja suggeriert, dass es etwas Neues gibt. Das hat sich aber doch inzwischen erledigt. Ich gehe inzwischen davon aus, dass er halt einfach länger kein Update mehr gemacht hat. Eine neue Vorschauversion aus der Fennec-Ecke gibt es ja offensichtlich nicht.
                    Ich dachte rgsidler hätte Firefox Preview gemeint. Direkter kann man Vorschau(-version) nicht übersetzen.
                    Naja, immerhin hätten wir das nun abschließen geklärt.

                    Exakt. Ich habe es unterlassen! Das darf ich doch tun, oder? Ich habe das doch explizit dazugeschrieben. Es wird ja wohl möglich sein, hier sowas mal reinzuwerfen, wenn man so ehrlich ist, die Ungewissheit extra mit dazuzuschreiben?! Oder steigerst du dich da gerade ein bisschen in etwas rein?
                    Gut möglich, aber Sie hatten mittels einiger Aussagen Ihres Kommentars ja auch Ihr abwertendes Urteil über Mozilla und deren Produkte unmissverständlich formuliert, z.B. direkt im Anschluss an den zitierten Text ("Viel Spaß beim Cloudflareflügelstutzen... [...]") bzw. im zweiten Absatz ("Ich finde es bezeichnend, dass [...]"). Oder wie soll ich diese Textpassagen verstehen?

                    In Kurz: Nö. Ich sehe mich nicht als jemanden, der am laufenden Band Unwahrheiten reinstreut und als Faktenwissen kennzeichnet.
                    Das ist ein Strohmann-Argument, denn ich habe dies nirgends behauptet. Fakt ist aber, dass Sie es hier so aussehen lassen, als ob Sie sich anhand von ungesicherten Aussagen, die Sie zwar explizit oder implizit als solche kennzeichnen, ein Urteil über Mozilla/Firefox bilden würden, was jene implizit zu vermeintlichen Fakten aufwertet. Zumindest lassen Sie das missverständlich im Raum stehen.
                    Das ist entweder ungeschickt oder unprofessionell. Ob nun unbeabsichtigt oder vorsätzlich ist dabei völlig irrelevant. Daher denke ich, dass meine Reaktion und meine Kritik angebracht gewesen sind.

                    • 0
                      Von Josef Hahn am Mi, 18. September 2019 um 15:56 #

                      > Ja, Ihren Kommentar diesbezüglich habe ich leider erst hinterher entdeckt. Ich hatte den Tab vorm Kommentieren offenbar nicht aktualisiert. Das tut mir leid.

                      Sowas passiert.... ;)

                      > [...] Sie hatten mittels einiger Aussagen Ihres Kommentars ja auch Ihr abwertendes Urteil über Mozilla und deren Produkte unmissverständlich formuliert, z.B. direkt im Anschluss an den zitierten Text ("Viel Spaß beim Cloudflareflügelstutzen... [...]") bzw. im zweiten Absatz ("Ich finde es bezeichnend, dass [...]"). Oder wie soll ich diese Textpassagen verstehen?

                      Das ist schon auch so gemeint gewesen. Eine wahnsinnig positive Einstellung habe ich dieser Bude gegenüber derzeit nicht. Und das erlaube ich mir dann auch, so in Schriftform zu überführen. ;)

                      >> Ich sehe mich nicht als jemanden, der am laufenden Band Unwahrheiten reinstreut und als Faktenwissen kennzeichnet.
                      > Das ist ein Strohmann-Argument, denn ich habe dies nirgends behauptet.

                      Nagut, dann sollten wir es auf dieser Abstraktionsebene auch nicht vertiefen... Natürlich mache ich Beobachtungen, und bilde mir auf Basis dessen eine Meinung. Und natürlich ist nicht immer jede Beobachtung ein gesichertes Fakt. So läuft's... Btw: In der Testversion von heute tuts about:config auch nicht!

                  0
                  Von Josef Hahn am Mi, 18. September 2019 um 13:53 #

                  PS: Ich habe mir gerade die ganz frische Version von heute draufgespielt. Da geht es nicht. Das Ticket, was du nennst, haben sie Mai/Juni rum geschlossen...

                  Also ich handhabe Tickets anders...

                  Warten wir's ab...

                  • 0
                    Von klopskind am Mi, 18. September 2019 um 15:55 #

                    Ja, die Handhabung des Tickets ist in der Tat merkwürdig. Haben Sie auch diesen Kommentar und ff. gelesen?

                    Warten wir's ab...
                    gute Idee :up: 8)

                    • 0
                      Von Josef Hahn am Mi, 18. September 2019 um 22:28 #

                      Ja - warten wir's ab (ich suche derweil wohl schon nach Alternativen). Aber ich verstehe immernoch deinen Vorwurf an meine Kommunikationsform nicht. Da du diese Sachen ja immer seeehr genau nimmst, kannst du sie ja vielleicht erklären.

                      > Und "about:config" solls in dem Preview auch nicht tun, habe ich gehört?! Ich hab's garnicht mehr ausprobiert...

                      Abgesehen davon, dass ich mir vorübergehend in der Aussage unsicher war - und das auch so geschrieben habe - wo siehst du jetzt mein Vergehen? Mal ganz davon abgesehen, dass diese Aussage nachweisbar zu 100% korrekt ist! In dem Preview geht es nicht! Was irgendwann in Zukunft mal vielleicht doch geht, habe ich überhaupt garnicht addressiert?!

                      Da du auf solche Dinge ja sehr regelmäßig eingehst, würde ich es doch zumindest gern _einmal_ exemplarisch verstehen!

                      • 0
                        Von klopskind am Do, 19. September 2019 um 10:49 #

                        Ohne mich wiederholen zu wollen, verweise ich diesbezüglich auf meine bisherigen Kommentare; insbesondere den vorletzten Absatz desjenigen. Dort bin ich explizit auf zwei Stellen Ihres Kommentars eingegangen.
                        Genügen Ihnen diese beiden Exempel nicht?

                        Im Falle Ihres (wiederholten) Zitats war und ist entscheidend, was danach folgte:

                        Viel Spaß beim Cloudflareflügelstutzen... :D :D :D Der neue Geldgeber weiß schon, was er tut... :)


                        Zu:

                        Mal ganz davon abgesehen, dass diese Aussage nachweisbar zu 100% korrekt ist! In dem Preview geht es nicht!
                        Sie schrieben (Hervorhebungen meinerseits):
                        Und "about:config" solls in dem Preview auch nicht tun, [...]
                        Erstens ist das missverständlich formuliert. Ist der aktuelle oder der zukünftig geplante Zustand gemeint?

                        Zweitens legte ich bereits oben anhand einer Quelle dar, dass es "soll", was Sie mit Ihrer Aussage - unbeabsichtigt oder nicht - stark anzweifelten.
                        Laut jener Quelle, welche ich innerhalb weniger Sekunden "recherchiert" hatte, soll about:config in Firefox Preview zumindest im nightly-Zweig wieder nutzbar werden. Offensichtlich haben die Entwickler derzeit lediglich andere Prioritäten.
                        So viel also zum "soll".


                        Und wie sich nun aus dieser Faktenlage bzw. der vorangehenden Situation Ihrer absichtlichen Ungewissheit über jene, welche primär aus fragwürdigen Bequemlichkeitsgründen ihrerseits resultierte, auf Ihre abwertenden Aussagen schließen lässt, die sich grob nur als an Mozilla/Firefox gerichtete und teilweise ungerechtfertigte Kritik auffassen lassen, ist mir weiterhin schleierhaft.
                        Angemessenerweise hätten Sie das erst einmal erklären sollen, bevor Sie meine Kritik Ihrer Kritik kritisieren und um deren Erklärung bitten...

                        Aber bitte lassen Sie etwaige weiterführende Erklärungsversuche nun für sich, denn ich habe inzwischen keine weitere Motivation, diese Diskussion fortzuführen. Lassen Sie uns darin übereinstimmen, diesbezüglich im Widerspruch zu stehen!


                        Ich hoffe, dass ich Ihnen auf anderer Ebene mit wertvollen Beiträgen und Informationen irgendwie weiterhelfen konnte. Dabei möchte ich es gern belassen. Schließlich kann man nicht immer und jeden inspirieren. Das wäre auch nicht mein Anspruch an Sie bzw. mich.
                        "Verstehen" beruht auf Gegenseitigkeit.

    0
    Von Anonymous am Di, 17. September 2019 um 15:31 #

    Ja, Falkon und der Vorgänger Qupzilla sehen ganz ordentlich aus, aber mir war WebKit zu obskur. Das war mal obsolet, wurde dann lustlos wiedererweckt, aber viel manpower ist da wohl nicht reingeflossen.

    Falkon basiert jedoch nicht mehr auf WebKit, sondern auf WebEngine; Tante Wikipedia meint:

    "Falkon (formerly QupZilla[4]) is a free and open-source web browser. It is built on the Qt WebEngine which is a wrapper for the Chromium browser core".

    Also doch wieder Blink, und auch eine schon leicht "abgehangene" Version (je nach Aktualität der eingesetzten Qt-Version).

    • 0
      Von Anonymous am Di, 17. September 2019 um 15:39 #

      Nachsatz: die neueste stabile Falkon-Version selbst ist auch schon ein halbes Jahr alt; als nicht kommerziellem Projekt wird es den Machern besondere Mühe bereiten, hinter Google und seinen 6-wöchentlichen Updates hinterherzurennen.

      0
      Von Josef Hahn am Di, 17. September 2019 um 15:54 #

      Ah, okay, dann ist's doch wieder Blink, in der Tat...

      Naja, ich werde sehen, wie es wird. Vielleicht fliegt er auch irgendwann wieder. Aber alle Blink-basierten Browser ohne mit den Wimpern zu zucken abzulehnen, greift halt heutzutage zu kurz, weil Mozilla in diesem 'race to the bottom' halt mächtig aufgeschlossen hat...

      Noch lieber wäre mir, wenn mal jemand um die Gecko-Engine einen erträglichen Browser drum baut. Der Einzige, den ich kenne, steht neuerdings verschärft im Einflussbereich von Cloudflare. Das finde ich _ziemlich_ bääh.

      Und die Neuentwicklung auf dem Mobiltelefon lässt auch garnichts Gutes hoffen...

0
Von Ghul am Di, 17. September 2019 um 13:19 #

Besser wäre es im Browser eine Funktion einzubauen, die es erlaubt TLS 1.0 und TLS 1.1 für bestimmte Webseiten weiterhin benutzen zu können.

Gründe warum ich das so sehe, sind die ganzen Netzwerkdrucker und und IoT Geräte in den Haushalten.
Mein Drucker benötigt für den Zugriff über https TLS 1.0, die Alternative wäre auf das unverschlüsselte http umzusteigen und das ist keine gute Alternative.

Wenn die also den Code entfernen ist das Mist.
Wenn sie ihn nur deaktivieren, dann kommt es darauf an, ob man ihn global wieder aktivieren oder nur für bestimmte Seiten wieder aktivieren kann.
Ersteres wäre keine gute Lösung, weil damit dann auch nichts gewonnen wäre.

Ich hoffe also, dass man da entsprechend handelt und die Verwendung von TLS < 1.2 für bestimmte bestimmte Seiten einstellen kann.

  • 0
    Von Ghul am Di, 17. September 2019 um 13:20 #

    Darauf, dass der Hersteller eine neue Firmware mit TLS 1.3 Support nachliefert, darauf mache ich mir natürlich keine Hoffnungen.

    0
    Von klopskind am Di, 17. September 2019 um 15:10 #

    1.

    Besser wäre es im Browser eine Funktion einzubauen, die es erlaubt TLS 1.0 und TLS 1.1 für bestimmte Webseiten weiterhin benutzen zu können.
    Besser für wen? Mozilla verfolgt hier einen gewissen Plan. Dabei wägen sie (hoffentlich) ihre eigenen Interessen mit denen ihrer Nutzer ab. Die Deaktivierung verläuft langjährig geplant und hat ihre Gründe. Den Nutzern bleibt Zeit, sich darauf einzustellen.


    2.

    Mein Drucker benötigt für den Zugriff über https TLS 1.0, die Alternative wäre auf das unverschlüsselte http umzusteigen und das ist keine gute Alternative.
    a) Hängt der in einem internen, abgesicherten (Firewall etc.) und vertrauenswürdigen Netz?
    Falls ja: Warum dann TLS/HTTPS?
    Falls nein: Wieso hängen Sie einen Drucker in ein nicht vertrauenswürdiges und unabgesichertes Netzwerk?

    b) Ist er auch direkt aus dem Internet ansprechbar?
    Für welchen Anwendungsfall? Wer stellt das Zertifikat eigentlich aus? Wie wird es geprüft? Wer ist die CA? Und über welche Schnittstellen wäre er außerdem erreichbar? IPP (mit TLS?), SNMP, MDNS/Bonjour, telnet, ...?


    3. Lösungsvorschläge
    a) Wie wäre es mit einem speziellen Browserprofil für den Zugriff auf den Drucker? security.tls.version wird nicht so schnell verschwinden, denke ich.

    b) Man könnte auch einen anderen simplen Browser, der TLS 1.0 unterstützt, für den Drucker verwenden. Der müsste auch nicht gepflegt werden, da man dem Drucker bzw. dessen Web-Oberfläche ohnehin vertrauen müsste. Es gibt da NetSurf, Konqueror, Epiphany (Web), Midori, Pale Moon, Otter Browser - ggf. reicht sogar ein Lynx oder w3m.

    c) Eventuell wird bis dahin auch noch ein konfigurierbares Firefox-Erweiterung geschrieben, was die von Ihnen gewünschte Funktion ermöglicht, und an der Browser-Parametern herumspielt, falls in der Adressleiste eine bestimmte Adresse eingetippt wird.

    Man könnte sogar jemanden dafür engagieren, dass ein solche Erweiterung rechtzeitig bereitstünde, oder sogar selbst dafür Sorge tragen.

    d) Könnte man den Drucker nicht hinter eine simple Firewall stöpseln, die den Verkehr zum Drucker entsprechend regelt, und einen HTTP-Proxy mit TLS (z.B. Version 1.3) dazwischen klemmen, der die Authentifizierung und den Zugriff an den Drucker weiterleitet? Das Zertifikat könnte man in diesem Fall selbst ausstellen, falls man nichts zahlen möchte.

    e) Ansonsten könnte man versuchen, den Druckerhersteller zu einer Aktualisierung, oder zu einer Veröffentlichung der Quellen der Drucker-Firmware bitten. Optional auch mithilfe eines Angebots, welches sie nicht ablehnen könnten, z.B. viel Geld oder Erpressung mittels gefundener und schwerwiegender Sicherheitslücken ;-)


    4. Bewertung:
    a) bis c) müssten auf jedem Klienten eingerichtet werden.

    Mit Ausnahme der Verteilung eines selbst erstellten Zertifikats muss d) nur einmal zentral umgesetzt werden. Zugegebenermaßen fände ich diese Lösung in Anbetracht ihres Aufwands-zu-Nutzen-Verhältnisses für den Heimbetrieb unangemessen, außer es handelt sich um einen äußerst nützlichen und schwierig ersetzbaren Drucker mit vielen verschiedenen Nutzern, deren Maschinen Sie nicht administrieren.

    e) wurde hoffentlich nicht tatsächlich ernst genommen.


    5.

    Ich hoffe also, dass man da entsprechend handelt und die Verwendung von TLS < 1.2 für bestimmte bestimmte Seiten einstellen kann.
    Schön wäre es, wenn die Drucker- und IoT-Industrie Ihren Kram zeitnah auf sichere Versionen aktualisieren würden. Allerdings ist das auch zum Teil der Masse der Kunden geschuldet, die das implizit nicht zahlen (wollen), und stattdessen der Preisgeilheit frönen ("Geiz ist geil").

    Prinzipiell macht man sich eigentlich bereits beim Kauf eines solchen Geräts mitverantwortlich für diese Situation. Man muss also ggf. auch etwas dafür tun, dass der Drucker seine Jährchen unbeschadet übersteht und in die passende Infrastruktur integrieren, sodass er weiterhin tut. Das ist wie bei vielen Dingen.
    Wie alt ist Ihr Drucker denn?

    • 0
      Von Ghul am Di, 17. September 2019 um 16:11 #

      1 .

      Besser für wen?
      ...Den Nutzern bleibt Zeit, sich darauf einzustellen.

      Ich habe es doch begründet und ich kaufe mir ganz gewiss keinen neuen Drucker wenn der alte noch mehr als zufriedenstellend funktioniert.


      2.

      a) Hängt der in einem internen, abgesicherten (Firewall etc.) und vertrauenswürdigen Netz?
      Falls ja: Warum dann TLS/HTTPS?

      Das ist alte Denke und nicht mehr zeitgemäß.

      Heutzutage ist es üblich, dass man die Sicherheit des Netzes so auslegt, dass man auch davon aus geht, dass ein Angriff von innen erfolgen kann.
      Gründe gibt es viele.
      Angefangen von dubioser Firmware bis hin zu Geräten mit Sicherheitslücken in der Firmware für die es keine Updates mehr gibt, bis hin zu Schadsoftware die es auf andere Weise auf einen Rechner schafft.

      Wer ist die CA?
      Für die Rechner in meinem LAN bin ich diese selbst.

      3. Lösungsvorschläge
      a) Wie wäre es mit einem speziellen Browserprofil für den Zugriff auf den Drucker? security.tls.version wird nicht so schnell verschwinden, denke ich.
      Das war ja meine Frage.

      b) Man könnte auch einen anderen simplen Browser, der TLS 1.0 unterstützt, für den Drucker verwenden. Der müsste auch nicht gepflegt werden, da man dem Drucker bzw. dessen Web-Oberfläche ohnehin vertrauen müsste. Es gibt da NetSurf, Konqueror, Epiphany (Web), Midori, Pale Moon, Otter Browser - ggf. reicht sogar ein Lynx oder w3m.

      c) Eventuell wird bis dahin auch noch ein konfigurierbares Firefox-Erweiterung geschrieben, was die von Ihnen gewünschte Funktion ermöglicht, und an der Browser-Parametern herumspielt, falls in der Adressleiste eine bestimmte Adresse eingetippt wird.

      Geht zwar sicherlich, sind aber leider keine befriedigend stellende Lösungen.

      d) Könnte man den Drucker nicht hinter eine simple Firewall stöpseln, die den Verkehr zum Drucker entsprechend regelt, und einen HTTP-Proxy mit TLS (z.B. Version 1.3) dazwischen klemmen, der die Authentifizierung und den Zugriff an den Drucker weiterleitet? Das Zertifikat könnte man in diesem Fall selbst ausstellen, falls man nichts zahlen möchte.

      So etwas in der Art habe ich schon eingeplant, falls sich keine bessere Lösung finden sollte.
      Ich komme damit sicher klar, es gibt aber bestimmt Nutzer, die das überfordert. Sinnvoller wäre, wie angemerkt, eine Lösung im Browser.

      e) Ansonsten könnte man versuchen, den Druckerhersteller zu einer Aktualisierung, oder zu einer Veröffentlichung der Quellen der Drucker-Firmware bitten. Optional auch mithilfe eines Angebots, welches sie nicht ablehnen könnten, z.B. viel Geld oder Erpressung mittels gefundener und schwerwiegender Sicherheitslücken

      Ich habe nicht vor dafür Geld auszugeben.
      Und wenn doch, dann wäre ein neuer Drucker die bei weitem günstigere Variante.

      Schön wäre es, wenn die Drucker- und IoT-Industrie Ihren Kram zeitnah auf sichere Versionen aktualisieren würden.
      Wünschenswert wäre, wenn die Drucker und IoT Industrie den Quellcode zur Verfügung stellen würde.


      Allerdings ist das auch zum Teil der Masse der Kunden geschuldet, die das implizit nicht zahlen (wollen), und stattdessen der Preisgeilheit frönen ("Geiz ist geil").

      Das würde ich so nicht unterschreiben.
      Bei 10 Mio produzierter Geräte betragen die Supportkosten für den Hersteller nur wenige Cent pro verkauftem Exemplar.
      Und ob der Kunde nun 3 Cent mehr oder weniger zahlt, dürfte dem ziemlich egal sein.
      Also ist es die Alleinschuld des Herstellers, sofern man hier überhaupt von Schuld sprechen kann, denn genau genommen ist es eher bewusster Vorsatz. Schließlich sollen die Kunden neue Geräte kaufen.

      Wie alt ist Ihr Drucker denn?

      Ungefähr 9 Jahre.

      • 0
        Von klopskind am Di, 17. September 2019 um 19:32 #

        zu 1.: Warum so mürrisch? Für Mozilla wäre es nunmal besser™, wenn die Unterstützung älterer TLS-Versionen so schnell wie möglich wieder rausfliegen.

        Leider funktioniert das Ökosystem nicht so, dass fast alle aus eigener Motiviation ihre Software/Zertifikate aktualisieren. Also sieht sich Mozilla in der Pflicht, einen angekündigten und langfristigen Plan zur Einstellung jener Unterstützung durchzudrücken.

        Der einzige Interessenkonflikt besteht darin, dass Mozilla einen Shitstorm und Nutzerabwanderungen vermeiden möchte. Deswegen orientieren sie sich in diesem Zusammenhang auch an Googles Vorgehen.

        Natürlich führt Mozilla selbst eine äußerst parteiische Abwägung dieser Interessen durch, da sie schlussendlich am längeren Hebel sitzen.
        Insgesamt finde ich den Plan jedoch relativ fair ggü. den Nutzern.

        Nicht zuletzt wird Ihr konkretes Problem doch ursächlich von den Druckerherstellern und deren Updatepolitik und nicht von Mozilla erzeugt.


        zu 2a)
        Wenn ein Angreifer ein ungesichertes Netzwerk mit einem Netzwerkdrucker, der selbst nicht hinreichend abgesichert ist, infiltriert, kann er auf dem Drucker die Firmware seiner Wahl aufspielen (ist jedenfalls bei meinem HP so), womit er schon die vollständige Kontrolle über diesen Drucker hätte.
        Zudem könnte er eine der vielen lokalen Sicherheitslücken üblicher Netzwerkdrucker ausnutzen. Netzwerkdrucker haben nicht nur offene Ports für HTTP/HTTPS. Die sprechen auch viele andere Protokolle, deren ungesichert Implementierung im Drucker vor sich hin schimmelt und ausgenutzt werden (können).

        Was nützt da noch TLS/HTTPS allein?

        zu 3b)-c)
        Ja, ich weiß, wobei ich b) eigentlich ganz praktikabel fände.

        zu 3d)
        Ja, für Laien wäre dieser Ansatz keine Option. Ich hoffe, Sie werden Erfolg haben.

        Und hier wieder (siehe 1.): "Sinnvoller" ("besser") für wen? Warum sollen die Browserhersteller die Verfehlungen der Druckhersteller ausbaden?

        zu 3e)
        Ich hoffte, dass ich diesen Punkt samt Smiley ironisch genug formuliert hatte. Siehe auch 4e).

        Ja, ein Drucker wäre an dieser Stelle zumindest kurzfristig die günstigere Variante. Langfristig gesehen müssten Sie jedoch dem Druckerhersteller Ihre Kundenwünsche darlegen oder einen Herstellerwechsel in Erwägung ziehen.
        Unternehmensprodukte werden häufig auch länger unterstützt, sind aber entsprechend teurer. Sie haben die Wahl.

        Wünschenswert wäre, wenn die Drucker und IoT Industrie den Quellcode zur Verfügung stellen würde.
        Ja, das wäre wünschenswert.

        Ich rate Ihnen, in diesem Sinne zu lobbyieren: wählen Sie mit Ihrem Geld, Ihrer Kaufentscheidung, Ihren ausformulierten Kundenwünschen und engagieren Sie sich entsprechend gesellschaftlich (FSFE oder einschlägige Initiative für Hardware/Drucker) sowie politisch. In dem Sinne: Augen auf bei Kauf- & Wahlentscheidungen. Ihre Lieblingspartei, die Sie hier häufiger ganz ungeniert propagieren, vertritt Ihre Position in diesem Kontext nicht (siehe zuletzt hier).
        Haben Sie schon etwas in dieser Richtung unternommen?

        Das würde ich so nicht unterschreiben.
        Bei 10 Mio produzierter Geräte betragen die Supportkosten für den Hersteller nur wenige Cent pro verkauftem Exemplar. [...]
        Ja, könnte hinkommen.

        Ich führe mal eine Schätzung à la Fermi durch, auch wenn die Raffinesse dieses Genies und Nobelpreisträgers von hier aus betrachtet in weiter Ferne liegt:
        Angenommen für etwa 10^7 produzierten Geräten zum UVP-Stückpreis von 500 US-Dollar, die 3 Jahre Unterstützung (danach bestenfalls nur für sehr kritische Lücken) erhalten, arbeiten 5 Vollzeitarbeitskräfte aus dem Silicon Valley (HP Inc. sitzt in Palo Alto, Kalifornien) für ein Gehalt von 125000 US-Dollar pro Jahr pro Kopf (Durchschnitt sind etwa 145000 US-Dollar) samt zusätzlicher Kosten von 75000 US-Dollar für den Arbeitgeber/Hersteller pro Jahr pro Kopf. Falls des Weiteren die Handelsspanne bei 25% läge, würde der Anteil der Herstellereinkünfte durch den Verkauf der Geräte zum Endkundenkaufpreises, der für die reine Firmware-Pflege draufgeht, bei (3*5*($125000+$75000)) / (500/4*10^7) = $(3*10^6) / (125*10^7) = $3 / 1250 = $24 / 10^4 = $0,0024 = 2,4¢ liegen. Dazu kämen noch Kosten für die Verbreitung der Aktualisierungen.
        (Einwände zu Zahlen und Rechnung gern erwünscht.)

        Demnach wäre Ihre Schätzung von 3¢ pro Exemplar gar nicht schlecht.
        Allerdings müsste man wissen, ob von einer einzigen Serie im Schnitt (denn auf den kommt es hier an) tatsächlich 10^7 Exemplare hergestellt würden. Anhand der schieren Anzahl an verfügbaren Modellen und der Anzahl der Menschen auf unserer Erde, die sich ein solches Gerät leisten könnten, kann ich mir nicht vorstellen, dass die Zahl passt, selbst wenn man dabei berücksichtigen würde, dass sich viele Modelle kaum unterscheiden (Serie). Daher denke ich, dass die Zahl eher in zwei Größenordnungen niedrieger liegt, womit wir bereits bei $24 wären
        Kann man dazu an halbwegs verlässliche Zahlen heran?

        Also ist es die Alleinschuld des Herstellers, sofern man hier überhaupt von Schuld sprechen kann, denn genau genommen ist es eher bewusster Vorsatz. Schließlich sollen die Kunden neue Geräte kaufen.
        Nein, es ist nicht die Alleinschuld der Hersteller, denn ein Großteil der Nachfragenden des Marktes nimmt diese Marktpolitik der Hersteller samt geplanter Obsoleszenz wortwörtlich billigend in Kauf. Somit verteilt sich die Verantwortung für diese Situation nicht allein auf die Hersteller.

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung