Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 31 reacties
Bron: Mozilla Foundation, submitter: Proxy

Mozilla Firefox logo (75 pix)

Er is een kleine update verschenen voor versie 6.0 van Mozilla Firefox. Deze webbrowser is beschikbaar voor Windows, Linux en Mac OS X, en is in een groot aantal talen te downloaden. In versie 6.0 wordt onder andere de domeinnaam duidelijker in de adresbalk weergegeven en is gebruik van de Add-ons Manager eenvoudiger gemaakt. Verder is er een permissie-manager, waarmee per site kan worden aangegeven welke informatie gedeeld mag worden. In versie 6.0.1 is de volgende verandering doorgevoerd:

The latest version of Firefox has the following changes: You may also be interested in the list of changes in the previous version.

De volgende downloads zijn beschikbaar:
*Mozilla Firefox 6.0.1 voor Windows (Nederlands)
*Mozilla Firefox 6.0.1 voor Linux (Nederlands)
*Mozilla Firefox 6.0.1 voor Mac OS X (Nederlands)
*Mozilla Firefox 6.0.1 voor Windows (Engels)
*Mozilla Firefox 6.0.1 voor Linux (Engels)
*Mozilla Firefox 6.0.1 voor Mac OS X (Engels)
*Mozilla Firefox 6.0.1 voor Windows (Fries)
*Mozilla Firefox 6.0.1 voor Linux (Fries)
*Mozilla Firefox 6.0.1 voor Mac OS X (Fries)

Mozilla Firefox 6.0 screenshot (481 pix)

Versienummer:6.0.1
Releasestatus:Final
Besturingssystemen:Windows 7, Windows 2000, Linux, Windows XP, macOS, Windows Server 2003, Windows Vista, Windows Server 2008
Website:Mozilla Foundation
Download:http://www.mozilla.com/en-US/firefox/all.html#languages
Bestandsgroottes:13,60MB t/m 28,40MB
Licentietype:Freeware
Moderatie-faq Wijzig weergave

Reacties (31)

Wellicht handig om voor de volledigheid dit te vermelden, gezien de enige wijziging:

nieuws: Firefox vertrouwt DigiD toch na verzoek Nederlandse overheid - update

Edit: ook even gecontroleerd; DigiD werkt ook in 6.0.1.

[Reactie gewijzigd door fondacio op 31 augustus 2011 14:13]

beetje vreemd dat dit de enige update is en dat het dan toch nog werkt.
ik zou dan een v6.0.2 verwachten nav het artikel.
Onderdeel van de bugzilla thread is al het negeren van de overheid CA - zal dan ook waarschijnlijk al onderdeel van 6.0.1 zijn?
In de discussie bij de relevante bugthread werd inderdaad specifiek vermeld dat certificaten voor de Staat der Nederlanden niet zouden worden ingetrokken bij de release (was wel het geval in de eerste versie van de bugfix, maar deze is gewijzigd na contact met DigiNotar / NL overheid). Is dus onderdeel van 6.0.1
beetje vreemd dat dit de enige update is en dat het dan toch nog werkt.
ik zou dan een v6.0.2 verwachten nav het artikel.
Nee, lle certificaten van DigiNotar zijn geblacklist, behalve als de root CN gelijk is aan Staat der Nederlanden, zoals ook vermeld staat in het door Fondacio aangehaalde artikel.
Een nieuwe build release voor zoiets. Gaat dit niet te ver? Is er geen betere manier om zoiets te implementeren?
Ik krijg er inmiddels ook wel een beetje vreemd onderbuikgevoel van.
Van n kant kan ik begrijpen dat je zoiets hardcoded zet, want anders moet je ze extern controleren en dat is natuurlijk niet veilig, maar de manier waarop de patch is gedicht:

if (!strcmp(node->cert->issuerName,
"CN=Staat der Nederlanden Root CA,O=Staat der Nederlanden,C=NL")


Dat vond ik toch wel kort door de bocht, want er is geen enkele garantie dat er niet ook valse certificaten in omloop zijn waarvan van de overheid issuer is.

Daarnaast blijkt nu dat de overheid 2 namen gebruikt:
- Staat der Nederlanden Root CA
- Staat der Nederlanden Root CA - G2

Dus misschien krijgen we ook nog wel een 6.0.2:
https://bugzilla.mozilla.org/show_bug.cgi?id=683449

[Reactie gewijzigd door Klippy op 31 augustus 2011 15:50]

Dat vond ik toch wel kort door de bocht, want er is geen enkele garantie dat er niet ook valse certificaten in omloop waarvan van de overheid issuer is.
Garantie heb je nooit. Niet bij verisign, niet bij thawte, niet bij <insert CA>. Het valt of staat allemaal op vertrouwen. De browser makers geven aan dat ze diginotar als CA niet meer vertrouwen, maar de staat der Nederlanden wel.

Net zoals browser makers aangeven dat ze Thawte, Verisign, Comodo, etc, etc, etc vertrouwen als betrouwbare CA.
Dat snap ik, maar gezien het feit dat de certificaten van de overheid ook door DigiNotar zijn uitgegeven gaat je vergelijking niet helemaal op, want ze verklaren nu DigiNotar als onveilig, maar voegen op verzoek wel nog even snel een uitzondering toe.

De regel code is de uitzondering, eigenlijk staat er dus: vertrouw geen enkel DigiNotar certificaat, behalve als de issuerName gelijk is aan Staat der Nederlanden Root CA.

En niemand weet zeker dat er geen valse certificaten zijn met deze issuerName (maar dat is discussie voor het andere nieuwsbericht).

Deze fix is binnen iets van 24 uur ingebakken in de code, terwijl er geen bewijs is dat het ook echt zo is. Na het verzoek van de overheid is het zo te zien vrijwel meteen geprogrammeerd.

Ik zeg niet dat ik het mee oneens ben, maar het was wellicht wat snel.
Kijk ook naar de rest van de conditie, deze garandeert namelijk dat het certificaat niet alleen "Staat der Nederlanden Root CA" is maar ook nog eens dat het het hoogste ('laatste') certificaat in de chain is. Aangezien dergelijke certificaten niet verder ondertekend zijn *moet* dit certificaat door de browser getrust (en dus meegeleverd) worden. Als iemand anders een dergelijk certificaat maakt zal het falen omdat het top-level certificaat niet getrust wordt.

Edit: neemt trouwens niet weg dat ik DigiNotar nog steeds niet vertrouw, door de overheid ondertekend of niet. Dit gaat alleen over het maken van valse certificaten met "Staat der Nederlanden Root CA" als issuer.

[Reactie gewijzigd door DataGhost op 31 augustus 2011 17:19]

G2 is voor SHA256 certificaten. Vanaf 31 december 2011 kunnen alleen nog deze certificaten gebruikt worden.
Het gaat hier om een root CA. De certificaten zijn daarbij in de applicatie zelf opgenomen (wat onder OS X een beetje dom is aangezien OS X hiervoor een gecentraliseerd systeem heeft (keychains die je met Keychain Access kunt bekijken/bewerken)). Dat maakt het nu ook wat lastiger om dingen te wijzigen. Het security team heeft in een meeting die voor de hele DigiNotar commotie was gehouden al geopperd om de manier waarop die root certificates in Firefox zitten te wijzigen naar een systeem waarbij je niet meteen een complete update voor Firefox de deur uit moet doen.
Je update iets in Firefox zelf en daarvoor moet je dus het serienummer veranderen . En om nou 6.0.0.0.1 te geven voor zoiets is niet zo goed.
Aangezien elk certificaat een 'revocation URL' moet hebben, vraag ik me af waarom ze niet gewoon de 'revocation URL' gebruiken om te weten of het bewuste certificaat van een site eigenlijk nog wel geldig is. Zo is er geen update van de browser nodig en blokkeer je toch alle 'ongeldige' certificaten. Of zie ik het nu verkeerd?
Je hebt 2 soorten certificaten: certificaten die je uitgeeft aan bijv. een website en de certificaten die gebruikt worden om deze uitgegeven certificaten te ondertekenen (de root certificaten).

De gewone certificaten die een CA zoals DigiNotar, Verisign, Geotrust, etc, uitvaardigen worden door iedere applicatie die iets doet met certificaten gecontroleerd op echtheid en geldigheid. Dat betekent dat ook de CRL/OCSP server wordt geraadpleegd om te controleren of het certificaat niet is ingetrokken.

Het root certificaat die de CA gebruikt om de uitgegeven certificaat te controleren is iets wat vaak in de applicatie ingebakken wordt. Als daar wat mee mis is kun je dat niet via een CRL/OCSP server controleren. Bij Firefox staan die root certificaten in de applicatie zelf waardoor ze die moeten voorzien van een patch om zo'n certificaat als onbetrouwbaar aan te merken (wat deze Fx update doet). Het security team heeft al geopperd om het anders te doen zodat dit in de toekomst niet meer nodig is (soort van blacklist systeem). Hopelijk komt dat nu in een stroomversnelling want een complete app updaten omdat 1 CA niet meer te vertrouwen is, is nogal wat.
Blijkbaar zit in FireFox niet alleen het root certificaat maar ook een aantal onderliggende chain certificaten. Dat is ook zo in bv de windows certificate store.

Her root certificaat Staat der Nederlanden is overigens van de staat en niet van DigiNotar. Diginotar heeft slechts chain certificaten om klanten weer bijvoorbeeld van servercertificaten te voorzien.
Het root (stam in het Nederlands) certificaat is ook gewoon nog steeds veilig en te vertrouwen.
Logius gebruikte voor de DIgiD website een certificaat van DigiNotar. Vandaar ineens het "probleem" met DigiD.

Andere overheidssites die een PKI overheidscertificaat hebben van bv Getronics PinkRoccade hebben hier helemaal geen last van.
Zie ook: https://www.logius.nl/pro...verheid/csp-certificaten/
Opera doet dit. Wist het ook niet, maar las er vandaag iets over op het Opera blog (blog is down, anders zou ik graag een linkje erbij doen)en in mijn 11.50 installatie (paar maanden oud) krijg ik ook gewoon "Web" op de site van DigiD, in plaats van Secure of zelfs Trusted.

Het probleem bij die 'revocation URL' is wel weer dat de man in the middle die ook kan blokkeren. Op dat moment moet de browser dus ook het certificaat als ongeldig behandelen. De vraag is vervolgens wel weer of die man in the middle niet een response terug kan geven dat het certificaat nog geldig is, terwijl het dat dus niet is.
Wellicht met een oude CRL maar die dingen vraag je normaliter ook via een beveiligde verbinding op dus dat gaat niet lukken.
En nu maar hopen dat de versie van FF die je binnenhaalt echt is.
Ook de domeinen van webbrowserfabrikant Mozilla, bekend van de Firefox webbrowser blijkt te zijn nagemaakt.
Hierdoor denken bezoekers uit Iran op de website van de softwarebouwer te zijn, terwijl ze mogelijk op een nepsite zijn aanbeland.
De gevolgen van dat certificaat kunnen heel verstrekkend zijn. “Dit kan duiden op het maken van aangepaste versies van Firefox. Dat betekent dan dat er software ogenschijnlijk afkomstig van die leverancier kan zijn voorzien van backdoors”, vertelt Hans van de Looy, Principal Security Consultant en partner bij beveiligingsbedrijf Madison Gurkha.
http://www.nu.nl/internet...naast-aftappen-gmail.html
Auto-updater.... valt dat te misleiden?
Als je ook de DNS kunt misleiden wel.
Het lijkt erop dat het memory leak nou verholpen is, na een klein week continue draaien is de memory foot print nog steeds normaal. Voorheen moest ik de browser herstarten (ik gebruik zelf overigens Palemoon, maar dat is gebasseerd op de code van FF).
Een goede verbetering wat mij betreft!
Mmm, weer een uitzonderlijke update. Ik dacht dat Mozilla bugs enkel nog in een nieuwe major-release ging verhelpen. Maar tot nog toe hebben we van FF4 tot 6 al 1 extra update gehad...
Behalve dat dit geen bug is
Je weet wat ik bedoel...
Heb je al eens geprobeerd alle addons uit te schakelen of te verwijderen?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True