Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla krijgt kritiek om heimelijke installatie promotionele add-on in Firefox

Firefox heeft een extensie uit zijn browser gehaald die bedoeld is als onderdeel van een alternate reality game die te maken heeft met de televisieserie Mr. Robot. Gebruikers zijn verward en bezorgd door de plotselinge aanwezigheid van de cryptische extensie.

De extensie, genaamd Looking Glass, was plotseling geïnstalleerd in de browser zonder dat daar expliciet een melding van wordt gemaakt of toestemming voor wordt gevraagd. Standaard is Looking Glass niet werkelijk geactiveerd, waardoor de extensie dus niets heeft gedaan in de gevallen waar het verscheen. Activeren gaat via about:config. Looking Glass viel te vinden in het extensies-menu, waar het alleen de omschrijving 'mijn realiteit is gewoon anders dan die van jou' had.

Later kreeg de extensie een update met een uitgebreidere omschrijving en daarna werd het plan van Mozilla geschrapt. Dit vanwege de consternatie onder technisch onderlegde gebruikers, die het zagen als een breuk van hun vertrouwen. De add-on gaat nu gewoon verschijnen in Mozilla's Add-On Store. Intussen heeft Mozilla ook een supportpagina met uitleg over Looking Glass aangemaakt en is de broncode op GitHub gezet. Op het moment van schrijven is de variabele 'extensions.pug.lookingglass' nog wel te vinden in about:config, maar in het add-ons-menu is niets meer te zien.

Een alternate reality game is een spel bestaande uit aanwijzingen en raadsels dat zich deels in een fictieve en deels in de echte wereld bevindt. In de televisieserie zitten hints verborgen die gebruikers op een zoektocht sturen die hen op een gegeven moment ook naar Firefox en de Looking Glass-extensie brengt. De extensie zou in ieder geval bepaalde sleutelwoorden op webpagina's ondersteboven laten weergeven, wat weer een aanwijzing is voor de volgende stap. De makers van de show doen dit soort dingen vaker.

Beeld: Engadget

Door

Nieuwsposter

153 Linkedin Google+

Submitter: Muerte.Diablo

Reacties (153)

Wijzig sortering
De extensie deed weldegelijk wat. En de algehele situatie met Firefox verslechtert:

https://drewdevault.com/2...-on-a-slippery-slope.html

Later, paid links in your new tab page were added. Then, a proprietary service, Pocket, was bundled into the browser - not as an addon, but a hardcoded feature. In the past few days, we’ve discovered an advertisement in the form of browser extension was sideloaded into user browsers. Whoever is leading these decisions at Mozilla needs to be stopped.

Here’s a breakdown of what happened a few days ago. Mozilla and NBC Universal did a “collaboration” (read: promotion) for the TV show Mr. Robot. It involved sideloading a sketchy browser extension which will invert text that matches a list of Mr. Robot-related keywords like “fsociety”, “robot”, “undo”, and “fuck”, and does a number of other things like adding an HTTP header to certain sites you visit.

This extension was sideloaded into browsers via the “experiments” feature. Not only are these experiments enabled by default, but updates have been known to re-enable it if you turn it off. The advertisement addon shows up like this on your addon page, and was added to Firefox stable. If I saw this before I knew what was going on, I would think my browser was compromised! Apparently it was a mistake that this showed up on the addon page, though - it was supposed to be silently sideloaded into your browser!
De extensie deed helemaal niets want het hele WebExtension deel werd alleen geladen als je handmatig een bepaalde pref hebt gezet. Het enige dat draaide was een 42tal regels om te controleren of de pref gezet was. Nee, die pref veranderde zichzelf niet; zelfs nog beter er was geen enkele "in-universe" manier om hem aan te zetten, zelfs voor de mensen die aan de ARG meedoen. Dat moest echt handmatig via about:config.

Ja, hij staat wel als enabled in je addon lijst; die 42 regels code draaien nu eenmaal. Ja, er draait inderdaad wel een klein beetje code van het internet zonder er direct toestemming voor gegeven te hebben. Ja, er zijn claims van mensen die shield uitgezet hadden waarbij het weer aan stond en ze met dit te maken hadden zonder toestemming te geven. Ja, er zijn dingen fout gegaan, erg veel zelfs. Maar die effecten heeft helemaal niemand gezien behalve de mensen die het echt daadwerkelijk handmatig aangezet hebben via about:config. Toch een stukje belangrijke nuance die ik in dat artikel mis.
Het enige dat draaide was een 42tal regels om te controleren of de pref gezet was.
Daar begrijp ik je toch hopenlijk verkeerd? Dat een plugin zelf test of het wel aanstaat?
In dit geval betreft het dus een Embedded WebExtension, waarbij dat inderdaad mogelijk is. De addon aan de buitenkant heeft dan controle over de WebExtension, het is een soort van plugin-in-een-plugin. Mozilla kan daar ook in Firefox 57 nog steeds gebruik van maken, andere developers niet meer.
42 ? Waarom 42 ....
Hier is de broncode van de addon voor mensen die zelf willen checken wat het doet: https://github.com/mozill...master/addon/webextension

De web extensie draait op ALLE PAGINA's die je bezoekt, zie regel 6 en 20 van https://github.com/mozill...ebextension/manifest.json.

Los van dat het de werking en styling van websites aanpast en mogelijk kapot maakt (dus ook bijv. internetbankieren...) , is het enorm vertragend omdat het complete webpagina's analyseert op een lijst van keywords en deze vervangt.
Maar goed dat deed het dus alleen als je hem aanzette via de bijbehorende flag in about:config
De Mr. Robot add-on was overigens geinstalleerd via het Studies (zie about:studies) dat volgens mij opt-out was (of "auto opt-in"). Dit is bedoeld om deel te nemen aan tests voor de verbetering van de browser, maar blijkbaar mag management/marketing ook gewoon allerlei rotzooi erdoorheen duwen zonder engineering raad te plegen. Leuk dat ze de browser als privacy-vriendelijk neerzetten wanneer ze dit soort zaken überhaupt kunnen uitvoeren, laat staan ook écht doen.

Slechte zaak. Er zijn alternatieven zoals Pale Moon, IceCat, Waterfox om op over te stappen mocht je Mozilla na deze misstappen niet meer vertrouwen.
En wat voor garantie geven die alternatieven dan dat het bij hun niet kan gebeuren of gaat het gewoon om een vals gevoel van privacy en veiligheid?
Lees eens het achtergrondidee bij Waterfox.

Persoonlijk stel ik veel meer vertrouwen in deze twintiger dan in een commercieel bedrijf waar ze alles willen binnenharken wat ze maar kunnen. Mozilla staat bij mij al op de zwarte lijst sedert ze ook het telemetrie-spelletje zijn gaan spelen en ik vermoed dat het er niet op gaat verbeteren. Dat is voor mij de hoofdreden dat ik bij Waterfox zweer.

Features van Waterfox:
  • Disabled Encrypted Media Extensions (EME)
  • Disabled Web Runtime (deprecated as of 2015)
  • Removed Pocket
  • Removed Telemetry
  • Removed data collection
  • Removed startup profiling
  • Allow running of all 64-Bit NPAPI plugins
  • Allow running of unsigned extensions
  • Removal of Sponsored Tiles on New Tab Page
  • Addition of Duplicate Tab option
  • Locale selector in about:preferences > General

[Reactie gewijzigd door Mr777 op 17 december 2017 11:17]

- Allow running of all 64-Bit NPAPI plugins
- Allow running of unsigned extensions
Nee, dankje.

Edit: denk eens na voor je downvote mensen. Nog gevaarlijker dan dit is als extensies zonder cert ook geinstalleerd kunnen worden, zeker als extensies gepushed kunnen worden.

[Reactie gewijzigd door ExIT op 17 december 2017 18:06]

Waarom niet? Er staat "allow", niet "forces you".
Waar zit het risico? Wat je aanhaalt betreft plugins en extensions, en het al dan niet installeren daarvan zou toch echt de persoonlijke keuze en verantwoordelijkheid van de gebruiker moeten zijn - niet van Waterfox of Mozilla of wie dan ook. Waterfox verplicht je trouwens niet om "unsigned" extensies te installeren, hij laat het alleen toe als je daarvoor zou kiezen.
Het probleem is dat de meeste gebruikers niet verantwoordelijk om gaan met hun browser, computer of leven in het algemeen, maar wel klagen bij de makers als het mis gaat.
Heel leuk dat achtergrond idee maar dat geeft toch geen enkele garantie dat het niet mogelijk is om op dezelfde manier als bij firefox een random add-on te implementeren?
Sterker nog, met zijn unsigned extensions kun je ook nog redeneren dat het juist onveiliger kan zijn uiteindelijk.
Heel leuk dat achtergrond idee maar dat geeft toch geen enkele garantie dat het niet mogelijk is om op dezelfde manier als bij firefox een random add-on te implementeren?
Die garantie heb je nooit, bij geen enkel softwarepakket. Als je echt gaat zitten wachten totdat er een 100% waterdichte browser zonder enig risico op misbruik wordt gemaakt kun je m.i. nog lang wachten. Het gaat er tenslotte maar om in wie je het meeste vertrouwen stelt, en momenteel vertrouw ik de ontwikkelaar van Waterfox meer dan Mozilla. Mozilla heeft zojuist onomstotelijk bewezen dat hun motieven echt niet zo zuiver zijn als aanvankelijk gedacht werd; bij de ontwikkelaar van Waterfox moet dat nog blijken.
Sterker nog, met zijn unsigned extensions kun je ook nog redeneren dat het juist onveiliger kan zijn uiteindelijk.
De (on)veiligheid van een extensie of plugin hoeft niet de verantwoordelijkheid te zijn van de ontwikkelaar van de browser. Integendeel, die verantwoordelijkheid hoort volledig bij de gebruiker te liggen in mijn opinie.

[Reactie gewijzigd door Mr777 op 17 december 2017 12:24]

Die garantie heb je nooit, bij geen enkel softwarepakket.
En dat is ook precies het punt, je moet er maar blind op vertrouwen en het is vaak gewoon een kwestie van tijd voordat er iets aan de hand is waar veel gebruikers het niet mee eens zijn. Dus uiteindelijk maakt het geen bal meer uit of je nou firefox of waterfox gebruikt :9
De (on)veiligheid van een extensie of plugin hoeft niet de verantwoordelijkheid te zijn van de ontwikkelaar van de browser. Integendeel, die verantwoordelijkheid hoort volledig bij de gebruiker te liggen in mijn opinie.
Ik doelde er meer op dat de ontwikkelaar, of een kwaadwillende hackert, waarschijnlijk ook gewoon ongevraagd extensies mee kan leveren tijdens een update van de browser en zonder restricties op unsigned extensions dat wat makkelijker discutabele code kan zijn.

Het is allemaal maar net hoe paranoïde je door het leven wilt gaan ;)
En dat is ook precies het punt, je moet er maar blind op vertrouwen en het is vaak gewoon een kwestie van tijd voordat er iets aan de hand is waar veel gebruikers het niet mee eens zijn. Dus uiteindelijk maakt het geen bal meer uit of je nou firefox of waterfox gebruikt :9
Als je zo redeneert kun je ook stellen dat het niet uit maakt of je op de SP stemt of op de VVD, vroeg of laat doen alle politieke partijen wel iets waar je het niet mee eens bent.
Of dat je ook wel kan spookrijden op de A2, vroeg of laat gebeurt er toch wel ergens een ongeluk.
Daarom doe ik dat allemaal gewoon niet ;)
Sterker nog, met zijn unsigned extensions kun je ook nog redeneren dat het juist onveiliger kan zijn uiteindelijk.
Jij begrijpt wat ik bedoel
- Allow running of all 64-Bit NPAPI plugins

Ja, hallo. Lekker makkelijk als je op versie 56 blijft zitten en daarmee niet de Quantum engine gebruikt (het grote voordeel van upgraden naar 57).
Maar gelukkig worden security updates voor 57 wel gebackport. Dus misschien moet ik die toch maar gaan gebruiken. Ik kan nog niet zonder Fire Gestures en de 'alternatieven' zijn niet volwaardig.
En wat voor garantie geven die alternatieven dan dat het bij hun niet kan gebeuren of gaat het gewoon om een vals gevoel van privacy en veiligheid?
Daar hebben we het valse gevoel van veiligheid weer.Wat stel jij voor dat we doen? Pootjes in de lucht en bang liggen bibberen tot onze problemen vanzelf verdwijnen?

Geen enkel stuk software biedt absolute veiligheid of privacy. Absolute garanties bestaan niet in deze wereld. Het is altijd een afweging van kansen, gevolgen en risico's.
Perfectie bestaat niet, dat is geen reden om niet te doen wat we kunnen doen.
Blijkbaar zijn er mensen die in de veronderstelling zijn dat Mozilla, of andere ontwikkelaars van browsers, geen add-ons mee zouden kunnen leveren met een update van hun browser (al dan niet gevraagd of ongevraagd, zichtbaar of onzichtbaar). Dat ze er gebruik van maken is een ander verhaal en snap ik zeker dat mensen het er niet mee eens zijn dat er op deze manier gebruik van is gemaakt, hoewel het natuurlijk wel een beetje in de stijl van de serie past :Y).

[Reactie gewijzigd door MonkeyJohn op 17 december 2017 13:48]

Ja die alternatieven zijn leuk. Gebruik zelf PM.Maar vergeet niet dat er veel Firefox code zit in die browsers.

Iedereen zeikt over Mozilla maar zonder hen zijn we overgeleverd aan Apple, Google en Microsoft. Want een browser maken en onderhouden kan niet meer in een zolderkamer.
Een ander alternatief is Brave, die is gebaseerd op Chromium.
Zojuist Waterfox geïnstalleerd om te proberen.
Wauw, wat is die sneller dan firefox. En toch gewoon dezelfde look en feel.
Copiëerd bij installatie je profiel en implementeerd ook al je addons en extensies (duck duck go plus werkt overigens niet).
Kan niet makkelijker. Niet meer dan 2 minuutjes werk.
Ik ben onder de indruk. Ik ga deze een tijdje proberen.

Dank voor de tip(s).
Mozilla heeft bij mij veel goodwill verspeeld met deze actie. Sterker nog, ik zie dit als een enorm beveiligingsprobleem: blijkbaar is het mogelijk om extensies te installeren zonder dat de gebruiker hiervan weet. Nu is dat een onschuldige extensie, maar wie zegt mij dat er nu geen malware wordt ontwikkeld die op deze wijze mijn browser binnendringt?
Mozilla heeft bij mij veel goodwill verspeeld met deze actie. Sterker nog, ik zie dit als een enorm beveiligingsprobleem: blijkbaar is het mogelijk om extensies te installeren zonder dat de gebruiker hiervan weet. Nu is dat een onschuldige extensie, maar wie zegt mij dat er nu geen malware wordt ontwikkeld die op deze wijze mijn browser binnendringt?
Je hebt helemaal gelijk, maar besef wel dat alle software op je computer zo werkt. Vrijwel alle software kan (in theorie) zelf plugins of updates downloaden, installeren en activeren zonder ooit iets aan de gebruiker te vragen. Als software wel om toestemming vraagt dan is dat vooral een kwestie van beleefdheid.

Bij open source software heb je nog een kans om dit soort zaken vroegtijdig te detecteren, of in ieder geval termineren als je er achter komt, maar er is geen garantie dat dit ook gebeurt als je het niet zelf doet. Zelfs als iemand het probleem ziet is het daarmee nog niet opgelost. Deze zaak is daar een prima voorbeeld van. Realistisch gezien zul je de schrijvers van alle software op je computer moeten vertrouwen. Aangezien dat inmiddels om honderdduizenden programmeurs gaat is dat ergens best wel een probleem. Gelukkig controleren die programmeurs elkaar nog een beetje, maar ook daar kun je eigenlijk niet echt op vertrouwen.

[Reactie gewijzigd door CAPSLOCK2000 op 17 december 2017 13:01]

Sterker nog, ik zie dit als een enorm beveiligingsprobleem
Het gaat niet om een beveiligingsprobleem. Het is namelijk volledig veilig geintalleerd, alles netjes ondertekend met Mozilla certificaten etc.

Wat Mozilla heeft gecreeerd is een vertrouwensprobleem.

Het installeren van een browser (of zelfs enig stuk software) is tot op zekere hoogte gelijk aan de sleutel van je huis aan de buren geven. Je vertrouwt erop dat ze deze alleen maar gebruiken in die situatie waar je hem voor gegeven hebt (plantjes water geven/als ze een inbreker zien).

Als je er dan achter komt dat ze je huis in zijn gegaan om een kopje suiker te lenen, dan schendt dat vertrouwen. Je had ze dat heus wel gegeven, als ze het even hadden gevraagd.

Hetzelfde geldt nu voor Mozilla. Als ik ze niet kan vertrouwen dat ze niet voor promotie-doeleindes in het geheim plug-ins installeren, waarom zou ik ze dan wel vertrouwen op al hun andere beloftes m.b.t. netjes gebruik van mijn persoonlijke gegevens uit de telemetrie, bvb?

Vertrouwen komt te voet en gaat te paard en wie dit bij Mozilla allemaal hebben goedgekeurd moeten zich echt achter de oren krabben of zij wel thuis horen bij die organisatie.

Intussen merk ik dat ik, zeker sinds FF57, steeds vaker naar Vivaldi grijp.

[Reactie gewijzigd door Keypunchie op 17 december 2017 12:03]

Het gaat niet om een beveiligingsprobleem. Het is namelijk volledig veilig geintalleerd, alles netjes ondertekend met Mozilla certificaten etc.
Keeper werd op Windows ook netjes veilig geinstalleerd.....
nieuws: Windows 10 installeerde een week lang automatisch onveilige wachtwoor...
En het installeren was ook niet het beveiligingsprobleem, brakke software die geïnstalleerd werd wel.
Het ongevraagd en niet direct zichtbaar installeren van software vind ik wel degelijk een beveiliginsprobleem, omdat hiermee onveilige software verspreid kan worden.
Nouja goed als je Mozilla niet vertrouwd waarom gebruik je dan hun gecompileerde code. Zeg maar een beetje een kul argument in deze.
Nouja goed als je Mozilla niet vertrouwd waarom gebruik je dan hun gecompileerde code. Zeg maar een beetje een kul argument in deze.
Er is een groot verschil tussen core browser code geschreven en onderling in het open gereviewd door een grote groep contributors, die een strak protocol volgen; en een snel en goedkoop ontwikkelde add-on die door een paar medewerkers van Mozilla met een 'lumineus' idee voor een marketing-stunt, in elkaar gedraaid is en heimelijk je systeem opgeduwd wordt.
Na dit akkefietje vertrouw ik Mozilla ook niet meer.
Als ik nou een Cryptolocker via een HTTPS verbinding installeer die ondertekend is met een Mozilla cert., is die dan ook veilig?
Hangt er van af hoe jij aan het Mozilla certificaat komt. Maar als dat met medewerking van Mozilla is, dan is die zeker goed beveiligd. En dan heb je daarmee precies het onderscheid dat ik hier probeer te maken.

De beveiliging van Mozilla is niks mee mis. Hun betrouwbaarheid is in het geding.
Waar haal je het vandaan dat Vivaldi Chinees is? Opera is in Chinese handen, Vivaldi is naar mijn weten nog steeds een bedrijf in Noorwegen (https://en.wikipedia.org/wiki/Vivaldi_Technologies).

Daarnaast is hun privacy verklaring eenvoudig, ondubbelzinnig en respectvol tov je privacy (https://vivaldi.com/privacy/browser/).
Al zou dat zo zijn, betekent dat dat ze iets met de regering te maken hebben?
Natuurlijk is het mogelijk voor hen om dergelijke injections te doen. Indien u hier ander over dacht zegt dat mogelijk meer over uw denkwijze in deze wondere wereld van technologie. Indien u controle wenst over alles wat er maar geinstalleerd wordt, dient u eens te kijken naar de comment van @frenzic

NB: Dit zegt niet dat ik de actie van hen "Monzilla "goedkeur!
Ware het niet dat ik Linux draai en ik überhaupt niets van auto-update heb. Mijn systeem houdt mij continu op de hoogte van veranderingen en ik heb alles dichtgetimmerd wat betreft permissies. Dat Firefox schijnbaar een methode heeft om ongezien veranderingen aan te brengen aan de browser is een enorm beveiligingslek en bijzonder schadelijk voor het aanzien van de browser.
Mijn systeem houdt mij continu op de hoogte van veranderingen en ik heb alles dichtgetimmerd wat betreft permissies.
Wel, je hebt niet alles dichtgetimmerd want je kan het installeren van extensies en plugins in Firefox ook verhinderen. Daar kwam deze ook niet doorheen bij mij!
Plugins vallen buiten de scope van het os: Firefox laad deze met een eigen loader uit je homedir. Als je denkt dat je je hier tegen moet beveiligen dan moet je geen software gebruiken die plugins ondersteunen (dus Chrome, chromium, Firefox of konqueror).
Maar waarom had je dan niet gewoon Studies uitgezet. Mozilla heeft zelfs een volledige handleiding van hoe Firefox in de enterprise dicht te timmeren, dus dan heb je dat toch niet zo zorgvuldig gedaan. (Daar hoort het uitschakelen van Studies bij)

En het is ook geen beveiligingslek, het is gewoon een feature voor het testen van nieuwe functies, dat ze er nu dit doorheen gepushed hebben is meer een probleem van vertrouwen en stomme beslissingen.
Elke applicatiebouwer kan dat doen, in elke update kunnen ze iets toevoegen helaas. Zelfs je Linux distributie zou dat kunnen doen, idem Mac, Windows, iOS en Android.

Waar nu de focus op moet komen in dit geval is wie heeft dit goedgekeurd en waarom zo ondoordacht?
Onder Windows heb je nog een AppLocker, zeker in zakelijke omgevingen geen overbodige luxe. Daar bepaal je gewoon het exacte versienummer van de .exe die je mág starten, is die gewijzigd? No go.
Daar bepaal je gewoon het exacte versienummer van de .exe die je mág starten, is die gewijzigd? No go.
Kan de bouwer van een .exe het versienummer niet constant houden? Lijkt me eerder dat de hash gepinned wordt.

[Reactie gewijzigd door 84hannes op 17 december 2017 16:17]

Ja en jij update mozilla niet?

Ja het vertrouwen wordt/is geschaad. Maar je moet kunnen updaten. En dat moet je kunnen vertrouwen.
Natuurlijk update ik producten van Mozilla, en gelukkig veranderd dan het versienummer en ik ben blij dat ik dan nog steeds hun applicaties kan starten. Wat ik hierboven lees is dat:
  • Een eerlijke bugfix waarbij het versienummer veranderd geblokkeerd wordt.
  • Een malafide update wel gewoon gestart zal worden als de distributeur een oud versienummer meegeeft.
Ik weet zeker dat ik iets verkeerd begrepen heeft, want dat lijkt me geen gewenst scenario.

[Reactie gewijzigd door 84hannes op 18 december 2017 07:49]

Met srp, applocker appguard of andere soortgelijke tools kun je ze vastpinnen op md5 hash als ik het goed heb :*)
Ja zoiets gebeurd geloof ik ook..
Tot zo ver je “dichtgetimmerd met permissies” dus;-) Firefox kan dus gewoon schrijven in zn eigen .
directory. Logisch ook, anders zou je history of bookmarks ook niet werken. Extensies staan daar ook.
Inderdaad.... toch niet zo dichtgetimmerd dus. Leermomentje?
Die systemen moeten toch schrijftoegang hebben op bepaalde zaken? en je doet toch ook af en toe een update (ongeacht of autoupdate afstaat). Iedere ontwikkelaar met slechte bedoeling kan via een update of andere auto-install zaakjes slechte code op je systeem zetten (ongeacht het os btw). Of een hacker die malware in een setup zwiert en dat op de ftp server zet e.d. zaken... staat je extensie-auto-update überhaupt af?

[Reactie gewijzigd door white modder op 17 december 2017 11:13]

Mee eens. Dit is werkelijk een stompzinnige actie van Mozilla. En het blijkt dat de mogelijkheid om extensies stilletjes te installeren ingebouwd zit in Firefox. Als hackers hier weet van krijgen dat hebben ze een levensgroot probleem.

De manager die dit bedacht heeft moet op staande voet ontslagen worden. Dit gaat Mozilla weer heel veel goodwill kosten, en juist nu dat ze een heel succesvolle versie 57 hadden uitgebracht. En wat levert het ze op? Een paar grijpstuivers?

[Reactie gewijzigd door ArtGod op 17 december 2017 10:52]

Als hackers hier achter komen?
Hackers weten dit al: dit is gewoon "as designed": Firefox moet rechten hebben om dingen weg te kunnen schrijven in zijn eigen directory.

De werkelijke ontwerpfout die nu aan het licht komt, is dat Firefox niet alleen dingen wegschrijft naar zijn directory, maar blijkbaar ook in staat is om vanuit die directory ongevraagd zaken te starten, zoals plug-ins.

Ik wil de stompzinnigheid van Mozilla niet goed praten, maar ben eigenlijk wel blij dat dit door hun actie aangetoond is: liever Mozilla dan daadwerkelijk een hacker die een plug-in laadt waarmee je bankgegevens gejat worden...

en ik vraag me af in hoeverre andere browsers die ook met plug-ins werken hier ook kwetsbaar voor zijn... :?
Als hackers hier achter komen?
Hackers weten dit al: dit is gewoon "as designed": Firefox moet rechten hebben om dingen weg te kunnen schrijven in zijn eigen directory.

De werkelijke ontwerpfout die nu aan het licht komt, is dat Firefox niet alleen dingen wegschrijft naar zijn directory, maar blijkbaar ook in staat is om vanuit die directory ongevraagd zaken te starten, zoals plug-ins.
Ook dat is geen ontwerpfout maar gewoon 'as designed'. Natuurlijk kan Firefox z'n eigen plugins starten, dat is het hele doel van plugins. De gebruiker toestemming vragen is netjes, maar het is de browser die beslist om dat te doen en die browser kan dus net zo goed besluiten om dat niet te doen. Technisch gezien heeft je browser alle rechten al die nodig zijn. De gebruiker om toestemming vragen is beleefdheid, niet meer.
en ik vraag me af in hoeverre andere browsers die ook met plug-ins werken hier ook kwetsbaar voor zijn... :?
Allemaal, maar ik het woord niet 'kwetsbaar' niet gebruiken. We zeggen ook niet dat een voordeur kwetsbaar voor de 'huissleutelaanval'. Ik zou het woord kwetsbaar niet gebruiken. Dit is gewoon precies zoals het hoort te werken. Of in ieder geval zoals het is ontworpen. Misschien is een simpele huissleutel niet veilig genoeg, maar op zich is een slot + sleutel geen ontwerpfout.
Dat een browser zijn eigen plug-ins moet kunnen starten is logisch. Maar dat er plug-ins gestart kunnen worden zonder toestemming vooraf van de gebruiker is natuurlijk een kwalijke zaak. Ik heb dus het idee dat er nauwelijks sprake is van een slot: iedereen die het lukt om een plug-in te plaatsen in de juiste directory kan daarmee automatisch rechten krijgen binnen de browser en dat lijkt me toch ongewenst.
Vandaar dat ik het heb over een ontwerpfout: een whitelist samen te stellen door de gebruiker voor de toegestane plug-ins is het minimale, mochten er andere plug-ins aangetroffen worden in de directory dan moet er een pop-up verschijnen.
Veel interne functionaliteit in Firefox is geïmplementeerd als addon. Wil je voor elke addon een waarschuwing?

Volledige lijst van Firefox 57 op Mac OS:

find /Applications/Firefox.app -name '*.xpi'
/Applications/Firefox.app/Contents/Resources/browser/features/screenshots@mozilla.org.xpi
/Applications/Firefox.app/Contents/Resources/browser/features/webcompat@mozilla.org.xpi
/Applications/Firefox.app/Contents/Resources/browser/features/firefox@getpocket.com.xpi
/Applications/Firefox.app/Contents/Resources/browser/features/followonsearch@mozilla.com.xpi
/Applications/Firefox.app/Contents/Resources/browser/features/aushelper@mozilla.org.xpi
/Applications/Firefox.app/Contents/Resources/browser/features/formautofill@mozilla.org.xpi
/Applications/Firefox.app/Contents/Resources/browser/features/onboarding@mozilla.org.xpi
/Applications/Firefox.app/Contents/Resources/browser/features/shield-recipe-client@mozilla.org.xpi
/Applications/Firefox.app/Contents/Resources/browser/features/activity-stream@mozilla.org.xpi
/Applications/Firefox.app/Contents/Resources/browser/features/e10srollout@mozilla.org.xpi
/Applications/Firefox.app/Contents/Resources/browser/extensions/{972ce4c6-7e08-4474-a285-3208198ce6fd}.xpi


Je kan een .xpi-bestand gewoon unzippen en kijken wat het doet.
Je kan een .xpi-bestand gewoon unzippen en kijken wat het doet.
En hoe vaak unzipt de gemiddelde gebruiker een xpi om te zien wat het doet? Nog los van de vraag of men wel begrijpt wat het doet? Ik ben geen gemiddelde gebruiker, maar heb nog nooit een xpi geunzipped...
De standaard-addons die nodig zijn voor het functioneren kunnen natuurlijk op een readonly lijst komen. Het gaat om de door de gebruiker en/of externe partijen geïnstalleerde addons: die vormen het echte risico.

@CAPSLOCK2000 dank voor de aanvulling. Zoals gezegd, ik ben geen programmeur. En UAC is af en toe flink irritant. Tegelijkertijd denk ik dat er wel iets mogelijk moet zijn om dit beter af te schermen. Maar zolang ik geen programmeerkennis heb, vrees ik dat dat alleen maar onderbuik-gevoel is... :)
Ik bedoel ook helemaal niet dat je als gebruiker een xpi moet unzippen, dat is gewoon een leuk weetje voor technische mensen.

Wat ik wel bedoelde te zeggen is dat addons een onderdeel zijn van de software en dat het een slecht idee is om die anders te behandelen dan de rest van de code (C++) door waarschuwingen te tonen voor interne addons. Het is niet relevant dat het probleem in een addon zit in plaats van in de C++ code. Mozilla moet gewoon helemaal niet deze gekkigheid uithalen.
Vandaar dat ik het heb over een ontwerpfout: een whitelist samen te stellen door de gebruiker voor de toegestane plug-ins is het minimale, mochten er andere plug-ins aangetroffen worden in de directory dan moet er een pop-up verschijnen.
Hoe ga je voorkomen dat die whitelist wordt aangepast? Als een applicatie genoeg rechten heeft om naar die directory te schrijven dan zal het aanpassen van de file met de whitelist ook wel lukken.
Ik ben op zich wel voor zo'n waarschuwing, in de meeste gevallen is er dan toch iets gebeurt wat niet helemaal de bedoeling was, maar niet als beveiliging tegen ongewenste software.
Whitelist wegschrijven naar de userdirectory van de gebruiker?

geen idee hoor, ik ben geen programmeur :)
Whitelist wegschrijven naar de userdirectory van de gebruiker?
Dat is waar je plugins staan, daar heb je dus geen extra beveiliging.
geen idee hoor, ik ben geen programmeur :)
De simpele uitleg is dat alle software die je als gebruiker opstart dezelfde rechten heeft als de gebruiker in kwestie. Alle files die de gebruiker mag schrijven mag iedere applicatie ook schrijven. Je kan op zekere hoogte wel wat isolatie leggen tussen de gebruiker en het systeem, maar als die gebruiker ook systeembeheerder is dan is die isolatie vrij dun. Je kan je OS wel zo instellen dat je een wachtwoord moet invoeren voor je bepaalde dingen mag veranderen, maar dan krijg je te maken met een afweging tussen gemak en veiligheid waar de meeste mensen niet over kunnen oordelen. Het is ontzettend moeilijk om de gevolgen van zo'n beslissing inzichtelijk te maken. Daarbij is er voor kwaadwillende software vaak een alternatieve manier om ongeveer hetzelfde te bereiken. Je kan het OS wel vergrendelen, maar de files van de gebruiker eigenlijk niet, want dan kan die gebruiker zelf ook niks meer.
Ik denk dat de dit bij de "update" hebben ingevoegd. Dus niet dat er in firefox code zit om automatisch extensies te installeren, maar dat de updater/installer deze extensie bevat.
Wat nog veel kwalijker is, Mozilla beweert een voorstander te zijn van Net Neutrality, waarom werken ze dan mee aan een advertentiecampagne voor Mr Robot, wat 100% eigendom is van Comcast, een van de bedrijven die zwaar gelobbied heeft tegen NN.
Het zou een beetje krom zijn om als voorstander van NN dingen van comcast te gaan weigeren/weren toch? Dan moet je toch gewoon alles gelijkwaardig behandelen :+

[Reactie gewijzigd door MonkeyJohn op 17 december 2017 12:14]

Niet alleen in technisch opzicht. Ook dat het beleid erachter er kennelijk voor open staat.
Elke software die zichzelf update is tot dit in staat.
Een standaard uitstaande add-on met eigen & open broncode wordt meegeleverd, is dit nou zo erg?
Ja dat is zo erg. Het is namelijk een duidelijk voorbeeld van de mogelijkheden en hoe men niet zo netjes omgaat met het systeem van de gebruikers. Nu is het misschien nog een standaard uitstaande add-on maar denk je echt dat het de bedoeling was om deze standaard uit te laten staan? Dat heeft immers geen nut.

Mensen die Firefox kiezen boven bijvoorbeeld IE of Chrome doen dit vaak vanwege de hogere mate van aanpasbaarheid die je daarmee krijgt als ook door het vertrouwen dat de browser heeft opgebouwd. Met acties als deze brokkelt dat vertrouwen behoorlijk snel af.

De broncode werd overigens niet meegeleverd als ik het goed heb. Die is pas vrijgegeven nadat er veel ophef ontstond over deze add-on, waarschijnlijk als damage control.
How do I turn it off?

If you no longer wish to participate in this shared world experience, enter about:addons into your address bar and remove Looking Glass.

[Reactie gewijzigd door Bor op 17 december 2017 10:48]

Mensen die Firefox kiezen boven bijvoorbeeld IE of Chrome doen dit vaak vanwege de hogere mate van aanpasbaarheid
Dat feest is voorbij sinds Firefox 57. XPCOM is eruit, waardoor de meeste nuttige extensions niet meer mogelijk zijn, en daarmee bedoel dat er geen WebExtensions alternatief *kan* bestaan. Hooguit iets halfslachtig dat er een beetje op lijkt.

Vanaf 57 is Firefox een doodnormale browser tussen de twee grote andere geworden. Niets bijzonders meer. Het is gewoon een keuze of je je browser in een Mozilla-layout, Google-layout, of Microsoft-layout wilt hebben. De mogelijkheden binnen die drie browsers komt zó dicht bij elkaar, dat het (in elk geval tussen Firefox en Chrome) geen bal meer uitmaakt.
Onbegrijpelijk inderdaad dat Mozilla het vertrouwen van zijn users zo heeft beschaamd en beschadigd.
Je had dan wel expliciet in about:config de addon aan moeten zetten om javascript, DOM en CSS binnen te hengelen maar nog steeds een niet te bevatten shitshow.

En dat ism met NBC? Alleen zodat Mr. Robot fans fsociety of fuck ondersteboven kunnen lezen? 8)7

[Reactie gewijzigd door Baserk op 17 december 2017 11:31]

Extreem ernstig. Alleen al het feit dat Mozilla zonder permissie een add-on of extension kan installeren is heel omineus. Dit zou gewoon technisch niet mogelijk moeten zijn.

[Reactie gewijzigd door ArtGod op 17 december 2017 10:54]

En toch doet MS exact hetzelfde met updates in Windows 10 die je niet eens meer fatsoenlijk kunt uitstellen, laat staan volledig kan negeren. En dat vinden we allemaal prachtig want dat houdt je systeem zo lekker veilig en up to date.

Wie zegt dat er geen gaten zitten in die 3D Paint of Xbox Live geneuzel van ze? Of al die andere ellende die die Fall Creator update erbij gezet heeft waar niemand om gevraagd heeft?

[Reactie gewijzigd door DigitalExcorcist op 17 december 2017 11:13]

Ik hou inderdaad graag mijn systeem up-to-date, en ik heb (als thuisgebruiker) nog geen enkele reden gevonden om niet gewoon tijdig alle updates voor mijn OS (of mijn browser) te installeren.
Dat gezegd hebbende weet ik dat de bouwer van mijn OS me met enige regelmaat voorziet van extra's op mijn systeem (of dat nu een nieuw programma is om afbeeldingen mee te maken of bewerken of de nieuwe CD van een bandje uit Ierland).
Ik verwacht daarentegen dat de leverancier van mijn browser (zeker als het die club is die zegt begaan te zijn met mijn privacy) NIET allerlei ongevraagde plugins meeinstalleerd. Toen ze indertijd de lightning-plugin gingen meeleveren in Thunderbird, is dat gewoon aangekondigd... geen probleem. Dit is op zijn minst slordig.
Ik vraag me inderdaad af hoeveel mensen die nieuwe tools gebruiken.
Maar microsoft weet dat uiteraard precies, dankzij hun snoop-OS.
Heb vorige week een Pi-Hole aangezet. Top geblokkeerde domein is settings-win.data.microsoft.com met een paar duizend hits. En dan heb ik maar één laptop met Windows 10 hier in huis op de 20 device met WiFi.
Volgens mij wordt zowat elke browser standaard geïnstalleerd met extensies en / of add-ons....
Dat heet het "Studies" programma, daar krijg je bij installatie een vraag over of je wel of niet mee wil doen. Zeg maar gedeeltelijke roll-out voor bepaalde functies voor testen.
Een programma dat iets zonder medeweten van jezelf op je computer zet? Ja, dat is erg. Waarom denk je dat er virusscanners zijn?
Dit is toch niet anders dan een autoupdate van de browser zelf? Immers wordt er van afstand code gewijzigd op jouw PC.

Ik vind persoonlijk de kritiek maar vaag. In deze woorden zou elke nieuwe browser feature zwaar kritiek moeten krijgen.

[Reactie gewijzigd door NotCYF op 17 december 2017 10:50]

Er is een verschil tussen een auto update van een programma, en het automatisch installeren van een nieuwe extensie.
Als ze dit nu in de browser zelf hadden ingebouwd, dan was het minder erg geweest. (Maar 'zomaar' dingen in de core browser stoppen die eigenlijk gewoon als optionele extensie uitgebracht konden worden is ook geen succes bij gebruikers, dat hebben ze ook al gedaan)

Maar dat er gewoon plotseling een extensie bij is gekomen zonder dat jer daar toestemming voor hebt moeten geven is eng. Dat gebeurt normaal namelijk niet.
Als deze extensie dan ook nog een vage beschrijving heeft, en niet gemeld wordt in de update notes, dan is dat dus een hele verdachte actie.
Firefox-extensies worden pas "geinstalleerd" zodra je deze aanzet. Er is niets(behalve profile data, dat voor andere browser data gebruikt wordt zodra je deze websites bezoekt) van de addon over als deze uitstaat, omdat het in een container zit.

[Reactie gewijzigd door NotCYF op 17 december 2017 12:08]

Er is een verschil tussen een auto update van een programma, en het automatisch installeren van een nieuwe extensie.
Als ze dit nu in de browser zelf hadden ingebouwd, dan was het minder erg geweest.
Wat is dat verschil dan? Ik zie geen significant verschil.

Het grootste verschil in mijn ogen is dat een plugin makkelijker te herkennen is een gebruiker en uitgeschakeld kan worden. Wat dat betreft dus liever een plugin dan een feature die op een andere manier wordt ingebouwd.
Ik zie geen verschil.
Beiden zijn uitbreidingen in functionaliteit.

Een extensiesysteem geeft meer flexibiliteit maar zegt niets over de inhoud. Sterker, de impact van extensies wordt beperkt door de hoofdapplicatie terwijl dit bij programmaupdates niet zo is.

Elke zichzelf vernieuwende applicatie is een potentieel gevaar.
De impact van het extensiesysteem is niet heel erg veel meer dan dat websites zelf zouden kunnen. Het is immers veel meer geintegreerd in de browsing engine zelf(Vandaar de naam WebExtensions) en is de reden waarom de extensies zo makkelijk geport kunnen worden. Het is tegenwoordig niet meer dan een website of script in een container. Wel een heel klein beetje kort door de bocht moet in toegeven.

[Reactie gewijzigd door NotCYF op 17 december 2017 13:21]

Wat denk je dat de optie "Auto-update" in veel programma's doet dan?
Die zal niet automatisch zelfstandige extensions installeren.
Lijkt mij wel erg ja. Ik kies voor Firefox omdat hij tegenwoordig zeer snel en soepel werkt, ik wil geen addons. Al helemaal niet van een spelletje en al helemaal niet als dit gaat over een flut serie als Mr Robot.
Dit is een heel, heel domme actie van Mozilla, en het is in ieder geval voor mij persoonlijk een ernstige overweging waard of ik Firefox wel wil blijven gebruiken, nu blijkt dat Mozilla stiekem en ongemerkt allerlei plugins/addons kan (en zal) installeren.

Immers, als ze dit doen, wie vertelt mij dan dat ze straks niet nog meer plugins/addons ongemerkt gaan installeren, die minder onschuldig zijn dan deze? Ze hebben met deze actie immers laten zien niet te schuwen om dit soort zaken te doen.

Dit is extreem slecht voor de geloofwaardigheid van Mozilla, want die is nu helaas helemaal weggevallen.
En wat ga je dan wel gebruiken? Edge? Chrome?

Ik kan je vertellen dat er in Chrome regelmatig allerlei zaken wijzigen waar:
- vooraf geen duidelijke melding van is gemaakt
- pas een week erna iemand is wat uitleg over geeft of de documentatie aanpast
- pas 2 versies iemand naar je problemen wil luisteren het gedrag wil terugdraaien

Het gaat dan bv. over de manier waarop ze flash updaten (niet meer meeleveren in de installer, komt via internet) en het gedoe rond de commonName in certificaten. Dingen waarvan je verwacht dat ze vooraf even duidelijk gemeld worden en niet "na" de release of in release notes van duizenden lijnen lang...

Chrome en Edge zitten daarnaast vol met marketing voor eigen producten.
Google Chrome was ooit top, is het niet meer; het is inmiddels aan het verouderen imho. Tel daarbij op de privacy implicaties van een Google product en je hebt de argumentatie om Google Chrome te vermijden compleet.
Verouderen? Ik vind Chrome juist het meest innoverende browser dat voorop loopt, ik vind Firefox sinds de laatste updates steeds meer op Chrome beginnen te lijken, schept wel een duidelijk beeld wie er voorop loopt. Ook de out-of-de-box experience vind ik persoonlijk bij Chrome (al vanaf dag één) veel beter, bij Firefox is dat inmiddels ook aan het verbeteren, maar komt toch nog niet in de buurt.
Chromium dan maar?
Ik ben zelf alweer van Vivaldi afgestapt, omdat het begon als 'lean' browser, maar in de loop der tijden al net zo'n hog is geworden als de grote browsers..
Ben zelf nu een paar maand erg tevreden met Pale moon.

[Reactie gewijzigd door bazkie_botsauto op 17 december 2017 12:50]

lynx broswer gebruiken dan maar
We kunnen allemaal klagen over Mozilla, maar ook daar moet de schoorsteen roken. Het mooiste alternatief zou natuurlijk zijn dat we gewoon gaan betalen voor de software zodat ze geen alternatieve inkomsten hoeven te gaan zoeken. Nu leven ze van dit soort acties en contracten met o.a. Google. Je kunt dan echt je vraagtekens gaan zetten of dat nu wel zo'n geweldig business model is als je een alternatief wilt bieden. Maar goed, probeer maar eens geld van de gebruikers te krijgen. Die rennen meteen naar andere "gratis" browsers.
En toch rookt de schoorsteen bij Wikipedia nog steeds. Het kan dus wel.
Omdat daar dan ook zeker betaald wordt, niet door iedereen maar door genoeg mensen. Vandaar al die donatierondes.
Het gaat er dan ook met name om dat ze er niet open over zijn geweest. Als ze hadden gevraagd "Wij willen een relatief onschuldige promotie-addon installeren om de verdere ontwikkeling van FF te financieren. Mag dit?" dan hadden er genoeg mensen op ja geclickt.
Nu kan je ze niet meer vertrouwen.
Onze missie is ervoor zorgen dat het internet een wereldwijde publieke hulpbron is, open en toegankelijk voor iedereen. Een internet dat mensen echt vooropstelt, waar individuen hun eigen beleving kunnen vormgeven en bevoegd, veilig en onafhankelijk zijn.
Dit is de missie van Mozilla

Die laatste 2 zijn hier erg in het geding.
1. Ze kunnen dus zo maar ongevraagd iets installeren. Daar zullen velen zich niet veilig bij voelen
2. Onafhankelijk van wat. Ze laten zich dus verleiden tot het injecteren van een add-on door een tv programma en zadelen de gebruikers ermee op.

Lekker bezig daar.

[Reactie gewijzigd door jqv op 17 december 2017 12:03]

1. Ze kunnen dus zo maar ongevraagd iets installeren. Daar zullen velen zich niet veilig bij voelen
Waarom zouden ze dat niet kunnen, als jij op 'update' klikt weet jij dan precies wat ze aan het updaten zijn en hoeveel regels code er veranderen/verdwijnen/bij komen? Dus als je dacht dat ze niet zomaar een add-on erbij kunnen installeren moet je toch echt bij jezelf zijn denk ik.

[Reactie gewijzigd door MonkeyJohn op 17 december 2017 14:02]

Zie artikel. Heimelijk betekent toch echt zonder dat je er als eindgebruiker vanaf weet.
Ben deze add-on niet tegen gekomen bij mij. Ook niet na updates en dergelijke. Staat wel in about:config maar uit.

[Reactie gewijzigd door spookz0r op 17 december 2017 10:56]

Je bent de add-on dus wél tegengekomen...
Bij nader inzien wel ja. Maar niet actief gelukkig. Blijft raar dat ze het zomaar doen.
Mozilla Mozilla Mozilla toch....

Ze hebben dus gekozen voor ordinaire advertentiekosten (ik kan de plugin namelijk niet anders bestempelen dan reclame) ten koste van alles waar ze 1,5 decennium al aan werken en voor stonden!
Nog een? Daar zijn er toch al ongeveer een dozijn van?
Hoe is deze actie anders dan het integreren van de hello extensie vorig jaar?
'hello' was volgens mij nog voor het promoten van een nieuwe, eigen dienst. Waar het hier om gaat is een commercieele samenwerking met een andere partij.
(maar, ik kan er flink naast zitten - zo goed heb ik 'hello' niet gevolgd)

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*