'Toolbars voor Firefox vormen toenemende dreiging'

Onderzoeker Christopher Soghoian meent dat een aantal populaire Firefox-toolbars een veiligheidsrisico vormen. Volgens de doctoraalstudent gebruiken de werkbalken van onder andere Google en Yahoo tijdens een update geen beveiligde ssl-verbinding.

Door het gebruik van 'open verbindingen' zou het risico bestaan op een man-in-the-middle-aanval. Het opzetten hiervan zou volgens Soghoian niet eenvoudig zijn, maar zeker niet onmogelijk. Zo zou een kwaadwillende een publiek toegankelijk wifi-toegangspunt kunnen opzetten. Elke client die een update van zijn toolbars wil uitvoeren, zou doorgestuurd kunnen worden naar een besmettingshaard. Hoewel Mozilla's site voor addons wel het ssl-protocol gebruikt, waarbij een certificaat de gebruiker aangeeft dat het met de juiste server is verbonden, kiezen enkele populaire aanbieders van toolbars niet voor deze oplossing. Naast de addons van Google en Yahoo zijn onder andere de toolbars van Del.icio.us, Facebook, Ask.com en LinkedIn potentieel onveilig. Soghoian roept de bedrijven op om zo snel mogelijk over te stappen naar ssl-verbindingen.

Gadi Evron, een beveiligingsspecialist van Beyond Security, kwalificeert de Soghoian's bevindingen als een niet kritiek gevaar. Het gebruik van onbeveiligde verbindingen noemt hij wel 'dom' en Evron roept net als Soghoian de genoemde bedrijven op om de fout snel te herstellen. Als tweede stap moet er volgens Evron kritisch naar het basisontwerp van Firefox-addons gekeken worden, om zo toekomstige beveiligingsrisico's bij het updateproces uit te sluiten. Inmiddels heeft Google aangekondigd om het probleem 'snel' op te gaan lossen.

Collage van Firefox-toolbars

Door Dimitri Reijerman

Redacteur

Feedback • 31-05-2007 11:54 75

31-05-2007 • 11:54

75

Bron: InfoWorld

Lees meer

Privacy-activist: NSA zal Europeanen blijven bespioneren
Privacy-activist: NSA zal Europeanen blijven bespioneren Nieuws van 27 februari 2014
Waalse overheid verbiedt Firefox wegens 'veiligheidsprobleem'
Waalse overheid verbiedt Firefox wegens 'veiligheidsprobleem' Nieuws van 25 september 2009
Hoofd beveiliging Mozilla kondigt vertrek aan
Hoofd beveiliging Mozilla kondigt vertrek aan Nieuws van 12 december 2008
Yahoo sluit deal met Installshield voor verspreiding toolbar
Yahoo sluit deal met Installshield voor verspreiding toolbar Nieuws van 6 juni 2008
Social-networkingsite Linkedin introduceert mobiele versie
Social-networkingsite Linkedin introduceert mobiele versie Nieuws van 25 februari 2008
Microsoft en Google lonken naar Facebook
Microsoft en Google lonken naar Facebook Nieuws van 25 september 2007
Mozilla: 'Nieuwe Firefox-gebruikers haken te snel af'
Mozilla: 'Nieuwe Firefox-gebruikers haken te snel af' Nieuws van 9 augustus 2007
Enthousiast Firefox-gebruik in Europa, behalve in Nederland
Enthousiast Firefox-gebruik in Europa, behalve in Nederland Nieuws van 16 juli 2007
Firefox-usabilityexpert wil terug naar commandline
Firefox-usabilityexpert wil terug naar commandline Nieuws van 9 juli 2007
Lek in Google Desktop toont gevaar web-desktopintegratie
Lek in Google Desktop toont gevaar web-desktopintegratie Nieuws van 2 juni 2007
Google lanceert tool voor offline gebruik webapplicaties
Google lanceert tool voor offline gebruik webapplicaties Nieuws van 31 mei 2007
Google koopt sandbox-makers GreenBorder
Google koopt sandbox-makers GreenBorder Nieuws van 30 mei 2007
Toekomstplannen Silverlight uit de doeken gedaan
Toekomstplannen Silverlight uit de doeken gedaan Nieuws van 11 mei 2007
Gebruik Firefox blijft groeien in Europa
Gebruik Firefox blijft groeien in Europa Nieuws van 17 april 2007
Firefox en Thunderbird updates verhelpen veiligheidslekken
Firefox en Thunderbird updates verhelpen veiligheidslekken Nieuws van 24 februari 2007
Kwetsbaarheid in Firefox geeft cookies prijs
Kwetsbaarheid in Firefox geeft cookies prijs Nieuws van 16 februari 2007
Amsterdam kondigt test van opensourcesoftware aan
Amsterdam kondigt test van opensourcesoftware aan Nieuws van 25 december 2006
Firefox-ontwikkelaars verhelpen kritieke bugs
Firefox-ontwikkelaars verhelpen kritieke bugs Nieuws van 3 juni 2006
Firefox-gebruikers klagen over problemen
Firefox-gebruikers klagen over problemen Nieuws van 6 december 2005
Meer producten en artikelen
Software

Reacties (75)

-Moderatie-faq
75
75
27
0
0
36
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 31 mei 2007 12:07
Werkelijk ik snap niet wat je met die toolbars moet, het is voor mij alleen maar reclame troep. Ik heb mijn browser juist zo clean mogelijk, is er meer ruimte om te surfen, daar gaat het toch om? Ik zie regelmatig bij mensen dat prominente plaatsruimte word weggenomen door toolbars maar ik zie ze nooit gebruik er van maken.
buzzin @Verwijderd31 mei 2007 13:18
Ik ben het met je eens hoor, begrijp me niet verkeerd.

Druk eens op F11 :) (full-screen)
In FF houd je dan nog wel de adresbalk.
Ik gebruik vaak voor presentaties Opera full-screen....deze is de enige die ECHT fullscreen gaat.
Dat heeft zo z'n nadelen trouwens...maar ziet er voor presentatie wel mooi uit :)

@deviltje
Thnx handig voor m'n werk :)
Zelf ben ik een Opera gebruiker. (heb niets tegen FF)

@mesjetskie
ehm....jaaa :P
IE is hier in de ban....niemand mag het nog gebruiken.
deviltje @buzzin31 mei 2007 13:27
misschien is de fuller-screen extensie iets voor je.
https://addons.mozilla.org/en-US/firefox/addon/4650

volledig full-screen met FF en ook nog presentatie ondersteuning
Mesjefskie @buzzin31 mei 2007 13:29
Ik gebruik vaak voor presentaties Opera full-screen....deze is de enige die ECHT fullscreen gaat.
Of anders kiosk mode van IE... is toch ook full screen?

Start, run, iexplore -k http://tweakers.net

:*)

(wij mogen hier juist alléén IE (6) gebruiken... vandaar)
Trubo @Verwijderd31 mei 2007 12:20
Ik zie hierboven 1 toolbar die van nuttige waarde kan zijn. Het gaat om de 6e toolbar "Webdeveloper Toolbar" die heel handig kan zijn mocht je websites ontwikkelen. Je kan zo bijvoorbeeld plaatjes of css bestanden niet laden.
De laatste toolbar zou in sommige gevallen nog nuttig zijn maar de rest lijkt me alleen maar onzin.
geez @Trubo31 mei 2007 13:31
My thoughts exactly, gebruik hem zeer frequent bij het devven of analyseren van iets dat ik tegenkom.
https://addons.mozilla.org/en-US/firefox/addon/60
Martinspire @Trubo31 mei 2007 12:30
Maar daar heb je alleen wat aan als je aan het ontwikkelen bent, verder staat ie bij mij in ieder geval uit...
The Zep Man @Verwijderd31 mei 2007 12:23
Ik heb mijn browser juist zo clean mogelijk, is er meer ruimte om te surfen, daar gaat het toch om?
Hierom ben ik ook een fan van Littlefox, een theme voor Firefox welke zeer weinig schermruimte in beslag neemt.

Trouwens, de site waar je Littlefox (en updates) kan ophalen maakt wel gebruik van SSL. :)
elmuerte @The Zep Man31 mei 2007 12:33
Ik gebruikte littlefox vroeger ook, maar sinds firefox 2 gebruik ik gewoon de standard theme (met een zeer minimale config).
littlefox was toch redelijk broken voor sommige dingen.
Marlibica @Verwijderd31 mei 2007 12:19
Jij zou toch als Tweaker moeten begrijpen dat mensen die toolbars niet bewust installeren maar dat ze meekomen met bijvoorbeeld Adobe reader of zo. Ze kijken gewoon niet naar het vinkje wat er voor kan zorgen dat je hem niet krijgt. Bovendien hebben sommige mensen wel behoefte aan zo'n ding. Je idee zelf ga ik in mee.
Maurits van Baerle @Verwijderd31 mei 2007 12:28
Dat hangt er vanaf. Persoonlijk ben ik bijvoorbeeld verslaafd aan de GoogleToolbar, zou niet zonder kunnen. Andere mensen hebben veel baat bij een WebDeveloper Toolbar.
brobro @Verwijderd31 mei 2007 12:58
Handige toolbars / plugins??
De firefox webdeveloper toolbar. Wat zou je daar mee moeten?
Of FireFTP? Best handig ftp...
Flashgot plugin, voor wel eens iets download van meer dan 2 mb...
FEBE plugin voor een backup van je toolbars.. (en favoriten)...

Maar ik geef toe, -tig actieve toolbars zijn niet handig, want je hebt geen beeld meer over. Maar die plugins in het algemeen... super!
Ce tan @Verwijderd31 mei 2007 13:19
Persoonlijk gebruik ik alleen de googlebar (niet de google toolbar; het is een andere extensie..) Kan ik iedereen adviseren!
Deze is erg praktisch...

Verder inderdaad 'as clean as possible...'
Bor Coördinator Frontpage Admins / FP Powermod 31 mei 2007 11:57
Open deur die natuurlijk niet alleen voor toolbars geld maar voor elke plugin / addon. Behalve de vaststelling (wat al langere tijd duidelijk was) dat veel leveranciers / aanbieders van addons en toolbars geen SSL gebruiken weinig nieuwswaarde.
Olaf van der Spek @Bor31 mei 2007 12:43
SSL is ook niet de beste oplossing, de bestanden zelf moeten gewoon digitaal ondertekend worden.
johnbetonschaar @Olaf van der Spek31 mei 2007 13:05
SSL is ook niet de beste oplossing, de bestanden zelf moeten gewoon digitaal ondertekend worden.

Digitale ondertekening maakt deel uit van SSL
Bor Coördinator Frontpage Admins / FP Powermod @johnbetonschaar31 mei 2007 13:06
Olaf van der Spek doelt op code signing wat echt iets anders is dan het ondertekenen van packets door SSL.

Linkje naar meer info: http://nl.wikipedia.org/wiki/Code_signing
Verwijderd @johnbetonschaar31 mei 2007 14:47
met een hashcode kan ook gerommeld worden,
paar bits erbij, paar bits eraf en voila, verschillende code, zelfde hash.
Korben @johnbetonschaar31 mei 2007 16:51
Die uitspraak op zich is al betwistbaar, maar het is bijna onmogelijk om een plug-in zo te veranderen dat de hash hetzelfde blijft, maar dat de code daadwerkelijk doet wat je wilt.
Ravek @johnbetonschaar31 mei 2007 17:48
Met een hashcode kan je niet rommelen als je een fatsoenlijk cryptografisch hash-algoritme hebt. Zelfs al heb je de oorspronkelijke code en diens hash, dan is het met een goed hash-algoritme (zeg, SHA-256) nog praktisch onmogelijk een ander stuk code te maken met dezelfde hash.
Met praktisch onmogelijk bedoel ik dan dat je het met een supercomputer nog in geen tien jaar voor elkaar krijgt. :P
J.J.J. Bokma @johnbetonschaar31 mei 2007 21:20
@omixium - Ik wil je dat graag zien doen. Ja, mag MD5 zijn.
Gepetto @johnbetonschaar1 juni 2007 09:07
De oplossing voor dit probleem is eigenlijk heel simpel.
Rian_BE @Olaf van der Spek31 mei 2007 18:44
Dat SSL niet de beste methode is klopt. Het protocol vereist zelfs niet dat er een geldig certificaat is. Het is eigenlijk aan de browser om te melden dat er een mogelijks beveiligingsprobleem is opgetreden. De verbinding op zich kan verder de meest onveilige encryptie toepassen áls die al wordt gebruikt.
Zeror 31 mei 2007 12:07
De enige toolbar waar ik al een hele langetijd op zit te wachten, is een tweede bladwijzerbalk. Die ene heb ik helemaal niet genoeg aan :(

Voor de rest heb ik geen extra toolbars nodig. En daarnaast lijken de meeste toolbars op elkaar en bevat minstens de helft ervan spy of adware.

Nee, toolbars heb ik echt nodig.

edit: klein foutje
Verwijderd @Zeror31 mei 2007 12:10
wat bedoel je met een 2de navigatiebalk?
guidooo @Verwijderd31 mei 2007 12:15
Die balk in FF waar je je favorieten hebt staan, bij ,mij is ie ook te klein.
Ge Someone @guidooo31 mei 2007 13:39
Je er ook een paar folders (bij) op zetten, openen zich als pull down menu.
GoBieN-Be @guidooo31 mei 2007 14:30
Idd deed ik ook mapjes in bladwijzerwerkbalk dan worden dan leuke drop-downs.

Maar nu heb ik de del.icio.us favorieten balk. Maar zelfde principe daar heb ik een drop down per favoriete tag.
Nanaki @Zeror31 mei 2007 12:27
http://www.oxymoronical.com/web/firefox/Thinger
Zeror @Nanaki31 mei 2007 14:12
OK, thanx. Die is idd best handig.
brobro @Zeror31 mei 2007 13:03
eh.. .Ctrl-B ?
Verwijderd @Zeror31 mei 2007 13:41
je kan je bookmarks ook in mapjes zetten op die balk... zo heb ik de map _n. --> alle nieuwssites
_d. --> downloads

kzeg maar iets
Verwijderd 31 mei 2007 12:00
grote god al die toolbars :o !
misschien 1 of 2 zijn soms wel nuttig en handig maar als je er 11 hebt staan dan kun je toch kats je scherm niet meer zien :?
FabianNL @Verwijderd31 mei 2007 12:08
Ik denk dan ook dat dit niet serieus is en hier dus mensen gewoon mee internetten, maar alleen om te laten zien hoeveel (onbeveiligde?) toolbars er wel niet zijn...

Of was het geen serieuze opmerking van je?
Verwijderd @FabianNL31 mei 2007 12:47
ja weet ik wel maar lijkt me erg onhandig werken met al die toolbars (heb trouwens wel vaker meegemaakt dat ze kats 5 of 6 van die dingen hadden geinstalleerd) gebruikers klikken namelijk zomaar verder bij een installatie van bv. google earth (zit ook een toolbar bij) je kunt ze altijd uitschakelen maar dan nog.

@hieronder
dat bedoel ik dan ook, lijkt me erg vervelend werken, en als je de standaard gebruiker vraagt of ze die toolbars ook daadwerkelijk gebruiken dan is het van: "nee, hij stond er ineens"
SnakeMind @FabianNL31 mei 2007 12:48
Je wilt anders niet weten hoe vaak ik laptops zie langskomen van mensen waar minstens 6 verschillende toolbars onder elkaar hangen... Te triest voor woorden...

@hierboven, was dan ook een reactie op Fabian, toen ik dit typte stond die van jou er nog niet :)
Verwijderd @Verwijderd31 mei 2007 13:09
Zo gek is het nog niet. Ik heb ze wel eens gezien met een heleboel toolbars, zodat er nog een klein schermpje voor het browsen overbleef.
Dat komt meestal doordat dit soort toolbars met andere applicaties meegeleverd worden en mensen dit expliciet uit moeten vinken.
Hoeveel gemakzuchtigen klikken tijdens een installatie gewoon op OK, OK, OK, OK etc zonder te lezen waarom ze op OK klikken? Antw: Een heleboel.
FreshMaker @Verwijderd31 mei 2007 17:23
En moet eerlijk zeggen, het is vaak zo simpel.
Mijn zoontje van (bijna) 6 installeert ( jammer genoeg ) zelf soms spelletjes, maar hem al wel aangeleerd dat hij op dingen moet letten bij het klikken

en bij dit soort dingen... Als het nodig is dat er een vinkje moet komen, is het NIET aangevinkt, en als "ik" het niet wil staat het er juist wel

de meeste toolbars die mee ge-installeerd worden vragen om een aanvinkoptie om het mee te krijgen, dan staat het uit, en spellen met snelkoppeling op desktop, die staan vaak uit

en de knul doet het dan ook keurig, ik moet op zijn pc wel regelmatig andere rommel verwijderen, maar toolbars héél zelden, dus waarom volwassenen het niet kunnen tegengaan, is een raadsel
Bulls @Verwijderd31 mei 2007 12:12
als je het plaatje aanwijst, zie je ook de tooltip "collage"
Ik neem aan dat iedereen wel weet wat dat is?


1 Toolbar is wel genoeg lijkt me
(ik heb niet eens een toolbar en installeer ze ook nooit, alleen in FF zit een google searchbar standaard)
Olaf van der Spek @Bulls31 mei 2007 12:43
1 Toolbar is wel genoeg lijkt me
Een? Ik heb zelfs de standaard toolbars van Firefox uitstaan.
aequitas @Olaf van der Spek31 mei 2007 13:09
@barbedwire: Als je t.net als thuispagina instelt is dat toch niet nodig??
Verwijderd @Olaf van der Spek31 mei 2007 12:50
Ik neem aan dat je Adres-toolbar aan heb laten staan :+
Cyw00d @Olaf van der Spek31 mei 2007 17:28
Als je t.net als thuispagina instelt is dat toch niet nodig??
http://www.t.net/
"De webpagina kan niet worden weergegeven"

Dan kom je helemaal nergens :+
Hero of Time Moderator LNX @Olaf van der Spek31 mei 2007 19:08
Wat doet F2 eigenlijk bij Firefox? Bij IE niets, bij Opera kan je een website intypen om te openen. Geen adresbalk meer nodig :Y).
RuddyMysterious @Bulls31 mei 2007 12:34
Die zit standaard in Opera ook hoor.
Verwijderd @RuddyMysterious31 mei 2007 12:36
In Internet Explorer 7 ook hoor... wel met live search, maar aanpasbaar als je wil...
dynosu 31 mei 2007 12:08
ik gebruik nooit zulk soort toolbars ... veroorzaakt vaak alleen maar problemen ... dus dit verbaast mij allerminst
Niemand_Anders 31 mei 2007 12:27
En waarom moet Mozilla naar de plugin architectuur kijken? Alle plugins/add-ons en themes van Mozilla gaan zoals het artikel aangeeft via SSL. punt.

Alleen zijn een aantal bedrijven (Google, Yahoo) te beroerd om een paar dollar aan een SSL certificaat uit te geven. Het Enigste wat Mozilla kan doen is als er een update over http plaats vind dat er een melding verschijnt.

Het beveilings risico zit niet in de Mozilla producten (Mozilla Suite/Netscape, Firefox, Thunderbird, etc) maar bij zogenaamde third party providers. Maar zelfs als Firefox een melding geeft, vraag ik mij af hoeveel gebruikers niet de update zouden uitvoeren..

Een betere oplossing zou zijn om gewoon geen updates 'onderweg' uit te voeren via publieke WiFi access points, want *daar* zit het probleem! Maar via die access points moet je ook geen windows update uitvoeren. Maar dat bevat geen nieuws waarde en wordt er 'iets' gezocht om toch in de publiciteit te komen.


Er zijn namelijk teveel SSL certificaat aanbieders waar je in 1 minuut zonder afdoende authorisatie een certificaat kunt aanvragen. Je vraagt simpelweg een certificaat aan op windowsupdate.microsoft.com en installeert die op je eigen machines. Het AccessPoint laat re-route vervolgens de bezoekers naar de 'corrupte' website. En vervolgens geeft elke browser een 'slotje' weer want het domein op het certificaat matched.
Verwijderd 31 mei 2007 12:16
Toolbars zet je alleen aan als je ze nodig hebt, anders laat je ze gewoon onder water zitten, geen centje pijn ;)
Jormungandr 31 mei 2007 12:19
Buiten de webtech toolbar en de XML toolbar heb je feitelijk niets nodig. Die twee heb je zelfs helemaal niet nodig als je een gewone thuisgebruiker bent die geen sites ed maakt.
orgus @Jormungandr31 mei 2007 12:28
en indien je die wel nodig hebt zet je die enkel aan als je ze nodig hebt! Het zou me enorm storen om te surfen met die 2 toolbars constant in beeld.

Trouwens alle knoppen van die toolbars staan bij 'Extra --> Web Developer / XML Developer' dus hier zijn ze zo goed als nooit zichtbaar!
Witchhammer @orgus31 mei 2007 15:16
Dan heb je dus blijkbaar nog nooit veelvuldig moeten refreshen en de toolbar nodig hebben gehad. Want het is dus heel erg vervelend om de hele tijd naar extra te gaan voor dezelfde functie.
J.J.J. Bokma @Witchhammer31 mei 2007 21:54
Refresh: Ctrl+R of Ctrl+Shift+R onder Windows.

Je kan overigens dingen vanaf toolbars naar reeds aanwezige toolbars slepen, en het origineel verstoppen, zie: http://johnbokma.com/fire...-toolbar-customizing.html
kiang 31 mei 2007 12:22
wie gebruikt er nu toolbars in FF? :s
de enige 'toolbar' die ik gebruik is de ingebouwde zoekbar van FF zelf, maar al de rest vind ik maar bagger:s
mr_mister2004 31 mei 2007 12:34
De hoeveelheid toolbars die mensen in hun ie of firefox hebben staan is soms schrikbarend.

Mijn ouders en schoonouders hebben er soms al 5 in staan omdat ze zomaar even op ok drukken en denken dat alles goed is.
Verwijderd @mr_mister200431 mei 2007 12:51
Weet je zeker dat je niet Internet explorer bedoeld ?

ik heb nog heel weinig software gezien die een toolbar voor firefox als meegeleverde software installeerd , mits je het vinkje niet uitzet

(en dat wil ik eigenlijk ook graag zo houden)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq