Mozilla kündigt neues Sicherheits-Tool Firefox Monitor an

  • Ich bin voll dafür das der Dienst im Firefox erscheint :klasse:
    https://www.camp-firefox.de/node/3214
    ...Mozilla möchte dem Nutzer auch die Möglichkeit geben, informiert zu werden, wenn es in Zukunft zu einem Datendiebstahl kommt, von dem der Nutzer betroffen ist...
    Wie kann das Mozilla vorher sehen das zb Firefox Camp von einem Datendiebstahl betroffen ist.
    oder versteh ich das verkehrt

    ..Außerdem arbeitet Mozilla an einer Erweiterung für Firefox, welche den Nutzer warnt, wenn er eine Seite besucht, die in der Vergangenheit Opfer eines Datendiebstahls worden ist.,,
    Das finde ich nicht so gut ,die Seite ist schon gestrafft genug damit(und die Opfer),da man dann die Seite meiden tut bzw müsste
    dann ersichtlich sein das die Seite wieder sicher ist.


    Ich bin kein Profi lerne aber immer dazu

    Chromebook Samsung Linux-Entwicklerumgebung

    Firefox Nightly

  • "sicher" ist sehr relativ zu sehen. Und Seiten die einmal geknackt wurden, sei es weil das verwendete CMS unsicher war oder weil der Admin schlicht geschlafen hat, sind nun einmal als nicht sicher gebrandmarkt.

    Das Problem bei solchen Ideen ist aber sowieso, dass viele Nutzer sowas schlicht ignorieren. Siehe die Leute mit veralteten Firefox-Versionen. Oder die Leute die noch mit XP durchs Netz geistern.

    Greetz,
    DF


  • Das Problem bei solchen Ideen ist aber sowieso, dass viele Nutzer sowas schlicht ignorieren. Siehe die Leute mit veralteten Firefox-Versionen. Oder die Leute die noch mit XP durchs Netz geistern.


    Das kann jeden passieren auch mit neuster Soft
    https://haveibeenpwned.com/ kommt aber immer dann ins Spiel wenn das Kind im Brunnen gefallen ist.
    Sprich wenn Datenlecks offiziell sind


    Ich bin kein Profi lerne aber immer dazu

    Chromebook Samsung Linux-Entwicklerumgebung

    Firefox Nightly


  • Das kann jeden passieren auch mit neuster Soft
    https://haveibeenpwned.com/ kommt aber immer dann ins Spiel wenn das Kind im Brunnen gefallen ist.
    Sprich wenn Datenlecks offiziell sind

    Ehrlich gesagt: Dann ist es meistens zu spät. Wenn sie offiziell sind, wurden die Daten bereits abgegraben. Und jedes ScriptKiddie und böser Junge der was auf sich hält wird die entwendeten Daten direkt für die nächste Aktion nutzen. Also z.B. ergaunerte Passwörter direkt auf der nächsten Seite versuchen. Oder ein Wahlkampf wurde längst entschieden... ein deutscher Trump z.B. wäre der SuperGAU.

    Greetz,
    DF



  • Zu den neuen Sicherheitstools hier ein paar kritische Anmerkungen.


    Gut, Mal abgesehen von den Werbetrackern auf seiner Webseite, viel interessanter wäre für mich, warum ich meine zig E-Mail Adressen wieder auf einer potentiell gefährdeten Webseite eintragen soll um ggf. über ein Data-Breach (in Zukunft) informiert zu werden.

    Ich wäre schon vorsichtig, nur eine einzige E-Mail Adresse dort einzutippen um zu prüfen ob diese irgendwo abgegriffen wurde. Da kann der Owner der Seite mir erzählen was er mag, wer garantiert mir, dass die von mir geprüfte E-Mail nicht in seiner DB landet und er diese irgendwann Mal verkauft. Lt. dem Kuketz-Blog oben wird dies ja ohnehin bereits schon behauptet, dass die eingegeben Daten möglicherweise aufgezeichnet werden.

    Gut, ich könne jetzt hier eine Reihe von Fake-Adressen quasi "prüfen" lassen, die ich sonst bisher nirgendwo verwende. Sollten diese dann Mal als Spam beim mir aufschlagen, kenne ich die Quelle, aber das ist mir schlicht zu umständlich.

    Zum anderen könnte seine Webseite auch irgendwann Mal gehackt werden und dann sind meine dort hinterlegten E-Mail-Adressen auch futsch.

    So gut wie sich das alles jetzt anhört, man sollte es auch Mal gründlich hinterfragen.
    Da ich für jeden Online-Zugang sowieso eine eigene E-Mail anlege, weiß ich spätestens wenn über diese SPAM aufschlägt, dass der entsprechende Online-Dienst gehackt wurde. E-Mail löschen und gut ist es.

    Michael

    FF 69.0.1, x64 (Win10 Pro, x64), lokaler FFSync im Docker Container auf Synology NAS DS916+

  • Ah, noch eine Datenbank in der E-Mail Adressen gespeichert werden können. Na wenn das keine Begehrlichkeiten weckt ... :roll:
    Kann man gut finden, muss man aber nicht.
    Ich versuch den Leuten seit Jahr und Tag zu verklickern: "überlegt zweimal ob und wo ihr welche Daten eingebt die dann gespeichert werden (können)". Daten die nicht "anfallen", können auch nicht missbraucht werden.
    Und hier soll also freiwillig und vorauseilend eine Datenbank befüllt werden, nur weil evtl. ...unter Umständen... vielleicht mal ...irgendwann ... Sorry, das konterkariert meine Vorstellung von Datensparsamkeit. Ich kann und werde das nicht guten Gewissens "verkaufen".

  • Seltsame Argumentationen finden hier statt, das tut ja beim Lesen weh. Was ich vor allem nicht verstehe: es werden Sicherheits-Tools von Mozilla in Frage gestellt - okay. Man kann allem mit Skepsis begegnen, das schadet ja auch nicht. Aber: Wieso nimmt man dann wieder einfach blind hin, was eine beliebige Webseite schreibt, und stellt das nicht in Frage? Was ich damit meine: siehe weiter unten.

    Zunächst: Es wird überhaupt nichts gespeichert, solange man nicht explizit wünscht, in Zukunft benachrichtigt zu werden. Darüber benachrichtigt zu werden, hat einen klaren Mehrwert für die Sicherheit, aber wer skeptisch ist, lässt es. Alles gar kein Problem. Die manuelle Überprüfung liefert ja das gleiche Resultat. Muss also niemand tun, der einmalig seine E-Mail-Adresse prüfen will.

    Die Argumentation, die E-Mail-Adresse könnte dann in der Datenbank landen und deswegen wird der Service nicht genutzt, ist für mich nicht nachvollziehbar. Die Daten sind bereits vorhanden, egal ob der Dienst von euch genutzt wird oder nicht. Entweder existiert eure E-Mail-Adresse in dem Datensatz, weil sie Teil eines bekannten Daten-Diebstahls war, oder sie existiert nicht, weil sie nicht Teil eines bekannten Daten-Diebstahls war. Dass der Dienst die E-Mail-Adresse in dem Fall ergänzt, wäre komplett sinnbefreit, weil es dafür überhaupt keine Verwendung gibt.

    Daraus ergibt sich, dass Daten ohne offensichtlichen Nutzen heimlich gespeichert werden müssten, damit dieses Argument überhaupt wahr werden könnte. Hier bürgt Mozilla, das heißt, dass wenn ich dieses Vertrauen nicht habe, wieso nutze ich dann Firefox? Denn da könnte noch viel mehr heimlich passieren. Ich verstehe nicht, wo man da die Grenze zieht. Und bitte jetzt nicht antworten, weil hier auf etwas Fremdes zugegriffen wird. In Firefox steckt so viel anderes, was auch nicht von Mozilla kommt. Und wer A sagt, muss auch B sagen.

    Jetzt wieder zu dem, was ich anfangs andeutete: Was dieser Kuketz-Blog über die Webseite von Have I been pwned schreibt, ist vollkommen irrelevant, weil die Webseite nicht das Geringste (!) damit zu tun hat. Der gleiche Datensatz wird verwendet, aber nicht die Webseite. Es wird eine API angefragt. Vielleicht hat der eine oder andere schonmal von diesem Begriff gehört und weiß auch, was das bedeutet. Da gibt es kein CDN, keine Werbung, nicht einmal Google Analytics, es gibt eine reine JSON-Antwort. Wer nicht weiß, was JSON ist, googelt das bitte selbst. Entscheidend ist: es gibt keine externe Abhängigkeit seitens Have I been pwned.

    Mal ganz davon abgesehen, dass dort sogar die Verwendung eines CDN beanstandet wird, was ein klares Indiz ist, dass der Verfasser von der Realität entfernt lebt, denn die Verwendung eines CDN gilt sogar als Good Practice für die Optimierung einer Webseite, dafür gibt es mehr als nur ein Argument. Ich arbeite bekanntermaßen als Webentwickler und kenne mich daher ein wenig damit aus… Auch die Einbindung von Werbung ist nichts Verbotenes und findet auf meinem Blog ebenso über Google statt, der übrigens nicht nur von mir immer wieder auch hier im Forum verlinkt wird. Und es ist nicht unwahrscheinlich, dass auch auf der Webseite von camp-firefox.de bald Google AdSense läuft. Wenn jemand meint, camp-firefox.de dann boykottieren zu müssen, bitte. Ich kann damit leben. Aber ich habe nunmal auch eine Verantwortung für die Seite muss auch schauen, dass der Betrieb dieser Seite gesichert ist.

    Zurück zum Eigentlichen: All das, was auf der Webseite von Have I been pwned passiert, interessiert nicht die Bohne, denn hier wird monitor.firefox.com genutzt, nicht die Webseite von Have I been pwned. Dort gibt es weder Google-Werbung noch ein CDN von einer Nicht-Mozilla-Domain. Google Analytics ja, aber bitte, das wird schon seit Jahren auf sämtlichen Mozilla-Webseiten verwendet, also brauchen wir dafür jetzt auch kein besonderes Fass aufzumachen. Muss ja nicht jeder toll finden, ist aber so und hat daher auch nichts mit Firefox Monitor zu tun. Dann sollte man auch keinen Firefox mehr von der Mozilla-Webseite herunterladen, wenn man darauf eine allergische Reaktion zeigt. Und es ist auch nichts Verbotenes. Ganz im Gegenteil, das ist ein hervorragendes Tool. Camp Firefox setzt das Konkurrenzprodukt Matomo ein. Ja gut, die Daten werden nicht auf einem Google-Server gespeichert, sondern auf meinem. Ihr mögt mir mehr vertrauen als Google, aber grundsätzlich ist der Einsatz eines solchen Tools für ernsthafte Webseiten-Betreiber nicht verzichtbar. Und Google Analytics ist nun einmal das Nonplusultra. Vor allem nutzt Mozilla noch diverse andere Tools von Google und das spielt dann halt alles gut zusammen. Bei aller Abneigung und auch berechtigter Vorbehalte gegen Google, sollte man bitte auch realistisch bleiben und die Bewertung der Tools denen überlassen, die damit arbeiten müssen und sich damit auskennen. Ich kenne mich damit aus, denn ich habe auch beruflich damit zu tun. Vor allem wüsste jemand, der sich mit dem Einsatz von Google Analytics bei Mozilla auseinandergesetzt hat, auch Folgendes:

    Zitat

    Our Google Analytics premium account is set to opt-out on all of 3rd party uses of the data and the only people who have access to the anonymous aggregated data is Mozilla Employees. This is not the normal Google Analytics setup that most people use on other websites.

    Komisch, dass dieser Kuketz darauf nicht eingeht. Und doch, entgegen der Behauptung von Kuketz sind die IP-Adressen anonymisiert. Das geht nämlich nicht nur über eine zusätzliche Zeile im Code, sondern auch via Online-Konfiguration. Spätestens seit der DSGVO ist Mozilla dazu ja auch gesetzlich verpflichtet. Ist aber schon viel länger so.

    Aber jemand, der schon zu Formulierungen wie "Insbesondere der »seuchenhafte« Einsatz von Google-Diensten widert mich einfach nur noch an" greift, kann als seriöser Journalist halt auch nicht ernst genommen werden. Da hat jemand eine Google-Allergie und zeigt darauf eine zwanghafte Reaktion, ohne sich mit den Fakten befasst zu haben. Dass auf so einen Artikel verlinkt wird, schmerzt mich als jemand, der selbst viele Artikel schreibt und sich auf so ein Niveau nie herunterbegeben würde.

  • Seit dem Start von Firefox Monitor vor ca. 1 1/2 Monaten haben sich bereits "hunderttausende Nutzer" angemeldet, um über zukünftige Datendiebstähle benachrichtigt zu werden, wie von Mozilla kommuniziert wurde. Darum ist Firefox Monitor nun in insgesamt 26 Sprachen verfügbar, um für mehr Menschen zugänglich zu sein, darunter auch Deutsch.

    Außerdem beginnt Mozilla die Ausrollung der direkten Integration in Firefox. Das heißt, wenn ein Besucher eine Webseite aufruft, von der bekannt ist, dass diese in den letzten zwölf Monaten (falls der Nutzer noch nie eine solche Warnung gesehen hat) Opfer eines Datendiebstahls war, respektive in den letzten zwei Monaten (falls das nicht die erste Benachrichtigung ist), erscheint ein Hinweis von Firefox auf den Datendiebstahl.

  • Steht ja im Beitrag darüber, wie oft die Meldung erscheint. Auf unserer Webseite steht es noch ausführlicher.

    Zitat

    Konkret bedeutet dies, dass Firefox eine Warnung anzeigt, wenn der Besucher eine Webseite besucht, über welche eine entsprechende Information in den letzten zwölf Monaten hinzugefügt worden ist. Dies trifft für Nutzer zu, welche noch nie eine solche Meldung von Firefox erhalten haben. Nutzer, für welche eine solche Warnung nicht mehr neu ist, erhalten entsprechende Warnungen dann nur noch bis maximal zwei Monate danach. Außerdem wird die Warnung nicht mehr als einmal pro Webseite angezeigt. Über diese Warnung kann direkt die Webseite von Firefox Monitor aufgerufen werden, die Funktionalität kann an dieser Stelle aber auch komplett abgeschaltet werden.

    Am Ende des Tages hängt es aber auch davon ab, wie sicher die Webseiten sind, die du besuchst. Je mehr Webseiten du besuchst, die Daten von Nutzern haben und die sich bestehlen lassen, desto öfter siehst du eine solche Warnung. Umgekehrt kann es auch sein, dass du nie so eine Meldung siehst. ;)


  • Seit dem Start von Firefox Monitor vor ca. 1 1/2 Monaten haben sich bereits "hunderttausende Nutzer" angemeldet, um über zukünftige Datendiebstähle benachrichtigt zu werden, wie von Mozilla kommuniziert wurde. Darum ist Firefox Monitor nun in insgesamt 26 Sprachen verfügbar, um für mehr Menschen zugänglich zu sein, darunter auch Deutsch.


    Ich habe mich auch angemeldet. Als einzige Adresse habe ich meine Mailadresse eingegeben die ich allgemein für "Schrott" benütze und diese werden schon im Voraus, mit Meldung an mich, vom Provider als Spam aussortiert. Passwörter sind keine dabei.

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.