Ob Mozilla in Firefox tatsächlich ein Hacked-Site-Warnfeature integriert?

Firefox, der Browser, der sich sehr um die Sicherheit der User kümmert: Mit der Version 58 oder 59 will Mozilla dem Browser angeblich eine Funktion mitgeben, die den User warnt, wenn er auf eine Seite stößt, die schon einmal gehackt worden ist.

Mit der Warnung vor gehackten Seiten ist nicht gemeint, dass das entsprechende Webangebot kompromittiert worden ist und eventuell ferngesteuert wird oder wurde, sondern dass aus dieser Quelle massenhaft Registrierdaten von Usern dieser Site gestohlen worden sind.

Firefox arbeitet dafür mit dem Dienst haveibeenpwned.com zusammen. Bekannt wurde „Have I been pawned“ als „Suchmaschine“, in der man seine eigene E-Mailadresse eingeben konnte und dann eine Aussage darüber bekam, ob diese Mailadresse Teil der Beute eines aus einem Datenleck war. Die Wahrscheinlichkeit, dass eine deiner Adressen dabei ist, ist recht hoch.

Dieser Service hat auch eine Liste erstellt, welche Sites bereits von Hackingangriffen und Datenabflüssen betroffen waren. Diese Liste liest sich wie ein Who is Who der größten Websites der Welt und bildet nun wohl die Datengrundlage für das geplante Warnfeature. Linkedin steht zum Beispiel auf dieser Liste, genauso wie Adobe, VK, Dropbox, Zoosk, Badoo, Tumblr und MySpace (das es nicht mehr gibt). Sie alle haben schon Daten an Hacker verloren, teilweise im dreistelligen Millionenbereich.

Entsprechend oft wird der Browser also Alarm schlagen müssen.

Die Frage ist nur, was tut man im Falle einer solchen, wie es bisher aussieht,  eher pauschalen Warnung? Tumblr nicht nutzen, Adobe nicht nutzen, keine E-Mailadresse eingeben, um sich zu registrieren? Oder sich nur mit einer Wegwerfadresse registrieren?

Die betroffenen Sites können den Hack auch nicht mehr ungeschehen machen, verbleiben also auf Immer und Ewig auf der Böse-Seiten-Liste. Sollten aktuelle Bedrohungen vorliegen, wäre dies aber vielleicht tatsächlich eine nützliche Information. Zudem haben Hacker manchmal zwar Registrierdaten erbeutet und die Passwörter zruückgesetzt oder sie waren verhasht. Das Problem war nicht immer gleich groß.

Sicherheitsfeatures wie dieses sind nicht unüblich, werden aber meist als Browser-Add-On angeboten, zum Beispiel in Form eines Risk-Ratings wie bei Netcraft, in das allerdings mehr Kriterien eingehen.

Vielleicht sind die Pressereaktionen vorschnell gewesen und ein paar Firefox-Entwickler haben tatsächlich nur versucht, eine Idee zu visualisieren. Womöglich hat der eine Onlinedienst vom anderen einfach abgeschrieben, wobei die meisten sich auf „Heise security“ beziehen. Auf der entsprechenden GitHub-Seite heißt es:

This is only meant as a vehicle for quick testing as we iterate on the design, and to help visualize different ideas. In its current state it is in no way meant to represent actual production code, or how the feature will work or look like when it ships….

Klar, dass Firefox nun nach dem erfolgreichen Launch von Quantum etwas unter Beobachtung steht. Dennoch ist die Tonalität im Heise Forum der Mozilla-Stiftung und dem Browser gegenüber recht negativ, fast schon feindselig.

Dieser Beitrag wurde unter Browser, Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.