Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Firefox kompromittiert
Firefox kompromittiert
MacMark
03.11.11
23:17
Firefox hat ein von Anonymous manipuliertes Plugin zertifiziert. Anonymous hält sich für Richter und Henker. Das ist schlicht Selbstjustiz! Und Firefox kann man jetzt nicht mehr trauen. Die zertifizieren dann auch Trojaner-Plugins für den Staat, wenn sie es schon für kriminelle Hacker tun.
„@macmark_de“
Hilfreich?
0
Kommentare
ts
03.11.11
23:50
Man kann weder Apple noch Mozilla vertrauen. Ein Grund sind z.B. die akzeptierten CAs.
Hilfreich?
0
o.wunder
04.11.11
00:03
na ja, immerhin haben sie so Kinderporno Nutzer aufgedeckt. Das ist gut, sehr gut!
Hilfreich?
0
MacMark
04.11.11
08:48
Firefox hat Malware eingebaut. Und Du meinst, der Zweck heiligt die Mittel?
„@macmark_de“
Hilfreich?
0
FloMac
04.11.11
09:02
a) Lies mal bitte auch die Kommentare bei Golem
b) Es zwingt niemanden das Plugin zu installieren
c) So ein Saustall gehört ausgehoben
Hilfreich?
0
MacMark
04.11.11
09:08
ts
Man kann weder Apple noch Mozilla vertrauen. Ein Grund sind z.B. die akzeptierten CAs.
Nein, denn CAs rücken keine Zertifikate an anonyme Personen raus. Und das hat Firefox getan, zudem auch noch für ein kriminelles Plugin.
„@macmark_de“
Hilfreich?
0
MacMark
04.11.11
09:10
FloMac
a) Lies mal bitte auch die Kommentare bei Golem
b) Es zwingt niemanden das Plugin zu installieren
c) So ein Saustall gehört ausgehoben
Du bist lustig: Niemand wird gezwungen, einen Trojaner zu installieren. Dadurch werden Trojaner nicht legal.
Gehört ausgehoben? Ja, durch den Staat, aber nicht durch Selbstjustiz und kriminelle Handlungen.
„@macmark_de“
Hilfreich?
0
elroy
04.11.11
09:42
Stimmt. Das ist mehr als bedenklich.
Eine anonyme Bürgerwehr im Netz mit der Lizenz zum blosstellen?
So mancher Fanatismus hat mit einer guten Idee angefangen.
Hilfreich?
0
MacMark
04.11.11
09:49
Noch ein paar Infos:
„@macmark_de“
Hilfreich?
0
ts
04.11.11
12:37
MacMark
Nein, denn CAs rücken keine Zertifikate an anonyme Personen raus. Und das hat Firefox getan, zudem auch noch für ein kriminelles Plugin.
Falsch argumentiert, denn sehr bedenkliche CAs unterwandern jedes auf Zertifikaten aufbauende Konzept. Firefox heißt übrigens nur das Programm, die Schmiede dahinter nennt sich Mozilla.
Hilfreich?
0
ChrisK
04.11.11
13:17
ts
MacMark
Nein, denn CAs rücken keine Zertifikate an anonyme Personen raus. Und das hat Firefox getan, zudem auch noch für ein kriminelles Plugin.
Falsch argumentiert, denn sehr bedenkliche CAs unterwandern jedes auf Zertifikaten aufbauende Konzept.
Deswegen werden bedenkliche CAs gar nicht erst in Browsern usw. aufgenommen (Oder schnellstens rausgeworfen, wenn die Mist bauen, siehe DigiNotar)
„Wer anderen eine Bratwurst brät, hat ein Bratwurstbratgerät.“
Hilfreich?
0
ts
04.11.11
13:36
Tja, trotzdem sind bedenkliche CAs in die Browser (und Mac OS X) aufgenommen worden. DigiNotar wurde rausgeworfen, das ist korrekt, aber es verbleiben bedenkliche CAs in der Liste der standardmäßig akzeptierten CAs.
Hilfreich?
0
sierkb
04.11.11
13:39
Derselbe obig genannte Golem-Artikel
schiebt folgende Info/Aktualisierung nach:
Golem, Anonymous gegen Pädophile "Bei Operation Darknet half uns Firefox", 3.11.2011
Nachtrag vom 4. November 2011, 10:55 Uhr
Justin Scott, Add-ons Produktmanager bei Mozilla, nannte die Aussagen
"ziemlich seltsam"
. Scott erklärte SecurityNewsDaily:
"Ich habe mit den Add-on-Teams Rücksprache gehalten. Niemand wurde von Anonymous offiziell kontaktiert. Wir zertifizieren auch keine Add-ons, wie (Anonymous) behauptet. Das Honey Pawt Add-on ist in Mozillas Add-ons Marketplace nicht verfügbar. Alle Add-ons, die dort verfügbar sind, wurden von einem Mitglied des Add-ons-Team überprüft."
Zudem ist in diesem Golem-Artikel
Operation Darknet Anonymous geht gegen Pädophile vor
vom 24.10.2011, in dem von den aktuellen Anonymous-Aktivitäten gegen die Kinderpornographieplattform berichtet wird, am Schluss per Aktualisierung hinzugefügt:
Golem, Operation Darknet Anonymous geht gegen Pädophile vor, 3.11.2011
[..]
Nachtrag vom 24. Oktober 2011, 15:40 Uhr
Golem.de hat beim Bundeskriminalamt angefragt, welche Ermittlungen und Maßnahmen dort gegen Lolita City und Hard Candy laufen.
Nachtrag vom 24. Oktober 2011, 16:29 Uhr
Eine Behördensprecherin erklärte Golem.de: "Der Sachverhalt ist dem Bundeskriminalamt bekannt. In enger Abstimmung mit unseren nationalen und internationalen Ansprechpartnern zur Bekämpfung der Kinderpornografie gehen wir allen in diesem Zusammenhang polizeilich relevanten Hinweisen - insbesondere im Hinblick auf möglicherweise durch eine zuständige Staatsanwaltschaft einzuleitende Ermittlungsverfahren - nach." Einzelheiten zum Sachstand oder Bewertungen des Sachverhalts könnten mit Rücksicht auf laufende Überprüfungen nicht mitgeteilt werden.
Außerdem: welcher News-Dienst außer Golem hat bislang noch darüber berichtet?
Hilfreich?
0
MacMark
04.11.11
14:11
Die Kooperation war inoffiziell; kein Wunder, daß die Firefox-PR "nichts" davon weiß.
Firefox/Mozilla ist jetzt die "bedenkliche CA" No 1.
„@macmark_de“
Hilfreich?
0
Aronnax
04.11.11
17:48
MacMark
Firefox hat ein von Anonymous manipuliertes Plugin zertifiziert ..
Einfach Unsinn, Mozilla gibt schlicht keine Zertifikate, egal welcher Art und Weise, heraus. Es war nichts davon auf den Mozilla Seiten ... wovon redet Anonymous eigentlich, wovon redet dieser MacMark hier eigentlich?
(weiteres von mir dazu
)
P.S.
MacMark, du gibst doch sonst immer gerne den Sicherheitsexperten. Wie kommt es eigentlich das du hier so derartig uninformierten Unsinn verbreitest?
Hilfreich?
0
MacMark
04.11.11
20:00
Uniformierten Unsinn? Mmmh, mmh.
1. Die Aktion lief inoffiziell zwischen Anonymous und Firefox-Entwickler(n). Offiziell werden die das nie zugeben.
2. Das developer signer certificate von Mozilla/Firefox machte den Trojaner-Torbutton vertauenswürdiger.
3. Der Torbutton wird nicht über Firefox Addons verteilt, sondern von Tor Project oder Drittseiten. Dieser Torbutton wurde trojanisiert und über eine Drittseite gestreut.
„@macmark_de“
Hilfreich?
0
MacMark
04.11.11
20:12
Wenn Du ein nicht-signiertes Addon installierst kommt “Author not verified”.
„@macmark_de“
Hilfreich?
0
Aronnax
04.11.11
20:16
MacMark
Uniformierten Unsinn? Mmmh, mmh.
1. Die Aktion lief inoffiziell zwischen Anonymous und Firefox-Entwickler(n). Offiziell werden die das nie zugeben.
2. Das developer signer certificate von Mozilla/Firefox machte den Trojaner-Torbutton vertauenswürdiger.
3. Der Torbutton wird nicht über Firefox Addons verteilt, sondern von Tor Project oder Drittseiten. Dieser Torbutton wurde trojanisiert und über eine Drittseite gestreut.
Noch mal für die ganz langsamen: Es gibt kein Mozilla "developer signer certificate".
Wenn Mozilla Angestellte privat da irgendwas gemacht haben, und du bist ja noch nicht einmal fähig zu beschreiben was genau das sein soll, hat das noch lange nichts mit Mozilla, oder Firefox an sich zu tun. Es wurde ja uch nichts über Mozillaseiten verbreitet , noch haben sie irgendwem über irgendwas irgendwie vertrauenswürdiger dargestellt.
Uniformierten Unsinn? Mmmh, mmh.
Ok, passender wäre natürlich grenzdebiler Schwachsinn
P.S.
Hilfreich?
0
Aronnax
04.11.11
20:20
MacMark
Wenn Du ein nicht-signiertes Addon installierst kommt “Author not verified”.
https://www.mozdevgroup.com/docs/pete/Signing-an-XPI.html
This doc is intended as an exercise to show how to sign an XPI package, you will need to obtain
a valid certificate from an established certificate authority (CA) such as Verisign
if you want to distribute signed XPI packages.
Hilfreich?
0
MacMark
04.11.11
20:24
Beleidigungen anstelle von Argumenten und Knowhow finde ich besonders nice.
Wenn Du ein nicht-signiertes Addon installierst, kommt “Author not verified”. Bei einem signierten Addon bekommst Du den Autor angezeigt. User können jedoch kein signiertes Addon installieren, dessen Root-Zertifikat sie nicht haben/vertrauen. Daher war das von Firefox/Mozilla erhaltene Zertifikat notwendig/nützlich.
Noch mehr Fragen/Beleidigungen?
--
Nachtrag: Am 04.11.11 um 20:20 hast Du es ja dann langsam geschnallt. Sehr schön. Wurde aber auch Zeit.
„@macmark_de“
Hilfreich?
0
Aronnax
04.11.11
20:40
MacMark
Beleidigungen anstelle von Argumenten und Knowhow finde ich besonders nice.
Wenn Du ein nicht-signiertes Addon installierst, kommt “Author not verified”. Bei einem signierten Addon bekommst Du den Autor angezeigt. User können jedoch kein signiertes Addon installieren, dessen Root-Zertifikat sie nicht haben/vertrauen. Daher war das von Firefox/Mozilla erhaltene Zertifikat notwendig/nützlich.
Noch mehr Fragen/Beleidigungen?
--
Nachtrag: Am 04.11.11 um 20:20 hast Du es ja dann langsam geschnallt. Sehr schön. Wurde aber auch Zeit.
Ist das jetzt so schwer zu begreifen? Es gibt keine Zertifikate von Mozilla. Man kann allerdings Zertifikate von Drittanbietern in die Add-ons einbinden. Von "established certificate authority (CA) such as Verisign"
Deshalb kann auch Mozilla keine manipuliertes Plugin zertifizieren, wie du es ja wiederholt behauptest. Anonymous hat Zertifikate von z.B. Verisign oder sonst wem, oder gefälschte, oder geklauten Kram - wie auch immer, benutzt.
Hilfreich?
0
MacMark
04.11.11
20:50
Anonymous hat ein Zertifikat von Mozilla/Firefox bekommen und benutzt.
„@macmark_de“
Hilfreich?
0
Aronnax
04.11.11
21:03
MacMark
Anonymous hat ein Zertifikat von Mozilla/Firefox bekommen und benutzt.
Schreiben die Leute vom Anonymous, die ja insbesondere für ihre Offenheit und Vertrauenswürdigkeit bekannt sind
Aber nun gut, nehmen wir mal an das ein Mozilla Mitarbeiter irgendwie dabei half z.B. ein Verisign Zertifikat zu entwenden und weitergab. Dann ist das schlicht immer noch ein Fehlverhalten einer Person und hat nichts mit Mozilla an sich zu tun.
Insbesondere ist es meilenweit entfernt von deinen Behauptungen wie z.B. "Firefox hat Malware eingebaut, Firefox/Mozilla ist jetzt die "bedenkliche CA" No 1."
Hilfreich?
0
MacMark
04.11.11
21:17
Im O-Ton heißt es:
3) We secretly contacted our friends at The Mozilla Foundation™, Developers of Firefox™, for them to authorize a developer signer certificate for "The Honey Pawt", a TorButton that we Anon created to funnel all ORIGINATING traffic to our forensic logger.
4) On October 26th, 2011 we passed certification of a modified TorButton for Firefox™ called "The Honey Pawt" which would be used for the forensic logging of users accessing The "HARD CANDY" and "Lolita City" Tor Hidden Onion sites. Our TorButton aka "The Honey Pawt" did not contain any malware or virus. It was developed according to the Firefox/Mozilla Foundation guidelines.
…
6) On October 27th, 2011 we launched Operation "Paw Printing". What we did was stopped our #occupy Denial-of-Service on The Hidden Wiki and placed a Tor "security update" message on the "HARD CANDY" section of The Hidden Wiki.
7) No where else did we place that message except for the HARD CANDY page on The Hidden Wiki. The message contained a download link to our "The Honey Pawt". To ensure no conflicts with the existing, TorButton our "The Honey Pawt" replaced the old TorButton Firefox extension.
8 ) The pedo who was on the "HARD CANDY" section would then restart Firefox™ and turn our TorButton and attempt to access websites such as The Hidden Wiki and Lolita City.
http://pastebin.com/hquN9kg5
„@macmark_de“
Hilfreich?
0
MacMark
05.11.11
01:01
Da ich wohl keine Chance habe, das Plugin zu untersuchen, weil es gezielt in diesen - ähem - dunklen Seiten gepostet wurde, werde ich wohl nicht feststellen können, wer das wie signiert hat. Daher sollte ich Firefox/Mozilla erstmal für "sauber" halten.
„@macmark_de“
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.