Firefox hat ein von Anonymous manipuliertes Plugin zertifiziert. Anonymous hält sich für Richter und Henker. Das ist schlicht Selbstjustiz! Und Firefox kann man jetzt nicht mehr trauen. Die zertifizieren dann auch Trojaner-Plugins für den Staat, wenn sie es schon für kriminelle Hacker tun.

Man kann weder Apple noch Mozilla vertrauen. Ein Grund sind z.B. die akzeptierten CAs.

na ja, immerhin haben sie so Kinderporno Nutzer aufgedeckt. Das ist gut, sehr gut!

Firefox hat Malware eingebaut. Und Du meinst, der Zweck heiligt die Mittel?

a) Lies mal bitte auch die Kommentare bei Golem
b) Es zwingt niemanden das Plugin zu installieren
c) So ein Saustall gehört ausgehoben

Nein, denn CAs rücken keine Zertifikate an anonyme Personen raus. Und das hat Firefox getan, zudem auch noch für ein kriminelles Plugin.

Du bist lustig: Niemand wird gezwungen, einen Trojaner zu installieren. Dadurch werden Trojaner nicht legal.

Gehört ausgehoben? Ja, durch den Staat, aber nicht durch Selbstjustiz und kriminelle Handlungen.

Stimmt. Das ist mehr als bedenklich.
Eine anonyme Bürgerwehr im Netz mit der Lizenz zum blosstellen?

So mancher Fanatismus hat mit einer guten Idee angefangen.

Noch ein paar Infos:

Falsch argumentiert, denn sehr bedenkliche CAs unterwandern jedes auf Zertifikaten aufbauende Konzept. Firefox heißt übrigens nur das Programm, die Schmiede dahinter nennt sich Mozilla.

Deswegen werden bedenkliche CAs gar nicht erst in Browsern usw. aufgenommen (Oder schnellstens rausgeworfen, wenn die Mist bauen, siehe DigiNotar)

Tja, trotzdem sind bedenkliche CAs in die Browser (und Mac OS X) aufgenommen worden. DigiNotar wurde rausgeworfen, das ist korrekt, aber es verbleiben bedenkliche CAs in der Liste der standardmäßig akzeptierten CAs.

Derselbe obig genannte Golem-Artikel schiebt folgende Info/Aktualisierung nach:

Zudem ist in diesem Golem-Artikel Operation Darknet Anonymous geht gegen Pädophile vor vom 24.10.2011, in dem von den aktuellen Anonymous-Aktivitäten gegen die Kinderpornographieplattform berichtet wird, am Schluss per Aktualisierung hinzugefügt:

Außerdem: welcher News-Dienst außer Golem hat bislang noch darüber berichtet?

Die Kooperation war inoffiziell; kein Wunder, daß die Firefox-PR "nichts" davon weiß.

Firefox/Mozilla ist jetzt die "bedenkliche CA" No 1.

Einfach Unsinn, Mozilla gibt schlicht keine Zertifikate, egal welcher Art und Weise, heraus. Es war nichts davon auf den Mozilla Seiten ... wovon redet Anonymous eigentlich, wovon redet dieser MacMark hier eigentlich?

(weiteres von mir dazu )


P.S.
MacMark, du gibst doch sonst immer gerne den Sicherheitsexperten. Wie kommt es eigentlich das du hier so derartig uninformierten Unsinn verbreitest?

Uniformierten Unsinn? Mmmh, mmh.

1. Die Aktion lief inoffiziell zwischen Anonymous und Firefox-Entwickler(n). Offiziell werden die das nie zugeben.
2. Das developer signer certificate von Mozilla/Firefox machte den Trojaner-Torbutton vertauenswürdiger.
3. Der Torbutton wird nicht über Firefox Addons verteilt, sondern von Tor Project oder Drittseiten. Dieser Torbutton wurde trojanisiert und über eine Drittseite gestreut.

Wenn Du ein nicht-signiertes Addon installierst kommt “Author not verified”.

Noch mal für die ganz langsamen: Es gibt kein Mozilla "developer signer certificate".

Wenn Mozilla Angestellte privat da irgendwas gemacht haben, und du bist ja noch nicht einmal fähig zu beschreiben was genau das sein soll, hat das noch lange nichts mit Mozilla, oder Firefox an sich zu tun. Es wurde ja uch nichts über Mozillaseiten verbreitet , noch haben sie irgendwem über irgendwas irgendwie vertrauenswürdiger dargestellt.

Ok, passender wäre natürlich grenzdebiler Schwachsinn

P.S.

https://www.mozdevgroup.com/docs/pete/Signing-an-XPI.html

This doc is intended as an exercise to show how to sign an XPI package, you will need to obtain a valid certificate from an established certificate authority (CA) such as Verisign if you want to distribute signed XPI packages.

Beleidigungen anstelle von Argumenten und Knowhow finde ich besonders nice.

Wenn Du ein nicht-signiertes Addon installierst, kommt “Author not verified”. Bei einem signierten Addon bekommst Du den Autor angezeigt. User können jedoch kein signiertes Addon installieren, dessen Root-Zertifikat sie nicht haben/vertrauen. Daher war das von Firefox/Mozilla erhaltene Zertifikat notwendig/nützlich.

Noch mehr Fragen/Beleidigungen?

--
Nachtrag: Am 04.11.11 um 20:20 hast Du es ja dann langsam geschnallt. Sehr schön. Wurde aber auch Zeit.

Ist das jetzt so schwer zu begreifen? Es gibt keine Zertifikate von Mozilla. Man kann allerdings Zertifikate von Drittanbietern in die Add-ons einbinden. Von "established certificate authority (CA) such as Verisign"

Deshalb kann auch Mozilla keine manipuliertes Plugin zertifizieren, wie du es ja wiederholt behauptest. Anonymous hat Zertifikate von z.B. Verisign oder sonst wem, oder gefälschte, oder geklauten Kram - wie auch immer, benutzt.

Anonymous hat ein Zertifikat von Mozilla/Firefox bekommen und benutzt.

Schreiben die Leute vom Anonymous, die ja insbesondere für ihre Offenheit und Vertrauenswürdigkeit bekannt sind

Aber nun gut, nehmen wir mal an das ein Mozilla Mitarbeiter irgendwie dabei half z.B. ein Verisign Zertifikat zu entwenden und weitergab. Dann ist das schlicht immer noch ein Fehlverhalten einer Person und hat nichts mit Mozilla an sich zu tun.

Insbesondere ist es meilenweit entfernt von deinen Behauptungen wie z.B. "Firefox hat Malware eingebaut, Firefox/Mozilla ist jetzt die "bedenkliche CA" No 1."

Im O-Ton heißt es:

3) We secretly contacted our friends at The Mozilla Foundation™, Developers of Firefox™, for them to authorize a developer signer certificate for "The Honey Pawt", a TorButton that we Anon created to funnel all ORIGINATING traffic to our forensic logger.
4) On October 26th, 2011 we passed certification of a modified TorButton for Firefox™ called "The Honey Pawt" which would be used for the forensic logging of users accessing The "HARD CANDY" and "Lolita City" Tor Hidden Onion sites. Our TorButton aka "The Honey Pawt" did not contain any malware or virus. It was developed according to the Firefox/Mozilla Foundation guidelines.
…
6) On October 27th, 2011 we launched Operation "Paw Printing". What we did was stopped our #occupy Denial-of-Service on The Hidden Wiki and placed a Tor "security update" message on the "HARD CANDY" section of The Hidden Wiki.
7) No where else did we place that message except for the HARD CANDY page on The Hidden Wiki. The message contained a download link to our "The Honey Pawt". To ensure no conflicts with the existing, TorButton our "The Honey Pawt" replaced the old TorButton Firefox extension.
8 ) The pedo who was on the "HARD CANDY" section would then restart Firefox™ and turn our TorButton and attempt to access websites such as The Hidden Wiki and Lolita City.

http://pastebin.com/hquN9kg5

Da ich wohl keine Chance habe, das Plugin zu untersuchen, weil es gezielt in diesen - ähem - dunklen Seiten gepostet wurde, werde ich wohl nicht feststellen können, wer das wie signiert hat. Daher sollte ich Firefox/Mozilla erstmal für "sauber" halten.