Mit der neuen jetzt verfügbaren Browser-Version Firefox 88 wird ein neuer Schutz gegen Datenschutzlecks im Web eingeführt. Unter den neuen Einschränkungen von Firefox können Tracker die Eigenschaft window.name nicht mehr missbrauchen, um Anwender über Webseiten hinweg zu verfolgen.
Seit den späten 1990er Jahren haben Web-Browser die Eigenschaft window.name für Webseiten als Ort zum Speichern von Daten zur Verfügung gestellt. Unglücklicherweise konnten die in window.name gespeicherten Daten aufgrund von Standard-Browser-Regeln zwischen Webseiten durchsickern, was es Trackern ermöglichte, Anwender zu identifizieren oder deren Browser-Verlauf auszuspionieren. Um dieses Leck zu schließen, beschränkt Firefox nun die Eigenschaft window.name auf die Website, die sie erstellt hat.
Bisher blieb diese Eigenschaft über die gesamte Lebensdauer eines Tabs erhalten, was bedeutete, dass der Wert der Eigenschaft erhalten blieb, wenn ein Anwender von einer Website zu einer anderen wechselte, und dass Daten von einer Website von einer anderen gelesen werden konnten.
„Tracking-Firmen haben diese Eigenschaft missbraucht, um Informationen auszuspionieren, und haben sie effektiv in einen Kommunikationskanal für den Transport von Daten zwischen Websites verwandelt“, sagte der Firefox-Datenschutz-Ingenieur Tim Huang in einem Blog-Post. „Schlimmer noch, bösartige Websites konnten den Inhalt von window.name beobachten, um private Daten des Anwenders zu sammeln, die versehentlich von einer anderen Website durchgesickert waren.“
In Zukunft wird Firefox nun die Eigenschaft löschen, wenn er zwischen Websites wechselt, und wenn ein Anwender zu einer Website zurückkehrt, wird der Wert von window.name dieser Website wiederhergestellt.
„Diese beiden Regeln für das Löschen und Wiederherstellen von window.name-Daten beschränken diese Daten effektiv auf die Website, auf der sie ursprünglich erstellt wurden, ähnlich wie die Total Cookie Protection von Firefox Cookies auf die Website beschränkt, auf der sie erstellt wurden“, so Huang. „Diese Eingrenzung ist wichtig, um zu verhindern, dass bösartige Seiten window.name missbrauchen, um persönliche Daten der Anwender zu sammeln.“
Firefox ist nicht der einzige, der diese Änderung vornimmt: Webentwickler, die sich auf window.name verlassen, sollten beachten, dass Safari die Eigenschaft window.name auch löscht und Chromium-basierte Browser planen, dies ebenfalls zu tun. In Zukunft sollten Entwickler erwarten, dass das Löschen der Eigenschaft window.name die neue Standardmethode ist, mit der Browser window.name behandeln.
Mit der Veröffentlichung von Firefox 88 ist die Verwendung des File Transfer Protocols (FTP) im Browser nun deaktiviert, wobei der Code, der das Protokoll implementiert, in Firefox 90 herausgerissen werden soll.
Klickt man auf einen FTP-Link, versucht Firefox nun, diesen an eine externe Anwendung weiterzuleiten. „FTP ist ein unsicheres Protokoll und es gibt keinen Grund, es gegenüber HTTPS für das Herunterladen von Ressourcen zu bevorzugen“, sagte Mozilla-Software-Ingenieur Michal Novotny letztes Jahr. „Außerdem ist ein Teil des FTP-Codes sehr alt, unsicher und schwer zu warten, und wir haben in der Vergangenheit eine Menge Sicherheitslücken darin gefunden.“
Weitere Neuerungen in Firefox 88 sind die Unterstützung von JavaScript in PDF-Formularen, ein reibungsloser Pinch-Zoom über ein Touchpad unter Linux und Screenreader, die Inhalte, die optisch verdeckt sind, nicht mehr lesen. Der Screenshot-Button wurde auch aus der URL-Leiste entfernt und Entwickler erhielten einen Toggle, um zwischen rohen und formatierten JSON-Antworten zu wechseln.
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…