Firefox 93 schützt vor unsicheren Downloads
Um besser vor den Gefahren von unsicheren oder sogar unerwünschten Downloads zu schützen, hat Mozilla Tap Unloading sowie zwei Sicherheitsverbesserungen im neuen Browser Firefox 93 integriert, die die Sicherheit beim Herunterladen von Dateien erhöhen.
Die Version 93 des Mozilla-Browsers Firefox ist da, und zu den neuen Funktionen gehört vor allem das Entladen von Tabs. Die Funktion ist derzeit nur unter Windows verfügbar, macOS und Linux sollen folgen. Sie tritt in Kraft, wenn der Browser glaubt, dass ein Absturz wegen Speichermangels droht, und entlädt die Tabs, wobei die am wenigsten genutzten zuerst entladen werden. Tabs, die sich im Vordergrund befinden, werden nie entladen, während Tabs, die angeheftet sind, Bild-in-Bild verwenden oder Ton abspielen, weniger wahrscheinlich entladen werden.
Unter Windows liegt der Schwellenwert bei etwa 6 %, schrieb Mozilla-Ingenieur Haik Aftandilian in einem Blogbeitrag. “Wir haben in der Vergangenheit mit dem Entladen von Tabs unter Windows experimentiert, aber ein Problem, das wir nicht lösen konnten, war, dass es eine ziemlich schwierige Aufgabe ist, ein Gleichgewicht zwischen der Verringerung des Speicherverbrauchs des Browsers und der Verärgerung des Benutzers zu finden, weil es eine leichte Verzögerung gibt, wenn der Tab neu geladen wird, und wir haben nie zufriedenstellende Ergebnisse erzielt”, sagte Aftandilian.
“Wir haben uns dem Problem nun erneut genähert, indem wir unseren Algorithmus zur Erkennung von niedrigem Speicherverbrauch und zur Auswahl von Tabs verfeinert und die Aktion auf den Fall eingegrenzt haben, bei dem wir sicher sind, dass wir dem Benutzer einen Nutzen bieten: wenn der Browser kurz vor dem Absturz steht.”
Ein einmonatiger Test im Nightly-Channel von Firefox ergab einen Rückgang der Browser- und Inhaltsprozess-bezogenen Abstürze, aber auch einen Anstieg der Abstürze außerhalb des Speichers sowie einen Anstieg der durchschnittlichen Speichernutzung.
“Letzteres mag sehr kontraintuitiv erscheinen, lässt sich aber leicht durch einen Survivorship Bias erklären … Browsersitzungen, die eine so hohe Speichernutzung hatten, wären in der Vergangenheit abgestürzt und hätten sich verbrannt, aber sie sind jetzt in der Lage zu überleben, indem sie Tabs entladen, kurz bevor sie die kritische Schwelle erreichen”, so der Ingenieur.
“Der Anstieg der OOM-Abstürze, der ebenfalls sehr kontraintuitiv ist, ist schwieriger zu erklären. Wir arbeiten daran, unser Verständnis für dieses Problem und die entsprechenden Heuristiken zu verbessern. Aber in Anbetracht der deutlich verbesserten Ergebnisse für die Nutzer hatten wir das Gefühl, dass es keinen Grund gibt, die Funktion zurückzuhalten.”
In der nächsten Version von Firefox wird eine about:unloads-Seite hinzugefügt, die Diagnosen zum Entladen von Tabs liefert.
Ebenfalls in Firefox 93 enthalten ist eine Funktion zum Blockieren von HTTP-Downloads von HTTPS-Seiten, gefolgt von der Anzeige eines Dialogs mit der Warnung, dass es sich um ein potenzielles Sicherheitsrisiko handelt, und der Frage, ob der Benutzer fortfahren möchte, sowie das Blockieren von Downloads von Iframes in Sandboxen, es sei denn, diese haben das Attribut allow-downloads.
Der Browser hat auch die Standardunterstützung für die 3DES-Verschlüsselung beendet, aber sie wird weiterhin verfügbar sein, wenn Websites veraltete TLS-Versionen verwenden.
„Jüngste Messungen zeigen, dass Firefox genauso oft auf Server trifft, die 3DES verwenden, wie auf Server, die veraltete TLS-Versionen verwenden”, so Mozilla. “Solange 3DES eine Option bleibt, die Firefox anbietet, stellt es ein Sicherheits- und Datenschutzrisiko dar. Da es nicht mehr notwendig oder sinnvoll ist, diesen Verschlüsselungsalgorithmus zu verwenden, ist er in Firefox 93 standardmäßig deaktiviert.”
Firefox 93 enthält auch die dritte Version der SmartBlock-Technologie, die Google Analytics, Optimizely, Criteo, Amazon TAM und verschiedene Google-Werbe-Javascript durch lokale Versionen ersetzen kann, die sich so ähnlich wie die Originale verhalten, dass Websites nicht beschädigt werden.
Der Browser ändert seine Referrer-Richtlinie, um sicherzustellen, dass Websites die Standardbeschneidung, die Firefox auf seitenübergreifende URLs anwendet, nicht überschreiben können. Bei Anfragen von der gleichen Seite wird weiterhin die vollständige verweisende URL übergeben.
Das Herunterladen von Dateien über eine unsichere HTTP-Verbindung stellt im Allgemeinen ein großes Sicherheitsrisiko dar, da die über das reguläre HTTP-Protokoll übertragenen Daten ungeschützt und im Klartext übertragen werden, so dass Angreifer die übertragenen Daten einsehen, stehlen oder sogar manipulieren können. Anders ausgedrückt: Das Herunterladen einer Datei über eine unsichere Verbindung ermöglicht es einem Angreifer, die Datei durch bösartige Inhalte zu ersetzen, die, wenn sie geöffnet werden, letztlich zu einer Gefährdung des gesamten Systems führen können.