Firefox mit eigenem Botnetz auch in Debian

[BongoFury]

Gut, die Überschrift ist jetzt etwas "baitig", aber die folgende Ubuntu bug Meldung betrifft auch Debian:
https://bugs.launchpad.net/ubuntu/+sour ... ug/1827717
Der Schwerdtfeger dazu:
https://schwerdtfegr.wordpress.com/2019 ... des-tages/
Diese Standardmäßig aktivierte Funktion als "Botnetz" zu bezeichnen trifft IMHO ganz gut zu. Was meint Ihr? Sollte man das auch bei Debian als bug melden?

[uname]

Hier die Dokumenation: https://mozilla.github.io/normandy/index.html

Das Vorgehen von Mozilla verstehe ich nicht bzw. nur zum Teil.
Mozilla hat das Problem, dass es nur den Client kontrolliert (Mozilla Firefox) und nicht die Zielserver kontrolliert.
Niemand ruft von Mozilla irgendwelche Server auf. Da muss man wohl nachhelfen.
Trotzdem ist der Firefox immer noch weitaus datenschutzfreundlicher als Chrome.

Google kontrolliert den Client (Chrome) und viele Ziel-Server, da Benutzer diese nutzen (Google-Server).
Da fällt bei Google wohl mehr Profit ab. Nutzer sind wahrscheinlich leicht verfolgbar.

Evtl. das Ziel der Aktion von Mozilla:
https://wiki.mozilla.org/Firefox/Shield/Shield_Studies

Ich habe kein Problem mit einigen Aktionen von Mozilla. Aber vielleicht sollte man offen darüber kommunzieren.

[TomL]

Nachdem ich mir den letzten Beitrag (#4) in dem Bugreport angesehen habe, der mich inhaltlich hat erschrecken lassen, habe ich mal gesucht, was Mozilla selber dazu sagt. Laut Wiki:

Capabilities of Normandy Pref Rollout

Normandy can change one or more preferences for a targeted set of users. This can be used to enable a feature that is controlled by a flag. Targeting can be based on many criteria, including:

Firefox version
channel (release, beta, nightly)
a percentage of users
country
Firefox locale
installed add-ons
profile age
any preference value
many keys in Telemetry

Liege ich jetzt total falsch mit meiner Interpretation, dass Firefox damit (siehe Vermerk zu Add-Ons) im Grundegenommen eine unkontrollierbare Backdoor in mein System ist? Ich frage mich dabei, ob sich nicht vielleicht jeder, der sich irgendwie Zugang zu dieser Schnittstelle verschafft, unbemerkt Add-On's auf meinem System installieren kann, nur weil ich das nicht ausdrücklich deaktiviert habe ...?... und zwar deswegen nicht deaktiviert, weil ich bislang noch gar nix davon wusste.

[uname]

Ich frage mich dabei, ob sich nicht vielleicht jeder, der sich irgendwie Zugang zu dieser Schnittstelle verschafft, unbemerkt Add-On's auf meinem System installieren kann, nur weil ich das nicht ausdrücklich deaktiviert habe ...?

Leider habe ich keine Ahnung. Aber folgendenden Quellcode habe ich gefunden.

https://github.com/mozilla/normandy/blo ... ettings.py

Verwiesen wird unter anderen in Zeile 177 auf AUTH0.

Code: Alles auswählen

OIDC_USER_ENDPOINT = values.URLValue("https://auth.mozilla.auth0.com/userinfo")

https://auth0.com/blog/auth0-mozilla-partnership/

Keine Ahnung ob das die Antwort auf deine Frage ist.
Authentisiert sich der Client oder der Server? Keine Ahnung. Weiß jemand mehr?

Oder hier noch suchen, wo irgendwelche Signaturen geprüft werden.

Code: Alles auswählen

def verify_signature(data, signature, pubkey):

https://github.com/mozilla/normandy/blo ... signing.py

[JTH]

Die Liste, die du zitierst, Thomas, sind ja nur die Auswahlkriterien, nach denen stichprobenartig bei Benutzern experimentelle Features aktiviert oder – wenn nicht lokal deaktiviert – Add-ons installiert werden. Das Installieren von Add-ons auf dem Weg ist in den Debian-Repos abgeschaltet, anscheinend in /usr/share/firefox/browser/defaults/preferences/firefox.js.

Das System (wenn aktiviert) kann anscheinend ein paar definierte Aktionen, die aber in deinem Browser lokal definiert sind: Einstellungen ändern, Addons installieren (wenn separat aktiviert), den Benutzer nach seiner Meinung zum Firefox fragen und Logmeldungen ausgeben.

[novalix]

Der Firefox ist nun mal eine sehr weit verbreitete Software und ist seit einigen Jahren erheblich unter Druck seine Stellung zu behaupten. Die mit Abstand meisten Installationen wird man auf den üblichen Consumer-Betriebssystemen finden.
Zu Hause bei diesen Herstellern dieser üblichen Consumer-Betriebssysteme sieht man das ganz und gar nicht so, dass man für die Sicherheitsinfrakstruktur, Upgrade-Pfade und derlei mehr außerhalb der eigenen Produkte zuständig wäre. Da muss sich jeder selbst drum kümmern.
Für Nutzer jener Betriebssysteme ist dieser jüngste Vorfall deshalb auch weniger ungewöhnlich. Da haben so Schwergewichte wie Adobe oder Oracle mit ihrer weit verbreiteten Software auch schon so manchen Stunt hingelegt.

Ja, Mozilla versucht auch so viele verwertbare Daten wie möglich zu generieren. Das ist so wie es ausschaut derzeit die einzige greifbare Möglichkeit, um die Infrastruktur zu refinanzieren.

Sie agieren dabei aber im Vergleich zur Konkurrenz (im Big-Business-Segment) noch einigermaßen mit offenem Visier.

Die Sicherheitsinfrastruktur, die Mozilla aufgebaut hat, ist für unsere Benutzererfahrung "ungewöhnlich", ergibt sich aber wie gesagt auch aus der Mehrzahl der Gebräuche dieser Software.

Security is often a matter of trust, so it all boils down to whether we trust Mozilla to use the feature in a sensible way.

[DeletedUserReAsG]

Ja, Mozilla versucht auch so viele verwertbare Daten wie möglich zu generieren. Das ist so wie es ausschaut derzeit die einzige greifbare Möglichkeit, um die Infrastruktur zu refinanzieren.

Ich hätte da ja ’nen Vorschlag, wie das zu lösen wäre: sie sollen einfach einen Browser entwickeln. Der muss gar nicht viel können, nur halt die Dinge, die man zum Browsen so braucht. Das wird dann ziemlich schlank, und man braucht auch keine riesige Infrastruktur mehr. Das Beste ist: sie haben ja schon ’ne Software, die auch Webseiten darstellen kann, und das sogar recht passabel – sie können ja diesen kleinen Codeteil aus dem Firefox hernehmen, und auf der Basis einen Browser bauen – die Userschaft wäre ihnen unendlich dankbar ….

[TomL]

Das Installieren von Add-ons auf dem Weg ist in den Debian-Repos abgeschaltet, anscheinend in /usr/share/firefox/browser/defaults/preferences/firefox.js.
Das System (wenn aktiviert) kann anscheinend .....Addons installieren (wenn separat aktiviert), ....

Ich weiss nicht so recht, was das Debian-Repo damit zu tun hat... obwohl ich den FF ESR installiert habe, installiere ich meine AddOns ja trotzdem nicht aus dem Repo, sondern immer direkt von der Mozilla-Seite, weil sie da eben aktuell sind. Also geht das auch völlig problemlos an allem vorbei, was ein Maintainer möglicherweise voreingestellt hat. Bei meinem FF ESR war normandy aktiviert, also wirds auch möglich sein, von außerhalb das Starten eines nicht von mir installierten AddOns zu triggern... also zuerst installieren und dann starten. Wenn das wirklich zutrifft, empfinde ich das jedenfalls in höchstem Maße als bedenklich.

@niemand
+1

[JTH]

Ich weiss nicht so recht, was das Debian-Repo damit zu tun hat... […] Bei meinem FF ESR war normandy aktiviert, also wirds auch möglich sein, von außerhalb das Starten eines nicht von mir installierten AddOns zu triggern... also zuerst installieren und dann starten.

Na, der Firefox an sich erlaubt dir, das von Mozilla getriggerte Installieren von ihren Addons abzuschalten. Und das tut das Paket firefox aus den Debian-Repos systemweit, nicht vom Benutzer und als Benutzer installierten Addons überschreibbar. Normandy ist das nicht, die Addon-Installation lässt sich separat abschalten. Dass die Einstellung beachtet wird, dafür musst du natürlich darauf vertrauen, dass der von Debian gebaute Firefox dem von jederman einsehbaren Firefox-Quellcode entspricht und keine Bugs enthält.

Das so ein System natürlich zusätzliche Bugs und Lücken enthalten kann und Sinn und Zweck zumindest teilweise fragwürdig sind, will ich gar nicht bestreiten.

[CH777]

sie können ja diesen kleinen Codeteil aus dem Firefox hernehmen, und auf der Basis einen Browser bauen

Das wäre dann quasi Waterfox