Firefox 128: Einfach mal am User vorbei Werbetracking erlaubt.

Damit hat sich die Mozilla Foundation keinen gefallen in datenschutzbeachtenden Welt:

Firefox 128: Einfach mal am User vorbei Werbetracking erlaubt.

Eiskalt als Opt-Out-Option Tracking für alle Werbenetzwerke erlaubt.

Die datenschutzfreundliche Attribution (PPA) ist eine experimentelle Funktion, die in Firefox Version 128 enthalten ist.
Mozilla entwickelt diese Funktion als Prototyp, um einen Web-Standard zu etablieren , der Websites helfen soll zu verstehen,
wie ihre Werbung funktioniert, ohne Daten über einzelne Personen zu sammeln. Indem sie Websites eine nicht-invasive
Alternative zum Cross-Site-Tracking bietet, hoffen wir hoffen wir, diese schädliche Praxis im gesamten Web deutlich zu reduzieren.
https://support.mozilla.org/de/kb/privacy-preserving-attribution?as=u&utm_source=inproduct
Übersetzt mit DeepL.com

Und hier findet sich dann diese Option:

Einstellungsseite "Datenschutz" wo der Datenschutz mutwillig ausgehebelt wurde.Ich kann ja verstehen, daß die Mozilla Stiftung Kohle braucht um die Leute zu bezahlen, aber könnt Ihr nicht einfach mal ein nützliches Feature entwickeln, daß Benutzer haben wollen und dafür auch den einen oder anderen Euro springen lassen, z.b. im Abo?

Die sind aber wirklich der Meinung, etwas gutes zu tun, wenn Sie der Werbeindustrie helfen, unerwünschte Werbemaßnahmen auch noch auswertbar zu machen:

Datenschutz-erhaltende Zuordnung funktioniert wie folgt:

Websites, die Ihnen Werbung zeigen, können Firefox bitten, diese Werbung zu speichern. Wenn dies geschieht, speichert Firefox eine „Impression“, die ein paar Informationen über die Werbung enthält, einschließlich einer Ziel-Website. Wenn Sie die Ziel-Website besuchen und etwas tun, was die Website als wichtig genug erachtet, um es zu zählen (eine „Umwandlung“), kann diese Website Firefox bitten, einen Bericht zu erstellen. Die Ziel-Website gibt an, an welchen Anzeigen sie interessiert ist. Firefox erstellt einen Bericht auf der Grundlage der Angaben der Website, gibt das Ergebnis aber nicht an die Website weiter. Stattdessen verschlüsselt Firefox den Bericht und sendet ihn anonym über das Distributed Aggregation Protocol (DAP) an einen „Aggregationsdienst“.
Ihre Ergebnisse werden von dem Aggregationsdienst mit vielen ähnlichen Berichten kombiniert. Die Ziel-Website erhält in regelmäßigen Abständen eine Zusammenfassung der Berichte. Die Zusammenfassung enthält Rauschen, das für einen differenzierten Datenschutz sorg.
Übersetzt mit DeepL.com

Meint also, Sie geben die Info nicht direkt an die Zielseite des Werbeklicks, sondern einem Zwischenhändler, der dann der Zielseite mitteilt, daß 10.000 Leute der Werbung gefolgt sind, aber nicht, wer das war. Nun, wer das war sieht der Betreiber der Zielseite selbst in seinen Logs. Es ist und bleibt Tracking, das sowieso nicht funktioniert, wenn man die Werbung gar nicht erst sieht. Der Browserhersteller hat da aber nichts für mich zu entscheiden, der hat neutral zu sein.

Der eigentliche Skandal

ist ja, daß die das so geheim gehalten haben, daß das bei den Distributionen einfach so durchgerutscht ist. Bei DNS-over-HTTPS  haben z.b. die Maintainer der Linuxdistributionen unisono mitgeteilt, daß Sie das Feature nicht aktivieren werden, weil das nur Show war. Diesmal gibt es dazu noch gar keine Meldungen AFAIK.

Ich rate Euch dazu, daß Feature abzuschalten, auch wenn die Idee im Context „Werbemafia“ per se nicht so schlecht war, aber für Ihr Vorgehen muß Mozilla abgestraft werden und das geht nur, wenn das Feature boykottiert wird.

 

 

CPanel Scammails: Ihr Konto hat komische Aktivitäten

Man merkt, daß Apple mittlerweise 20% am Desktopmarkt hat, es kommen immer mehr Scammails mit Applebezug rein, so auch diese:

geschwärzte Scammail von CPanel

Der „Link“ geht zu über ein OneDrive in Taiwan zu einer gehackten Webseite:

h.t.t.p.s.://sdfn3ysu8egzq#########c2o5ze8yq.on.drv.tw/www.ezrahubsteel.com/#system@XXXXXXXXXXXXXXXXX.de
(leicht modifiziert, damit bots da nicht hingehen)

Natürlich ist das alles Schwachsinn, weil es das Konto gar nicht gibt und cPanel-Webmail  auch nicht. Also ab damit in die Digitale Mülltonne 🙂

aktuelle SSH Lücke verpflastern

Updaten ist immer gut wenn Sicherheitslücken geschlossen werden sollen, aber in der Realität kommt es vor, daß Dienste nicht immer (gleich) das Update bekommen, daß Sie benötigen.

aktuelle SSH Lücke verpflastern

Die aktuelle SSH Lücke wirft auf allen möglichen Geräten mit verwundbarer Version ein Problem auf, wenn dieses keine Updates erhält, denn ohne SSH kommt man nicht mehr auf dies Gerät drauf und davon hat keiner was. Solange das Gerät die SSH Schnittstelle ins LAN öffnet, mag ein Nicht-Patchen noch eine kalkulierbare Lösung sein.

Wenn das Gerät aber ins Netz zeigen muß, dann wäre es das Aus, wenn es kein Update gibt, oder gibts da doch was, was man machen könnte?

Das Qualsys Pflaster

Wenn Ihr Nachts um halb eins im Bett von der Lücke gehört hättet, hättet Ihr Euch auch den Qualsys Bericht dazu durchgelesen, der entscheidet dann darüber, ob man sich final hinlegen kann, oder ob eine Nachtschicht eingelegt werden muß.

In dem Bericht stand u.a. drin, daß man ca. 1 Woche hat, bis der Angreifer mit dem Angriff mal Erfolg haben wird. Darauf kann man sich leider nicht ausruhen, weil das nur ein Statistischer Wert ist, der zufällig auch schon beim ersten mal funktionieren kann.

Am Ende stand aber noch etwas anderes, nämlich daß man einfach „LoginGraceTime 0“ setzen kann, dann läuft der Angriff komplett ins Leere, dafür kauft man sich eine Pseudo-DOS Schwachstelle ein, spricht, Angreifer könnten beim rumprobieren die Leitung dicht machen, so daß es schwierig wird ins System einzuloggen. Natürlich ist das immer noch besser, als wenn jeder leidlich lästige Kleinkriminelle auf dem System Rootzugriff haben kann. PS: SSHD Neustart nicht vergessen 😉

Leider habe ich in keinem News- oder Blogbeitrag gelesen, daß es diese Möglichkeit gab.

Fedora hat’s mal wieder verpeilt

Ein bisschen enttäuscht war ich vom zeitlichen Verlauf der Fedora Updates von OpenSSH, denn die platzten mitten in Linux am Dienstag rein,was extrem verstörend war, weil die OpenSSH Patche selbst bereits seit 4 Wochen an die Distributionen übermittelt waren. Die Fedora Maintainer hatten mal wieder völlig verpeilt, ein CritPath Update einer schweren Sicherheitslücke zu verteilen. Nicht zum ersten mal, möchte ich betonen. Da muß man echt hinterher sein manchmal.

Link zur Lücke: CVE-2024-6387

Link zur Quelle: Qualsys Bericht