Kleiner Spaß mit Firefox 70

Posted on 24. Oktober 2019 by marius

Findet Ihr das neue Logo auch so geil? Endlich kann man wieder erkennen, daß es ein feuerroter Fuchs ist:

Nicht nur als Icon auf dem Desktop, sondern auch in der Schnellstartleiste, macht sich das neue Firefox Logo richtig gut.

Ja, der neue Firefox 70 ist da

Ich hatte Ihn ja schon freudig erwartet, wurde dann aber auf den Boden der Tatsachen zurückgeholt. Jetzt ist es an der Zeit sich den mal näher anzusehen.

Wer den Firefox 70 zum ersten mal in Betrieb nimmt, sollte sich gleich alle neuen Einstellungen ansehen und .. jetzt wird es schwierig mit einer Empfehlung, denn zum Einen, schickt Firefox wieder eine Anfrage mehr mit eigenen Daten in die Welt, zum Anderen kann gerade dies für bestimmte Benutzer sehr gut sein, da diese nicht mal merken würden, daß Ihr PC/Webdienst gehackt wurde, wenn auf dem Bildschirm kleine Mikroorganismen rumwuseln, die den Bildschirminhalt auffressen.

Funktionen abschalten

Ich habe folgende Funktionen nach reiflicher Überlegung abgeschaltet:

Push-Service
Böswillige Webseiten
Passwortprüfdienst

Die Push-Services werden beim Browser kontaktiert, verlangsamen also den Start von Firefox ein bisschen. Der ist aber schon lahmarschig genug. Böswillige Webseiten checken ist bei mir sinnlos, ich muß berufsbedingt auf gefährliche Seiten drauf, z.B. so etwas wie PacketStorm Security, vor dem völlig zu unrecht gewarnt wird. Wenn die Fehlerquote bei meinen paar Webseiten schon hoch ist, wird es mit der Qualität der Webseitenliste sonst auch nicht viel besser sein. Passwortprüfdienst.. naja, die schicken Hashes meiner Passwörter weg.. Hashes tendieren nach einiger Zeit dazu, in Rainbowtables vorzukommen.. eigentlich auch keine gute Idee.

Um die Dienste abzuschalten muß man teilweise in die about:config rein und die URLs löschen. Das die Dienste meinen Browserstart verlangsamen, habe ich auch erst durch einen TCP Dump gesehen, der eigentlich beweisen sollte, daß der böse Webseitendienst nicht jeden Seitenaufruf petzt. Der Dump konnte das nicht beweisen, also mußte der Dienst gehen 😉

Dank TLS, nicht mehr so einfach

Da viele Dienste nur noch HTTPS machen, ist das gar nicht mehr so leicht rauszufinden, wer da wen wo und warum kontaktiert. Aber als kleinen Tip: SNI ist eurer Freund.

Bei TLS Connections zu Webseiten, auch HTTPS genannt, sendet der Browser den Namen der Webseite im Klartext mit, damit der Webserver das passende Cert ~~ausstellen~~ .. ähm.. ausgeben kann, bevor die eigentliche Verschlüsselung anfängt. Falls euch die Firmen IT mal erzählen will, daß die Betriebsfirewall kein HTTPS durchlässt, weil man so nicht mehr sehen kann, wann ein Virus nach Hause telefoniert, ist das nur teilweise korrekt. Das wird auch gern als Argument für TLSe verwendet, das ja durch Nachschlüssel unsicher gemacht wurde, damit man besser den Mitarbeiter ausspionieren kann.

Firefox selbst mal checken

Falls Ihr Euren Firefox auch mal beim Start beobachten wollt, hier ein Befehl der hilfreich sein wird:

sudo tcpdump -X -n port 443 or port 80

Wenn Ihr jetzt noch alle Störquellen abschaltet:

Thunderbird (Kalender)
Evolution(Kalender)
SkypeForLinux(gute Frage)
Netflix on Desktop(Server/Stream)
sonstige störende Firefox Tabs

und wie die alle heißen, die mit den Ports 80 und 443 reden und Ihr ein „killall firefox“ abgesetzt habt, könnt Ihr zusehen, wo sich Firefox hin verbindet.

Der Trackingbericht

oder wie wir das nennen, „WTF!“ :

Was für eine Statistik! So herrlich übersichtlich und total nutzlos!

Mozilla, das hättet Ihr Euch sparen können! Integriert endlich mal NoScript, verleiht dem Entwickler einen unbefristeten Arbeitsplatz bei Euch und macht mal endlich was, daß man auch gebrauchen kann!

Ich habe folgende Anforderungen an einen Browser:

1. er muß schnell starten
2. er braucht kein Javascript ausführen, wenn ich es nicht will.
3. er muß keine PrefetchLinks besuchen, nur weil die Webseite mich so trotzdem tracken will.
4. sollte seine Security ständig prüfen und beheben.

Ich brauche keinen, der mich beim Surfen bemuttern will, vor bösartigen Webseiten warnt, keine Tabs, die ich an andere Geräte senden kann, keine Vorschläge für meine Startseite, keine Bookmarks, die ich mit anderen Geräten teilen kann. Wenn ich das wollte, gäbe es da einfachere Methoden für: Syncthing

Leider sind andere Browser Projekte ja auch nicht besser,“IceFox“ .. ups. geschmolzen, heißt jetzt „Waterfox“, kennt in der Addonsuche nicht mal NoScript. Ich seh da jetzt keinen Vorteil. „Iron“ kein Kommentar. Chromium, auch kein Kommentar. „Chrome“, „da weiß man was man hat“ 🙁 . Gibts echt keine Alternative für den Desktop?

Trollhinweis: Wer es bis hier geschafft hat, hat verdient zu erfahren, daß das Logo oben mitnichten das aktuelle Logo ist.. das sieht nämlich Zitat: „Bähh!“ aus. (Danke Tina 😉 )

Firefox 70 weiterhin ohne sicheres Fritz!box Interface

Posted on 23. Oktober 2019 by marius

Letzte Nacht noch mit Hoffnung auf ein besseres LAN Erlebnis ins Bett gegangen, aber Firefox 70 enttäuscht dann auch heute morgen noch mit dem „SEC_ERROR_INADEQUATE_KEY_USAGE“-Fehler 🙁

Fritz!Box Webinterface weiterhin ohne SSL

Auch mit der Installation von Firefox 70 haben sich alle Hoffnungen auf eine Lösung des SSL Problems vorerst in Luft aufgelöst. Die bei Mozilla für diese Komponente zuständige Entwicklerin Dana Keeler hatte da wohl auch eher das Prinzip Hoffnung in Einsatz. Da ich mittlerweile vom AVM Support eine „Wir schauen mal nach“ Meldung bekommen habe, bin ich insofern beruhigt, als daß sich alle Parteien um eine Lösung bemühen.

Klar, man kann mit dem FF ohne SSL ins Interface, aber das ist natürlich nur eine Notlösung. Chrome benutzen geht zwar auch, aber auch das ist eher unschön.

Wer trotzdem dringend einen Firefox 70 braucht

findet hier die FF70 Downloadlinks:

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc29/x86_64/firefox-70.0-1.fc29.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc30/x86_64/firefox-70.0-1.fc30.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc31/x86_64/firefox-70.0-1.fc31.x86_64.rpm

https://kojipkgs.fedoraproject.org//packages/firefox/70.0/1.fc32/x86_64/firefox-70.0-1.fc32.x86_64.rpm

Firefox, die Fritz!box & der SEC_ERROR_INADEQUATE_KEY_USAGE Fehler

Posted on 21. Oktober 2019 by marius

Was hatten wir schon lange nicht mehr? Das der Firefox seltsame Fehlermeldungen ausspuckt. Seit es Firefox 69 gibt, kann man statt der Adminoberfläche seiner Fritz!box nur noch einen mysteriösen, bis Dato unbekannten, „SEC_ERROR_INADEQUATE_KEY_USAGE“ Fehler sehen:

Fehler: Gesicherte Verbindung fehlgeschlagen
Beim Verbinden mit fritz.box trat ein Fehler auf. Eine Verwendung des Zertifikatschlüssels ist für den versuchten Arbeitsschritt unpassend. Fehlercode: SEC_ERROR_INADEQUATE_KEY_USAGE
Die Website kann nicht angezeigt werden, da die Authentizität der erhaltenen Daten nicht verifiziert werden konnte.
Kontaktieren Sie bitte den Inhaber der Website, um ihn über dieses Problem zu informieren.

Wer ist da der Schuldige?

Ihr kennt den Fehler auch nicht? Da seid Ihr in guter Gesellschaft. Ein so unbekannter Fehler ist es dann allerdings auch nicht, wie meine Nachforschungen ergeben haben. Leider nutzt dies alles nichts, da man den Bug nicht selbst beheben kann. Das Ihr eine Fritzbox, einen Firefox und Linux habt, ist übrigens keine Garantie auch eine Fehlermeldung zu bekommen.

Der Fehler wird von Firefox seit 69 für die Fritzboxen gezeigt, d.b. Firefox hat offensichtlich einen Check verändert, der vorher durchgelaufen ist.
Moniert wird, daß der Key gar nicht für ein Cert zugelassen wäre: „A certificate has a key usage extension that does not assert a required usage“

Wenn man sich das Cert mit openssl x509 -text -purpose ansieht, kommt das raus:

Certificate purposes:
SSL client : Yes
SSL client CA : Yes
SSL server : Yes
SSL server CA : Yes
Netscape SSL server : Yes
Netscape SSL server CA : Yes
S/MIME signing : Yes
S/MIME signing CA : Yes
S/MIME encryption : Yes
S/MIME encryption CA : Yes
CRL signing : Yes
CRL signing CA : Yes
Any Purpose : Yes
Any Purpose CA : Yes
OCSP helper : Yes
OCSP helper CA : Yes
Time Stamp signing : No
Time Stamp signing CA : Yes

Also alles korrekt? Mitnichten!

Die Zwecke für die das Zert eingesetzt werden darf, sind ok. Was aber ins Auge fällt ist:

X509v3 Subject Alternative Name: critical
DNS:benderirc.de, DNS:fritz.box, DNS:www.fritz.box, DNS:myfritz.box, DNS:www.myfritz.box, DNS:fritz.nas, DNS:www.fritz.nas

Ihr seht richtig. In dem Cert der Fritzbox taucht ein Domainname auf, der da gar nichts zu suchen hat und von dem Firefox bereits ein gültiges Zertifikat kennt.

Issuer: CN = benderirc.de
Validity
Not Before: Dec 24 15:25:01 2017 GMT
Not After : Jan 15 15:25:01 2038 GMT

Schauen wir weiter nach der Gültigkeit, finden wir raus, daß es bereits im Jahr 2017 erzeugt wurde, so also schon seit Jahren dem Firefox vorliegt und der das bislang noch nie moniert hat.

AVM gegen Mozilla

Die Frage zu klären wird sicher spannend und nervig werden. Primär würde ich jetzt erstmal AVM beschuldigen, weil der Domainname hat da nun so gar nichts zu suchen. Was geht bitte meine Fritzbox eine meiner Domains an? Auf der anderen Seite, ist das kein neuer Zustand, also wieso meckert FireFox jetzt da drüber?

Ich werde also beide anmailen müssen, damit jeder seinen Teil an dem Desaster behebt. Im Bugzilla von Mozilla ist zu dem Fehler bereits vor 6 Jahren mal ein Patch geschrieben worden, ich wette da hat bei Version 68->69 einer dran rumgespielt.

Marius Welt

Category Archives: Internet