Warnung vor Firefox-Add-on Mailvelope

  • Hallo graba,


    danke für die Info. Jetzt heißt es nach Alternativen suchen...


    Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Jetzt heißt es nach Alternativen suchen...

    Das verstehe ich gerade hier im Forum nicht. Aus dem Artikel:

    Zitat

    Bis die neue Sicherheits-Architektur in Firefox implementiert ist, empfehlen Posteo und Cure53 ein Ausweichen auf andere Software-Lösungen: "Nutzen Sie Mailvelope entweder in einem anderen Browser oder verwenden Sie PGP mit einem lokalen E-Mail-Programm."


    Also einfach TB/Enigmail verwenden und gut ist's.

  • Also einfach TB/Enigmail verwenden und gut ist's.

    Ja, toll. Wie soll ich das unserer IT klar machen, dass ich nun deren Sicherheitsstruktur mit TB durchbrechen möchte. Zu Hause kein Thema, im Büro ein No-Go.


    Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Davon abgesehen, dass private E-Mails am Arbeitsplatz offensichtlich unerwünscht sind und deshalb wohl die Ports blockiert werden, einfach das Smartphone benutzen.

  • Es gibt so viele Alternativen und keine ist so bequem wie einfach den sowieso offenen Browser zu benutzen. Also suche ich...

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Also suche ich...

    Bis zu einem Fix gibt es genau die beiden oben genannten Möglichkeiten:


    1. Einen anderen Browser als den Firefox zu verwenden.
    2. Mails nicht per Browser sondern per Mailprogramm abrufen.

    Ich verstehe nicht, wonach Du suchst.

  • Ich verstehe nicht, wonach Du suchst.

    Noch gar nicht - komme ja vor lauter Posts schreiben nicht dazu. ;-) Und danach suche ich eine dritte Lösung.

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Vielleicht kann ich Dir ja im Gegenzug etwas Zeit schenken. Du weißt, dass es Mailvelope nur für den Firefox und Chrome gibt? Zu Punkt 1 vereinfacht sich die Suche daher deutlich.

  • Und schon sind wir wieder bei unserer verbohrten IT-Abteilung mit ihrem Sicherheitstick.

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Nein, Du bist nicht bei Deiner IT-Abteilung. Die verhalten sich m.E. völlig korrekt. Sie können auch nichts dazu, dass der Firefox einen Mangel hat.


    Wenn Dich diese Lücke besorgt, dann lauten die Alternativen Chrome (evtl. auch ein Ableger) oder halt ein E-Mail-Client auf dem Smartphone. Eigentlich ganz simple und kein Grund, sich im Kreis zu drehen.

  • Wenn Dich diese Lücke besorgt, dann lauten die Alternativen Chrome (evtl. auch ein Ableger) oder halt ein E-Mail-Client auf dem Smartphone.

    Ja, doch, denn das verhindert die IT-Abteilung.

    Nein, Du bist nicht bei Deiner IT-Abteilung. Die verhalten sich m.E. völlig korrekt.

    Meine Beiträge [...] können Spuren von Ironie oder Sarkasmus enthalten.

    Überlesen?

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Golem.de schrieb:

    Das Problem liegt aktuell in der Architektur. Daher gibt es keinen einfachen Fix.

    https://www.golem.de/news/pgp-…-firefox-1705-127643.html


    Mal eine Frage an die Experten unter Euch: Kann diese Erweiterung jemals wieder sicher werden? Oder muss ich damit rechnen, dass wenn jemand mein (zukünftig möglicherweise sicheres) Profil in eine alte (derzeit aktuelle) FF-Version mit einer alten Mailvelope-Version kopiert, das Problem rekonstruieren lässt?


    EDIT: Bin selber drauf gekommen. Ich muss ja die Passphrase eingeben, die dann erst abgegriffen werden kann. Daher ist der private Schlüssel auch bei einem Profilklau erst einmal sicher, solange ich das nicht tue.


    Gruß

    slengfe


    PS: Der Artikel enthält eine mögliche dritte Lösung:

    Golem.de schrieb:

    Notlösung: Mailvelope in separatem Profil nutzen


    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Kann diese Erweiterung jemals wieder sicher werden?

    Die Erweiterung hat kein Problem. Es ist ein Problem des Firefox. Es hängt also von Mozilla ab.


    Die genaue Beschreibung der Lücke im Firefox wird ja aus guten Gründen zunächst einmal nicht veröffentlicht. Somit bleibt alles ein stückweit Spekulation.

    Aus den beiden Artikeln geht aber hervor, dass die Lücke von einem anderen Add-On ausgenutzt werden kann. Dieses "böse" Add-On kann dann den geheimen Schlüssel auslesen.

    Deshalb funktioniert auch die Notlösung: Eine eigenes Profil mit keinem weiteren Add-On außer Mailvelope. Kein Add-On - keine Ausnutzung der Lücke.


    Ich verstehe immer noch nicht, weshalb das so ein Problem für Dich ist. Soviel Gezuppel bei einer so einfachen Lösung. ;-)

    Wenn Du keinen TB zur Verfügung hast, benutze halt Dein Smartphone oder weiche für diese Zeit einfach auf Chrome aus. Es genügt ja, wenn Du Chrome nur zum Lesen der Mails verwendest, wenn es denn unbedingt per Webmail sein muss.



  • Hallo Susi,

    Ich verstehe immer noch nicht, weshalb das so ein Problem für Dich ist. [...]

    Wenn Du keinen TB zur Verfügung hast, benutze halt Dein Smartphone oder weiche für diese Zeit einfach auf Chrome au

    okay, damit auch Du es verstehst. ;-)


    Wenn Du mir eine Möglichkeit aufzeigst, wie ich GPG/PGP auf iOS implementieren kann - immer her damit. Bisher bin ich daran gescheitert.

    Alternativ würde ich gerne erfahren, wie ich Chrome auf meinem Rechner ohne Adminrechte installieren kann (ich übergehe hier mal, dass ich mich damit arbeitsrechtlich angreifbar machte).


    Mir steht genau der Internet Explorer (in einer unbekannten Version, weil nur für interne Seiten, die mit FF nicht funktionieren, genutzt) und der FF zur Verfügung, außerdem ein iOS-Smartphone. Und wie gesagt, ist unsere IT-Abteilung sehr pienzig, wenn es darum geht, andere (ungeprüfte) Software zu installieren. Und wenn ich Dich richtig verstanden habe, ist ja Deine Meinung dazu, dass das gerechtfertigt ist (ich schließe mich dem vollumfänglich an).


    Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite

  • Hm, der Audit selbst scheint nicht veröffentlicht geworden sein, oder habe ich etwas übersehen? Die öffentlichen Informationen sind ja eher dürftig.


    Wenn es wirklich nur darum geht, dass ein bösartiges Add-on Keys auslesen kann wäre das ja nicht wirklich etwas neues. Add-ons können ja auch beliebige Anwendungen ausführen und so z.B. einen Keylogger starten und gnupg-Keys in verschlüsselter Form direkt von der Platte lesen.


    Die Funktionalität von Add-ons ist an sich kein Sicherheitsproblem, solange Nutzer Add-ons mit derselben Sorgfalt installieren, die bei jeder anderen Software-Installation ebenfalls vonnöten ist. Ich persönlich sehe darin gerade die (einzige) Stärke von Firefox, entsprechend werde ich wohl nach dem Supportende für 52 ESR den Browser wechseln.


    Mir klingt das gerade nach Panikmache. Übersehe ich etwas?



    wie ich Chrome auf meinem Rechner ohne Adminrechte installieren kann

    Ich habe Chrome bislang zwar nur testhalber verwendet, aber ist eine Installation ohne Adminrechte nicht sogar der Standard? Die Installation läuft unter Windows dann in das Profil. Unter Linux sollte ein entpacken im Home-Verzeichnis kein Problem sein. Von der Apple-Welt verstehe ich nichts, vielleicht kann sich dazu jemand anderes äußern.

  • Wenn Du mir eine Möglichkeit aufzeigst, wie ich GPG/PGP auf iOS implementieren kann - immer her damit.

    Bitte sehr: https://ipgmail.com/

    Das war gleich der erste Treffer in der Suche. Es gibt möglicherweise noch andere Apps.

    (Btw., das hättest Du auch gleich schreiben können anstatt um den heißen Brei herum zu tanzen. ;-) )


    der Audit selbst scheint nicht veröffentlicht geworden sein, oder habe ich etwas übersehen?

    Nein, hast Du nicht. Laut der Artikel werden die Details zum Glück zurückgehalten, bis Mozilla das Problem gelöst hat, vielleicht mit Version 57.

    Die Funktionalität von Add-ons ist an sich kein Sicherheitsproblem, solange Nutzer Add-ons mit derselben Sorgfalt installieren, die bei jeder anderen Software-Installation ebenfalls vonnöten ist.

    Das Problem scheint darin zu liegen, dass Erweiterungen, bedingt durch die Architektur des Firefox, auf andere Erweiterungen zugreifen können. Denkbar also, dass eine Erweiterung dann den entschlüsselten geheimen Schlüssel einfach aus dem Speicher von Mailvelope liest und an einen Dritten sendet.


    Mir klingt das gerade nach Panikmache. Übersehe ich etwas?

    Das war auch mein erster Gedanke. Aber ich kann und mag es aufgrund der fehlenden Details nicht wirklich beurteilen.


    Wie sähe so ein Angriff aus? Zunächst müsste jemand eine passende Erweiterung schreiben und dann das Opfer dazu bringen, diese zu installieren. Der Programmierer dieser Erweiterung müsste aber irgendwie auch noch durch die Mozilla-Prüfung kommen, um sie signieren zu lassen.


    Man kann das man aber möglicherweise auch silent durchführen, ohne dass das Opfer davon etwas mitbekommt, einfach indem man die entsprechenden Dateien in den Profilordner kopiert, vielleicht sogar in bestehende Erweiterungen hinein. Das kann ich nicht beurteilen. Dazu kenne ich die Interna des Firefox zu wenig.

    Ein anderes Scenario wäre, eine schädliche Version einer beliebten Erweiterung in Umlauf zu bringen, vielleicht eine dieser verbreiteten YouTube-Downloader oder GEMA-per-Proxy-Umgehungen. Damit hätte man eine ordentliche Streuweite. Auch hier bliebe aber das Problem der Signatur durch Mozilla.


    Auf meinen Anwendungsfall bezogen, wäre das Risiko absolut überschaubar. (Ganz davon abgesehen, dass ich Webmail eh nicht nutze). Die kommerziellen Kraken, vor denen ich mich schützen möchte, werden bestimmt keinen Exploit schreiben. :-) Außerdem wechsele ich meine Schlüssel hin und wieder.

    Für einen gezielten Angriff wäre ich natürlich auch viel zu uninteressant, und mehr als 90% meiner E-Mailkommunikation finden eh unverschlüsselt statt.


    Wäre ich jedoch ein Unternehmen, das Industriespionage zu fürchten hat, und damit ein mögliches Ziel, dann wäre mir das Risiko zu hoch.


    Ganz davon abgesehen, kann man sich, wie oben erwähnt, so einfach schützen, dass es überhaupt keinen Grund gibt, lange zu Zögern (außer für slengfe ;-) ). Einfach Mailvelope vorläufig nicht mehr mit dem Firefox nutzen und gut is.

  • Das war gleich der erste Treffer in der Suche. Es gibt möglicherweise noch andere Apps.

    Verdammt, ich habe den Appstore stundenlang durchsucht und nichts gefunden. Gibt es doch nicht... Dann werde ich wohl noch mal 2 EUR in dieses Mistsystem investieren. In zwei Monaten bin ich es hoffentlich (zumindest privat) wieder los.


    Danke und Gruß

    slengfe

    Meine Beiträge sind subjektiv und manipulativ, erheben Anspruch auf Allwissenheit und können Spuren von Ironie oder Sarkasmus enthalten.


    Windows 10 Professional 64 Bit | Thunderbird 32 Bit | Firefox 64 Bit | Avira Free Security Suite