ComputerBase Menü
Aktuelles

News Mozilla Firefox 83: Browser mit neuer JavaScript-Engine und HTTPS-Only

Dalek schrieb:
wenn man Benutzern die den Hintergrund nicht verstehen beibringt diese Warnung zu ignorieren.
Zum Vergrößern anklicken....
Nein so war es gar nicht gemeint. Spätestens wenn Anwender ins Spiel kommen, dann kann man auch selbstsignierte Zertifikate vergessen. Ich wollte lediglich darauf aufmerksam machen, dass es im LAN keine schlechte Idee ist, trotzdem HTTPS zu verwenden, auch wenn dann der Browser sich daran stört. Es wird der Tag kommen, da werden sich gängige Browser auch in default Einstellungen im lokalen Netz an HTTP stören, bis es ausgestorben ist. Integrität zwischen zwei Parteien ist einfach enorm wichtig und das stellt HTTPS sicher, zumindest solange, bis viele gängige Verschlüsselungen von Quanten-Rechnern geknackt werden können. Zum Glück gibt es da aber auch schon Algorithmen, die dann noch immer noch als sicher gelten.
 
Poati schrieb:
Nein so war es gar nicht gemeint. Spätestens wenn Anwender ins Spiel kommen, dann kann man auch selbstsignierte Zertifikate vergessen. Ich wollte lediglich darauf aufmerksam machen, dass es im LAN keine schlechte Idee ist, trotzdem HTTPS zu verwenden, auch wenn dann der Browser sich daran stört. Es wird der Tag kommen, da werden sich gängige Browser auch in default Einstellungen im lokalen Netz an HTTP stören, bis es ausgestorben ist. Integrität zwischen zwei Parteien ist einfach enorm wichtig und das stellt HTTPS sicher, zumindest solange, bis viele gängige Verschlüsselungen von Quanten-Rechnern geknackt werden können. Zum Glück gibt es da aber auch schon Algorithmen, die dann noch immer noch als sicher gelten.
Zum Vergrößern anklicken....

Das ist jetzt schon der Fall. Die Browser meckern recht lautstark z.B. bei Passwörten und HTTP. Ist natürlich völlig berechtigt, aber bisher hat niemand eine gute Lösung für interne Webanwendungen bereit. Ich will da natürlich auch HTTPS verwenden, und nicht nur weil die Browser ansonsten meckern. Aber das ist so extrem schwierig in der Praxis umzusetzen, wenn nicht sogar unmöglich in vielen Fällen.
 
Gehöre auch der Fraktion an, die JS eher spektisch entgegen tritt. Gut, ich arbeite damit, vielleicht deshalb :D

Aber die JS Loads sind ein Symptom für das Tracking-Problem. Das Tracking-Problem ist ein Symptom vom Datensammelproblem. Das Datensammelproblem ist ein Symptom vom Algorithmusproblem. Das Algorithmusproblem ist das Problem. Den der braucht Daten als Futter, um dem mündigen Verbraucher noch früher besser mitzuteilen, was er nicht braucht. Von der Mschttrunkenheit einiger weniger (pun intented) reden wir da noch gar nicht. Klar, Statistiken sind immer wichtig. Aber wenn ein Tracker den Tracker des Trackers trackt, müssen wir uns nicht wundern, warum wir bald alle 16-Kerner in den Handys brauchen.

Bin da pessimistisch, was die Zukunft angeht. So bereitwillig wie wir Daten preis geben, wundert es mich nicht, dass so viele Schweine am Trog rumsauen.
 
FreddyMercury schrieb:
Auf Javascript entwickler kann man auch nur runter schauen. Gibt einen haufen an Gruende die ich jetzt auflisten koennte, aber ich will meinen Blutdruck runter halten.
Zum Vergrößern anklicken....
Dein Ausmaß an Überheblichkeit ist schon krankhaft. Hier versucht der durschnitt sachlich zu bleiben aber bei dir ist nur noch Selbstverliebtheit angesagt. Du solltest dich schleunigst ändern
 
  • Gefällt mir
Reaktionen: windeskælte und KitKat::new()
KitKat::new() schrieb:
Keiner hat z.B. Lust auf ein Ruckeln beim Scrollen durch Youtube oder kleine Hänger bei Outlook o.ä.
Zum Vergrößern anklicken....
Hinweis: Es ruckelt und hängt beim Scrollen o.ä. - immer noch. Das wird auch in den nächsten Versionen bleiben, 20% hin oder her, meinetwegen 200% es wird bleiben. Da es weniger mit den Browser sondern der Seite zu tun hat.
 
cgs schrieb:
Das ist eine Katastrophe!

Gerade im LAN habe ich viele Server ohne Verschlüsslung.
Und für Let's Enrypt im LAN, und dann nur 3Monate Gültigkeit, ist mir zuviel Aufwand ...
Zum Vergrößern anklicken....

Wer so was im LAN betreibt wird auch wissen wie man den Modus deaktviert.

poly123 schrieb:
@cgs let‘s encrypt ist die Seuche schlechthin - was brauch die Seite „Lieschen Müllerˋ Häckelbedarf“ für deren statische Inhalte ein scheiß Zertifikat. Wir haben beruflich große Probleme damit, denn auch Schadcodeseiten stellen sich für ihre kurze Überlebensdauer (der Webseite selbst) vermeintlich vertrauenswürdige Zertifikate über dieses Projekt aus 😠

Tante Edith: SSL-Interception 4tw, die reinste Materialschlacht...
Zum Vergrößern anklicken....

Bösewichte konnten sich auch vor Lets Encrypt für ein paar Euro ein SSL Zertifikat kaufen. Dieser Kohlemacherrei wurde nun ein Ende gesetzt. Lets Encrypt ist das beste was dem "Broken SSL Design" passieren konnte. Auch wenn das Thema Root certs nach wie vor nicht das beste Konzept ist....

Wenn eure Sicherheit darauf basiert das:
  • Verbindung mit TLS/SSL = Gut und sicher
  • Verbindung ohne TLS/SSL = Bösewichte

dann solltet ihr an euren Security Konzepten arbeiten. Die Vorteile einer durchgehenden SSL nutzung überwiegen einfach die Nachteile. Das ist ja das gleiche wie die EU die nun e2e Verschlüsselung aushebeln will weil das ja auch Terroristen nutzen...
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: denglisch, gaelic und Faust II
Faust II schrieb:
Hinweis: Es ruckelt und hängt beim Scrollen o.ä. - immer noch. Das wird auch in den nächsten Versionen bleiben, 20% hin oder her, meinetwegen 200% es wird bleiben.
Zum Vergrößern anklicken....
20% schneller ist 20% schneller und kürzer
 
  • Gefällt mir
Reaktionen: gaelic
HTTPS Everywhere hat sowieso schon seit Ewigkeiten zur Grundausstattung an AddOns gehört. Aber schön, dass eine HTTPS only-Funktion nun richtig im Browser integriert ist. 🙂

Ebenfalls nutze ich schon seit der Testphase die TRR-Funktion per DoH. network.trr.mode 3

Was die Geschwindigkeit angeht kann ich nur sagen, dass Quantum dafür gesorgt hat, dass ich zum Glück wieder auf den FF umgestiegen bin - direkt mit der 57er-Nightly. Der alte Firefox war einfach nur noch quälend langsam. (Und Australis war potthässlich...)

Klar möge man von Geschwindigkeitsverbesserungen anfangs wenig spüren, aber Websites werden ja immer komplexer.

Natürlich hängt die Seitenladegeschwindigkeit auch von der Gegenstelle und vom Netz ab, aber das heißt doch noch lange nicht, dass man den Faktor Browser daher ignorieren sollte. Es spart ja am Ende auch beim Clienten Rechenzeit bzw. Systemressourcen...

Nebenher brachte Quantum dank der Multiprozessarchitektur den erheblichen Vorteil mit sich, dass eine abstürzende Website oder ein abstürzendes AddOn nicht mehr den ganzen Browser mitreißt - also eine erheblich erhöhte Stabilität.

Die paar Nerds denen durch die Umstellung Funktionen verloren gegangen sind machen den Kohl nicht fett. Firefox kann im Vergleich zu Chromium-Browsern immernoch sehr viel und sehr stark angepasst werden.

Was den Kohl aber fett macht ist die breite Masse - und die interessiert in erster Linie halt die Geschwindigkeit und Stabilität. Dass der FF außerhalb von Europa kaum noch ne Rolle spielt ist in meinen Augen daher nicht nur Googles agressiver Vermarktung von Chrome/Chromium zu verdanken, sondern (in meinen Augen) eben auch der Tatsache, dass man lieber auf veraltete Technik (effektiv Einzelprozesstechnik - nur für die AddOns insgesamt gabs nen zweiten Prozess...) gesetzt hat um es wenigen Nerds recht zu machen.
 
Mozilla schießt sich gleich wieder das nächste Eigentor.
Und wenn sie in Zukunft nur noch HTTPS zulassen dann werden genervte User einen anderen Browser verwenden.
Nach dem Motto "Mit dem Firefox kann man nichts mehr ansurfen oder sieht die Hälfte nicht."

Bravo - Glanzleistung Mozilla!!
 
Dalek schrieb:
Aber das ist so extrem schwierig in der Praxis umzusetzen, wenn nicht sogar unmöglich in vielen Fällen.
Zum Vergrößern anklicken....
Und wie wäre es, wenn du dir ein Wildcard Zertifikat für eure Domain ausstellen lässt? Das muss natürlich manuell im Regelfall alle zwei Jahre erneuert werden und kostet Geld. Aber es funktioniert.

Ansonsten gibt es da auch Möglichkeiten von Microsoft wenn man ein AD betreibt. Aber da kenn ich jetzt eure Struktur nicht.
 
jan.beander schrieb:
Ob sich Mozilla da nicht bei den falschen bedankt?
"HTTPS Everywhere" arbeitet mit einer gigantischen Filterliste, was da nicht drinnen steht wird auch nicht per https besucht, genau deshalb ist es xxx und praktisch nutzlos wenn man sich abseits des mainstreams bewegt! Die liste kann man selbst auf der Seite einsehen.
Das richtigere Addon wäre "Smart HTTPS"! Hier wird https immer aufgerufen, dann wird die Zeit überwacht ob was kommt oder nicht und wenn nicht wird die Seite auf eine Blacklist gesetzt und beim nächsten mal über http aufgerufen.
Zum Vergrößern anklicken....
Stimmt, genau soetwas sollte in Firefox eingebaut werden.
Jedoch werden auch da wiederum Fehler passieren können.
Und dann wenden sich genervte User ab da sie nicht wissen warum ein Problem besteht.
Unproblematischer ist aber HTTPS-Everywhere sofern die Liste aktuell ist und auch stimmt.
Man sieht also, es gibt keine 100% gute Lösung.
Es gibt eben noch immer Seiten die gemischt übertragen oder gar Geräte die standardmäßig kein HTTPS aktiviert oder gar verbaut haben.
 
Zuletzt bearbeitet:
cbtestarossa schrieb:
Mozilla schießt sich gleich wieder das nächste Eigentor.
Und wenn sie in Zukunft nur noch HTTPS zulassen dann werden genervte User einen anderen Browser verwenden.
Nach dem Motto "Mit dem Firefox kann man nichts mehr ansurfen oder sieht die Hälfte nicht."

Bravo - Glanzleistung Mozilla!!
Zum Vergrößern anklicken....

Kannst du eigentlich Lesen?

a) ist das ganze optional und im Moment per Default nicht aktiviert
b) Sollten sich Websites mit dem HTTPS-Only-Modus nicht aufrufen lassen, lässt sich der Modus gezielt für einzelne Internetpräsenzen deaktivieren, indem der Nutzer auf das Schloss-Symbol klickt und den Modus für die entsprechende Website deaktiviert.

Meine Güte, die Raunzerei ist wirklich erbärmlich :mad:
 
  • Gefällt mir
Reaktionen: rarp, chartmix, StockholmSyndr. und eine weitere Person
Poati schrieb:
Die gefallen zwar zu Recht keinem Browser,
Zum Vergrößern anklicken....

Warum zu recht? Was macht ein Let's Encrypt und andere vertrauenswürdiger? Meiner Meinung nach nichts. Einzige Unterschied ist, dass die Browser Hersteller wohl ein paar Euro von den Zertifizierungsstellen bekommen und dadurch sind sie vertrauenswürdig.

Ich würde meinem selbst signiertem Zertifikat mehr vertrauen als einer Zertifizierungsstellen aus z.B. China.

Auch lustig im Vivaldi unter MacOS lässt er mich nicht auf mein NAS ohne das ich "thisisunsafe" eintippe. Unter Windows geht es einfach mittels Link.
 
gaelic schrieb:
Kannst du eigentlich Lesen?
Zum Vergrößern anklicken....
Ja und auch über den Tellerrand schauen und nachdenken.
Erbärmlich sind nur halbgare Lösungen die User irgendwann zu anderen Browsern treiben falls default dann alles auf HTTPS festgenagelt wird und der Switch womöglich auch noch aus den Settings verschwinden.
Es ist ja nicht so dass solche Dinge nich schon passiert wären oder dass sich bei einem Update wie von Geisterhand Schalter verändert hätten.
Und nicht jeder USER liest CB oder Changelogs oder interessiert sich für irgendwelche Symbole in der Adressleiste.
Und die meisten wissen nicht mal was HTTPS bedeutet oder kennen Dinge wie about:config.
 
  • Gefällt mir
Reaktionen: Cool Master
Erstmal schön das an der Performance weiter gearbeitet wird und das man weiter versucht Sicherheit so einfach wie möglich zu halten.🙂
Gerade habe ich bei den Kollegen von Golem noch noch gelesen das die Browser-Engine Servo an die Linux Foundation gehen soll bzw. gehen wird. Evtl. könnte das ergänzt oder als eigener Artikel beleuchtet werden? @SV3N (Quelle: Golem.de)

MfG
Christian
 
  • Gefällt mir
Reaktionen: cbtestarossa
Cool Master schrieb:
Warum zu recht? Was macht ein Let's Encrypt und andere vertrauenswürdiger?
Zum Vergrößern anklicken....

Du hast anscheinend noch immer nicht verstanden wozu ein Zertifikat bzw. https da ist und wozu nicht.
 
  • Gefällt mir
Reaktionen: LukS
Hi,

Faust II schrieb:
In der Summe? In welcher Summe? Der übliche Benutzer betrachtet eine Seite gleichzeitig. In welchen Fall sollen die Paar ms eine Rolle spielen? Mal geschaut wie viel ms die menschliche Reaktionszeit in Anspruch nimmt? Lächerlich...
Zum Vergrößern anklicken....

und du schaust nur einmal im Jahr eine Seite an? Wenn ich überlege, wie oft und lange ich im Netz Dinge tue, bei denen JavaScript involviert ist, summieren sich da übers Jahr vermutlich Stunden oder sogar Tage auf, die ich nicht mit sinnlosem Warten verbringe.

Highspeed Opi schrieb:
Stell dir vor der Fall in dem du 20% mehr Gehalt bekommst tritt ein mal im Jahr auf und macht ein Unterschied von 20 Cent zu 22 Cent.
Zum Vergrößern anklicken....

wenn 20% mehr Gehalt 2 Eurocent ausmachen würde ich nicht arbeiten gehen. Wenn ich einen Monat im Jahr 20% mehr Gehalt bekomme würde ich - genauso wie vermutlich jeder - das sehr begrüßen.

Das wäre jedem egal und man würde sich nicht darum bemühen
Zum Vergrößern anklicken....

wo genau "bemühe" ich mich, wenn ich ein Firefox Update aufspiele? Ist das Aufwand? Du bekommst hier im worst case die identische Performance wie davor auch, im best case 20% mehr Leistung. Für lau. Ich sehe nicht, wo das irgendwo ein schlechter Deal sein kann.

Aber lassen wir das, jedem das Seine. Ich bin als Softwareentwickler um jeden Performanceboost dankbar, den ich nicht teuer selber durch Mehrleistung erbringen muss.

VG,
Mad
 
Cool Master schrieb:
Warum zu recht?
Zum Vergrößern anklicken....

Naja das zumindest die Domäne, geprüft durch Dritte, zum entsprechenden Server gehört. Selbstsigniert kann man ja an der Stelle im offenen Web gänzlich vergessen, also das macht es eben besser. Ansonsten mach ich dir ganz flott eine Phishing Website fertig, zu der man über einen Link gelangt, der auch noch halbwegs vertrauenswürdig aussieht und danach bist du dann bei bankXY.de, dass du wirklich bei der Bank gelandet bist, das Zertifikat habe ich selbst signiert und du kannst dir dann überlegen wen du mehr vertraust.

Und da dies eben kein Browser ohne weiteres durchwinkt, ist es da verbreiteter, sich ein Zertifikat für bpsw. bankXY.net statt bankXY.de zu besorgen.

Wenn wir sagen, dass selbstsignierte Zertifikate auch in Ordnung sind, stellen wir eigentlich auch nur eins sicher, die Kommunikation zwischen zwei Punkten ist verschlüsselt. Wer dahinter steckt ist dann gänzlich egal.
 
FreddyMercury schrieb:
(...) Auf Javascript entwickler kann man auch nur runter schauen. (...)
Zum Vergrößern anklicken....

Könntest Du Deinen Kommentar vielleicht noch mit Argumenten unterfüttern? Welche Aspekte dieser Programmiersprache brachten Dich zu dieser Erkenntnis?

Die teils sehr qualifizierten und mit Fachwissen angereicherten Kommentare in diesem Forum, machen das Lesen zur wahren Freude.
 
M-X schrieb:
Wenn eure Sicherheit darauf basiert das:
  • Verbindung mit TLS/SSL = Gut und sicher
  • Verbindung ohne TLS/SSL = Bösewichte
Zum Vergrößern anklicken....
Zusammengefasst: ging eigentlich in allen Posts darum, dass 0815 Webseiten mit Zertifikaten den Aufwand für inhaltsbasierte Analyse extrem erhöhen. Von mir aus kann jede Seite mit 2 Besuchern im Jahr nen Zertifikat haben ^^
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Frank
News Firefox und Chrome für iOS: Auch Mozilla arbeitet an iOS-Browser mit eigener Engine
2 3 4
Antworten
74
Aufrufe
10.614
Salamimander
Salamimander
M
News Firefox 67: Neuer Browser ist schneller und bringt mehr Sicherheit
6 7 8
Antworten
157
Aufrufe
26.907
MaverickM
MaverickM
XMG Support
[Sammelthread] SCHENKER WORK-Serie: Zuverlässige Laptops mit Fokus auf das Wesentliche
2
Antworten
34
Aufrufe
14.665
XMG Support
XMG Support
Hauro
Firefox 57 (Quantum) - Intention & FAQ
2
Antworten
28
Aufrufe
16.301
lhinny
lhinny
root@linux
Opera und Chromium Browser mit OpenDNS und GuckDuckGo
6 7 8
Antworten
143
Aufrufe
22.810
root@linux
root@linux
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz