Beim Firefox-Browser gibt es einige Neuerungen, die von Entwicklerseite initiiert wurden. So scheint Mozilla alte Add-ons entfernt zu haben, man experimentiert mit Attributen bei HTML-Tags und DNS-over-HTTPS (DoH) wird nun auch im Release-Channel getestet.
Anzeige
DNS-over-HTTPS (DoH)-Test im Release-Channel
Mit DNS-over-HTTPS will man die Manipulation von DNS-Anfragen durch Dritte unterbinden. Die DNS-Anfragen werden dazu per https an einen bestimmten DNS-Server übermittelt. Die Mozilla-Entwickler haben dieses Verfahren seit längerer Zeit in den Nightly-Builds des Firefox getestet (siehe mein Blog-Beitrag Problem Firefox: Anti-Tracking-Einstellungen und DNS DOH-Test fertig).
Der Haken bei DoH: Mozilla verwendet im Firefox einen DNS-Server von Cloudflare, egal was im Betriebssystem eingestellt ist. Das bietet die Gefahr, dass DNS-Anfragen zwar per https abgesichert werden, die Auflösung aber am zentralen DNS-Server von Hackern oder staatlichen Stellen manipuliert werden kann. Ich hatte das im Blog-Beitrag Mozillas Firefox DNS-Sündenfall … thematisiert.
Bisher war das Ganze nur auf Tests in den Nightly-Builds beschränkt. Diesem Artikel bei Bleeping Computer entnehme ich aber, dass die Mozilla-Entwickler diese Tests jetzt auch auf den Release-Channel ausweiten. Es wird aber nur auf einer limitierten Anzahl an Systemen getestet. Ob man diese Option verwenden oder eher deaktivieren möchte, lässt sich über die Eingabe about:config in der Einstellungen-Seite über die Einstellung network.trr.mode steuern. Der Wert 2 erzwingt DoH, während man mit dem Wert 5 die Umleitung auf den Cloudflare-DNS-Server verhindern kann. Details lassen sich den verlinkten Blog-Beiträgen entnehmen.
Classic Firefox Add-ons entfernt
Martin Brinkmann hat vor einigen Tagen auf Ghacks berichtet, dass Mozilla wohl die klassischen Erweiterungen (legacy add-ons) aus dem Add-in-Repository entfernt hat. Die Webseite https:[//]addons.mozilla[dot]org/de/firefox/addons/ wird im Browser nicht gefunden. Keine Ahnung, wie lange das schon so ist.
Normalerweise gehe ich über den Browser oder über about:addons, wo die Erweiterungen angeboten werden. Auch unter https://addons.mozilla.org/de/firefox/extensions/ werden weiterhin Erweiterungen bereitstellt. Der Hintergrund: Die alten, legacy Extensions sind mit dem aktuellen Firefox nicht mehr kompatibel.
Mozilla testet Sicherheitseinstellungen in Nightly-Builds
Martin Brinkmann hat berichtet zudem auf Ghacks, dass die Mozialla-Entwickler in den Nightly-Builds Tests mit Attributen fahren. Das Attribut target="_blank" beim Link-Tag (a) weist die Browser an, das Linkziel in einer neuen Registerkarte des Browsers zu öffnen. Fehlt das Zielattribut '_blank' bewirkt ein a-Tag, dass der Browser die verlinkte Seite standardmäßig in derselben Registerkarte öffnet.
Laut Martin testet Mozilla derzeit eine neue Sicherheitsfunktion in den Firefox Nightly-Bilds. Es wird der Wert rel="noopener" automatisch zu Links hinzufügt, falls das Attribut target="_blank" im a-Tag verwendet wird.
Hintergrund sind Sicherheitsüberlegungen. Wenn rel="noopener" nicht angegeben ist, erhalten verknüpfte Ressourcen die volle Kontrolle über das ursprüngliche Fensterobjekt, auch wenn die Ressourcen auf unterschiedlichen Ursprüngen liegen. Der Zielverweis könnte das Ursprungsdokument manipulieren (für Phishing ganz praktisch, oder Werbung im Tab anzeigen.
Anzeige
2015
