Firefox 67/68: Benachrichtungen und Kamera-Zugriff nur noch über HTTPS
Ab Firefox 67 können Web-Benachrichtigungen nur noch bei verschlüsselter Übertragung genutzt werden. Gleiches gilt ab Firefox 68 für den Zugriff auf Kamera und Mikrofon.
Die verschlüsselte Übertragung von Daten im Web gewinnt immer mehr an Bedeutung. Bereits über 78 Prozent aller von Firefox-Nutzern geladenen Webseiten werden über HTTPS anstelle von HTTP übertragen. Auch die unter anderem von Mozilla ins Leben gerufene Certificate Authority (CA) Let’s Encrypt, welche kostenlos Zertifikate für die Nutzung von HTTPS bereitstellt, trägt einen großen Anteil daran.
Längst sind bestimmte Features nur noch in einem sogenannten gesicherten Kontext nutzbar. Von einem sicheren Kontext spricht man bei der Verwendung von HTTPS, aber auch verschlüsselte WebSocket-Verbindungen (wss://) sowie lokale Ressourcen (wie http://localhost/ oder file://) werden als sicherer Kontext betrachtet.
Ab Firefox 67 erfordern auch sogenannte Web-Benachrichtigungen einen sicheren Kontext. Benachrichtigungen möchte Mozilla in naher Zukunft übrigens auch weniger nervend für den Nutzer machen.
Die getUserMedia-API erlaubt Webseiten den Zugriff auf die Kamera sowie das Mikrofon. Hier gibt es bereits die Einschränkung, dass sich Firefox die Erlaubnis nur in einem sicheren Kontext merken kann, grundsätzlich funktioniert der Zugriff aber auch noch bei unverschlüsselter Verbindung. Ab Firefox 68 wird auch hierfür zwingend ein sicherer Kontext vorausgesetzt.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.
.onion-Domains o.ä. werden doch hoffentlich auch als verschlüsselter Kontext anerkannt, oder?
Das hat ja nichts mit der Domain zu tun. Und .onion-Domains sind standardmäßig nicht verschlüsselt. Also nein, selbstverständlich wird das nicht automatisch als sicherer Kontext betrachtet, sondern nur dann, wenn die Übertragung verschlüsselt ist.
Interessanterweise hat Chrome schon seit Version 58 (seit April 2017) Encrypted Media Extensions im "secure context", für Firefox gibt es zwar den erklärten Plan, aber im Bugreport tut sich seit zwei Jahren nichts mehr: [EME] Remove support for EME on insecure contexts (Bug 1322517)
@Soeren Hentzschel
Doch, .onion ist verschlüsselt. Das sind keine normalem domains, das ist Tor. Siehe: https://de.wikipedia.org/wiki/.onion
Ich weiß, was .onion-Domains sind. 😉 Ich wollte darauf hinaus, dass die Verschlüsselung durch Tor und die .onion-Domains selbst zwar Paar Schuhe sind. Darum gab es in der Vergangenheit ja auch schon Diskussionen, ob oder ob nicht TLS genutzt werden soll.
Du kannst Firefox dazu bringen, .onion-Domains als sicheren Kontext zu betrachten, indem du über about:config einen Schalter dom.securecontext.whitelist_onions anlegst und auf true setzt. Standardmäßig ist das nicht der Fall.
Okay, dann nehme ich an, wird Tor Browser dies sicher aktivieren. Weil TLS-Zertifikate für onion-Dienste zu bekommen ist ziemlich schwer…
Wie kann ich diese Beschränkungen in einem Intranet (ohne lokalem DNS, also Zugriff nur per IP-Adresse) deaktivieren? Die einzelnen Dienste werden isoliert (ohne Internet) im lokalen Netz angeboten und bieten keine Möglichkeit der Verschlüsselung.