Umfrage für ESR-Nutzer zwecks Safe Browsing-Update
Mozilla setzt für seinen Malware- und Phishing-Schutz auf Googles Safe Browsing API. Google wird die von Firefox genutzte Version dieser API im Dezember abschalten, also vor dem nächsten großen ESR-Update. Nutzer der ESR-Version von Firefox werden darum gebeten, an einer Umfrage zwecks Interesse an einem Safe Browsing-Update teilzunehmen.
Google hat die Safe Browsing API Version 2.2 auf deprecated gesetzt und wird diese am 1. Dezember abschalten, Mozillas nächster großer ESR-Release erscheint erst im Mai 2015. Während Mozilla ohne Probleme die reguläre Firefox-Version entsprechend aktualisieren kann, ist dies für die ESR-Version nicht so einfach: Der ESR-Zweig erhält normalerweise lediglich Sicherheits- und notwendige Bugfix-Updates. Die Änderung der Safe Browsing Version hingegen stellt eine größere Änderung dar, welche entsprechend risikoreich für ein Update mit Änderung der Versionsnummer an dritter Stelle ist. Mozilla bittet darum Unternehmen, welche Firefox ESR einsetzen, um die Teilnahme an einer Umfrage. Durch diese Umfrage möchte man in Erfahrung bringen, ob Unternehmen ein solches Update installieren würden, damit der Malware- und Phishing-Schutz auch über Dezember hinaus funktioniert. Dazu wird nach ein paar weiteren Informationen gefragt, wie zum Beispiel welche ESR-Version derzeit eingesetzt wird und wie lange normalerweise nach Erscheinen einer neuen ESR-Version bis zum Update gewartet wird.
Hat Google die Änderung auf „deprecated“ erst gestern verkündet, oder warum so kurzfristig? Und was wird der Nachfolger?
Nicht erst gestern, aber gehe davon aus, dass nicht rechtzeitig, dass die neue API in Firefox 31 hätte genutzt werden können, ein paar Wochen ist das erst her. Nachfolger ist die Safe Browsing API Version 3.
Da über diese API genau die vom Nutzer besuchten Webseiten kontrolliert werden können: Was macht Mozilla gegen das Ausspähen durch Google? Oder ist das die Gegenleistung für die Nutzung?
Wie kommst du bitte auf so etwas? Das ist absolut nicht möglich. Bitte nicht irgendwelche ungeprüften Behauptungen aufstellen.
Wie wird denn sonst geprüft, ob man sich auf einer sicheren oder unsicheren Seite befindet? Außer dass der URL an die prüfende Instanz geschickt wird?
Firefox lädt in regelmäßigen Abständen eine Liste mit bekannten unsicheren Webseiten herunter. Beim Besuch einer Webseite prüft Firefox gegen diese Liste. Es gibt überhaupt keinen Bedarf, irgendeine URL an Google zu senden. Das einzige, was übertragen wird, das ist beim Abfragen der Liste ein Cookie. Das ist aber auch kein Problem, da Firefox für Safe Browsing ein anderes Cookie Jar verwendet als für Webseiten, das heißt, dieses Cookie ist vollkommen isoliert von den Webseiten-Cookies.