Mozilla stellt Tor Middle Relays bereit
Die im November bekannt gegebene Partnerschaft zwischen Mozilla und dem Tor-Projekt trägt erste Früchte: Mozilla stellt nun erste Tor Middle Relays bereit.
Am 10. November feierte Mozilla den zehnten Geburtstag von Firefox. Großes Thema an diesem Tag war die Privatsphäre. In diesem Zusammenhang hat Mozilla die Privatsphäre-Initiative Polaris und damit verbunden eine Partnerschaft mit dem Tor-Projekt angekündigt. Heute war die Privatsphäre wieder ein großes Thema: Anlässlich des heutigen Data Privacy Days hat Mozilla nicht nur eine neue Datenschutz-Webseite online gestellt und gemeinsam mit anderen Firmen wie DuckDuckGo einen Privatsphäre-Chat über Twitter abgehalten, sondern auch den Start der ersten eigenen Tor Middle Relays bekannt gegeben. Zum Einsatz kommen zwei Juniper EX4200-Switches und drei SL170zG6-Server von HP mit jeweils zwei Xeon L5640-CPUs, 48 GiB RAM und zwei 1 Gbit/s-Netzwerkkarten. Zwei 10 Gbit/s-Leitungen binden die Tor-Relays an das Internet an. Der vollständig redundante Aufbau des Systems sorgt dafür, dass selbst im schlechtesten Fall (Wartungsarbeiten oder ungeplanter Ausfall) mindestens 50 Prozent der Kapazität zur Verfügung stehen. Weitere technische Details hat Mozilla auf seinem IT-Blog bekannt gegeben. Eine Liste der Mozilla-Relays gibt es hier.
Was für gute Nachrichten! Hatte schon befürchtet, dass Mozilla die Partnerschaft einschlafen lässt. Wann kommt denn die Tor-Implementierung im Browser und damit ein echter privater Modus?
Ich weiß jetzt nicht, was ein „echter privater Modus“ ist, aber Firefox wird auf jeden Fall nicht zum Tor-Browser. Mozilla wollte aber die Entwicklung des Tor-Browsers insofern unterstützen als dass man sich vom Tor-Projekt vorgeschlagene Änderungen an der Gecko-Plattform ansieht und ggfs. auch umsetzt, wenn dies die Entwicklung von Tor vereinfacht.
Siehe dazu:
https://docs.google.com/spreadsheet/ccc?key=0AroPYigJXMK4dFhzUGl5eFFkY09XbjBSTlNVS3o2SWc&usp=drive_web#gid=0
Gibt es das auch ohne sich bei Google Anmelden zu müssen zum Anschauen?
Was meinst du? Wofür musst du dich bei Google anmelden?
Wenn man den Link anklickt heisst es:
Einmal anmelden. Alle Google Produkte nutzen
Zur Nutzung von Google Tabellen anmelden
Will ich aber nicht
Achso, du meinst den Link in den Kommentaren, ich hatte auf den Artikel geschaut. Der Link kann aber auch ohne Probleme geöffnet werden, wenn man nicht bei Google angemeldet ist – gerade in einem Privaten Fenster von Firefox getestet.
Mit „echter privater Modus“ meinte er eine Art „Anonymen Modus“. Ähnlich dem jetzigen Privaten Modus würde man ein Fenster öffnen dass sich dann wie der Tor Browser verhält und über das Tor Netzwerk ins Internet geht.
Der Normale Firefox nicht aber es gibt ja dass Gerücht dass der Tor Browser wie oben beschrieben als eine Art optionaler Anonymer/Privater Modus in den Firefox integriert werden könnte.
Ansonsten für die Unterstützung des Tor Projekts, Lightbeam und dem Test der Tracking Protection, Referer gibts von mir einen Daumen nach oben!
Die Datenschutz Website gefiel mir auch sehr gut; besonders dass Greenwald Video. (kannte ich allerdings schon)
Danke für die Erklärung.
Ich weiß nicht, von wem dieses Gerücht stammt, von Mozilla wurde in jedem Fall nichts in diese Richtung angekündigt. Was natürlich nicht heißt, dass es vollkommen ausgeschlossen wäre, man müsste eben klären, wie die Quelle des Gerüchtes zu dieser Annahme kommt. 😉
Es gab ein paar Medien Artikel alle stützen sich im Prinzip auf die Tor dev-Mailingliste Wo folgendes steht:
Auf Mozillas Polaris Wiki Seite steht:
Dass muss natürlich nichts heißen aber man könnte es entsprechend Interpretieren…
Und bei der Ankündigung der Zusammenarbeit zwischen Mozilla und dem Torproject hab ich einen sehr Interessanten Kommentar gefunden. Ich weiß nicht wie man da zu bestimmten Kommentaren linkt also einfach mal nach „arma“ suchen und dann die ganze Konversation lesen besonders dass was „gk“ geschrieben hat. (Soweit ich da durchblicke sind die mit Namen von Torprojekt)
Dass scheint schon Hand und Fuß zu haben.
Mit „10 bis 20 Prozent“ könnte natürlich Firefox gemeint sein, schon weil es da nicht so sehr viele Möglichkeiten gibt. Ob sich der Punkt „basically shipping a re-branded tor browser which lets people toggle the connectivity to the Tor network on and off.“ erfüllt, glaube ich zwar erst, wenn dem wirklich so ist, aber da die Zusammenarbeit ja mittlerweile angekündigt ist, ist sicher alles möglich. Von Mozilla ganz konkret angekündigt ist in diese Richtung wie gesagt bislang nichts („While future collaborations are planned“ sagt so viel und doch wieder nichts 😉 ), aber ich gebe zu, dass die Tor-Ankündigung kaum einen anderen Schluss zulässt.
Eine native Implementierung von Tor in Firefox wäre in meinen Augen so ziemlich die dämlichste Idee, die passieren könnte, und das ist ehrlich gesagt auch meine ganz große Sorge bei dieser Kooperation. Grundsätzlich bin ich davon überzeugt, dass der evtl. Einsatz dieser Technik optional wäre und Mozilla hier keinen Schnellschuss machen würde, dafür kenne ich sie schon zu lange, aber man darf auch die Kehrseite von Tor nicht verschweigen. Wir haben 2014 oft genug in der medialen Berichterstattung lesen dürfen, dass Tor erhebliche Mängel hat, und zwar auch auf technischer Ebene. Dazu kommt, dass Malware wie Zeus und Cryptolocker, also vor allem welche, die auf Daten- und Informationsdiebstahl spezialisiert sind, ebenfalls durch das Tor-Netzwerk kommen. Ich weiss zwar auch, dass Firefox Schutzmechanismen hat, aber die Infizierungsmethoden werden auch immer ausgeklügelter und sollte im Rahmen von Polaris eine Infektion über Tor stattfinden, wäre das für Mozilla als eigentlicher Datenschutzhochburg nix anderes als ein Super-Gau.
Versteht mich nicht falsch, wer Tor einsetzen will, soll das tun. Aber eine mögliche native Implementierung des Dienstes in Firefox sehe ich sehr, sehr kritisch. Im Übrigen ist es eh kein Geheimnis, dass sich Firefox in Sachen Datensicherheit eigentlich immer am oberen Limit dessen bewegt, was (OSS-)technisch gerade möglich ist, ich wüsste momentan auch nicht, was man hier viel besser machen könnte. Um meine Daten besser zu schützen, haben ich mich damals aber bewusst gegen Tor entschieden und setze stattdessen auf eine VPN-Lösung mit SoftEther, ebenfalls OpenSource. Die Zusammenarbeit mit Firefox klappt tadellos und die Geschwindigkeit ist auch Bombe. Das soll nicht als Werbung verstanden werden, aber es ist wichtig, in alle Richtungen zu schauen und beide Seiten der Medallie abzuwägen. Manchmal ist eine Alternative dann doch die bessere Wahl.
@Antares
Natürlich, keine Software (ab einer bestimmten Größe) ist Fehlerfrei. Die Tatsache dass solch kritische Freie/Open Source Projekte chronisch unterfinanziert sind hilft hier auch nicht wirklich. Dann gibt es noch Design Probleme. Die Leute vom Torproject rufen Forscher ständig dazu auf Tors Design zu untersuchen; sie beschweren sich dass es mehr Forschung bräuchte.
Andererseits hat Tor im Zuge der Veröffentlichungen eine Menge Aufmerksamkeit bekommen. Was natürlich dazuführt dass auch mehr Fehler gefunden werden. Im Vergleich mit einem Projekt welches weniger Aufmerksamkeit bekommen hat und in der Folge auch weniger Fehler Öffentlich wurden ist das Torproject aber Trotzdem sicherer.
Das ist einbisschien wie mit stinknormalen Sicherheitslücken in großer Software. Einige Leute denken: „was schon wieder 15 Sicherheitslücken geschlossen die sind aber unsicher dass Konkurrenzprodukt hat aber nur 2 geschlossen ich benutze besser deren Produkt“. Wenn dass Konkurrenzprojekt selber nicht gesucht hat und kaum Aufmerksamkeit von außen bekam ist das erste wahrscheinlich viel sicherer. Hier werden viele geschlossene Sicherheitslücken zu einem Sicherheitsnachweis nicht zum gegen teil.
Wenn Mozilla eine Art Anonymen Modus einbauen sollte würde es dem Torproject sehr helfen. Zunächst einmal wäre dass Stigma dass man den Torbrowser herunterlädt und auf seinem Computer hat weg (einen Firefox herunterzuladen und zu haben ist nichts außergewöhnliches) und dann würde die vielen neuen und auch in den Interessen Unterschiedlichen Leuten eine Deanonymisierung erheblich erschweren. Außerdem würden mehr „normale“ Tor Nutzer denjenigen helfen die die Anonymität wirklich dringend brauchen wie z.b. Journalisten, Dissidenten und Whistleblower.
Es gibt einen Grund warum Glenn Greenwalds „the Intercept“ auch auf das Tor Netzwerk für Whistleblower Informationen setzt. Außerdem empfiehlt und benutzt Snowden das Tor Netzwerk auch und durch die NSA Folien wissen wir dass die NSA große Probleme mit Tor hatte. Die NSA sagte über Tor: „the King of high-secure, low latency Internet Anonymity“ oder „Tor Stinks“.
Ich nehme mal an damit spielst du auf Exit-Nodes an. Ja, eigentlich sollte man Tor nur über https benutzen. Vielleicht ist dass auch ein Grund für Mozilla noch zu warten. Wir befinden uns ja gerade auf dem Weg zum „https Everywhere Web“ Mit Let’s Encrypt und http/2 (fürs normale surfen vielleicht noch Opportunistic Encryption) Vielleicht lässt Mozilla im Anonymen Modus über Tor auch nur https zu und entfernt auf der Fehlerseite die Möglichkeit zum überspringen. Dann wären Exit-Node Angriffe und Ausschnüffelungen effektiv bekämpft; mit der Ausnahmen von einigen Geheimdiensten natürlich. Außerdem gibt es noch CA Pinning und vielleicht nimmt durch die neue große Nutzerzahl auch die Zahl von „hidden services“ zu dann wäre man nicht mehr auf die CA Infrastruktur angewiesen.
Das Verstehe ich nicht ganz, wenn es doch Optional ist dann muss es doch niemand benutzen? Also wo ist dass Problem bei einer nativen Implementierung?
Wie wir durch die NSA Enthüllungen wissen sind VPN auch Opfer großangelegter Angriffe der NSA und alles andere als Perfekt. Aber für den ein oder anderen kann es mehr Sinn ergeben. Der Vorteil von Tor ist dass man nicht einer Institution/Organisation/Firma zu vertrauen braucht.
Ja, es gibt noch andere Alternativen JonDonym z.b. oder eben VPN.