Flash-Cookies und WebExtensions

Die Erweiterung wurde damals, als die Geschichte mit Fx57 begann, hier schon mal vorgestellt, als BetterPrivacy gesperrt wurde.

Bist du denn auf Flash Cookies angewiesen?

Sonst kannst du Flash Cookies auch ohne Erweiterung sperren.

Zitat von Speravir

Erzähl mal.

Ich meinte das, was hier im 4. Beitrag zur Datei "SiteSecurityServiceState" steht:
http://forums.mozillazine.org/viewtopic.php?f=23&t=2919581

SiteSecurityServiceState.txt gehört zum Sicherheits-Standard HSTS, welcher vor Downgrading-Attacken und Cookie-Hijacking schützt. Das hat mit Flash Cookies überhaupt nichts zu tun.

Man hat es schon geschafft, HSTS als weiteren Vektor für Tracking zu missbrauchen, das ist der einzige Zusammenhang, den ich mir zum Thema vorstellen kann. Und ja, man kann HSTS in Firefox in der im verlinkten Forum beschriebenen Weise aushebeln. Dann kann es auch nicht mehr zum Tracking missbraucht werden. Gleichzeitig reduziert man aber die Sicherheit von Firefox.

Ich lass das mal so im Raum stehen. Das sollte jeder für sich persönlich abwägen.

Zitat von Sören Hentzschel

Gleichzeitig reduziert man aber die Sicherheit von Firefox

Du meinst wenn man die Datei SiteSecurityServiceState.txt auf schreibgeschützt setzt? Wenn ja, warum reduziert man damit die Sicherheit? Das ist doch das Gleiche, als ob man Firefox erstmalig benutzt.

Weil der Schutz durch HSTS dann wegfällt:
https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Und ja, bei erstmaliger Benutzung hat Firefox noch keine HSTS-Informationen von Webseiten erhalten. Dieser Schutz-Mechanismus setzt mindestens einen Besuch voraus*.

*) Für gewisse Seiten wird kein Besuch vorausgesetzt, weil Firefox eine HSTS-Preload-Liste integriert hat, so dass es für diese Seiten sofort funktioniert. Details dazu hier:

https://blog.mozilla.org/security/2012/…reloading-hsts/

Du meinst, es setzt mindestens einen Besuch einer HTTPS Seite voraus.
Trotzdem ist mir das ganze nicht ganz klar, denn im privaten Modus wird doch auch nix gespeichert, oder? Nach deiner Argumentation wäre dann sogar die Sicherheit reduziert wenn man den privaten Modus nutzt?

Wenn ich es richtig verstehe müssen Seitenbetreiber für ihre Seite auch den Strict-Transport-Security Header setzen, damit wenn man einmal auf https://example.org war und danach http://example.org ansurft, trotzdem automatisch wieder auf https landet.

Genau das haben aber auch nicht alle Seiten. Wenn ich das richtig verstanden habe, dann überzeugt mich das bis jetzt noch nicht.

Zitat von Zitronella

Trotzdem ist mir das ganze nicht ganz klar, denn im privaten Modus wird doch auch nix gespeichert, oder? Nach deiner Argumentation wäre dann sogar die Sicherheit reduziert wenn man den privaten Modus nutzt?

In privaten Fenstern gibt es keinen HSTS-Schutz, weil es dem Konzept dieses Modus widerspricht, dass Daten über besuchte Webseiten gespeichert weden. Der zusätzliche Schutz entfällt dadurch natürlich.

Zitat von Zitronella

Wenn ich es richtig verstehe müssen Seitenbetreiber für ihre Seite auch den Strict-Transport-Security Header setzen, damit wenn man einmal auf https://example.org war und danach http://example.org ansurft, trotzdem automatisch wieder auf https landet.

Genau das haben aber auch nicht alle Seiten.

Viele Sicherheits-Mechanismen setzen eine Implementierung seitens Webseite voraus, HSTS ist nicht der einzige. Es war noch nie jede Webseite gleich sicher. Aber für praktisch jede größere Seite ist es eine Selbstverständlichkeit, solche Sicherheits-Features zu nutzen. Es ist natürlich auch klar, dass je größer und bekannter die Seite ist, tendenziell mehr Absicherung betrieben werden muss, weil entsprechend mehr versucht wird, Schwachstellen auszunutzen.

Zitat von Sören Hentzschel

Aber für praktisch jede größere Seite ist es eine Selbstverständlichkeit

Schön wärs...
http://www.ard.de/ und https://www.ard.de/
http://bayern.de/ und https://bayern.de/ (inklusive ungültiges Sicherheitszertifikat.)
ok da muss man dann (wenn man es denn weiß)
http://www.bayern.de/ bzw. https://www.bayern.de/ aufrufen

Ich sprach von größeren Seiten und damit meinte ich sicher nicht diese Seiten. ard.de steht im Alexa-Ranking auf Rang 7.251 und bayern.de sogar nur auf Rang 16.026…

Ich hab mal in meinen Unterlagen Zahlen zur Verbreitung von HSTS gesucht. Stand Februar 2018 wurde auf 6,03 Prozenz der Top-Millionen Webseiten weltweit (Alexa) HSTS genutzt. Das ist schon nicht so schlecht, vor allem weil es eine Steigerung von 38 Prozent gegenüber Juni 2017 und eine Steigerung von 245 Prozent gegenüber April 2016 ist. Das ist also ein deutlicher Aufwärts-Trend. Vor allem wenn man es mal mit anderen Sicherheits-Standards vergleicht. Public Key Pinning wurde im Februar 2018 von nur 1,07 Prozent verwendet und Content Security Policy von nur 0,112 Prozent der Webseiten.

Was ich mit großen Seiten meinte, waren wirklich die ganz großen Seiten, in die Dimension Facebook, Google, Twitter, Github, PayPal etc. gedacht. In dieser Größenordnung findet man kaum eine Seite, die kein HSTS einsetzt.

Und ja, HSTS betrifft nur einen Teil der Webseiten. Durch die verlinkte Maßnahme verschlechtert man seine Sicherheit nicht für jede Webseite, sondern nur für die Webseiten, die das einsetzen. Und HSTS ist auch kein Wundermittel, welches alleine für sichere Webseiten sorgen kann.

Auch mit HSTS sind Angriffe möglich, auch ohne HSTS ist Tracking möglich. Es ist nur ein Puzzle-Teil von vielen, sowohl in Bezug auf Sicherheit als auch auf Tracking.

Ich hoffe, das ist nun etwas klarer. Was in jedem Fall meine Kernaussage in Bezug auf dieses Thema sein sollte: HSTS hat nichts mit Flash Cookies zu tun.

In diesem Zusammenhang sollte auch noch gesagt werden das HPKP eigentlich wieder auf dem absteigenden Ast ist, einfach weil es so unglaublich heikel ist es zu implementieren. Da ist CAA sinnvoller.

Nur für diejenigen, welche das nicht wissen, weil die Abkürzungen nicht jedem geläufig sind: HPKP ist das Public Key Pinning, welches ich als Vergleich verwendete.