Quanto è affidabile Firefox? [chiuso]

Sono d'accordo con RobM.

So it would be possible that they share everything they know about me with (american) governmental organizations.

Sì, molto possibile.

Are there even alternative browsers which wouldn't do this?

The Onion Router. Ci possono essere altri Persino Firefox funzionerà in questo modo se utilizzi la sincronizzazione locale e disabiliti la protezione da malware e phishing. Personalmente, non vorrei disabilitare quelli.

Ti fidi di Firefox?

Non penso che questo sia un problema di Firefox. Questa è una questione di governo. Ad esempio, puoi consultare la conservazione dei dati delle telecomunicazioni in vari Paesi. La Electronic Frontier Foundation ha una buona scrittura riguardo a Atto di comunicazione protetta .

Dovresti notare che synchronization di solito significa che i tuoi dati sono memorizzati online . Sono consapevole che la sincronizzazione locale è possibile. Tuttavia, a causa della dicitura, è probabile che stiano memorizzando i tuoi dati online ("nel cloud") e siano obbligati a consegnarli alle autorità competenti se obbligati.

Vorrei ribadire: se, come azienda, memorizzi informazioni online su utenti / clienti, in molti casi puoi richiesto a consegnarlo quando obbligato dalle forze dell'ordine. Se tu non memorizzi informazioni, non devi consegnare ciò che non hai.

Firefox è in grado di memorizzare le informazioni se lo permetti. Questa è una caratteristica molto comoda che ha l'ulteriore effetto di essere tenuta ai regolamenti governativi sui dati. Se mi chiedi, Firefox è molto affidabile . Tuttavia, ti fidi del governo del tuo paese?

È anche possibile utilizzare metadati semplici per identificarti rapidamente

A causa dei metadati, se questo è crittografato o meno può essere irrilevante. Potrebbero essere in grado di decodificare i dati archiviati nel cloud. Anche allora, potrebbe non essere importante a causa di alcune leggi in alcuni paesi. Aspetta, cosa?

Ad esempio: l'utente connesso a X server in Y time potrebbe essere tutto ciò di cui ha veramente bisogno. Ad esempio, potresti essere in Cina e visitare un sito Web associato al Falun Gong. Per far funzionare Firefox in Cina, sarebbero costretti a collaborare con la legge cinese.

Potrebbero memorizzare i dettagli dei tuoi metadati, come l'indirizzo IP a cui ti sei collegato prima di verificare se si trattava di un sito malevolo o meno, anche se sei dietro una VPN in quel momento, il tuo il profilo precedente era associato a altri indirizzi IP.

Questo è solo un esempio approssimativo di come i metadati possono funzionano e non sono necessariamente rilevanti per te. Spero che questo spieghi quanto potenti metadati siano così da poterli applicare ad altre situazioni.

Protezione integrata da phishing / malware di Firefox

Vediamo cosa ha da dire Mozilla. Come funzionano la protezione da phishing e malware integrata? :

"Firefox will request a double-check to ensure that the reported site has not been removed from the list since your last update. This request does not include the address of the visited site, it only contains partial information derived from the address."

Questa informazione parziale / metadata = esposta come simpatizzante ribelle. La Morte Nera sta arrivando.

Se non ti piace l'idea, non sincronizzare online e non utilizzare protezione incorporata di phishing e malware . Personalmente, non mi piace il concetto di sincronizzazione in molte situazioni. Tuttavia, userò il phishing integrato e la protezione dal malware poiché aiuta a ridurre al minimo la quantità di lavoro che devo fare durante la navigazione sul Web, e mi protegge!

Mozilla è in prima fila su quello che stanno facendo. Non ti stanno mentendo.

Allora perché Firefox collabora con il governo?

Devono. E perché non dovrebbero? In molti casi, ci sono ottime ragioni per farlo, ad esempio, per rintracciare i criminali. Obbedire alla legge è un requisito fondamentale per fare affari in qualsiasi paese. Se non ti piacciono le leggi di un paese, hai la scelta di partire, e non fare affari lì. Cerca di infrangere quelle leggi e di vedere quanto duri.

Sfortunatamente, ci sono anche casi in cui i paesi non offrono processi equi e imprigionerebbero rapidamente, o addirittura giustiziare chiunque fosse coinvolto in attività vietate, come organizzazioni religiose come il Falun Gong. Ancora una volta, se una società non ama le leggi di un paese, può andarsene.

Aumentare la consapevolezza e combattere la corruzione è una cosa, e oltre lo scopo di questa risposta, ma non puoi aspettarti di fare alcun tipo di attività in qualsiasi paese, a meno che non obbedisca alle loro leggi. Ed è per questo che Firefox fornisce questo disclaimer. Ti stanno dicendo la verità, anche se possono nasconderti da te.

Se mi chiedi, Firefox è molto affidabile. Non so cosa stia facendo il tuo governo, o se Firefox è presente nel tuo paese, però.

Quanto è affidabile? Abbastanza buono per la maggior parte degli scopi, e meglio che usare la stessa password ovunque.

I tuoi dati sono crittografati

I tuoi dati di sincronizzazione di Firefox sono crittografati e la chiave di crittografia rimane sui dispositivi che controlli. I server di Mozilla vedono solo i dati crittografati e non hanno accesso alla chiave. Se sono stati violato o servito un ordine governativo, sono a rischio solo i dati crittografati. I tuoi dati privati rimarrebbero sicuri, almeno fino a quando avrai utilizzato una password complessa. Ulteriori informazioni

Le backdoor saranno notate

Come fai notare, stai già utilizzando Firefox sul tuo computer. Può accedere a tutti i tuoi file, hardware come telecamere e microfoni, monitorare tutto il tuo traffico web. Sarebbe tecnicamente possibile per essere trojaned e inviare tranquillamente la cronologia di navigazione all'NSA o il feed della telecamera a un criminale informatico. Tuttavia, se un hacker o un utente malintenzionato ha tentato di backdoor il prodotto, a causa della massiccia base di utenti, sarebbe notato rapidamente. E capisco che la maggior parte dei governi non può legalmente emettere un ordine per Firefox di backdoor del browser.

Il rischio principale è il malware

La più grande minaccia ai tuoi dati è avere malware sul tuo computer. Ciò potrebbe derivare da vulnerabilità in qualsiasi browser che utilizzi (incluso Firefox), da plug-in, client di posta elettronica, software per ufficio - qualsiasi cosa che si connette alla rete o elabora file da fonti non attendibili. Il rischio di malware è molto alto, uno studio segnala che il 30% dei computer negli Stati Uniti è stato infettato da malware.

Per me, l'affidabilità non richiede necessariamente l'affermazione che un'organizzazione non rivelerà mai i tuoi dettagli. Piuttosto, significa che qualsiasi affermazione fatta dovrebbe essere onesta.

Come azienda, Firefox può essere obbligato dai governi di qualsiasi paese in cui opera per conformarsi alle loro leggi. Un'organizzazione che riconosce questo e spiega chiaramente la sua posizione nei tuoi confronti è molto più affidabile di quella che oscura fatti come questo o informazioni su come memorizza internamente ed elabora i tuoi dati.

Qualsiasi organizzazione che affermasse di operare "al di fuori della legge" per quanto riguarda i seguenti requisiti legali sulla divulgazione di informazioni a un governo sarebbe anche al di fuori di qualsiasi protezione che i governi impongono alle imprese in merito al modo in cui tali aziende hanno elaborato i tuoi dati ... Supponendo che tu abbia creduto la loro rivendicazione "al di fuori della legge" in primo luogo.

Il motivo per cui non ti puoi fidare di Firefox è che puoi ottenere i vantaggi di usabilità e sicurezza dell'utilizzo di un gestore di password senza affidarti a Firefox (oa qualsiasi provider di servizi cloud).

Come sottolinea RobM, c'è il rischio che Firefox possa essere costretto a consegnare i dati che hai inviato. C'è anche il rischio che qualcuno possa irrompere nei loro server. Firefox ha reso sforzi per proteggere tali dati . Esistono altri strumenti per le password che si integrano con Firefox che può essere utilizzato in modalità di sincronizzazione locale. Ad esempio, 1Password ti consente di conservare i dati sui dispositivi che controlli o di selezionare un altro fornitore di servizi cloud di cui ti fidi di più.

Per rispondere alla tua prima domanda: il motivo principale per cui potresti non voler utilizzare il gestore di password integrato per Firefox, o un browser specifico, è più legato alla potenziale accessibilità che alla sicurezza. Utilizzando KeePass con il componente aggiuntivo del browser appropriato per accedere a tale KeePass, è possibile utilizzare un singolo Vault di KeePass per archiviare tutte le password e accedervi in un numero elevato di applicazioni. Quindi, in questo caso, si tratta di una potenziale funzionalità aggiuntiva rispetto a quella del browser che non è aggiornato sulle misure di sicurezza appropriate. Personalmente ho esigenze che mi richiedono l'utilizzo di 3 browser, tutti per scopi diversi.

Ora per la seconda domanda più importante. Questa è una domanda difficile con un gran numero di implicazioni difficili che diventano molto difficili da ridimensionare al potenziale effetto sul singolo utente. Tuttavia, ciò che consiglierei per ottenere una certa comprensione di questo problema è la lettura dei rapporti sulla trasparenza per browser diversi. Ad esempio, il rapporto sulla trasparenza di Google Chrome può essere trovato qui: link

Riassumo brevemente un po 'di ciò che questi report contengono in genere. Questi report contengono in genere una spiegazione più specifica di come l'azienda risponde a una richiesta, numeri su quante richieste sono state fatte per paese e percentuale di richieste che hanno restituito alcuni dati. Inoltre, dati gli eventi recenti, hanno anche sezioni che si occupano specificamente dei problemi degli Stati Uniti.

Perché non salvare la password nel browser:

Perché rende più facile agli aggressori. Se il sito ha una vulnerabilità XSS o simile, può rubare la tua password.

Installa un plugin non valido / ... può rubare la tua password direttamente. Lo stesso è vero se un plugin legittimo ha un buco di sicurezza usato da un utente malintenzionato. Ottenere da un processo diverso è molto più difficile o addirittura impossibile senza i diritti di amministratore.

Per la tua seconda domanda:

In pratica, sarebbe come archiviare il tuo database KeePass su un archivio online affidabile a cui è possibile accedere dal governo degli Stati Uniti. Penso che questa domanda abbia già una risposta sufficiente qui e in altre domande: link