Quanto è affidabile Firefox? [chiuso]

26

Ho esaminato diversi gestori di password, per scambiare le mie password generate, più o meno prevedibili, per password generate automaticamente e sicure. Mi sono imbattuto in KeePass e FeeFox (per l'integrazione con Firefox), che sembra essere una combinazione valida e affidabile.

Tuttavia questo ha portato a una domanda: perché non dovrei fidarmi della funzionalità integrata di gestione password e sincronizzazione? Mi fido già di Firefox per tutto ciò che faccio e potrebbero comunque rubare le mie password, anche se non le conserverei nel gestore delle password. C'è qualcosa che parla contro questo (purché io generi password sicure e casuali per ogni pagina e crittografi il database delle password con una password sicura)?

Inoltre, è emersa una seconda domanda: quanto è affidabile Firefox comunque? Nella loro pagina di informazioni sulla privacy, dichiarano quanto segue:

When do we share your information with others?
...
When the law requires it. We follow the law whenever we receive requests about you from a government or related to a lawsuit.
...

Quindi sarebbe possibile che condividano tutto ciò che sanno su di me con le organizzazioni governative (americane). Esistono anche browser alternativi che non lo farebbero?

    
posta Christian 04.02.2016 - 16:28
fonte

7 risposte

22

Sono d'accordo con RobM.

So it would be possible that they share everything they know about me with (american) governmental organizations.

Sì, molto possibile.

Are there even alternative browsers which wouldn't do this?

The Onion Router. Ci possono essere altri Persino Firefox funzionerà in questo modo se utilizzi la sincronizzazione locale e disabiliti la protezione da malware e phishing. Personalmente, non vorrei disabilitare quelli.

Ti fidi di Firefox?

Non penso che questo sia un problema di Firefox. Questa è una questione di governo. Ad esempio, puoi consultare la conservazione dei dati delle telecomunicazioni in vari Paesi. La Electronic Frontier Foundation ha una buona scrittura riguardo a Atto di comunicazione protetta .

Dovresti notare che synchronization di solito significa che i tuoi dati sono memorizzati online . Sono consapevole che la sincronizzazione locale è possibile. Tuttavia, a causa della dicitura, è probabile che stiano memorizzando i tuoi dati online ("nel cloud") e siano obbligati a consegnarli alle autorità competenti se obbligati.

Vorrei ribadire: se, come azienda, memorizzi informazioni online su utenti / clienti, in molti casi puoi richiesto a consegnarlo quando obbligato dalle forze dell'ordine. Se tu non memorizzi informazioni, non devi consegnare ciò che non hai.

Firefox è in grado di memorizzare le informazioni se lo permetti. Questa è una caratteristica molto comoda che ha l'ulteriore effetto di essere tenuta ai regolamenti governativi sui dati. Se mi chiedi, Firefox è molto affidabile . Tuttavia, ti fidi del governo del tuo paese?

È anche possibile utilizzare metadati semplici per identificarti rapidamente

A causa dei metadati, se questo è crittografato o meno può essere irrilevante. Potrebbero essere in grado di decodificare i dati archiviati nel cloud. Anche allora, potrebbe non essere importante a causa di alcune leggi in alcuni paesi. Aspetta, cosa?

Ad esempio: l'utente connesso a X server in Y time potrebbe essere tutto ciò di cui ha veramente bisogno. Ad esempio, potresti essere in Cina e visitare un sito Web associato al Falun Gong. Per far funzionare Firefox in Cina, sarebbero costretti a collaborare con la legge cinese.

Potrebbero memorizzare i dettagli dei tuoi metadati, come l'indirizzo IP a cui ti sei collegato prima di verificare se si trattava di un sito malevolo o meno, anche se sei dietro una VPN in quel momento, il tuo il profilo precedente era associato a altri indirizzi IP.

Questo è solo un esempio approssimativo di come i metadati possono funzionano e non sono necessariamente rilevanti per te. Spero che questo spieghi quanto potenti metadati siano così da poterli applicare ad altre situazioni.

Protezione integrata da phishing / malware di Firefox

Vediamo cosa ha da dire Mozilla. Come funzionano la protezione da phishing e malware integrata? :

"Firefox will request a double-check to ensure that the reported site has not been removed from the list since your last update. This request does not include the address of the visited site, it only contains partial information derived from the address."

Questa informazione parziale / metadata = esposta come simpatizzante ribelle. La Morte Nera sta arrivando.

Se non ti piace l'idea, non sincronizzare online e non utilizzare protezione incorporata di phishing e malware . Personalmente, non mi piace il concetto di sincronizzazione in molte situazioni. Tuttavia, userò il phishing integrato e la protezione dal malware poiché aiuta a ridurre al minimo la quantità di lavoro che devo fare durante la navigazione sul Web, e mi protegge!

Mozilla è in prima fila su quello che stanno facendo. Non ti stanno mentendo.

Allora perché Firefox collabora con il governo?

Devono. E perché non dovrebbero? In molti casi, ci sono ottime ragioni per farlo, ad esempio, per rintracciare i criminali. Obbedire alla legge è un requisito fondamentale per fare affari in qualsiasi paese. Se non ti piacciono le leggi di un paese, hai la scelta di partire, e non fare affari lì. Cerca di infrangere quelle leggi e di vedere quanto duri.

Sfortunatamente, ci sono anche casi in cui i paesi non offrono processi equi e imprigionerebbero rapidamente, o addirittura giustiziare chiunque fosse coinvolto in attività vietate, come organizzazioni religiose come il Falun Gong. Ancora una volta, se una società non ama le leggi di un paese, può andarsene.

Aumentare la consapevolezza e combattere la corruzione è una cosa, e oltre lo scopo di questa risposta, ma non puoi aspettarti di fare alcun tipo di attività in qualsiasi paese, a meno che non obbedisca alle loro leggi. Ed è per questo che Firefox fornisce questo disclaimer. Ti stanno dicendo la verità, anche se possono nasconderti da te.

Se mi chiedi, Firefox è molto affidabile. Non so cosa stia facendo il tuo governo, o se Firefox è presente nel tuo paese, però.

    
risposta data 04.02.2016 - 16:58
fonte
11

Quanto è affidabile? Abbastanza buono per la maggior parte degli scopi, e meglio che usare la stessa password ovunque.

I tuoi dati sono crittografati

I tuoi dati di sincronizzazione di Firefox sono crittografati e la chiave di crittografia rimane sui dispositivi che controlli. I server di Mozilla vedono solo i dati crittografati e non hanno accesso alla chiave. Se sono stati violato o servito un ordine governativo, sono a rischio solo i dati crittografati. I tuoi dati privati rimarrebbero sicuri, almeno fino a quando avrai utilizzato una password complessa. Ulteriori informazioni

Le backdoor saranno notate

Come fai notare, stai già utilizzando Firefox sul tuo computer. Può accedere a tutti i tuoi file, hardware come telecamere e microfoni, monitorare tutto il tuo traffico web. Sarebbe tecnicamente possibile per essere trojaned e inviare tranquillamente la cronologia di navigazione all'NSA o il feed della telecamera a un criminale informatico. Tuttavia, se un hacker o un utente malintenzionato ha tentato di backdoor il prodotto, a causa della massiccia base di utenti, sarebbe notato rapidamente. E capisco che la maggior parte dei governi non può legalmente emettere un ordine per Firefox di backdoor del browser.

Il rischio principale è il malware

La più grande minaccia ai tuoi dati è avere malware sul tuo computer. Ciò potrebbe derivare da vulnerabilità in qualsiasi browser che utilizzi (incluso Firefox), da plug-in, client di posta elettronica, software per ufficio - qualsiasi cosa che si connette alla rete o elabora file da fonti non attendibili. Il rischio di malware è molto alto, uno studio segnala che il 30% dei computer negli Stati Uniti è stato infettato da malware.

    
risposta data 04.02.2016 - 18:41
fonte
7

Per me, l'affidabilità non richiede necessariamente l'affermazione che un'organizzazione non rivelerà mai i tuoi dettagli. Piuttosto, significa che qualsiasi affermazione fatta dovrebbe essere onesta.

Come azienda, Firefox può essere obbligato dai governi di qualsiasi paese in cui opera per conformarsi alle loro leggi. Un'organizzazione che riconosce questo e spiega chiaramente la sua posizione nei tuoi confronti è molto più affidabile di quella che oscura fatti come questo o informazioni su come memorizza internamente ed elabora i tuoi dati.

Qualsiasi organizzazione che affermasse di operare "al di fuori della legge" per quanto riguarda i seguenti requisiti legali sulla divulgazione di informazioni a un governo sarebbe anche al di fuori di qualsiasi protezione che i governi impongono alle imprese in merito al modo in cui tali aziende hanno elaborato i tuoi dati ... Supponendo che tu abbia creduto la loro rivendicazione "al di fuori della legge" in primo luogo.

    
risposta data 04.02.2016 - 16:50
fonte
1

Il motivo per cui non ti puoi fidare di Firefox è che puoi ottenere i vantaggi di usabilità e sicurezza dell'utilizzo di un gestore di password senza affidarti a Firefox (oa qualsiasi provider di servizi cloud).

Come sottolinea RobM, c'è il rischio che Firefox possa essere costretto a consegnare i dati che hai inviato. C'è anche il rischio che qualcuno possa irrompere nei loro server. Firefox ha reso sforzi per proteggere tali dati . Esistono altri strumenti per le password che si integrano con Firefox che può essere utilizzato in modalità di sincronizzazione locale. Ad esempio, 1Password ti consente di conservare i dati sui dispositivi che controlli o di selezionare un altro fornitore di servizi cloud di cui ti fidi di più.

    
risposta data 04.02.2016 - 17:06
fonte
1

Per rispondere alla tua prima domanda: il motivo principale per cui potresti non voler utilizzare il gestore di password integrato per Firefox, o un browser specifico, è più legato alla potenziale accessibilità che alla sicurezza. Utilizzando KeePass con il componente aggiuntivo del browser appropriato per accedere a tale KeePass, è possibile utilizzare un singolo Vault di KeePass per archiviare tutte le password e accedervi in un numero elevato di applicazioni. Quindi, in questo caso, si tratta di una potenziale funzionalità aggiuntiva rispetto a quella del browser che non è aggiornato sulle misure di sicurezza appropriate. Personalmente ho esigenze che mi richiedono l'utilizzo di 3 browser, tutti per scopi diversi.

Ora per la seconda domanda più importante. Questa è una domanda difficile con un gran numero di implicazioni difficili che diventano molto difficili da ridimensionare al potenziale effetto sul singolo utente. Tuttavia, ciò che consiglierei per ottenere una certa comprensione di questo problema è la lettura dei rapporti sulla trasparenza per browser diversi. Ad esempio, il rapporto sulla trasparenza di Google Chrome può essere trovato qui: link

Riassumo brevemente un po 'di ciò che questi report contengono in genere. Questi report contengono in genere una spiegazione più specifica di come l'azienda risponde a una richiesta, numeri su quante richieste sono state fatte per paese e percentuale di richieste che hanno restituito alcuni dati. Inoltre, dati gli eventi recenti, hanno anche sezioni che si occupano specificamente dei problemi degli Stati Uniti.

    
risposta data 04.02.2016 - 18:06
fonte
1

Perché non salvare la password nel browser:

Perché rende più facile agli aggressori. Se il sito ha una vulnerabilità XSS o simile, può rubare la tua password.

Installa un plugin non valido / ... può rubare la tua password direttamente. Lo stesso è vero se un plugin legittimo ha un buco di sicurezza usato da un utente malintenzionato. Ottenere da un processo diverso è molto più difficile o addirittura impossibile senza i diritti di amministratore.

Per la tua seconda domanda:

In pratica, sarebbe come archiviare il tuo database KeePass su un archivio online affidabile a cui è possibile accedere dal governo degli Stati Uniti. Penso che questa domanda abbia già una risposta sufficiente qui e in altre domande: link

    
risposta data 04.02.2016 - 19:00
fonte
1

Non dovresti fidarti del gestore di password di Firefox perché la password principale è dannatamente scomoda da usare. L'ho provato, e dopo alcuni giorni, ogni volta che vedevo la fastidiosa password della modal master ogni volta che il firefox si arrestava o veniva riavviato è diventato doloroso. Ti garantisco che qualsiasi utente normale lo disabiliti rapidamente e non puoi fare nulla per impedirli.

Inoltre, la password principale NON scade, indipendentemente dalla durata dell'apertura di firefox. Se qualcuno ruba il tuo portatile mentre è ibernato / dormiente (come fa il mio mentre è nella borsa), può visualizzare tutte le tue password.

Su Android Firefox, la casella della password principale è doppiamente dolorosa, in quanto non potrei mai cogliere l'idea quando il mio Firefox si chiude e quando rimane sullo sfondo.

Quasi tutti i gestori di password dei plug-in sono e più sicuri utilizzabili allo stesso tempo .

    
risposta data 04.02.2016 - 19:30
fonte

Leggi altre domande sui tag