7 Reaktionen

Firefox 67/68: Benachrichtungen und Kamera-Zugriff nur noch über HTTPS

Geschätzte Lesedauer:

Ab Firefox 67 können Web-Benachrichtigungen nur noch bei verschlüsselter Übertragung genutzt werden. Gleiches gilt ab Firefox 68 für den Zugriff auf Kamera und Mikrofon.

Die verschlüsselte Übertragung von Daten im Web gewinnt immer mehr an Bedeutung. Bereits über 78 Prozent aller von Firefox-Nutzern geladenen Webseiten werden über HTTPS anstelle von HTTP übertragen. Auch die unter anderem von Mozilla ins Leben gerufene Certificate Authority (CA) Let’s Encrypt, welche kostenlos Zertifikate für die Nutzung von HTTPS bereitstellt, trägt einen großen Anteil daran.

Längst sind bestimmte Features nur noch in einem sogenannten gesicherten Kontext nutzbar. Von einem sicheren Kontext spricht man bei der Verwendung von HTTPS, aber auch verschlüsselte WebSocket-Verbindungen (wss://) sowie lokale Ressourcen (wie http://localhost/ oder file://) werden als sicherer Kontext betrachtet.

Ab Firefox 67 erfordern auch sogenannte Web-Benachrichtigungen einen sicheren Kontext. Benachrichtigungen möchte Mozilla in naher Zukunft übrigens auch weniger nervend für den Nutzer machen.

Die getUserMedia-API erlaubt Webseiten den Zugriff auf die Kamera sowie das Mikrofon. Hier gibt es bereits die Einschränkung, dass sich Firefox die Erlaubnis nur in einem sicheren Kontext merken kann, grundsätzlich funktioniert der Zugriff aber auch noch bei unverschlüsselter Verbindung. Ab Firefox 68 wird auch hierfür zwingend ein sicherer Kontext vorausgesetzt.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.

7 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. rugk
    schrieb am :

    .onion-Domains o.ä. werden doch hoffentlich auch als verschlüsselter Kontext anerkannt, oder?

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Das hat ja nichts mit der Domain zu tun. Und .onion-Domains sind standardmäßig nicht verschlüsselt. Also nein, selbstverständlich wird das nicht automatisch als sicherer Kontext betrachtet, sondern nur dann, wenn die Übertragung verschlüsselt ist.

  3. Tobias
    schrieb am :

    Interessanterweise hat Chrome schon seit Version 58 (seit April 2017) Encrypted Media Extensions im "secure context", für Firefox gibt es zwar den erklärten Plan, aber im Bugreport tut sich seit zwei Jahren nichts mehr: [EME] Remove support for EME on insecure contexts (Bug 1322517)

  4. rugk
    schrieb am :

    @Soeren Hentzschel

    Doch, .onion ist verschlüsselt. Das sind keine normalem domains, das ist Tor. Siehe: https://de.wikipedia.org/wiki/.onion

     

  5. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ich weiß, was .onion-Domains sind. 😉 Ich wollte darauf hinaus, dass die Verschlüsselung durch Tor und die .onion-Domains selbst zwar Paar Schuhe sind. Darum gab es in der Vergangenheit ja auch schon Diskussionen, ob oder ob nicht TLS genutzt werden soll.

    Du kannst Firefox dazu bringen, .onion-Domains als sicheren Kontext zu betrachten, indem du über about:config einen Schalter dom.securecontext.whitelist_onions anlegst und auf true setzt. Standardmäßig ist das nicht der Fall.

  6. rugk
    schrieb am :

    Okay, dann nehme ich an, wird Tor Browser dies sicher aktivieren. Weil TLS-Zertifikate für onion-Dienste zu bekommen ist ziemlich schwer…

  7. SammysHP
    schrieb am :

    Wie kann ich diese Beschränkungen in einem Intranet (ohne lokalem DNS, also Zugriff nur per IP-Adresse) deaktivieren? Die einzelnen Dienste werden isoliert (ohne Internet) im lokalen Netz angeboten und bieten keine Möglichkeit der Verschlüsselung.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen