Kuketz-Blog 🛡

Firefox für Android hat endlich nachgezogen: Fission / Site Isolation ist mit 147.0 verfügbar – als zusätzlicher Schutz u.a. gegen Spectre-artige Side-Channels.

Aber: (noch) nicht für alle Seiten, sondern selektiv – High-Value-Sites (z.B. Login/Banking/Accounts) werden stärker isoliert, vermutlich um RAM/Overhead auf Android im Griff zu behalten.

https://www.firefox.com/en-US/firefox/android/147.0/releasenotes/

#firefox #sicherheit #security

Firefox for Android 147.0, See All New Features, Updates and Fixes

Firefox
Jan 16 at 10:11amWeb
Show threadKuketz-Blog 🛡Jan 16

Interessant unter anderem dazu: 👇

https://searchfox.org/firefox-main/rev/7496c8515212669451d7e775a00c2be07da38ca5/dom/ipc/ProcessIsolation.cpp#54-69

ProcessIsolation.cpp - mozsearch

Show threadVirgil Tibbs 🏳️‍🌈 🇺🇦 🇬🇱Jan 16

@kuketzblog

...ich hab kein Wort verstanden....

Show threadPapa Exmatrikulatus 🏴🏳️‍🌈Jan 16
@virgil_tibbs @kuketzblog
Bisher hat Firefox auf Android einzelne Tabs nicht in einzelnen Prozessen isoliert. Ab 147 kommt dieses Sicherheitsfeature aber auch auf Android.
Show threadVirgil Tibbs 🏳️‍🌈 🇺🇦 🇬🇱Jan 16
@Papaexmatrikulatus @kuketzblog
danke !
Show threadTealkJan 16
@kuketzblog leider läuft der so langsam das er für den Täglichen Gebrauch kaum nutzbar ist ☹️
Show threadchris 🔓 Digital SovereigntyJan 16
@kuketzblog #siteisolation ist nach meinem Verständnis eine Sicherheitsfunktion, welche sicherstellt, dass jede Website in ihrem eigenen 'abgeschirmten' Prozess läuft. Das schützt vor bestimmten Arten von Angriffen.
Kommt das auch für den #torbrowser aktuell basierend auf 140 esr?
Macht das im Zusammenspiel mit anderen Schutzmechanismen überhaupt Sinn?
#secops
Show threadrugkJan 16
@chrispy
Tor: klar man darf annehmen mit dem nächsten esr Release von Firefox dass das beinhaltet
Macht es Sinn? Auf jeden Fall! https://spectreattack.com/ ist immernoch ein Ding bzw nur durch CPU microcode patches mitigated. Und browser sind eine große Angriffsfläche.
@kuketzblog
Meltdown and Spectre

Show threadfauntleroyJan 16
@kuketzblog Wie genau wird entschieden, ob eine Seite eine HighValue-Seite ist?
Gibt es da eine Whitelist für, oder wie funktioniert die Erkennung?