Neu überarbeitetes Firefox Feature – Firefox Sync – Privatsphäre?

Seit ein paar Tagen wird mit dem Update auf Version 29 von Firefox eine verbesserte Version der Firefox Cloud Services angeboten. Über ein Konto bei Mozilla können nun Lesezeichen, Tabs, Startseite und sogar Passwörter zwischen mehreren Endgeräten einfacher synchronisiert werden.

Bei Cloud Services werde ich als User immer etwas misstrauisch. Ich will ja möglichst verhindern, dass meine Daten bei Dritten mitgespeichert und über weite Strecken übertragen werden. In diesem Beitrag möchte ich das neue Feature auseinandernehmen und kurz das Sicherheitskonzept ansprechen.

Transparenz dank Open-Source

Firefox ist ein Open-Source Projekt. Somit ist auch der Code für Firefox Sync öffentlich einsehbar. Die Transparenz ist also vorhanden und jeder einzelne Anwender kann sich von der Funktionsweise selbst überzeugen. Ausserdem ist die ganze technische Dokumentation auf Github verfügbar: https://github.com/mozilla/fxa-auth-server/wiki/onepw-protocol

Wie sieht’s also mit meiner Privatsphäre aus?

Die übertragenen Daten werden ausschliesslich Verschlüsselt übertragen. Die Verschlüsselung der Informationen erfolgt über einen Key, der anhand des Passworts des Users generiert wird. Mit anderen Worten: Um so stärker das Passwort des Users, um so sicherer sind die Daten in der Firefox Cloud. Zusätzlich werden drei wichtige Massnahmen ergriffen um die Sicherheit weiter zu verbessern.

Einerseits wird das vom User gewählte Passwort bereits auf der Seite des Clients gestretcht (Key Stretching). Das bedeutet, dass das Passwort bereits beim User über einen Algorithmus verstärkt wird. Diese Massnahme soll Brute-Force Attacken erschweren und Man in the Middle Attacken verhindern (selbst wenn SSL versagt! Heartbleed lässt grüssen ;-) ). Weiter setzt Mozilla auf eine End to End Encryption. Durch diese Massnahme wird der Zugriff auf die Benutzerdaten selbst bei kompromittierten Mozilla-Servern extrem erschwert.

Zu guter letzt kommen Asymmetrische Kryptographie und das BrowserID Protokoll zum Einsatz. Die Authentifizierung, Autorisierung und Datenspeicherung kann damit auf verschiedenen Servern erfolgen. Dadurch wird die Anzahl der Server, die mit Logindaten in Kontakt kommen, reduziert.

Fazit: Ein gutes Sicherheitskonzept ist Pflicht, wenn sogar Passwortlisten übertragen werden. Da die Verschlüsselung auf der Sicherheit des Passworts aufbaut, sollte unbedingt ein möglichst starkes Passwort verwendet werden, welches noch nicht bei anderen Services verwendet wurde. Auch wenn die Daten gut Verschlüsselt auf den Servern liegen, ist es immer noch ein Cloud-Service, bei welchem man seine Daten nicht so einfach löschen kann.

Jeder User muss selbst abwägen, welche Informationen er der Cloud anvertrauen möchte. Ich werde das verbesserte Sync Feature für Lesezeichen, Tabs, etc. verwenden, Passwörter allerdings nicht in der Cloud speichern. (Tipp: Keepass)

Was gibt’s noch neues?

Firefox Sync Server können sogar selbst betrieben werden! Für Firmen oder Vereine ist es definitiv eine Überlegung wert, ob Lesezeichen und Browsereinstellungen ihrer Mitarbeiter/Mitglieder auf einem eigenen Server gespeichert werden. Obwohl dies wahrscheinlich der Einfachheit halber in einer Firma eher über eine Domäne gelöst wird.

Die Serversoftware steht ebenfalls bei Github zur Verfügung: https://github.com/mozilla/fxa-auth-server