Är Pale Moon en säker webbläsare?

Här behandlar vi program för Internet och kommunikation; webbläsare, chatt-program, filöverföring osv.
Användarvisningsbild
Nemo
Inlägg: 732
Blev medlem: 16 aug 2010, 19:39
OS: Kubuntu
Utgåva: 18.04 Bionic Beaver LTS

Är Pale Moon en säker webbläsare?

Inlägg av Nemo »

Hej!
Jag läste en artikel på How-To Geek som argumenterade mot att använda Waterfox, Pale Moon och Basilisk.

Argumenten var att det dröjde längre tid innan det kom säkerhetsfixar till dessa. Dvs. när det kom en fix till Firefox dröjer det ytterligare en tid innan fixen kommer till de 3 angivna webbläsarna i artikeln.

Hur bedömer ni risken med att använda en fork av Firefox som t.ex. Pale Moon? Är riskerna som tas upp i artikeln av sådan art att man bör undvika använda dem?
Användarvisningsbild
Gunnar Hjalmarsson
Inlägg: 3030
Blev medlem: 08 aug 2010, 13:49
OS: Ubuntu
Utgåva: 22.04 Jammy Jellyfish LTS
Ort: Göteborg

Re: Är Pale Moon en säker webbläsare?

Inlägg av Gunnar Hjalmarsson »

Jag är inte kapabel att värdera riskerna. Artikeln är skriven på temat att det är tryggast att hålla sig till webbläsare med stora resurser bakom sig, vilket ju låter ganska logiskt. Samtidigt pekar den inte ut några konkreta problem.

Just Pale Moon råkar vara bra att ta till för oss som vill fortsätta att använda Telia e-legitimation för inloggning till myndigheter m.fl., och därför pekar vi på Pale Moon i det sammanhanget. Gammal webbläsarteknik för att kunna använda en gammal teknik med insticksmoduler. Viss logik det också.
Användarvisningsbild
JoWa
Global Moderator
Inlägg: 7779
Blev medlem: 09 jun 2012, 06:16
OS: Ubuntu
Utgåva: 24.04 Noble Numbat LTS
Ort: Boo
Kontakt:

Re: Är Pale Moon en säker webbläsare?

Inlägg av JoWa »

Gunnar Hjalmarsson skrev:Just Pale Moon råkar vara bra att ta till för oss som vill fortsätta att använda Telia e-legitimation för inloggning till myndigheter m.fl., och därför pekar vi på Pale Moon i det sammanhanget. Gammal webbläsarteknik för att kunna använda en gammal teknik med insticksmoduler. Viss logik det också.
Må vara användbar i det sammanhanget, men jag avråder från att använda Pale Moon för allmänt surfande. Uråldrig Firefox-kod, ingen sandlåda, och tveksamma säkerhetsuppdateringar lockar inte.
Noble Numbat | Firefox 125β (snap) | Privacy Badger
Användarvisningsbild
Gunnar Hjalmarsson
Inlägg: 3030
Blev medlem: 08 aug 2010, 13:49
OS: Ubuntu
Utgåva: 22.04 Jammy Jellyfish LTS
Ort: Göteborg

Re: Är Pale Moon en säker webbläsare?

Inlägg av Gunnar Hjalmarsson »

@JoWa: Ja, så är nog rimligt att se på det.

Själv använder jag Pale Moon uteslutande för inloggning till webbplatser såsom apoteket.se och 1177.se (ja, då förstår ni hur illa ställt det är), och det finns väl skäl tro att sådana webbplatser är hyggligt säkra i sig själva.
Användarvisningsbild
Hund
Inlägg: 16492
Blev medlem: 25 jan 2007, 04:15
OS: Gentoo
Ort: Norrland
Kontakt:

Re: Är Pale Moon en säker webbläsare?

Inlägg av Hund »

JoWa skrev:
Gunnar Hjalmarsson skrev:Just Pale Moon råkar vara bra att ta till för oss som vill fortsätta att använda Telia e-legitimation för inloggning till myndigheter m.fl., och därför pekar vi på Pale Moon i det sammanhanget. Gammal webbläsarteknik för att kunna använda en gammal teknik med insticksmoduler. Viss logik det också.
Må vara användbar i det sammanhanget, men jag avråder från att använda Pale Moon för allmänt surfande. Uråldrig Firefox-kod, ingen sandlåda, och tveksamma säkerhetsuppdateringar lockar inte.
På vilket sätt är den uråldrig?
Linuxkompis - En vänlig Linux-gemenskap för alla!
Användarvisningsbild
JoWa
Global Moderator
Inlägg: 7779
Blev medlem: 09 jun 2012, 06:16
OS: Ubuntu
Utgåva: 24.04 Noble Numbat LTS
Ort: Boo
Kontakt:

Re: Är Pale Moon en säker webbläsare?

Inlägg av JoWa »

Hund skrev:På vilket sätt är den uråldrig?
Enligt artikeln är det Firefox 38, som först släpptes i maj 2015, och inte underhålls av Mozilla.
Noble Numbat | Firefox 125β (snap) | Privacy Badger
Användarvisningsbild
Gunnar Hjalmarsson
Inlägg: 3030
Blev medlem: 08 aug 2010, 13:49
OS: Ubuntu
Utgåva: 22.04 Jammy Jellyfish LTS
Ort: Göteborg

Re: Är Pale Moon en säker webbläsare?

Inlägg av Gunnar Hjalmarsson »

JoWa skrev:Enligt artikeln är det Firefox 38, som först släpptes i maj 2015, och inte underhålls av Mozilla.
Det är en "fork" utifrån vilken man startade en webbläsare som står på egna ben. Så frågan är väl hur stadiga de benen är snarare än vilken FF-version som var utgångspunkten.
Användarvisningsbild
Hund
Inlägg: 16492
Blev medlem: 25 jan 2007, 04:15
OS: Gentoo
Ort: Norrland
Kontakt:

Re: Är Pale Moon en säker webbläsare?

Inlägg av Hund »

JoWa skrev:
Hund skrev:På vilket sätt är den uråldrig?
Enligt artikeln är det Firefox 38, som först släpptes i maj 2015, och inte underhålls av Mozilla.
Pale Moon är från början en fork av Firefox, men man kör nu med sin egna motor Guanna som är baserad på Gecko. :)
Linuxkompis - En vänlig Linux-gemenskap för alla!
Användarvisningsbild
JoWa
Global Moderator
Inlägg: 7779
Blev medlem: 09 jun 2012, 06:16
OS: Ubuntu
Utgåva: 24.04 Noble Numbat LTS
Ort: Boo
Kontakt:

Re: Är Pale Moon en säker webbläsare?

Inlägg av JoWa »

Jaha?
How-To Geek skrev:Pale Moon’s developer tries to keep up with Firefox security patches, but he’s maintaining old code that Mozilla has abandoned. Mozilla reportedly has over a thousand employees, while Pale Moon has one primary developer, trying to maintain a huge amount of code that’s becoming increasingly outdated.
Vad i detta är det som känns betryggande och förtroendeingivande? Intet, om jag tillåts att svara.

På den tiden hade Firefox (38) en osäker arkitektur, med allt i en och samma process. Sent omsider fick Firefox multiprocessarkitektur, som Chromium och Internet Explorer har haft i ett årtionde. Men Pale Moon står kvar i det förgångna och osäkra. Hela tanken med Pale Moon tycks vara att hålla fast vid allt gammalt, medan andra webbläsare, och webben i stort, rusar framåt. Hoten på nätet står förstås inte heller stilla.
Noble Numbat | Firefox 125β (snap) | Privacy Badger
Användarvisningsbild
Nemo
Inlägg: 732
Blev medlem: 16 aug 2010, 19:39
OS: Kubuntu
Utgåva: 18.04 Bionic Beaver LTS

Re: Är Pale Moon en säker webbläsare?

Inlägg av Nemo »

Gunnar Hjalmarsson skrev:Just Pale Moon råkar vara bra att ta till för oss som vill fortsätta att använda Telia e-legitimation för inloggning till myndigheter m.fl., och därför pekar vi på Pale Moon i det sammanhanget. Gammal webbläsarteknik för att kunna använda en gammal teknik med insticksmoduler. Viss logik det också.
Är Telia medvetna om att deras lösning inte fungerar i senaste versionen av Firefox? I Telias installationsguide på sidan 10 står det följande:
Telia skrev: Tekniska krav för Ubuntu , webbläsare m.m
(OBS! viktig info)

Ubuntu 14.04LTS , 16.04LTS , 16.10
Safari 9.x
FireFox version 46->
Chrome ingen support
Kortläsare
Gemalto PC USB SL reader
Gemalto PC USB TR reader
Omnikey 3021
Källa: https://www.telia.se/dam/jcr:9367581e-e ... Ubuntu.pdf
Dvs. enligt Telia ska det fungera med Firefox 46 och nyare, men informationen kanske är inaktuell. Hittade för övrigt ingenting om E-legitimation på Telias hemsida, utan fick söka via Google för att hitta rätt.

Vad gäller Pale Moon verkar det finnas olika uppfattningar. Enligt hemsidan för Pale Moon är några av dess egenskaper bl.a.
Pale Moon skrev: Safe: forked from mature Mozilla code and regularly updated
Secure: Additional security features and security-aware development
Användarvisningsbild
Gunnar Hjalmarsson
Inlägg: 3030
Blev medlem: 08 aug 2010, 13:49
OS: Ubuntu
Utgåva: 22.04 Jammy Jellyfish LTS
Ort: Göteborg

Re: Är Pale Moon en säker webbläsare?

Inlägg av Gunnar Hjalmarsson »

Nemo skrev:Är Telia medvetna om att deras lösning inte fungerar i senaste versionen av Firefox?
Hur medvetna Telia-folket i allmänhet är vet jag inte, men jag har informerat en person hos dem som är ansvarig för tjänsten:
Gunnar Hjalmarsson skrev:Vi hade kontakt för några månader sedan om Mozillas planer på att dra bort stödet för NPAPI (förutom för Flash). Tidigare mail infogade nederst i detta meddelande.

Mozilla har infriat sitt 'löfte', och med Firefox 54 går det inte att använda Telia e-legitimation. Detta är särskilt besvärligt för Linux/Ubuntu, där Firefox var den enda av webbläsarna som Telia rekommenderar som fungerade.

Vi har dock funnit en ersättare som fungerar utmärkt: Pale Moon.

https://www.palemoon.org/

Angående NPAPI gör de följande uttalande på sin hemsida:

"Pale Moon supports NPAPI plug-ins. Unlike Firefox, we will not be deprecating or removing support for these kinds of plug-ins. This means that you will be able to continue using your media, authentication, and other plug-ins in Pale Moon like Flash, Silverlight, bank-authenticators or networking plug-ins for specific purposes."

Enda problemet med Pale Moon är att om man försöker göra något på https://cve.trust.telia.com/TeliaElegNG möts man av beskedet "Din webbläsare stöds inte.". Det vore förstås bra om ni kunde lägga till Pale Moon till listan över webbläsare som stöds (eller ta bort den kontrollen...), så att man även med Pale Moon kan hämta Net iD eller testa eller förnya legitimationen.
Responsen hittills på ovanstående kom 2017-09-18:
Telia-representant skrev:Jag ska försöka få igenom detta men det krävs ett beslut och lite tester först.
Det finns lite info på Telias webbplats också. Där läste jag just något som är nytt för mig:

"Om du har skaffat ditt id-kort från Skatteverket innan den 6 september 2017 så har du en Telia e-legitimation på kortet."

Det verkar alltså som om det inte längre går att skaffa en ny Telia e-legitimation som privatperson. Bekräftas på Skatteverkets webbplats:

"På Skatteverkets id-kort utfärdade från och med september 2017 finns en e-legitimation från Svenska Pass. Den nya e-legitimationen fungerar dock ännu inte på alla myndigheters webbplatser."

Så man har tydligen dragit in möjligheten att skaffa Telia e-legitimation innan de olika webbtjänsterna har öppnat möjligheten att autentisera genom Svenska Pass. Den enda myndighet jag hittills har sett som accepterar Svenska Pass är Skatteverket.

Märkligt hanterat av Skatteverket. Fram tills nu har jag trott att man kunde välja att få ett id med antingen Svenska Pass eller Telia e-legitimation.
Användarvisningsbild
eson57
Inlägg: 1103
Blev medlem: 06 dec 2014, 10:44
OS: Linux Mint

Re: Är Pale Moon en säker webbläsare?

Inlägg av eson57 »

Gunnar Hjalmarsson skrev:Så man har tydligen dragit in möjligheten att skaffa Telia e-legitimation innan de olika webbtjänsterna har öppnat möjligheten att autentisera genom Svenska Pass. Den enda myndighet jag hittills har sett som accepterar Svenska Pass är Skatteverket.

Märkligt hanterat av Skatteverket. Fram tills nu har jag trott att man kunde välja att få ett id med antingen Svenska Pass eller Telia e-legitimation.
Telia har velat lägga ner sin e-leg i åratal, men har förhindrats att göra så i väntan på "Nationellt e-leg". Svenska Pass är slutresultatet av detta storslagna projekt, även om man kanske aldrig kommer att kännas vid det.
Vi kan nog vänta oss att (alla?) statliga myndigheter (möjligen också vissa landsting/kommuner) kommer att så småningom stödja Svenska Pass. Övriga i behov av e-leg, fortsätter att gå i bankkartellens ledband med bank-ID-monopol.
Alltid på kanelen!
Användarvisningsbild
Hund
Inlägg: 16492
Blev medlem: 25 jan 2007, 04:15
OS: Gentoo
Ort: Norrland
Kontakt:

Re: Är Pale Moon en säker webbläsare?

Inlägg av Hund »

JoWa skrev:Jaha?
How-To Geek skrev:Pale Moon’s developer tries to keep up with Firefox security patches, but he’s maintaining old code that Mozilla has abandoned. Mozilla reportedly has over a thousand employees, while Pale Moon has one primary developer, trying to maintain a huge amount of code that’s becoming increasingly outdated.
Vad i detta är det som känns betryggande och förtroendeingivande? Intet, om jag tillåts att svara.

På den tiden hade Firefox (38) en osäker arkitektur, med allt i en och samma process. Sent omsider fick Firefox multiprocessarkitektur, som Chromium och Internet Explorer har haft i ett årtionde. Men Pale Moon står kvar i det förgångna och osäkra. Hela tanken med Pale Moon tycks vara att hålla fast vid allt gammalt, medan andra webbläsare, och webben i stort, rusar framåt. Hoten på nätet står förstås inte heller stilla.
Han försöker inte, han håller jämn takt med relevanta patchar. Jag använder inte Pale Moon själv, men jag gjorde det förr i tiden och utvecklingen av webbläsaren höll alltid en konsekvent hög takt. Det är lite tråkigt att personen på How-to Geek inte vet vad han pratar om. Pale Moon var från början en fork av Firefox, men när hela motorn i princip blivit omskriven döpte man om den och man har sedan länge gått sin egna väg helt oberoende av Firefox. Men givetvis har Moonchild alltid haft noga koll på de säkerhetshål man upptäckt uppströms utifall det är något som berör Pale Moon.
Linuxkompis - En vänlig Linux-gemenskap för alla!
Användarvisningsbild
JoWa
Global Moderator
Inlägg: 7779
Blev medlem: 09 jun 2012, 06:16
OS: Ubuntu
Utgåva: 24.04 Noble Numbat LTS
Ort: Boo
Kontakt:

Re: Är Pale Moon en säker webbläsare?

Inlägg av JoWa »

Det var länge sedan Mozilla brydde sig om brister i Firefox 38, eller i någon version som är äldre än 52. När Firefox 52 ESR går i graven blir det än värre för Pale Moon. Då slutar Mozilla att underhålla all kod som har med den gamla tilläggstekniken att göra.

För den kod som inte kommer från Mozilla vilar allt ansvar på Moonchild, att finna och rätta till bristerna.

Och en webbläsare utan sandlåda är och förblir mycket mer sårbar än en webbläsare med en välgjord sandlåda (som dagens Firefox).
Noble Numbat | Firefox 125β (snap) | Privacy Badger
Skriv svar

Återgå till "Internet"