Alles Wissenswerte zu Firefox ESR 78 inklusive Unterschiede zu Firefox 78
-
Sören Hentzschel -
30. Juni 2020 um 15:32 -
5.043 Mal gelesen -
3 Antworten
- Firefox ESR 78: Kein WebRender
- Firefox ESR 78: System-Zertifikate
- Firefox ESR 78: Deaktivierte MITM-Erkennung
- Nur in Firefox ESR 78: Deaktivierbare Signaturpflicht für Add-ons
- Nur in Firefox ESR 78: Zusätzliche Enterprise Policy
- Folgende Unterschiede aus Firefox ESR 68 existieren nicht mehr
- Alle Neuerungen zwischen Firefox ESR 68 und Firefox ESR 78
-
Sonstiges Wissenswertes für Unternehmens-Administratoren
- Unternehmensrichtlinien und Enterprise Policy Generator
- MSI-Installer für Windows
- pkg-Installer für Apple macOS
- Nutzer von Apple macOS 10.9 bis 10.11 werden auf Firefox ESR 78 migriert
- Veraltete Sicherheits-Protokolle werden nicht länger unterstützt
- Dedizierte Profile pro Installation abschalten
- Downgrade-Schutz abschalten
- Dokumentation für System-Administratoren
Mozilla hat heute Firefox 78 veröffentlicht. Firefox 78 ist gleichzeitig die neue Basis für Firefox ESR, die Firefox-Version mit Langzeitunterstützung. Während Firefox 78 und Firefox ESR 78 grundsätzlich identisch sind, gibt es doch ein paar wichtige Unterschiede zwischen beiden Versionen. Auch sonst gibt es einiges Wissenswertes für System-Administratoren.
Mozilla hat Firefox 78 und Firefox ESR 78 veröffentlicht. Nutzer von Firefox ESR 68 haben noch zwölf Wochen Zeit, ehe sie mit Erscheinen von Firefox 81 und Firefox ESR 78.3 am 22. September 2020 automatisch auf Firefox ESR 78 migriert werden. Wie schon Firefox ESR 68 unterscheidet sich auch Firefox ESR 78 in ein paar Aspekten von seinem Mainstream-Pendant.
Download Mozilla Firefox ESR 78
Firefox ESR 78: Kein WebRender
WebRender stammt wie die mit Firefox 57 eingeführte CSS-Engine Stylo ebenfalls aus Mozillas Next-Generation-Engine Servo und ist in der Programmiersprache Rust geschrieben. Es handelt sich bei WebRender um einen Renderer für Webseiten-Inhalte, welcher unter stärkerer Einbeziehung der Grafikkarte als bisher im Grunde wie eine Spiele-Engine arbeitet, aber für das Rendering von Web-Content optimiert ist und dadurch große Performance-Vorteile liefern soll.
Mit Firefox 67 hat es WebRender erstmals in eine finale Version von Firefox geschafft, allerdings erst für einen kleinen Teil der Nutzer. Während Mozilla WebRender weiter verbessert und für immer mehr Nutzer aktiviert, wird WebRender in Firefox ESR 78 für alle Nutzer komplett deaktiviert bleiben.
Firefox ESR 78: System-Zertifikate
Standardmäßig nutzt Firefox seinen eigenen Zertifikatsspeicher und bietet damit eine erhöhte Sicherheit gegenüber anderen Browsern. Im Unternehmensumfeld jedoch ist es häufig gewünscht, dass Zertifikate aus dem Zertifikatsspeicher des Betriebssystems genutzt werden. Darum ist dies in Firefox ESR 78 standardmäßig aktiviert.
Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:
security.enterprise_roots.enabled
Firefox ESR 78: Deaktivierte MITM-Erkennung
Nicht nur Schadsoftware, auch sogenannte „Sicherheits“-Software unterbricht verschlüsselte Verbindungen (das heißt Verbindungen über https://) immer wieder, um die Inhalte zu lesen, bevor diese den Browser erreichen, und verkauft dies dann auch noch als Feature. Man spricht dabei von einem sogenannten Man-in-the-Middle („MITM“). Die Folge für Firefox-Nutzer ist aufgrund der häufig mangelhaften Implementierung in einigen Fällen, dass Firefox keine Verbindungen über https:// mehr herstellen kann. Firefox 78 kann Verbindungsprobleme aufgrund von MITM erkennen. Dazu setzt Firefox im Problemfall die Option security.enterprise_roots.enabled auf true und versucht die Verbindung erneut. Funktioniert dies, lässt Firefox die Option auf true, ansonsten wird die Option auf false zurückgesetzt.
Da Firefox ESR 78 den Import von System-Zertifikaten standardmäßig zulässt, ist die MITM-Erkennung in Firefox ESR 78 standardmäßig deaktiviert.
Zur Aktivierung muss der folgende Schalter über about:config auf true geschaltet werden:
security.certerrors.mitm.auto_enable_enterprise_roots
Nur in Firefox ESR 78: Deaktivierbare Signaturpflicht für Add-ons
Zum Schutz seiner Nutzer hat Mozilla eine Signaturpflicht für Add-ons in Firefox eingeführt, welche seit Firefox 43 standardmäßig aktiviert ist. Diese kann nur in Nightly-Builds sowie in der Developer Edition von Firefox deaktiviert werden, nicht in Beta- oder finalen Versionen. Die ESR-Version von Firefox 78 erlaubt auch in der finalen Ausführung die Deaktivierung der Signaturpflicht.
Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:
xpinstall.signatures.required
Achtung: Es ist aus Sicherheitsgründen nicht empfohlen, die Signaturpflicht für Erweiterungen zu deaktivieren. Wer seine Erweiterungen ausschließlich über addons.mozilla.org bezieht, findet außerdem in der Regel sowieso ausschließlich signierte Erweiterungen vor.
Nur in Firefox ESR 78: Zusätzliche Enterprise Policy
Seit Firefox 60 liefert Mozilla seine Enterprise Policy Engine aus. Damit ist es für Systemadministratoren möglich, Firefox für die Verteilung im Unternehmen vorzukonfigurieren, wofür bis einschließlich Firefox ESR 52 gerne der sogenannte CCK2 Wizard benutzt worden ist, der allerdings mit Firefox 57 und höher nicht kompatibel ist.
Die SearchEngines-Policy zum Konfigurieren der Suchmaschinen funktioniert ausschließlich in Firefox ESR.
Folgende Unterschiede aus Firefox ESR 68 existieren nicht mehr
Folgende Unterschiede existierten noch zwischen Firefox 68 und Firefox ESR 68, aber nicht mehr zwischen Firefox 78 und Firefox ESR 78:
Service Workers in Firefox ESR verfügbar
Service Workers bezeichnen einen Webstandard, der praktische Anwendungsfälle für moderne Webapplikationen ermöglicht. Firefox unterstützt Service Workers bereits seit Version 44. In Firefox ESR 45, Firefox ESR 52, Firefox ESR 60 und auch noch in Firefox ESR 68 standen Service Workers allerdings nicht zur Verfügung. Mit Firefox ESR 78 sind Service Workers erstmals auch in Firefox ESR verfügbar.
Push-Benachrichtigungen stehen zur Verfügung
Ebenfalls waren Push-Benachrichtigungen bis Firefox ESR 68 noch standardmäßig deaktiviert, da diese Service Workers als technische Voraussetzung haben. Mit der Aktivierung von Service Workers stehen auch Push-Benachrichtigungen ab Firefox ESR 78 zur Verfügung.
Alle Neuerungen zwischen Firefox ESR 68 und Firefox ESR 78
Für einen Überblick über alle wichtigen Neuerungen zwischen Firefox ESR 68 und Firefox ESR 78 empfiehlt sich die Lektüre der Artikel über die Neuerungen der entsprechenden Major-Releases:
- Neuerungen Firefox 69
- Neuerungen Firefox 70
- Neuerungen Firefox 71
- Neuerungen Firefox 72
- Neuerungen Firefox 73
- Neuerungen Firefox 74
- Neuerungen Firefox 75
- Neuerungen Firefox 76
- Neuerungen Firefox 77
- Neuerungen Firefox 78
Sonstiges Wissenswertes für Unternehmens-Administratoren
Unternehmensrichtlinien und Enterprise Policy Generator
Firefox lässt sich mittels zahlreicher Unternehmensrichtlinien konfigurieren. Dabei gibt es verschiedene Wege: Plattformübergreifend auf Windows, Apple macOS sowie Linux über eine Datei policies.json, via GPO auf Windows oder via .plist-Datei auf Apple macOS.
Die von mir entwickelte Erweiterung Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Die Erweiterung bietet eine einfach verständliche Oberfläche, über welche alle verfügbaren Policies ganz einfach zusammengeklickt werden können, ohne dass Kenntnisse irgendeiner Art notwendig wären – inklusive Möglichkeit, Konfigurationen zu speichern oder für andere Systeme zu exportieren und zu importieren.
Download Enterprise Policy Generator für Firefox
In der aktuellen Version unterstützt der Enterprise Policy Generator noch nicht alle von Firefox 78 unterstützten Unternehmensrichtlinien. Im Juli soll ein großes Update für den Enterprise Policy Generator erscheinen, welches die Unterstützung für zahlreiche neue Unternehmensrichtlinien bringen wird.
MSI-Installer für Windows
Um System-Administratoren im Unternehmen das Anpassen und Verteilen von Firefox einfacher zu machen, bietet Mozilla anpassbare MSI-Installer für Firefox ESR auf Windows 7 und höher an.
MSI-Installer erlauben die Anpassung über eine MST-Datei und können über die auf Windows üblichen Deployment-Tools wie Active Directory oder Microsoft System Center Configuration Manager verteilt werden. Mozilla hat eine Dokumentation zu den MSI-Installern veröffentlicht.
Download MSI-Installer von Firefox ESR 78
pkg-Installer für Apple macOS
Ähnlich zu den MSI-Installern für Windows gibt es pkg-Installer für Apple macOS.
Download pkg-Installer von Firefox ESR 78
Nutzer von Apple macOS 10.9 bis 10.11 werden auf Firefox ESR 78 migriert
Nutzer der Mainstream-Version von Firefox auf Apple macOS 10.9 bis 10.11 werden automatisch auf Firefox ESR 78 migriert und erhalten damit mit Firefox ESR 78 ihr letztes Feature-Update. Nach einem weiteren Jahr Sicherheits-Updates durch Firefox ESR 78 ist für Nutzer von Apple macOS 10.9 bis 10.11 danach Schluss. Bereits Firefox 79 lässt sich auf diesen macOS-Versionen nicht einmal mehr starten.
Veraltete Sicherheits-Protokolle werden nicht länger unterstützt
Unternehmen sollten sicherstellen, dass ihre Seiten üblichen Sicherheits-Standards folgen. Denn mit Firefox 78 unterstützt Firefox nicht länger die veralteten Sicherheitsprotokolle TLS 1.0 sowie 1.1. Das Sicherheitsprotokoll TLS 1.0 ist bereits über 21 Jahre alt. TLS 1.1 bot nur geringfügige Verbesserungen gegenüber TLS 1.0. Aus Sicherheitsgründen ist daher das 2008 finalisierte TLS 1.2 oder noch besser das 2018 finalisierte TLS 1.3 zu nutzen. Ansonsten sieht der Benutzer nur eine Fehlerseite. Außerdem unterstützt Firefox 78 nicht länger die veralteten DHE-Chiffresuiten TLS_DHE_RSA_WITH_AES_128_CBC_SHA sowie TLS_DHE_RSA_WITH_AES_256_CBC_SHA.
Dedizierte Profile pro Installation abschalten
Lesezeichen, Chronik, Erweiterungen, Passwörter, Einstellungen – diese und noch weitere Dinge werden in einem sogenannten Profil gespeichert. Verschiedene Firefox-Installationen nutzen bisher standardmäßig immer das gleiche Profil.
Seit Firefox 67 nutzt der Mozilla-Browser dedizierte Profile pro Installation. Das heißt, dass wenn ein Nutzer mehrere Firefox-Installationen hat, jede dieser Installationen ein eigenes Profil verwendet und damit standardmäßig nicht länger in allen Installationen automatisch die gleichen Lesezeichen, die gleiche Chronik etc. zur Verfügung stehen.
Gerade im Unternehmensumfeld kann dies unerwartet sein. Über eine Umgebungsvariable mit beliebigem Wert kann dieses Feature abgeschaltet werden:
MOZ_LEGACY_PROFILES
Wie Umgebungsvariablen angelegt werden, ist der Dokumentation des jeweiligen Betriebssystems zu entnehmen.
Downgrade-Schutz abschalten
Ein anderes Feature seit Firefox 67 ist ein Downgrade-Schutz. Firefox verhindert, dass der Browser mit einem Profil gestartet wird, welches bereits mit einer neueren Firefox-Version genutzt worden ist. Auch dieses Feature kann über eine Umgebungsvariable mit beliebigem Wert abgeschaltet werden:
MOZ_ALLOW_DOWNGRADE
Alternativ dazu kann Firefox mit dem folgenden Kommandozeilen-Argument gestartet werden:
--allow-downgrade
Dokumentation für System-Administratoren
Hier gibt es spezielle Hilfe-Seiten für die Administration von Firefox im Unternehmen.
Der Beitrag Alles Wissenswerte zu Firefox ESR 78 inklusive Unterschiede zu Firefox 78 erschien zuerst auf soeren-hentzschel.at.
Antworten 3