Sicherheitsheitslücke in Ciscos H.264-Modul für Firefox

    Zitat von Sören Hentzschel

    Du bist jetzt allerdings auf keinen einzigen von all den Punkten eingegangen, die das von dir Geschriebene widerlegt haben.

    Du hast gar nichts widerlegt. Das ist auch gar nicht möglich, außer du bist ein Hellseher.

    Zitat von Sören Hentzschel


    Das mag ein Unterschied sein, ist am Ende aber genauso Quatsch, es besteht überhaupt keine Korrelation zwischen Kommerz und Vertrauenswürdigkeit. Vielleicht bist du dir dessen nicht bewusst, aber Firefox wird von der Mozilla Corporation entwickelt. Die Mozilla Corporation ist ein kommerzieller Ableger der Mozilla Foundation. Würde Firefox von der Mozilla Foundation entwickelt, dann dürfte sich Mozilla auch nicht Non-Profit nennen, dazu ist der Anteil von Spenden am Umsatz viel zu gering. Halten wir also fest: Sowohl der OpenH264-Codec als auch Firefox sind Open Source-Produkte, welche von kommerziellen Unternehmen entwickelt werden. Wo ist der Unterschied in deinen Augen? Damit sind wir wieder bei meinem Punkt: Wenn du A sagst, dann sag auch B, aber du bist inkonsequent und sagst, dass bei Cisco schlecht ist, was bei Mozilla egal ist. Das funktioniert nicht als Argument.

    Cisco hat einen schlechten Ruf in Sachen Sicherheit und zwar aus dem sog. "NSA-Skandal". Mozilla bleibt für mich definitv vertrauensvoller als Cisco. Das hat nichts mit Inkonsequenz zu tun sondern mit Vertrauen.

    Zitat von Sören Hentzschel


    Zunächst einmal ist Firefox ein Produkt und keine Firma und kommunizert als solches keinen Bug. Der nächste Punkt ist, dass Cisco die Sicherheitswarnungen für OpenH264 veröffentlicht hat. Das entsprechende Ticket in Mozillas Bugtracker wurde drei Tage danach eröffnet und bezieht sich auf die Sicherheitswarnungen von Cisco. In diesem Ticket wurde dann sowohl von Cisco als auch von Mozilla festgestellt, dass die Sicherheitslücke nie eine Sichereitslücke in Firefox war. Das Bugzilla-Ticket ist übrigens alles, was es von Mozilla an Kommunikation dazu gab, denn wo keine Sicherheitslücke existiert, bedarf es keiner Kommunikation darüber. Auch in Ciscos Warnungen war von Firefox nie explizit die Rede.

    Macht für mich keinen Unterschied.

    Zitat von Sören Hentzschel


    Also auch hier ist deine Argumentation widerlegt, gleich aus zwei Gründen: Erstens weil zunächst Cisco auf die Sicherheitslücken in OpenH264 öffentlich hingewiesen hat und zweitens weil es nie diese Sicherheitslücken in Firefox gab, es also überhaupt nichst gab, wozu Mozilla hätte gedrängt werden können an Sicherheitslücke einzubauen.

    Und ? Dann ist Cisco der Bösewicht für mich und nicht Mozilla. Vllt. hat ja eine interne Quelle gequatscht und Cisco ist präventativ in die Offensive gegangen. Kluger Schachzug.


    Zitat von Sören Hentzschel


    Auch das kann man so nicht stehen lassen. Dein zweiter Punkt hat nicht nichts mit Verschwörung zu tun, das ist eine Verschwörungstheorie vom Allerfeinsten. Ich weiß ja nicht, was du unter diesem Begriff verstehst, aber was ist bitte eine Verschwörungstheorie wenn nicht die Theorie, dass der Staat auf den Einbau von Bugs in Firefox drängt, welche die Überwachung im Bedarfsfall ermöglicht? Das klingt schon hart paranoid, wenn du meinst, dass so etwas in Firefox unbemerkt möglich wäre.

    Das ist eine Theorie, die aus Medienberichten, Diskussionen und Aussagen von Parteien zustandekommt. Beweisen lässt sich da eh nichts also auch nicht widerlegen.

    Zitat von Sören Hentzschel


    Blind vertrauen sollte man natürlich niemandem, auch Mozilla nicht, aber das sagt sogar Mozilla selbst. Genauer sagte Mozillas heutiger CTO Andreas Gal Anfang des Jahres (zu dem Zeitpunkt war Brendan Eich noch CTO), dass man keinem Softwarehersteller, inklusive Browserhersteller, blind vertrauen soll, was Mozilla ja mit einschließt, denn die Regierung könne jederzeit Hersteller durch Gesetze zu Dingen zwingen, die sie nicht tun wollen, aber tun müssen. Er hat damit dazu aufgefordert, den Quellcode zu überprüfen. Die Tatsache, dass Firefox komplett Open Source ist, ist in diesem Zusammenhang ein Riesen-Vorteil gegenüber allen anderen bedeutenden Browsern. Der Artikel, auf den ich mich beziehe, ist in jedem Fall die Lektüre wert: http://andreasgal.com/2014/01/11/trust-but-verify/

    Na ja, da steht nichts wirklich neues darin aber ganz nett.

    Zitat von Sören Hentzschel


    Aber es ist wieder genau das, was ich die ganze Zeit sage: Alles, was du an Zweifeln hast, was Cisco betrifft, musst du ganz genauso auf Mozilla anwenden. Du kannst nicht davon ausgehen, dass Mozilla böse Absichten hat. Die kannst auch Cisco nicht unterstellen. Und wenn du in den Bereich gehst, dass die Regierung ja etwas verlangen könnte, dann gibt es keinen Grund, Mozilla mehr zu vertrauen, denn Mozilla unterliegt denselben Gesetzen. Aber die offene Natur von Mozilla macht es sehr unwahrscheinlich, dass da Dinge unbemerkt vor sich gehen. Einschließlich des Cisco-Plugins, welches auch Open Source und überprüfbar ist.

    Wie bereits gesagt. Cisco hat schon einen gewissen "Ruf" und ist als großes Kommunikationsunternehmen geeignet für Manipulationen von staatlicher Seite. Einige Politiker wollen das ja sogar. Angeblich nur zum Schutz vor Terror aber letztendlich geht es um die totale Überwachung. Ist kein Märchen sondern leider schon fast Realität.

    Zitat von Sören Hentzschel


    Auch dieser Absatz ist vollkommener Quatsch. Wo soll ich nur anfangen? Damit, dass es in Firefox für kein einziges Plugin eine Deinstallationsmöglichkeit gibt? Oder damit, dass die Installation des OpenH264-Codecs via about:config deaktiviert werden kann? Der wichtigste Punkt aber ist: bei welchem anderen Feature wirst du vorher gefragt, ob du es installieren möchtest? Genau: bei keinem einzigen. Letztlich ist das ein Feature wie jedes andere auch. Der einzige Grund, wieso es als Plugin umgesetzt ist, ist die Tatsache, dass dies die einzige legale Möglichkeit ist, den Codec an die vielen Millionen Firefox-Nutzer auszuliefern, ohne einen Millionenbetrag an Lizenzgebühren zahlen zu müssen. H.264 ist nun einmal nicht nur der beste Codec für WebRTC, es ist dazu ein Codec, in dem viel patentierte Technologie steckt und der nicht kostenlos an die Nutzer ausgeliefert werden darf. Darüber hinaus wurde vor ein paar Tagen bekannt gegeben, dass H.264 verpflichtend für WebRTC ist, das bedeutet, ein Browser, der H.264 in WebRTC nicht unterstützt, darf sich nicht WebRTC-kompatibel nennen. Also die Tatsache, dass du hervorhebst, dass es vermeintlich viele gibt, die das so sehen wie du, ändert nichts daran, dass das extrem viele Firefox-Nutzer tangiert, denn WebRTC ist nichts, was nur von einem ganz kleinen Teil der Nutzer genutzt wird.

    Sogar in deinem Blog wird darüber gestritten dass einem das Plugin "untergeschoben" wird. Als Nutzer möchte ich die Wahl haben ob ich einen Dienst nutze oder nicht. Also hätte das beim Update als Option (JA/NEIN) verfügbar gewesen sein sollen.
    So bin ich es bisher vom Firefox gewohnt.

    Zitat von Sören Hentzschel


    Und wenn du schon den Vergleich mit Plugins ziehst, worauf ich am Anfang dieses Absatzes sogar eingestiegen bin, dann ist dir aber schon klar, dass Gecko Media Plugins mit NPAPI-Plugins nichts zu tun haben, oder? Der OpenH264-Codec ist das derzeit einzige Gecko Media Plugin, welches auf diesem Planeten existiert. Es wird mit dem Adobe Content Decryption Module (CDM) noch ein zweites für EME dazu kommen, aber das ist Zukunft. Darüber hinaus hat das ja sogar noch einen Riesen-Vorteil für Endanwender: es kann per Knopfdruck deaktiviert werden. Kann man sonst auch mit kaum einen Feature in Firefox, das ist ja noch leichter als about:config zu verwenden.

    Damit kann ich leider nichts anfangen.

    Zitat von Sören Hentzschel


    Offensichtlich bist du dir dessen kein bisschen bewusst, ansonsten würde dein Beitrag nicht so aussehen und du würdest nicht von Schaden sprechen. Welcher Schaden entsteht bitte? Welche negativen Auswirkungen? Du konntest nicht einen einzigen Negativ-Aspekt nennen, in dem sich das von anderen Teilen von Firefox unterscheidet. Nochmal der Bezug zu meinen vorherigen Beiträgen: All die anderen Teile von Firefox, die nicht von Mozilla stammen, über die hab ich dich noch nie auch nur ein einziges Wort verlieren sehen. Aber bei Cisco ist es ein Problem? Und sag nicht, dass du das nicht wusstest, ich habe in diesem Thread bereits mehrfach den Punkt gebracht, spätestens im Laufe der Diskussion hast du das gelernt. Deine Argumentation ist von vorne bis hinten unschlüssig.

    Das hast du im Prinzip in deinem letzten Absatz selber gesagt : "Code in OpenH264 kann genauso gut oder schlecht ausgenutzt werden wie Code, der von Mozilla kommt, da besteht absolut kein Unterschied".
    Die Art des Schadens kann man nicht vorhersagen. Spionage, Enttarnung, Identifizierung von Dissidenten uvm.

    So, jetzt muss ich weg, sonst schimpft wer.... :)

    Zitat von Darklord666

    Warum wird das Web-RTC-Plugin einem aufgezwungen, wenn man doch Videokonferenzen gar nicht benötigt ?

    Das wird dir genauso sehr "aufgezwungen" wie jedes andere Feature auch. Das ist der Punkt, den du nicht zu verstehen scheinst: Firefox hat unzählige Features, die meisten Nutzer benötigen nur einen Bruchteil. Als Produkt für die Massen muss Mozilla aber Massen glücklich machen. Ein Browser, der von Haus aus nichts kann, ist nicht konkurrenzfähig. Würde der Codec direkt mit Firefox ausgeliefert wie alles andere, dann würdest du diese Diskussion überhaupt nicht führen, das gilt mal als sicher, denn ansonsten müsstest du diese Diskussion längst über all die anderen Dinge führen, die du bei Firefox nicht nutzt, was du aber nicht tust. Die Umsetzung als Plugin hat lediglich lizenztechnische Gründe. Aber abgesehen davon bringt diese Implementierung Vorteile wie die Ausführung in einer Sandbox, die Tatsache, dass man getrennt von Firefox Updates dafür erhalten kann und die Möglichkeit das zu deaktivieren. Sprich: Für den Endanwender kann dies nur ein Vorteil und kein Nachteil sein. Selbst den Download kann man deaktivieren wenn man möchte. Die Möglichkeit hast du bei anderen Features nicht. Hier von einem Zwang sprechen zu wollen ergibt also absolut keinen Sinn, da die Situation ja eher besser als schlechter ist.

    Zitat von Darklord666

    ich habe irgendwo bei Bugzilla gelesen, dass VPN-Nutzer mit diesem Plugin identifiziert werden können. Das sei "per Design". Was ist dann mit den ganzen Internetaktivisten, die auch Firefox-Nutzer sind ?

    Da ich keine Ahnung habe, wovon du hier sprichst, kann ich dazu nichts sagen.

    Zitat von Darklord666

    Cisco hat einen schlechten Ruf in Sachen Sicherheit und zwar aus dem sog. "NSA-Skandal". Mozilla bleibt für mich definitv vertrauensvoller als Cisco. Das hat nichts mit Inkonsequenz zu tun sondern mit Vertrauen.

    Das ergibt doch keinen Sinn. Einerseits machst du hier einen auf schwer besorgt von wegen NSA und allem, andererseits zeigst du dich extrem naiv, indem du sagst, >das ist Mozilla, denen vertraue ich einfach<. Nochmal: Mozilla muss sich an die gleichen Gesetze halten wie Cisco. Im Übrigen ist für mich der Zusammenhang NSA-Skandal und Ruf in Bezug auf Sicherheit auch nicht nachvollziehbar, da ging es ja nun wirklich wenig um Kompetenz in Sicherheitsfragen.

    Zitat von Darklord666

    Macht für mich keinen Unterschied.

    Äh, dir ist schon klar, dass das sogar einen riesigen Unterschied macht, weil es deinen Punkt vollkommen obsolet macht?

    Zitat von Darklord666

    Und ? Dann ist Cisco der Bösewicht für mich und nicht Mozilla. Vllt. hat ja eine interne Quelle gequatscht und Cisco ist präventativ in die Offensive gegangen. Kluger Schachzug.

    Welchen Teil von >Firefox ist nicht betroffen und das kann einfach überprüft werden< hast du nicht verstanden? Noch sehr viel einfacher kann man es nicht formulieren. Und zu deinen letzten beiden Sätzen fällt mir wirklich nicht mehr ein als: Aiaiai… das ist schon so lächerlich, dass es mir wirklich schwer fällt, dafür Worte zu finden.

    Zitat von Darklord666

    Das ist eine Theorie, die aus Medienberichten, Diskussionen und Aussagen von Parteien zustandekommt. Beweisen lässt sich da eh nichts also auch nicht widerlegen.

    Wie deine Theorie zustandekommt ist unerheblich, man nennt das Verschwörungstheorie.

    Zitat von Darklord666

    Wie bereits gesagt. Cisco hat schon einen gewissen "Ruf" und ist als großes Kommunikationsunternehmen geeignet für Manipulationen von staatlicher Seite. Einige Politiker wollen das ja sogar. Angeblich nur zum Schutz vor Terror aber letztendlich geht es um die totale Überwachung. Ist kein Märchen sondern leider schon fast Realität.

    Jetzt komm doch bitte nicht so, dass Cisco eine Kommunikationsunternehmen und darum geeignet für Manipulation von staatlicher Seite und darum nicht vertrauenswürdig sei. Mozilla arbeitet auch noch mit einigen anderen Telekommunikationsunternehmen zusammen, unter anderem Telefónica und Deutsche Telekom. Wenn dich das wirklich besorgt, dann bleibt dir nichts anderes übrig als den Stecker zu ziehen, denn Mozilla kannst du unter diesen Voraussetzungen unmöglich vertrauen, Mozilla ist es schließlich, die mit denen zusammenarbeiten, dazu zwingt Mozilla niemand. Und da andere Browserhersteller kaum vertrauenswürdiger sind, sieht es für dich ganz düster aus, was Browser betrifft.

    Zitat von Darklord666

    Sogar in deinem Blog wird darüber gestritten dass einem das Plugin "untergeschoben" wird. Als Nutzer möchte ich die Wahl haben ob ich einen Dienst nutze oder nicht. Also hätte das beim Update als Option (JA/NEIN) verfügbar gewesen sein sollen.
    So bin ich es bisher vom Firefox gewohnt.

    In meinem Blog wird nicht "gestritten". Und um die Nutzung eines Dienstes geht es überhaupt nicht, OpenH264 ist kein Dienst. Das klingt, als wüsstest du nicht einmal, wogegen du eigentlich bist. Firefox besteht aus einem Haufen Komponenten, die mitgeliefert werden müssen, hier ist der Unterschied lediglich der Download statt der direkten Auslieferung. Nochmal: Das macht für dich als Nutzer absolut null Unterschied und hat nur lizenztechnische Gründe. Ist das echt so schwer zu verstehen? Das hätte ich niemals angenommen. Und erzähl uns hier doch keine Märchen! So bist du es bisher von Firefox gewohnt? Lass mich meine Aussage von weiter oben als Frage formulieren, die du bitte beantwortest: Bei welchem anderen Feature von Firefox wirst du vorher gefragt, ob die benötigten Teile installiert werden sollen? Nenne mir nur ein einziges Beispiel. Das dürfte schwierig genug werden.

    Zitat von Darklord666

    Damit kann ich leider nichts anfangen.

    Ganz einfach: Du hast einen Vergleich mit anderen Plugins gezogen. NPAPI-Plugins. Der OpenH264 als Gecko Media Plugin hat damit überhaupt nichts zu tun außer dass es im Add-on Manager in der Plugin-Kategorie ist, das ist technisch etwas vollkommen anderes.

    Und EME steht für Encrypted Media Extensions, das ist quasi DRM im Web. Hierfür benötigt der Browser ein Decryption-Modul und dieses wird in Firefox ein Gecko Media Plugin sein.

    Zitat von Darklord666

    Das hast du im Prinzip in deinem letzten Absatz selber gesagt : "Code in OpenH264 kann genauso gut oder schlecht ausgenutzt werden wie Code, der von Mozilla kommt, da besteht absolut kein Unterschied".
    Die Art des Schadens kann man nicht vorhersagen. Spionage, Enttarnung, Identifizierung von Dissidenten uvm.

    Was ich gesagt habe ist, dass deine ganze Sorge keinen Sinn ergibt, wenn du sie ausschließlich auf Cisco und nicht auch auf Mozilla anwendest. Du kannst nicht A sagen ohne B zu sagen. Wenn schon Paranoia, dann bitte richtig. Ansonsten gar nicht. Alles dazwischen ist unglaubwürdig.

    Zitat von pencil


    Haha, der ist gut.

    Ich würde es eher traurig als gut nennen. ;)

    Zitat von heise-Forum am 31. Januar 2012

    Heise-Berichterstattung über Firefox nur noch peinlich
    Es ist bezeichnend, dass ein 22jähriger Blogger (Sören Hentzschel) regelmäßig bessere Infos zu Mozilla liefert als das größte deutsche IT-Portal.

    http://www.heise.de/newsticker/for…-21370043/read/

    War nicht der einzige Beitrag dieser Art, den ich dort im Laufe der Jahre gelesen habe. ;)

    Nicht das wir uns falsch verstehen: das du besser als jeder Heise-Redakteur über den Fx informiert bist, unterschreibe ich sofort. :!:
    Aber das die dort NICHT recherchieren würden, halte ich für ausgemachten Blödsinn. Sie mögen schlecht, schlampig, oberflächlich, flach, extensiv, ... etc recherchieren, aber GAR NICHT? :?

    Ich meine nicht gar nicht, ich lese nämlich wenn überhaupt nur die Artikel über Mozilla, da andere Portale interessanter für mich sind, sprich den Großteil kenne ich nicht, aber was Artikel zu Mozilla-Themen betrifft, da gab es schon genug unterirdisch recherchierte Artikel, die mich in einem Extremfall sogar schon zu einer Korrektur des Heise-Artikels auf meinem Blog veranlasst haben, weil das so bitter war, dass ich das nicht unkommentiert stehen lassen konnte. Und in den Kommentaren (die für sich ja bei heise auch keinen Preis gewinnen würden) gibt es nicht selten Klagen über die Qualität von heise. Wenn dich die Formulierung keine recherchierten Arikel stört, ergänze es gerne um ein kleines Wort zu keine gut recherchierten Artikel. Ich sage nicht, dass es das nicht geben würde, gibt es auch, aber ich erwarte es wirklich schon lange nicht mehr von denen, ich halte es für ein bestenfalls durchschnittliches IT-Portal. ;)

    Sorry Sören aber irgendwie klingt das für mich wie Blabla und Sicherheitsinteressen werden dabei nicht wirlich zur Kenntnis genommen. Ich fühle mich selber gar nicht mal betroffen und sehe das ganz global.
    Siehe z.B. den Bugzillathread https://bugzilla.mozilla.org/show_bug.cgi?id=1100304.
    Da ist sicher nicht das letzte Wort gesprochen und die Probleme, die ich ansprach kommen evtl. erst in einigen Monaten zum Vorschein, eben wenn das Plugin weitere Sicherheitsprobleme darstellt, was bei Plugins nunmal so üblich ist.
    Deshalb halte ich es auch nicht für in Ordnung, das Mozilla einem das Plugin aufzwingt.
    Außerdem ist die Frage ob man ein Unternehmen als vertrauensvoll einstuft eine subjektive Entscheidung. Da gibts kein A und B. Von Verschörung oder Paranoia zu reden halte ich für überzogen, da auch Nachrichtenberichte diese "Theorie" unterstützen.

    Ich komme erst jetzt zum Lesen der Antwort in diesem Thread…

    Zitat von Darklord666

    Sorry Sören aber irgendwie klingt das für mich wie Blabla und Sicherheitsinteressen werden dabei nicht wirlich zur Kenntnis genommen. Ich fühle mich selber gar nicht mal betroffen und sehe das ganz global.
    Siehe z.B. den Bugzillathread https://bugzilla.mozilla.org/show_bug.cgi?id=1100304.
    Da ist sicher nicht das letzte Wort gesprochen und die Probleme, die ich ansprach kommen evtl. erst in einigen Monaten zum Vorschein, eben wenn das Plugin weitere Sicherheitsprobleme darstellt, was bei Plugins nunmal so üblich ist.

    Du erwartest hoffentlich nicht, dass ich mich an wilder Spekulation beteilige, was theoretisch irgendwann einmal sein könnte. Mich interessieren nur Fakten. Und Fakt ist, dass es hier kein Sicherheitsproblem in Firefox gab. Darum ergibt die Formulierung "weitere Sicherheitsprobleme" auch keinen Sinn für Firefox. Und das Ticket, welches du verlinkt hast, schmeckt sehr stark nach WONTFIX, denn der Download des Plugins funktioniert genauso wie gewollt. Im Übrigen wäre Firefox sowieso durch die Sandbox geschützt gewesen.

    Zitat von Darklord666

    Deshalb halte ich es auch nicht für in Ordnung, das Mozilla einem das Plugin aufzwingt.

    Ich frage mich wirklich, wie oft man dir etwas so Einfaches noch erklären muss. Soll ich vielleicht ein Bild malen? Denn mit Worten kann ich es nicht noch einfacher erklären. Mozilla hätte das auch direkt in Firefox integrieren können, dann hättest du auch nichts gesagt. Dass es von einem Drittanbieter stammt, kann kein Argument sein, ohne Drittanbieter-Komponenten gibt es Firefox nicht, OpenH264 ist nur einer von vielen Teilen, die nicht von Mozilla selbst stammen, das gilt für ausnahmslos alle Browser. Es gibt keinen relevanten Browser, der nur Code vom Browserhersteller selbst besitzt. Die Umsetzung als Plugin hat nur lizenzrechtliche Gründe und bietet darüberhinaus Vorteile.

    Du stellst die Plugin-Umsetzunh dar, als würde dadurch ein Nachteil entstehen, die Wahrheit ist aber genau umgekehrt: dadurch kann das Plugin unabhängig von Firefox aktualisiert werden, was auch ein großes Sicherheitsplus ist, weil es kein Firefox-Update benötigt, um das Plugin zu aktualisieren, auch ermöglicht dies die Ausführung in einer Sandbox, was ansonsten auch nicht zutreffen würde, das ist ein Feature der Gecko Media Plugins, damit ein weiteres großes Sicherheitsplus, außerdem kannst du es per Knopfdruck deaktivieren - was mit den wenigsten anderen Firefox-Features geht. Ansonsten macht das keinen Unterschied, ob Plugin oder direkt integriert. Diese Aussage von dir ergibt also einfach keinen Sinn.

    Zitat von Darklord666

    Außerdem ist die Frage ob man ein Unternehmen als vertrauensvoll einstuft eine subjektive Entscheidung. Da gibts kein A und B. Von Verschörung oder Paranoia zu reden halte ich für überzogen, da auch Nachrichtenberichte diese "Theorie" unterstützen.

    Vertrauen mag subjektiv sein, nichtsdestominder muss das auf einer sachlichen Grundlage basieren. Und ich halte es absolut nicht für überzogen, von Verschwörungstheorie zu sprechen, da die Beiträge, auf die ich das bezogen habe, für mich genau das sind. Vielleicht verstehen wir beide unter dem Begriff Verschwörungstheorie ja etwas anderes. Es ist letztlich aber sowas von egal, ob wir das nun so nennen oder nicht, das ist ein Begriff, auf den wir gerne auch verzichten können, das ändert inhaltlich nichts an dem hier Geschriebenen und der Tatsache, dass du Probleme herbeiredest, die nicht existieren, und nicht verstehst, dass durch die Umsetzung als Plugin kein Nachteil entsteht, sondern nur Vorteile.

    Hi Sören,

    wir sind hier einfach unterschiedlicher Meinung und ich denke das ist o.k. 8)
    Es gibt offenbar ja auch Leute, die auch bei Bugzilla meiner Auffassung sind, z.B. Lukas Bratch.
    "Indeed. To be clear, I wasn't saying that Firefox is affected, but strengthening the ideas that:

    1) Plugins from a different project increase vulnerability risk, whether binary or source
    2) One cannot verify or trust whether Firefox is affected, due to the nature of the precompiled binaries *

    Both issues would be less severe with an informed user choice following a prompt, which is what this bug report is about.

    * I have seen the suggestion of the binaries being verifiable in other bug reports, but have not yet seen a recipe for compiling an identical binary."

    Von mir aus kann man den Deckel auf diesen Faden legen, er strotzt nur von Paranoia.

    Zitat von Darklord666

    1) Plugins from a different project increase vulnerability risk, whether binary or source

    Und das ist nun der große Unterschied bei den Plugins ?

    Zitat von Darklord666

    One cannot verify or trust whether Firefox is affected, due to the nature of the precompiled binaries

    Ich kenne keinen Menschen, der z.B. ein Flash überprüfen könnte, Das gilt aber auch für den restlichen Krempel.

    Ein gemeines Plugin entfacht seine Wirkung im Plugin-Container, d.h. ein getrennter Prozess, der keinerlei Zugriff auf Daten des Fx erreichen kann. Die einzigsten Schnittstellen sind die NAPI und diese Schnittstelle wird geflissentlich geprüft.