Firefox erfordert in Zukunft Signierung von Add-ons

  • Hallo Sören,

    das klingt ja mal sehr interessant! Mal sehen ob sich das hier:

    Zitat

    Es gibt derzeit keine Pläne, die Signierung von Add-ons auch für Thunderbird oder SeaMonkey einzuführen.

    noch ändern wird. Immerhin wäre ich dann mit clamdrib ja auch betroffen, also lasse ich mich da mal überraschen.

    Auf jeden Fall finde ich das eine gute Idee von Mozilla, da es ja leider auch in diesem Bereich schwarze Schafe gibt.

    Grüße aus Augsburg

    Mike, TmoWizard

  • Verfällt denn die Signierung irgendwie, wenn ich in einem AMO-Addon herumrühre, um eine inoffizielle Übersetzung zur Verfügung stellen zu können?

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

  • Zu Thunderbird gab's einen Kommentar in der offiziellen Ankündigung:

    Zitat

    Speaking for Thunderbird, we discussed that today in our regular planning meeting. I don’t think we have made any decision yet about whether this is something that we would like, but in any case we already have way too many critical things we are trying to do before Thunderbird 38. So we are unlikely to try to get this into Thunderbird 38 unless we are forced to do so (which it sounds like is not the case).

    We also could not give good examples of cases where addon malware has been an issue in Thunderbird. If anyone is aware of previous history of issues, I would like to hear about it.

    My own opinion is that we would probably try to use addon signing in the future if it is easily compatible with Thunderbird, but that needs to b discussed with others.

    R Kent James
    Chair, Thunderbird Council

    https://blog.mozilla.org/addons/2015/02…#comment-212513

    milupo: Ich bin mir da auch nicht ganz sicher, vermutlich aber schon. Ich werde versuchen, eine sichere Aussage in Erfahrung zu bringen.

  • Zitat von Sören Hentzschel

    milupo: Ich bin mir da auch nicht ganz sicher, vermutlich aber schon. Ich werde versuchen, eine sichere Aussage in Erfahrung zu bringen.


    Hallo Sören,

    ich danke dir dafür schon mal im voraus.

    Grüße
    milupo

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

  • Zitat von Boersenfeger

    Ich hoffe nicht, das dadurch wieder einige Entwickler, warum auch immer, den Bettel hinschmeißen... :|


    Davon kannst Du definitiv ausgehen. Wie ich das sehe, ist dann unsere Arbeit, was die Übersetzungen betrifft,
    vorbei. Dann können wir hier im Forum diesbezüglich nichts mehr machen. Auch Modifikationen in welche Richtung
    auch immer werden nicht mehr möglich sein.
    Das ist in meinen Augen eine große Sauerei. Könnte eventuell unter Umständen, ein weiterer Sargnagel für den Fuchs sein.

    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

    Einmal editiert, zuletzt von Endor (11. Februar 2015 um 14:47)

  • Zitat von Endor

    Das ist in meinen Augen eine große Sauerei. Könnte eventuell unter Umständen, ein weiterer Sargnagel für den Fuchs sein.

    Umgekehrt wird ein Schuh draus. Der Sargnagel sind die ganzen Anwendungen, die Firefox gegen den Willen des Nutzers manipulieren, seien es geänderte Startseiten und Suchmaschinen, Einblenden von Werbung bis hin zu Malware. Am Ende ist Firefox die Anwendung, die Probleme hat und den Nutzer veranlasst, den Browser zu wechseln. Da von einer Sauerei von Mozilla zu sprechen, das ist schon ziemlich extrem, wenn man bedenkt, dass es hier darum geht, den Nutzer zu schützen. Und eine solche Maßnahme ist längst überfällig, es wird ja nicht besser, ganz im Gegenteil, es nimmt immer mehr zu. Und die Entwickler denken sich immer neue Tricks aus, die es kaum noch möglich machen, alles zu blockieren, was Schaden anrichtet. Also wo genau hier die Sauerei ausgerechnet bei Mozilla stecken soll, welche nur ihrer Verantwortung nachkommen, den Nutzer vor diesen Dingen zu schützen, das bedarf einer Erklärung.

    Auch verstehe ich nicht, wieso hier im Forum dann angeblich nichts mehr gemacht werden könnte, was Übersetzungen betrifft. Wo liegt das Problem, die geänderten Versionen signieren zu lassen? Ja, dann dauert das vielleicht eine Minute länger, aber für die Vorteile, die es für den Endanwender bringt, ist das in meinen Augen ein geringer Preis. Im Gegensatz zu Google wird Mozilla nämlich auch weiterhin die Installation von anderen Quellen als AMO erlauben, Mozilla hat sich also bereits für den entwicklerfreundlichen Weg entschieden. Ich denke nicht, dass es eine Option sein kann, auch die nächsten Jahre nur zuzuschauen, wie die Browser der Nutzer gegen den Willen verändert werden und denr Ruf von Mozilla dadurch in den Dreck gezogen wird, weil Firefox nicht mehr richtig funktioniert oder selbständig Dinge verändert. Denn dass die Nutzer Firefox dann als Problem sehen, ist nur menschlich und nachvollziehbar.

  • Kann ich denn, auch wenn ich nicht der Autor der Erweiterung bin, und nur eine Deutsche Übersetzung gemacht habe,
    die signieren lassen?
    Wenn das geht, dann ist das natürlich eine ganz andere Sache.
    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

  • Meinem Verständnis nach ja. In jedem Fall ist eine Signierung nicht gleichbedeutend mit einer Veröffentlichung. Das heißt, du kannst Add-ons signieren lassen, ohne dass du sie auf AMO öffentlich zur Verfügung stellen lassen musst. Es geht nur darum, dass die Add-ons automatisiert überprüft werden, du erhältst dann ein signiertes Add-on zurück und dieses Add-on kannst du anbieten.

  • Ja, wenn das so geht, wäre das sogar prima. Fände ich dann eine gute Sache.
    Kann, muss ich das dann über meinen Account den ich bei Amo habe machen?

    Danke übrigens für die ganzen Erklärungen.
    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

  • Irgendetwas fehlt noch …

    Zitat von Sören Hentzschel

    Es geht nur darum, dass die Add-ons automatisiert überprüft werden, du erhältst dann ein signiertes Add-on zurück und dieses Add-on kannst du anbieten.

    Jetzt bin ich mal eine böser Bube und baue Schadsoftware in die Erweiterung ein, habe meinen Account bei AMO und lasse sie signieren.

    Jetzt habe ich eine signierte Erweiterung mit Schadsoftware, das kann es doch nicht sein.

    Es sei denn, die Überprüfung kann Schadsoftware feststellen, woran ich allerdings nicht glaube.

  • auch wenn du es nicht glaubst werden da automatische checks durchlaufen. und selbst wenn dadurch nicht alle schädlichen routinen erfasst werden können, bietet diese vorgangsweise einen großen vorteil zum status quo:
    * eine kopie jedes addons liegt bei mozilla - wenn es im nachhinein zu beschwerden kommt, kann man immernoch den quelltext näher untersuchen und bösartige erweiterungen über die blockliste sperren lassen.
    * malware kann die blockliste nicht mehr umgehen, indem für eine erweiterung auf jedem pc eine zufällige id generiert wird (die blockierliste von mozilla stellt immer auf die id der erweiterung ab) - in dem fall wäre die erweiterung ja nicht mehr signiert.

  • madperson hat das wunderbar erklärt, dafür Danke. :klasse: In jedem Fall ist auch wichtig, dass signiert nicht sauber bedeutet. Es gibt automatisierte Überprüfungen, die können gewisse Sicherheits-Aspekte durchaus überprüfen, aber natürlich ersetzt das kein menschliches Review. Wenn man sichergehen möchte, dass die installierten Add-ons von Menschen überprüft worden sind, die definitiv keine Hintergedanken haben, dann darf man auch nur Add-ons von AMO herunterladen. Ich setze an dieser Stelle mal Vertrauen in Mozilla voraus, denn ohne Vertrauen in Mozilla wird die Nutzung von Firefox und AMO grundsätzlich schwierig. ;) Signieren heißt also nicht, dass Schadsoftware nicht mehr möglich wäre. Es gibt Mozilla aber bessere Möglichkeiten zu reagieren als es aktuell der Fall ist. Natürlich könnte Mozilla einen noch höheren Sicherheitsstandard erreichen, würde man jedes Add-on händisch überprüfen und nur noch AMO als Installationsquelle zulassen, ein geschlossenes Ökosystem hat durchaus auch Vorteile, aber ich denke, dass die Nachteile dann doch überwiegen würden, und Mozilla will den Nutzer ja auch gar nicht auf AMO einschränken. Es ist eine Sache der Balance und die zu finden, ist sicher nicht einfach. Sicherheit und geht häufig auf Kosten des Komforts und vice versa, am Ende liegt die beste Lösung in der Regel irgendwo in der Mitte.

  • Ein paar Fragen dürften durch die Antworten in den Kommentaren zur Ankündigung beantwortet werden. Ich habe mal die Wichtigsten Antworten herausgesucht.

    Zu den automatisierten Prüfungen, wie diese aussehen:

    Zitat

    The automated process is still being defined, but it will be similar to the validation we do for AMO. However, it will be focused on security issues and we’ll make sure to minimize the tests that cause add-ons to go through the manual review track. We are planning on scaling up our reviewer team in order to deal with the increased workload, and we want the manual reviews of non-AMO add-ons to take a couple of days at most.

    Zur Strenge der Überprüfung:

    Zitat

    The standards for signing are not identical as the standards for hosting. The standard for signing will be similar to preliminarily approved add-ons on AMO, and we’ll probably lower the bar a little since we wouldn’t want to block development of add-ons like HTTPS-Everywhere.

    Und was Beta-Versionen von Add-ons betrifft:

    Zitat

    Beta versions of add-ons will still need to be signed, and will fall in the same category as non-AMO add-ons (if it passes validation it’s no problem, otherwise you’ll need to ask for a code review).

    Zum Bereitstellen von Add-ons mit geänderten Übersetzungen, aber nicht über AMO:

    Zitat

    You can change the add-on ID and submit it for signing, which doesn’t require hosting or distributing the add-on on AMO.

  • Anmerkungen zum Artikel

    Zitat

    schadhafter Add-ons


    schadhaft oder schädlich? Ersteres würde ja einen Defekt zB beim Download bedeuten.

    Zitat

    Für Add-ons, welche nicht öffentlich verteilt werden, wird es eine weitere Option geben, zu welcher Mozilla noch keine Details genannt hat.


    Das wäre für mich wichtig, weil ich für mich modifizierte Erweiterungen nutze. Ein Schalter im about:config täte mir reichen. Allerdings wäre das etwas naiv gedacht, eine private Signierung täte mir langen.

    Als ich das las dachte ich mir zuerst: toll, fliegt endlich der Donate- und sonstige Werbemüll belastete Quatsch raus. Wahrscheinlich nur Wunschdenken. FoxyProxy wäre so ein Fall, oder auch TMP mit seinem Update-Check - sowas geht den Author einen sch*Dreck an. Und gottlob stehe ich nicht allein auf weiter Flur.