Firefox erfordert in Zukunft Signierung von Add-ons

  • Zitat von TmoWizard

    Hallöchen @Sören!

    Mir fällt hierbei nochmal eine Frage ein:

    Wie soll das eigentlich mit Add-ons funktionieren, die für SeaMonkey und Firefox/Thunderbird existieren? Das ist ja ein und dieselbe *.xpi, siehe z. B. Adblock Plus!

    Falls die xpi für mehrere Produkte (inkl. Firefox) angeboten wird, muss sie vor der Freigabe natürlich signiert werden bevor sie als Update/Download für alle Produkte zur Verfügung steht. Natürlich könnte man tricksen und ein und dieselbe Version für Firefox und für Thunderbird/Seamonkey anbieten aber verschiedene xpis hochladen.

    [Blockierte Grafik: http://i.imgur.com/b277RFs.png]


    Entwickler und Übersetzer, die ihre Änderungen lokal auf aktuellen Firefox Versionen testen wollen, werden keine wirklichen Probleme durch das neue Verfahren bekommen wie dem offiziellen Beitrag auf Mozilla und Sörens Artikel zu entnehmen ist.


    Zitat

    Installation of unsigned extensions will still be possible on Nightly and Developer Edition, as well as special, unbranded builds of Release and Beta that will be available mainly for developers testing their extensions.


    https://blog.mozilla.org/addons/2015/02…fer-experience/

    Zitat

    In der Nightly Version sowie in der Firefox Developer Edition wird man auch nicht signierte Add-ons installieren können. Darüber hinaus wird es spezielle Release- und Beta-Builds ohne Firefox-Branding geben, welche zu Testzwecken genutzt werden können. Diese erlauben auch die Installation nicht signierter Add-ons.


    https://www.soeren-hentzschel.at/mozilla/firefo…ng-von-add-ons/

  • Zunächst einmal habe ich den Blogpost gelesen. Ob automatisiert oder nicht, ich sehe die Gefahr für (erzwungene) Abschaltungen bzw. Rückrufe.
    Wo ein erzwungener Signiervorgang ist, sind auch Zensuren und ggf. Aufhebungen (revokes) möglich.

    Wenn das Ganze wirklich geschützt sein soll, muss vermutlich der Signaturcheck jeder Erweiterung bei jedem Start des Browsers durchgeführt werden, oder? Da bleibt dann noch die Frage, wie sehr das auf die Startzeit Einfluss hat.

    Von der Weiterführung der Versionierungs- und Konvergenz- Diskussion sehe ich jetzt mal ab, weil es nicht zu diesem Thema gehört.

    PS: Ich möchte niemandem hier etwas "verkaufen".

  • Zitat von MitBrotZumErfolg47

    Zunächst einmal habe ich den Blogpost gelesen. Ob automatisiert oder nicht, ich sehe die Gefahr für (erzwungene) Abschaltungen bzw. Rückrufe.
    Wo ein erzwungener Signiervorgang ist, sind auch Zensuren und ggf. Aufhebungen (revokes) möglich.

    Natürlich besteht die technische Möglichkeit. Aber Mozilla war noch nie für Zensur bekannt, ich sehe daher keinen Anlass, plötzlich ohne jedes Anzeichen das komplette Gegenteil zu vermuten. Und würde es so kommen, könnte man dann darüber sprechen. Aber das das bislang noch nie ein Thema war, halte ich Spekulationen in diese Richtung für reine Zeitverschwendung. Und damit das gleich klargestellt ist: Einem Add-on die Signierung zu verweigern ist lange nicht gleichzusetzen mit Zensur. Es wird ganz sicher Add-ons geben, die nicht signiert werden. Und dafür wird es sehr gute Gründe geben. Das wird nämlich genau die Add-ons betreffen, vor denen die Firefox-Nutzer geschützt werden sollen. Würde jedes Add-on signiert werden, ungeachtet dessen, was es macht, wäre die ganze Aktion komplett sinnlos. Es gibt aber Dinge, die darf ein Add-on nicht machen und die waren schon immer gegen Mozillas Richtlinien, es geht hier nicht um vollkommen neue Regeln, die plötzlich aufgestellt werden sollen. Es geht um den Schutz vor Add-ons, welche diese Regeln ignorieren. Und der Schutz der Firefox-Nutzer liegt nun einmal in der Verantwortung von Mozilla…

    Wie sieht denn dein alternativer Vorschlag zur Erreichung des Ziels aus? Nein, den aktuellen Status beizubehalten ist keine Option.

    Zitat von MitBrotZumErfolg47

    Wenn das Ganze wirklich geschützt sein soll, muss vermutlich der Signaturcheck jeder Erweiterung bei jedem Start des Browsers durchgeführt werden, oder? Da bleibt dann noch die Frage, wie sehr das auf die Startzeit Einfluss hat.

    Das wird den Kohl garantiert nicht fett machen, ist ja nun kein extrem komplexer Vorgang, eine Signatur zu prüfen…

  • EINE Signatur zu prüfen vielleicht nicht - aber bei einigen zig Add-ons rechne ich schon damit, dass sich das bemerkbar machen kann.
    Ich bin positiv überrascht, dass nur 7 meiner Add-ons noch unsigniert sind.
    In deinem neuen post zum thema heißt es: "Jede ID darf nur einmal im System vorkommen" - verstehe ich das richtig, dass dann zB jeder, der CheckPlaces weiterhin nutzen will, eine andere ID vergeben muss ? Man also nicht "mal eben" ein bestehendes Add-On hochladen kann, bzw das nur funktioniert, wenn man der erste ist?!

  • Nein. Jeder, der das Add-on zur Signierung einreichen möchte, braucht eine eigene ID. Nicht jeder, der das Add-on nutzt. Und nein, auch bei vielen Add-ons macht sich die Überprüfung der Signatur nicht bemerkbar. Ich habe nicht sooo wenige Add-ons installiert und die Startzeit menes Firefox hat sich definitiv nicht bemerkbar verschlechtert, nachdem Mozilla das eingeführt hat - da ich Nightly-Versionen nutze, bin ich ja schon etwas voraus gegenüber Nutzern der finalen Versionen, wo das noch nicht implementiert ist. Wenn sich dadurch etwas an der Startzeit verschlechtert hat, dann in einem Bereich, der nicht menschlich wahrnehmbar ist.

  • Wenn das aber nicht öffentlich über AMO angeboten wird, muss jeder Benutzer auch ein Einreicher sein. Sicherlich kann das jetzt einer machen und an 17 Leute weitergeben - da es aber rechtlich wohl problematisch ist, das öffentlich weiter anzubieten, müssen es dennoch tausende Leute einreichen, wenn ich das richtig verstehe.
    Interessanter Weise sind offenbar nicht alle AMO-Add-ons automatisch signiert:

    https://addons.mozilla.org/de/firefox/addon/https-everywhere/
    https://addons.mozilla.org/de/firefox/addon/apk-downloader/

    währen diese "nicht überprüft" bzw "vorläufig freigegeben" sind, ist

    https://addons.mozilla.org/de/firefox/addon/secure-login

    sogar "vorgestellt", jedoch nicht signiert.

    Auch
    https://addons.mozilla.org/de/firefox/add…icthemerestorer

    ist nicht signiert.

  • Zitat von MitBrotZumErfolg47

    Wenn das aber nicht öffentlich über AMO angeboten wird, muss jeder Benutzer auch ein Einreicher sein.

    Nö, wieso? Webseite des Add-ons? GitHub? Hier im Forum? Add-ons können überall gehostet werden, nicht nur auf AMO.

    Zitat von MitBrotZumErfolg47

    Sicherlich kann das jetzt einer machen und an 17 Leute weitergeben - da es aber rechtlich wohl problematisch ist, das öffentlich weiter anzubieten, müssen es dennoch tausende Leute einreichen, wenn ich das richtig verstehe.

    Was die Add-ons betrifft, die du auf AMO findest, die haben ausnahmslos alle eine Lizenz angegeben. Und die Lizenz der meisten Add-ons erlaubt das. Es ist aber auf jeden Fall positiv, dass du an diesen Punkt denkst. Lizenzen sollten natürlich respektiert werden, wenn es um eine Weitergabe geht. ;)

    Zitat von MitBrotZumErfolg47

    Interessanter Weise sind offenbar nicht alle AMO-Add-ons automatisch signiert:

    https://addons.mozilla.org/de/firefox/addon/https-everywhere/
    https://addons.mozilla.org/de/firefox/addon/apk-downloader/

    Weil beide Add-ons kein einziges Review von Mozilla erhalten haben. Automatisch signiert wurden ausschließlich die neusten Versionen all derer Add-ons, die von Mozilla in der Vergangenheit überprüft worden sind.

    Zitat von MitBrotZumErfolg47

    währen diese "nicht überprüft" bzw "vorläufig freigegeben" sind, ist

    https://addons.mozilla.org/de/firefox/addon/secure-login

    sogar "vorgestellt", jedoch nicht signiert.

    Das Add-on wurde in einer früheren Version automatisch von Mozilla signiert. Mittlerweile ist eine neuere Version veröffentlicht. Der Versionszusatz ".1-signed" wurde ausschließlich bei der automatisierten Massen-Signierung drangehängt. Die aktuelle Version hat ein Review erhalten und ist damit automatisch signiert - auch wenn ".1-signed" hinten nicht dran steht. Reviews schließen die Signierung mit ein.

    Zitat von MitBrotZumErfolg47

    Doch, ist es. Hier gilt das Gleiche. Um das zu belegen, hab ich CTR mal eben in Firefox installiert:

    [attachment=0]Bildschirmfoto 2015-06-09 um 01.10.16.png[/attachment]

    Beachte den Unterschied zum ADB Helper. Dieses Add-on ist nicht signiert. Du siehst also, CTR ist signiert.

    Und ich werd jetzt erst einmal wieder den CTR deinstallieren, da hab ich keine Verwendung für. ;)

  • Das ist in der Vorbereitung recht unpraktisch, dass bei weiteren Updates "-signed" nicht mehr angehängt ist.
    Naja, ab 39 wird es dann unter "Addons" wohl eine Warnung geben.

    Was die Lizenz angeht: Da das Add-on nicht mehr offiziell angeboten wird, habe ich keine Ahnung, wie die Lizenz ist.
    Da es aber nicht (von einem Dritten) auf AMO gehostet wurde, habe ich angenommen, dass die Lizenz das verbietet.

    Wieso steht eigentlich im Installationsdialog "Autor nicht verifiziert" (zB bei CTR), wenn die App signiert ist?!

  • Zitat von MitBrotZumErfolg47

    Das ist in der Vorbereitung recht unpraktisch, dass bei weiteren Updates "-signed" nicht mehr angehängt ist.
    Naja, ab 39 wird es dann unter "Addons" wohl eine Warnung geben.

    Das ist nicht wirklich unpraktisch, weil du ja einfach selbst das an die Versionsnummer ranhängen kannst, das gibt dir also keine Sicherheit, dass ein Add-on wirklich signiert ist.

    Ab Firefox 40 wird man das im Add-on Manager erkennen, vorher ist die Signierung vollkommen irrelevant.

    Zitat von MitBrotZumErfolg47

    Wieso steht eigentlich im Installationsdialog "Autor nicht verifiziert" (zB bei CTR), wenn die App signiert ist?!

    Wenn das Add-on (nicht App) signiert ist, hat das nichts mit dem Autor zu tun, die Signierung von Add-ons bedeutet keine Verifizierung des Entwicklers. Das steht bei so ziemlich jedem Add-on da und ist daher recht sinnlos. Deswegen gibt es diesen Hinweis ab Firefox 40 auch nicht mehr.

  • Siehe das, was direkt vor dem zitierten Satz steht: vergleiche mal mit dem ADB Helper in dem Screenshot. Einerseits die gelbe Markierung, andererseits auch der Satz, der darüber steht. Daran erkennst du nicht signierte Add-ons. Add-ons ohne diese Markierung sind signiert. Beziehungsweise in finalen Versionen dann so, wie im Screenshot im nachfolgenden Beitrag, mit der roten Markierung und dem anderen Text. Setzt natürlich mindestens Firefox 40 voraus, denn vorher kennt Firefox keine Signaturpflicht für Add-ons.

  • Es gab eine Änderung des Zeitplans:

    * Firefox 40 wird bei nicht signierten Add-ons nur warnen, nichts deaktivieren.
    * Erst mit Firefox 41 werden nicht signierte Add-ons standardmäßg deaktiviert (können aber vom Nutzer wieder aktiviert werden)
    * Erst Firefox 42 erlaubt die Installation nicht signierter Add-ons gar nicht mehr.

  • Zitat von Sören Hentzschel

    Ich weiß es nicht. ;)


    Nanu, das gibt es auch? :)

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress