Firefox erfordert in Zukunft Signierung von Add-ons

    Zitat von milupo


    Nanu, das gibt es auch? :)


    Ach das stimmt sicher nicht, das gibt es doch gar nicht.
    Sören hat doch auch ein Zwinker- Smiley gesetzt.

    Windows 10 Home
    Firefox 98.0.1

    naja, man kann es sich ja ausmalen: entweder hängen zu viele unüberprüfte addons in der warteschlange fest um rechtzeitig vor firefox 41 fertig zu werden (denen gegenüber wäre es etwas unfair, sie zwangshalber zu deaktivieren), oder es gibt immer noch zu viele populäre extern gehostete erweiterungen, die nicht zur signierung eingereicht wurden...

    Mit der Warteschlange sieht es eigentlich ganz gut aus, die ist von 800 ausstehenden Reviews Anfang August auf 300 runter. Es wurden über 4.000 Reviews im August durchgeführt - bei einem bis dahin üblichen Schnitt von um die 1.200 Reviews pro Monat. Zehn neue Reviewer sind in den letzten drei Monaten dazugestoßen. Zwei weitere Contractors sollten jetzt noch dazukommen, welche sich um die Reviews kümmern, die nicht von ehrenamtlichen Reviewern durchgeführt werden können, das ist der Großteil der noch ausstehenden Reviews. Soweit der Stand, wie es vergangene Woche im Add-on Blog kommuniziert worden ist.

    Zitat von Zitronella

    und warum wurde es verschoben?

    Die Antwort auf diese Frage liefere ich nun nach. ;) Mozilla hat die Verschiebung soeben offiziell mit Begründung im Add-on-Blog bekannt gegeben:

    Zitat

    After listening to your feedback, bug 1203584 was filed last week to turn off signing requirements in Firefox 41 and 42. This extends the signing deadline to Firefox 43, which will be released around December 15, 2015.

    While the new unlisted queues have maintained a quick turnaround time (thanks to the tireless efforts of Andreas Wagner, aka TheOne), many developers are telling us they simply don’t have enough time to implement the requested changes before the September 22 deadline when 42 hits the beta channel. In addition to giving you some extra breathing room, we’re also going to use this time on our side to make some improvements to the submission experience to make it clearer what level of review is needed, which you can follow in bug 1186369.

    Thanks for your patience as we roll out this new process. Special thanks to those of you who have already gotten your extensions signed…you’re awesome.

    https://blog.mozilla.org/addons/2015/09…add-on-signing/

    Danke, allerdings muss ich noch englisch üben. Die Übersetzungstools helfen da nicht wirklich :/ Wenn ich es richtig verstehe wollen sie den Entwicklern einfach noch mehr Zeit geben ihre Erweiterungen zu signieren?

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

    Zitronella: ja, beziehungsweise damit die Entwickler notwendige Anpassungen an den Add-ons vornehmen können. Dazu hat sich Mozilla basierend auf dem Feedback der Entwickler entschieden. Ich denke (das ist nicht Inhalt der Ankündigung), dass das weniger ein Thema bei den Add-ons ist, die auf AMO gehostet werden, denn da gab es ja schon immer gewisse Anforderungen, um das Review zu bestehen. Aber gerade wenn ein Add-on nicht auf AMO gehostet wird, kann ich mir vorstellen, dass es möglicherweise ein paar Dinge gibt, die zu ändern sind, die vorher niemand gefordert hat, weil sie nie kontrolliert worden sind. Und Mozilla wird die zusätzliche Zeit nutzen (damit sind wir wieder bei der Ankündigung), um weitere Verbesserungen an dem Einreichprozess für Add-ons vorzunehmen.

    Es gibt eine wichtige Änderung in Hinblick auf die Signierung: Ab dem 4. Dezember wird die Signierung nicht gelisteter Add-ons komplett automatisiert ablaufen, der Trigger für manuelle Reviews wird entfernt. Damit wird jedes zur Signierung eingereichte Add-on sofort signiert und es gibt keine Wartezeiten mehr. Die Reviews für Add-ons, die bei Mozilla gehostet werden, bleiben natürlich bestehen.

    Ausführlich hier: https://blog.mozilla.org/addons/2015/12…listed-add-ons/

    Da es seit ein paar Tagen außerdem eine API zum Signieren von Add-ons gibt, lässt sich für Entwickler der ganze Prozess automatisieren, so dass man nicht mehr von Hand neue Versionen auf AMO zum Signieren hochladen muss.

    Darüber hinaus gibt es nun einen Standalone-Validator, so dass man seine Add-ons validieren kann, ohne sie auf AMO hochzuladen.

    Also für Entwickler sollte es nun wesentlich komfortabler sein.

    Es war nie die Hauptmotivation des Signierens, jeden schädlichen Code zu erkennen, sondern im entsprechenden Fall besser reagieren zu können, die Signierung gibt Mozilla mehr Kontrolle als der Ansatz über eine Blockierliste. Eine automatisierte Kontrolle, die alle mögliche Angriffsszenarien entdeckt, ist technisch überhaupt nicht möglich, das war Mozilla immer klar. Mittlerweile weiß man aber auch, dass man den Validator relativ leicht austricksen kann, entsprechender Code existiert und wurde veröffentlich:

    https://github.com/dstillman/amo-validator-bypass

    Unter diesen Voraussetzungen bleibt es nur eine Hürde für Entwickler. Denn die Signierung soll ja automatisiert ablaufen. Ansonsten wären es immer vollwertige Reviews und das kann dann ein paar Wochen dauern im schlechtesten Fall. Wenn du eine menschliche Kontrolle der Add-ons willst, musst du Add-ons weiterhin über addons.mozilla.org beziehen. ;)

    Folgende Erweiterungen sind bis dato immer noch nicht verifiziert:
    ( da harkt es wohl stellenweise gewaltig!)
    Adobe Acrobat DC
    Kaspersky
    Premiumize.Me

    Aufgrund Nachfrage über dortigen Support(premiumize.me) wurde u.a. folgendes geantwortet:
    das Zerifitkat wird von Comodo (USA) ausgestellt. Bestellung läuft aber über cheapssl. Wir haben es vor Ewigkeiten (Mitte November) bei http://www.cheapssl.com bestellt. Dort erstmal durch den Fraudschutz geflogen und das nach ewigen hin und her manuell aufgeklärt.

    Mittlerweile wurde die Zahlung akzeptiert und wir schreiben zwecks Verifizierung direkt mit Comodo - welche aber nun auch nach zwei Wochen hin und her endlich rausgerückt sind, dass eine Belize Company für das Zerifitkat nicht geht. Auf die Frage ob denn nun IRGENDEINE internationale company außerhalb USA geht, gibt es noch immer keine Antwort.

    Glaubs mir, das ist auch für mich sehr frustrierend. Ans Telefon bekommt man auch niemanden.

    Mehr als ärgerlich für den Nutzer von Firefox. Die "Notlösung" - bis wann diese nun auch immer möglich ist -ist keine annehmbare Option.
    Somit ist man zur Nutzung diverser Erweiterungen quasi auf das Ausweichen auf einen anderen Browser angewiesen!?!
    Liegt dies im Sinne des Entwicklers?

    Zitat von ttroxor

    Adobe Acrobat DC

    Das ist keine Erweiterung, sondern ein Plugin welches keine Signierung braucht.

    Zitat

    Kaspersky

    Diese Firma hat es noch nie geschafft ihre (in meinen Augen komplett überflüssigen) Erweiterungen rechtzeitig an neue Firefox-Versionen anzupassen und wird es wohl auch in Zukunft nicht schaffen. Wende Dich an den Support von Kaspersky. Immerhin hast Du für das Produkt gezahlt und Anspruch auf Support.

    Der "kursiv geschriebene Teil" beschreibt meiner Meinung nach recht klar,
    das die Bemühungsversuche eine Verifizierung zu erreichen, stellenweise wohl
    unter anderem auch durch mangelnde Kommunikation und Hinweise sehr erschwert sind.

    Sollte der Entwickler der Erweiterung hierbei Punkte nicht beachtet bzw. fehlerhaft vorgegangen sein,
    wäre eine dementsrechende Beantwortung/Beratung erbeten.
    Ich bin gerne bereit, dies dann weiterzugeben an entsprechenden Support.

    Sinn oder Unsinn, das scheint hier sowieso eine größere Frage zu sein.

    Zitat von ttroxor

    Der "kursiv geschriebene Teil" beschreibt meiner Meinung nach recht klar,
    das die Bemühungsversuche eine Verifizierung zu erreichen, stellenweise wohl
    unter anderem auch durch mangelnde Kommunikation und Hinweise sehr erschwert sind.

    Nein, daran ist überhaupt nichts klar, weil der Text überhaupt nichts mit der Signierung zu tun hat. Zertifikate von Comodo oder Cheapssl haben nicht das Geringste mit dem Thema zu tun. An Kommunikation seitens Mozilla hat es in den letzten Monaten außerdem beim allerbesten Willen nicht gemangelt, auf die Signierung wird seit vielen Monaten immer und immer wieder hingewiesen. Und was für "Bemühungsversuche" sollen denn scheitern? Add-on hochladen, signiertes Add-on zurückerhalten, fertig.

    Zitat von ttroxor

    Sollte der Entwickler der Erweiterung hierbei Punkte nicht beachtet bzw. fehlerhaft vorgegangen sein,
    wäre eine dementsrechende Beantwortung/Beratung erbeten.
    Ich bin gerne bereit, dies dann weiterzugeben an entsprechenden Support.

    Dann soll sich der Entwickler bitte selbst melden. Ich habe keine Lust, Support über Mittelsleute zu geben. Entweder direkt oder gar nicht, aber so hat das was von "Stille Post" und das führt nur zu Problemen, wenn Informationen verloren gehen.

    Zitat von ttroxor

    Sinn oder Unsinn, das scheint hier sowieso eine größere Frage zu sein.

    Nein. Oder worauf begründst du diese Frage?

    Zitat von Sören Hentzschel

    Die Signaturpflicht wird wohl noch länger deaktivierbar sein.

    Da soll nun noch jemand die Mozilla-Verantwortlichen verstehen.... Erst laut Hüh und dann ein zögerliches Hott nach vielfältigen Protesten. Wenn erst die Nutzer vom Firefox abspringen, weil es denen zu blöd wird, stampfen sie den Browser ein, wie weiland das Betriebssystem für Smartphones; aber ich wiederhole mich...