Wie github das zukünftig regeln will bezüglich Signierung

  • mich würd intressiern wie die auf github das zukünftig regeln wollen bezüglich Signierung, ab FF 41 sollen ja unsignierte Erweiterungen geblockt werden, auf AMO sind die ja ständig in der Warteschleife bei den zahlreichen Builds die ständig erscheinen.
    anders gesagt, ab 41 kann man keine builds von github mehr installiern und man muß mit älteren signierten Versionen auf AMO Vorlieb nehmen.

    Einmal editiert, zuletzt von viPer20 (4. Juni 2015 um 18:15)

  • Vor allem im Moment geht bei AMO nichts vorwärts.
    Ich stehe seit Dienstag in der Schlange und nicht tut sich.
    Das ist ja lächerlich. Wie soll man da Zeitnah ein Update liefern...
    Klar, im Moment werden alle Erweiterungen gleich behandelt, ob bei Amo
    gelistet oder nicht. Alle werden von einer Person zuerst überprüft und
    wenn alles passt signiert. Soll ja demnächst dann automatisch signiert werden.
    Mal sehen....
    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

  • Ich meinte, die Erweiterungen werden zur Zeit noch manuell
    von verschiedenen freiwilligen Leuten überprüft und anschließend erst signiert.
    Später, wer weiß wann, soll diese Überprüfung und Signierung dann voll automatisch ablaufen.
    Ich habe nur Sorgen, die setzen die Parameter dann so eng, dass praktisch nur noch
    eine Handvoll Erweiterungen durch kommen.
    Man braucht nur schauen wie es ArisCTR ergangen ist.
    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

  • Zitat von Boersenfeger

    .. dann auch hier nochmal: bitte ab Post 202 abtrennen und auslagern.. Danke!


    mir ging es ausschließlich um ublock und deswegen mein Eintrag im entsprechenden Thread, hätte es anders formuliern sollen...mich würd intressiern wie gorhill das zukünftig regeln will...
    sorry mein Fehler.

  • Automatisches Signieren ist jetzt aktiv.
    Eben eine Erweiterung eingereicht, und zack war schon die E-Mail
    mit der signierten Version da.
    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

  • Hallo,

    ich bitte mal, mir eine grundsätzliche Frage zur Thematik des Signierens von Add-ons nicht allzusehr übel zu nehmen - und vlt. sogar durch einen der anwesenden Mozilla-Experten zu beantworten.

    Ich habe in den letzten 15 Jahren (so lange ich noch Arbeiten ging ;-)) in "meinem" TrustCenter auch Dutzende X.509-Zertifikate mit dem Verwendungszweck "CodeSigning" herstellen lassen. Unter CS verstehe ich, dass ein dafür ausgebildeter und geprüfter Fachmann den Programmcode gründlich hinsichtlich Funktionalität aber auch auf Freiheit von irgendwelchen "Nebenwirkungen" untersucht, mit seinem persönlichen CS-Zertifikat signiert, und damit den Anwendern innerhalb unserer Organisation zeigt, dass es sich eben um entsprechend geprüfte Software handelt, welche bedenkenlos eingesetzt werden darf. Entsprechend hoch waren die Kriterien!
    Auch bei uns wurde mit technischen Mitteln verhindert, dass unsignierte und auch NICHT von eben diesen CS-Berechtigten signierte Anwendungen angewendet wurden. Letztere wurden ebenfalls geprüft und neu signiert.

    Jetzt lese ich (zu meiner Freude!), dass auch Mozilla Add-ons signiert. Aber das pure Signieren ist das eine - und eine wie oben beschriebene Überprüfung das andere. Und wenn ich jetzt lese, dass dieses Signieren automatisch erfolgt, kommen mir doch gewisse Zweifel. Kann die jemand von den anwesenden Experten ausräumen?


    MfG
    WK

  • Es gibt bei Mozilla beides, das Signieren und die Überprüfung. Der Zweck des Signierens ist es nicht, jedes Add-on bis ins kleinste Detail zu überprüfen. Es gibt gewisse Kriterien, die können vollkommen automatisiert überprüft werden, dafür braucht man keinen Menschen. Beispielsweise, ob irgendeine Einstellung automatisch durch das Add-on verändert wird, die nicht so verändert werden darf. Neben diesem grundlegenden Check gibt das Mozilla vor allem einen besseren Überblick über existierende Add-ons und bessere Möglichkeiten, im Zweifel darauf reagieren zu können. Eine Überprüfung durch einen Menschen, in der Regel einen ehrenamtlichen Helfer aus der Community, ist optional, wobei ohne eine solche Überprüfung auch keine automatischen Updates möglich sind und nicht überprüfte Add-ons können auch nicht über die Suchfunktion auf AMO gefunden werden. Dann gibt es auch noch eine Unterscheidung zwischen vorläufigen und vollständigen Reviews, dazu hier mehr im Detail: https://developer.mozilla.org/en-US/Add-ons/AMO/Policy/Reviews

  • Das blöode ist nur, dass nicht jedes Add-on automatisch signiert wird, bei jedem zweiten
    bekomme ich bis jetzt die Meldung:
    Looks like your add-on requires a manual review before it can be signed.

    Ich kann dann zwar weiter machen, aber meine Erweiterung landet dann in der Warteliste.
    Und das dauert dann bestimmt mehrere Wochen bis man was hört.
    Die Erweiterungen die ich am Dienstag hoch geladen habe, nur zum signieren,
    sind immer noch in der Warteschlange. an Position 4 , 5, 6, 9 usw.

    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

  • Endor: Hat das bisher bei Gismeteo nur so automatisch geklappt? Ich habe mich da als <em:contributor> in die install.rdf eingetragen, vielleicht ist das ein "Qualitätsmerkmal".

    Edit: Äh, ich meine damit nicht mich, sondern das Vorhandensein des Eintrags <em:contributor>.

    Grüße
    milupo

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice, LibreOffice Onlinehilfe, WordPress

  • milupo.
    Ging auch noch bei zwei anderen Erweiterungen direkt ohne Warteschlange.
    Hat mit Dir also nichts zu tun. Das liegt an der Erweiterung selber.

    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

  • <em:contributor> ist bei meinen Versionen über all mit drinnen.
    Daran liegt es auch nicht.
    Die haben nur die Parameter sehr eng gesetzt, was erlaubt ist und was nicht.
    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!