CrossFire Lücke in Add-on-API von Firefox

Wenn von einem Add-on bekannt ist, dass es Schaden anrichtet, wird es von Mozilla blockiert. Wenn es von einem Add-on nicht bekannt ist, dass es Schaden anrichtet, es aber trotzdem tut, dann wissen wir es auch nicht, da ja nicht bekannt, und können es dir darum auch nicht nennen.

Grundsätzlich ist es aber kein Geheimnis, dass das "klassische Erweiterungssystem" von Firefox, welches um ein Vielfaches mächtiger ist als das aller anderen Browser, nicht nur eine der größten Stärken von Firefox ist, sondern aus exakt den gleichen Gründen, die es zu einer Stärke machen, auch eine der größten Schwächen ist. Ein solches System vollständig abzusichern ist kaum möglich, da Add-ons ja wirklich alles machen dürfen. Das ist einer der Gründe, wieso die WebExtensions kommen werden, wie ja auch im Artikel angedeutet wird.

Zitat von HT-Frogger

habe inzwischen nachgesehen

Auch ob dein Firefox aktuell ist! :wink:

Zitat von HT-Frogger

Linux ist eben was für dumme und faule Menschen wie mich...

Laut deinem User-Agenten benutzt du Win 7 und Firefox Version 44 zur Zeit.

Klick bitte mal auf diesen Link Mein User-Agent

dann kannst du sehen wie Webseiten dich erkennen.

Schon gesehen :wink:

Alles klar dann...danke für die Auf/Erklärung :klasse:

Hallo,

Zitat von Sören Hentzschel

Grundsätzlich ist es aber kein Geheimnis, dass das "klassische Erweiterungssystem" von Firefox, welches um ein Vielfaches mächtiger ist als das aller anderen Browser, nicht nur eine der größten Stärken von Firefox ist, sondern aus exakt den gleichen Gründen, die es zu einer Stärke machen, auch eine der größten Schwächen ist. Ein solches System vollständig abzusichern ist kaum möglich, da Add-ons ja wirklich alles machen dürfen. Das ist einer der Gründe, wieso die WebExtensions kommen werden, wie ja auch im Artikel angedeutet wird.

das wird mit WebExtensions vermutlich auch nicht besser werden. Die API, die Firefox demnächst verwenden wird, ähnelt ja der API, die Google Chrome verwendet. Und auch hier gibt es immer bösartige Erweiterungen:
http://stadt-bremerhaven.de/wieder-einmal-…story-betroffen
Ob mit WebExtensions oder mit XUL programmiert ist egal - mit beiden lassen sich Erweiterungen manipulieren.

Das, was ich meinte, wird selbstverständlich mit WebExtensions besser, denn die Natur und Architektur von WebExtensions ist eine vollkommen andere. Im klassischen Erweiterungs-Modell von Firefox kannst du an APIs vorbei Firefox-Interna verändern und hast die Berechtigung, alles zu verändern, was du willst. So funktionieren WebExtensions nicht. Selbstverständlich heißt das nicht, dass man damit vor allen Gefahren sicher ist. Eine garantierte Sicherheit gibt es nur, wenn man komplett darauf verzichtet. Aber das habe ich ja auch nicht geschrieben, dass dem so wäre.

Übrigens steht auch im verlinkten heise-Artikel, dass WebExtensions diese Art Angriffe, um die es in diesem Thema geht, verhindern.

WebExtensions sind Zukunft und Gegenwart. Eine erste Unterstützung ist bereits in Firefox 45 vorhanden und auch addons.mozilla.org akzeptiert bereits WebExtensions. Dass sich ein neues System nicht von heute auf morgen realisieren lässt, ist klar. Firefox 45 bietet natürlich noch nicht die Möglichkeiten für WebExtensions, die Firefox 48 bieten wird, oder noch spätere Versionen.

Zu Add-ons schreiben, ob diese "sicher" oder "ausnutzbar" sind, ist eine sehr eigenartige Idee. Wenn man so etwas dazu schreibt, zeugt das nur von Unfähigkeit, seitens Mozilla oder Add-on-Entwickler (wer auch immer verantwortlich ist), Sicherheit zu gewährleisten. Wenn man von einer Schwachstelle weiß, sind Hinweise sinnlos, dann muss man sie beheben. Solche Hinweise gefährden die Sicherheit nur weiter.