Firefox 48 - Signaturpflicht für Add-Ons nicht mehr abschaltbar

Zitat von Zitronella

Aus der Art der Lizenz, unter der diese Software steht.

So einfach? Siehe das Posting von Maurizio.

Zitat von Zitronella

Falsch, dann weißt du wohl nicht was OpenSource heißt.

Doch, nur dreht sich Mozilla eben immer weniger gegen den Wind. Es ist angenehmer für die Nase.

Ich bitte um Aufklärung!

Auf der Festplatte befindet sich Firefox 48.0.

Ich verfolge die Entwicklung des Fuchses mehr oder weniger peripher; trotzdem interessieren mich weitere Verschlimmbesserungen von Version zu Version noch immer graduell.

Sollten nicht nicht-signierte Erweiterungen ab Version 48 automatisch deaktiviert werden?

In meiner Erweiterungsverwaltung wird nichts deaktiviert, die Erweiterungen mit ["XYZ" konnte nicht für die Verwendung in Firefox verifiziert werden. Fahren Sie mit Vorsicht fort.] funktionieren immer noch!

Habe ich da etwas verstanden Miss?

welche sind das denn genau? vielleicht helfen uns die weiteren Informationen zur Fehlerbehebung

● [FIREFOX] ➜ Hilfe ➜ Informationen zur Fehlerbehebung
● jetzt die Schaltfläche "Text in die Zwischenablage kopieren "anklicken
● jetzt den kopierten Text aus der Zwischenablage als Code hier ins Forum einfügen. siehe dazu

Zitat von ccm

Dann sei doch bitte so nett und erkläre, was der von Mozilla vorgesehene Funktionsumfang - er möge dir gefallen oder nicht - damit zu tun hat, dass der Firefox Open Source ist.

Ja, es wundert mich nicht, dass Du meine Aussage nicht richtig verstehst. Nicht verstehst, was ich damit sagen möchte, dass die Vorgaben schon lange diktiert werden, dass hinter Mozilla mehr steckt, als nur ein Joschka im Turnschuh.

Zitat von thomas7

Unabhängig davon hat der User Recht, wenn er von Bevormundung spricht, diese stört mich auch. Zumindest sollte man diese Funktion, nach entsprechenden Warnhinweisen, für das (alte) Addon abschalten können, welches man noch nutzen will.

Das heißt, dass du den Sinn und Zweck der Signierung noch nicht verstanden hast. Wäre die Signaturpflicht für den Nutzer deaktivierbar, dann wäre dies auch "von außen" für jeden deaktivierbar, dem Mozilla mit der Signierung entgegen wirken möchte. Mit anderen Worten: würde es Mozilla so wie von dir vorgeschlagen machen, könnten sie es gleich komplett lassen. Was aber keine Option ist, da die Signierung ja nicht ohne Grund eingeführt worden ist.

Sicherheit als Bevormundung zu bezeichnen halte ich für gewagt, aber natürlich geht Sicherheit oft mit Kompromissen einher. Klar wäre es schöner, wenn es ohne Signierung gehen würde, aber ganz offensichtlich geht es nicht mehr ohne. Bei Google wird man das bestätigen können, Chrome hat nämlich einige Anwender mehr, bei denen ist das Problem entsprechend noch größer. Man sollte sich einfach mit dem Gedanken abfinden, dass eine Signierung von Add-ons im Jahr 2016 dazu gehört. In den allermeisten Fällen (d.h. Downloads von addons.mozilla.org) macht es ja auch keinen Unterschied, weder für den Entwickler noch für den Nutzer), ansonsten können Entwickler ihre Add-ons auch kinderleicht signieren lassen, daran kann es nicht scheitern, höchstens an entweder Unwissenheit oder Faulheit des Entwicklers, aber es ist gibt keine technische Hürde, und im Zweifel kann der Nutzer die Add-ons einfach selbst signieren, sofern die Lizenz das nicht verbietet (wobei die Lizenz bei der automatischen Signierung wahrscheinlich nicht einmal überprüft wird).

Zitat von BarbaraZ-

Da uns Mozilla mit der Signaturpflicht ja leider einiger liebgewonnener Addons beraubt hat

Stimmt doch gar nicht. Siehe mein vorheriger Absatz: es gibt weder eine technische Hürde für die Signierung noch hindert dich das, das Add-on selbst zu signieren, wenn ein Entwickler sein Add-on nicht mehr pflegt. Aber ganz ehrlich, wenn ein Entwickler nicht einmal die Signierung durchführt, dann ist das Add-on halt leider offensichtlich tot und wird nicht mehr weiterentwickelt, wird also mit hoher Wahrscheinlich so oder so irgendwann aufhören, zu funktionieren.

Zitat von BarbaraZ-

Schließlich sollten doch wir besser wissen, was wir gerne nutzen wollen und nicht schauen, was Mozilla meint, was wir zu nutzen haben.

Auch diese Aussage stimmt nicht. Mozilla meint nicht besser zu wissen, was du zu nutzen hast, das ist Mozilla vollkommen egal und du kannst grundsätzlich jedes Add-on nutzen, das du nutzen willst. Wäre es so, wie von dir behauptet, müssten sie auch die Installation von Add-ons aus anderen Quellen verbieten, ansonsten hätte Mozilla darüber gar keine Kontrolle. Das ist aber nicht zutreffend.

Zitat von BarbaraZ-

Ich denke die Bevormundung sollten wir uns so nicht gefallen lassen.
Sorry, der deutlichen Worte aber ich finde es nervt, das Mozilla denkt, die wissen was wir wollen.
Für mich ist das mitnichten der Fall.

Nicht gefallen lassen, ja? Du kannst ja einen Aufstand planen. Aber der Gedanke, dass Nutzer selbst die Sicherheit in die Hand nehmen könnten, ist in meinen Augen sehr naiv. Nein, es ist die Pflicht von Mozilla, notwendige Maßnahmen zu ergreifen, denn wer ein Produkt mit knapp einer halben Milliarde Nutzer entwickelt, hat eine Verantwortung. Letzten Endes schadet Mozilla vor allem sich selbst damit, wenn Add-ons immer häufiger zu einem Einfallstor für Malware werden und Mozilla darauf nur unzureichend reagieren kann, denn das macht den Ruf von Mozilla kaputt. Und sowas kostet viele Nutzer.

Zitat von camel-joe

Ich stimme zu, Mozilla will uns unbedingt schützen, schön und gut, aber wollen wir beschützt werden? Nein, nicht unbedingt. Ich möchte entscheiden, allerdings macht Mozilla die Spielregeln, die wir akzeptieren oder auch nicht, aber Open-Source geht anders.

Siehe mein vorheriger Absatz. Mozilla hat eine Verantwortung und daraus leitet sich eine Pflicht ab. Und ehrlich, "Nutzer wollen nicht beschützt werden" ist eine Aussage, wo mir echt die Worte fehlen. Lass mich deine Aussage so umformulieren, was sie in diesem Kontext wirklich bedeutet: "Mozilla soll tatenlos zusehen, wie die Computer der Nutzer durch Add-ons befallen werden, denn alle Nutzer sind schlau genug, um das erstens zu bemerken und sich zweitens sowohl proaktiv als auch reaktiv zu schützen". Glaubst du das? Ich nicht. Oder glaubst du einfach nur, dass Mozilla die Signierung aus purer Schikane eingeführt hätte? Das wäre die andere Option. Halte ich aber auch für unwahrscheinlich.

Und wie Zitronella bereits schrieb: Mit Open Source hat dein Argument nicht das Geringste zu tun.

Zitat von camel-joe

Ja, es wundert mich nicht, dass Du meine Aussage nicht richtig verstehst. Nicht verstehst, was ich damit sagen möchte, dass die Vorgaben schon lange diktiert werden, dass hinter Mozilla mehr steckt, als nur ein Joschka im Turnschuh.

Vielleicht hast du ja was anderes gemeint, aber in Bezug auf das, was du geschrieben hast, hat ccm absolut Recht, er hat deine Aussage genau so verstanden, wie sie geschrieben steht.

Achja, für einen Firefox ohne Signaturpflicht ist übrigens nicht einmal ein Fork oder gar eine Modifikation des Quellcodes notwendig. Man muss vor dem Kompilieren einfach nur das Compile-Flag entsprechend setzen. Und damit niemand suchen muss, MOZ_REQUIRE_SIGNING ist der Name. Sich über den Build-Prozess von Firefox zu informieren, werde ich allerdings nicht abnehmen, wenn jemand seinen eigenen Firefox kompilieren möchte.

Hallo Sören,

- Deplatzierte Äußerung entfernt -

Dann erkläre mal mal bitte dieses Widerspruch

Zitat von Maurizio

In der FAQ von AMO findet sich dazu ein entsprechender Punkt: https://addons.mozilla.org/de/faq
Demnach unterliegt der Quellcode der Erweiterungen grundsätzlich dem Autor.

Zitat von Sören Hentzschel

es gibt weder eine technische Hürde für die Signierung noch hindert dich das, das Add-on selbst zu signieren, wenn ein Entwickler sein Add-on nicht mehr pflegt.

Es ist leider bei etlichen so, das man das Gefühl hat, so geht es jedenfalls mir, mit jedem Update müssen neue Klimmzüge gemacht werden.

Alleine schon wenn ich Hello sehe. Rein in die Kartoffel, raus aus den Kartoffeln.
Hätte Mozilla sich sparen können, diese Hampelei. Aber wer keine Arbeit hat, macht sich welche.

So und nun kannst meinetwegen den Tread abtrennen, verschieben oder anderes damit machen. Ich habe meine Meinung kund getan und würde mich freuen, wenn Mozilla nochmal eine Umfrage wie neulich starten würde, diese aber dann um einiges kritischer, damit man auch mal absolut seine Meinung kundtun kann und zwar in deutscher Sprache.

Denn ich frage mich, warum Mozilla den Fuchs in gefühlt 1000 Sprachen anbietet, die Kommunikation aber in englisch erfolgt. Kann ich auch irgendwo nicht nachvollziehen, schließlich gibt es auch in anderen Ländern Nutzer, die den Fuchs in ihrer Heimatsprache nutzen aber auch gezwungen werden, das die Kommunikation in englisch zu erfolgen hat. Mozilla könnte doch viel, viel Geld sparen und alles in englisch erledigen.
. <- Schlußpunkt meiner Ausführungen

Ich wäre sogar dafür noch weiter zu gehen und zwar, dass nur noch signierte Erweiterungen aus dem eigenen Store von Mozilla (AMO) herunter geladen werden dürfen, und auch Aktualisierungen nur noch darüber erfolgen darf.

Soweit ich richtig informiert bin werden momentan nur die auf AMO gehosteten Erweiterungen vorher geprüft, alle Anderen werden ungeprüft signiert, weil der Aufschrei der Entwickler damals zu groß war. Das ist aber genau das Problem, die Signierung ist zwar etwas Schutz, aber meiner Meinung nach eben nicht genug, da "böse" fremd gehostete Erweiterungen trotzdem durchkommen können.
Chome hat übrigens viel restriktivere Möglichkeiten bezüglich der Erweiterungen:

Ich habe gerade mal versucht eine fremd gehostete Erweiterung für Chrome zu installieren. Da gibts nach x Warnungen bei der Installation letztendlich aber keine Chance sie zu aktivieren. Da darf man dann folgendes lesen: https://support.google.com/chrome/answer/…ions&hl=de&rd=1

Wenn Mozilla das auch so machen würde dann müssten sie wohl wirklich einen Aufschrei überstehen, aber irgendwann wäre auch wieder Ruhe :twisted: Der momentane Unmut darüber empfinde ich hingegen ziemlich lächerlich.

Zitat von BarbaraZ-

Hallo Sören,

- Deplatzierte Äußerung entfernt -

Es hat nichts mit zerpflücken zu tun, wenn man gezielt auf Aussagen durch Verwendung des Zitat-Systems eingeht. Ganz im Gegenteil, das hilft allen zu verstehen, worauf sich die Antworten beziehen. Gerade bei der Masse an Text ist ein expliziter Text-Bezug notwendig, wenn es halbwegs übersichtlich sein soll, andernfalls müsste man immer wieder zwischen Beiträgen hin und her springen. Tut mir ja leid, dass ich mit meinem Beitrag auch dir widersprechen musste, aber du hast nunmal Dinge geschrieben, die so schlicht und ergreifend nicht gestimmt haben. Und das hat mit mir überhaupts nichts zu tun. Das weißt du auch ganz genau.

Aber ganz ehrlich, wenn du mir hier mit so einem Schwachsinn wie dem eben Zitierten kommst, dann erwarte bitte nicht mehr von mir, dass ich in Zukunft irgendwelche deiner Fragen beantworten werde, ehe ich eine Entschuldigung dafür empfangen habe. Das ist schon ein ganz starkes Stück von dir. Darf auch per PN sein, ich erwarte das nicht öffentlich.

Zitat von Zitronella

Ich wäre sogar dafür noch weiter zu gehen und zwar, dass nur noch signierte Erweiterungen aus dem eigenen Store von Mozilla (AMO) herunter geladen werden dürfen, und auch Aktualisierungen nur noch darüber erfolgen darf.

Soweit ich richtig informiert bin werden momentan nur die auf AMO gehosteten Erweiterungen vorher geprüft, alle Anderen werden ungeprüft signiert, weil der Aufschrei der Entwickler damals zu groß war. Das ist aber genau das Problem, die Signierung ist zwar etwas Schutz, aber meiner Meinung nach eben nicht genug, da "böse" fremd gehostete Erweiterungen trotzdem durchkommen können.

Abgesehen vom Unmut ist das auch ein enormes Ressourcen-Problem (was letzten Endes wieder zu Unmut führt). Die Sache mit der automatischen Validierung ist die, dass man sie austricksen kann, das liegt in der Natur der verwendeten Technologie. Und auch unabhängig davon lassen sich nicht alle Dinge automatisiert prüfen. Also braucht es dann wieder manuelle Reviews und das hat in der Praxis zu enormen Wartezeiten geführt. Mozilla hat in den letzten Monaten gut aufgestockt, die Review-Zeiten sind derzeit wirklich sehr gut, das war nicht immer so. Aber wenn jetzt wieder das dazu käme, was zwischenzeitlich täglich nur wegen der Signierungen dazu kam, wäre das möglicherweise wieder nicht genug. Gerade bei Add-ons, die nicht von Mozilla gehostet werden, kann das als echte Zumutung gesehen werden, wenn man Tage oder gar Wochen warten muss, bis man sein Add-on signiert zurück erhält. Wenn Mozilla die Add-ons hostet, gehört die Wartezeit halt dazu, das ist ja eine der Erwartungen, dass die Add-ons von der Mozilla-Webseite eine Prüfung erhalten haben.

Du hast Recht, dass eine Überprüfung einen besseren Schutz bieten würde, allerdings real auch nur unter der Prämisse, dass die Überprüfung nicht ausgetrickst werden kann, sprich wäre nur mit menschlichen Reviews praktibel, wie es sie bei Add-ons gibt, die Mozilla hostet. Oder man schränkt die Möglichkeiten von Add-ons so sehr ein, wie es bei Chrome der Fall ist. Das würde vermutlich auch automatisierte Überprüfungen wieder sinnvoll machen. Hätte aber die offensichtlichen Nachteile.

Das grundsätzliche Probleme mit allem, was ich schon andeutete: Sicherheit geht mit Kompromissen einher. Am Ende des Tages muss jeder Softwarehersteller seine eigene Balance zwischen Sicherheit und Benutzbarkeit finden, denn beides widerspricht sich oft.

Zitat von Sören Hentzschel

Und ehrlich, "Nutzer wollen nicht beschützt werden" ist eine Aussage, wo mir echt die Worte fehlen.

Habe ich das so geschrieben? Nein, mitnichten.
Meine Aussage enthält ein Fragezeichen und der zweite Satz lautet: Nein, nicht unbedingt. :wink:

Die Sache ist, dass du mit dieser Aussage implizierst, dass der Schutz der Nutzer nicht im Interesse der Nutzer sei, selbst wenn du nicht "ausnahmslos alle" meinst. Meine Wiedergabe beinhaltete übrigens auch kein "ausnahmslos alle". Es ist aber klar, dass solche Maßnahmen nur für alle oder für gar keinen Nutzer ergriffen werden können, dazwischen gibt es nichts. Firefox kann vor der ersten Benutzung ja keine "Führerscheinprüfung" für den Browser verlangen (wobei ich einen allgemeinen Internet-Führerschein durchaus begrüßen würde…). Wenn Mozilla etwas am Schutz der Nutzer liegt und sie diese Maßnahme für notwendig halten, dann müssen sie das tun, da können sie vorher nicht die Nutzer fragen, ob sie geschützt werden wollen oder nicht. Zumal man davon ausgehen kann, dass ein Großteil der Nutzer nicht in der Lage ist, diese Entscheidung begründet zu treffen, und Sicherheitsfragen sollte man noch mehr als alle anderen Fragen nur begründet beantworten. Nutzer fragen, ob sie gesichert werden sollen, erscheint mir ganz und gar nicht zielführend, das erwarte ich von von einem Browser ohne Wenn und Aber. Die hohen Sicherheits-Standards sind einer der Hauptgründe, wieso ich überhaupt Firefox benutze (was HTTPS-Sicherheit betrifft, bekommt Chrome übrigens einen wesentlichen Teil seiner Sicherheit von Mozilla, weil Chrome Mozilla NSS verwendet. Deren Sicherheit wird also von Mozilla maßgeblich mit entwickelt. Das als Nebenbemerkung zu den Sicherheits-Standards der Browser).

- Deplatzierte Äußerung entfernt -

Zitat von Damian22

- Deplatzierte Äußerung entfernt -

Echt jetzt? Ein Troll-Beitrag? Mach das bitte entweder in einem anderen Forum oder hier ohne mich. Ich werde darauf nicht im Detail eingehen. Nur auf eine Sache, weil du eine meiner Aussagen missbrauchst:

Zitat von Damian22

Um es mit deinen Worten zu sagen: Dann kann man es auch gleich sein lassen.

Wenn man eine Aussage aus ihrem Zusammenhang reißt und in einem vollkommen anderen Kontext verwendet, kann man nicht sagen "Um es mit deinen Worten zu sagen", das ist unseriös.