Safe Browsing Version 4 (temporary add-on)

  • In einem Firefox Profil hat sich vor 2 Tagen selbständig eine Erweiterung installiert mit dem Namen "Safe Browsing Version 4 (temporary add-on)" und der ID "sbv4-gradual-rollout@mozilla.com"
    Es scheint direkt von Mozilla zu sein und es scheint irgendwelche Dinge bezüglich Malware zu prüfen/verhindern?

    Gibt es hierzu vernünftige (am liebsten deutsche) Quellen was das Ding macht? Was waren die Voraussetzungen, dass es sich gerade nur in meinem einen Profil installierte?

    An sich habe ich nix dagegen wenn Mozilla mit solchen Erweiterungen irgend etwas testet um Funktionen zu verbessern. Was mich aber extrem stört ist die Intransparenz. Das verunsichert total. Warum setzen die keinen Link unter die Erweiterungs-Beschreibung zu zb. einem Blog Artikel von blog.mozilla.org, wo das dann genauer erklärt wird?
    [attachment=0]Safe Browsing Version 4 (temporary add-on).png[/attachment]

  • Ich dachte, es wäre mittlerweile klar, dass Mozilla Erweiterungen für die schrittweise Auslieferung von Features nutzt: e10s, Click-to-Play von Flash, Firefox Screenshots, …

    Ein Link zu einem Blog-Artikel ist deswegen unnötig, weil das Add-on eine Beschreibung hat und es mehr schlicht und ergreifend nicht dazu zu sagen gibt. Mozilla stellt die SafeBrowsing-API von Version 2 auf Version 4 um. Das ist eine interne Änderung und ändert für den Endnutzer überhaupt nichts. Sobald alle auf Version 4 sind, braucht es das Add-on nicht mehr, weil es dann fix in Firefox hinterlegt ist. Aber das steht ja alles schon in der Beschreibung. Und ein Artikel, der genau das Gleiche nochmal wiederholt, bringt ja nichts. ;) Der Wechsel der Safe Browsing-API ist ebenfalls in den Release Notes von Firefox 56 notiert.

    Die initiale Ausrollung erfolgt für 10 Prozent der Nutzer. Die weiteren Schritte legt Google fest.

  • Ich sehe das anders. Es könnte sich ja um ein Malware Addon handeln, was einfach nur in der Beschreibung so tut als wäre es von Mozilla direkt. Deswegen wäre ein kurzer Link in der Beschreibung, der z.B. auf blog.mozilla.org verweist und in dem bestätigt wird, dass die Erweiterung sauber ist, schon sehr sinnvoll. Sie müssten im Blog Artikel nicht einmal sehr viel mehr dazu schreiben, aber dann hätte man die Gewissheit, weil man es direkt auf mozilla.org lesen würde.


    Die initiale Ausrollung erfolgt für 10 Prozent der Nutzer. Die weiteren Schritte legt Google fest.


    ok, und dazu hast du sicherlich Quellen. Genau so etwas könnte ja auch z.B. in der Beschreibung im Blog stehen. Auch inwiefern die weiteren Schritte Google fest legt ist mir nicht klar. Und wie kommt es dass mein eines Profil zu den 10% gehört? Ist das random oder gibts dafür Voraussetzungen? Du siehst: Man könnte durchaus mehr dazu schreiben.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Mal abgesehen davon, dass ein schädliches Add-on einen auf eine Phishing-Seite führen kann, sehe ich das deswegen nicht wirklich als Argument für einen Blog-Artikel ohne inhaltlichen Mehrwert, weil sich Add-ons nicht von alleine auf deinem System installieren, außer du hast bereits eine Schwachstelle auf deinem System. Dann kann der Angreifer aber weit mehr Schaden anrichten und muss sich nicht so offensichtlich zeigen. In Firefox 56 werden Legacy-Erweiterungen unterstützt, damit können sich Erweiterungen zum einen im Add-on Manager verstecken, also komplett unsichtbar für dich sein, zum anderen, wenn schon jemand auf dem System ist, wieso erst den Umweg über eine Firefox-Erweiterung gehen, um was Schlimmes zu machen? Und in den Release Notes steht es ja wie gesagt auch.

    > ok, und dazu hast du sicherlich Quellen.

    https://bugzilla.mozilla.org/show_bug.cgi?id=1387651#c20

    > Genau so etwas könnte ja auch z.B. in der Beschreibung im Blog stehen.

    Dass das Add-on der schrittweisen Auslieferung dient, steht sinngemäß bereits in der Beschreibung. Die Zahl ist relativ uninteressant. Zumindest halte ich das für ein Implementierungs-Detail, ich sehe für den Endanwender keinen Mehrwert in der Nennung einer konkreten Zahl.

    > Auch inwiefern die weiteren Schritte Google fest legt ist mir nicht klar.

    Safe Browsing ist eine API von Google. Google beobachtet das Daten-Aufkommen und ob es Probleme gibt und erhöht dem Bedarf entsprechend die Kapazitäten, damit es zu keinen Ausfällen kommt. Google muss mit der Masse an Anfragen ja klar kommen. Aber das ist auch nur ein Implementierungs-Detail, das ändert für den Nutzer ja nichts.

    > Und wie kommt es dass mein eines Profil zu den 10% gehört? Ist das random oder gibts dafür Voraussetzungen?

    Zufall. Und damit auch nichts Spannendes zum Schreiben. ;)

    Wie gesagt, es ändert sich für den Nutzer gar nichts. Und das Add-on ist nur temporär, um die Verteilung von 0 auf 100 Prozent zu steuern. Darum gibt es nicht viel darüber zu schreiben. Ansonsten könnte man auch sehr viel über all die Dinge schreiben, die direkt in Firefox sind und per Update ausgeliefert werden. Dass das weniger auffällt, sollte nicht der einzige Grund sein, wieso darüber nicht gesprochen wird und sonst gesprochen würde. ;)

    Anderes Beispiel sind ja die ganzen System-Erweiterungen, die kommen und gehen auch, sind aber nicht im Add-on Manager verlinkt und da wäre eine Verlinkung auf einen Artikel technisch gar nicht möglich, weil nirgends ein Link ausgegeben wird. Diese Pipelines wie System- oder SHIELD-Erweiterungen sind einfach mittlerweile integraler Bestandteil von Firefox.

  • und wieder eine Erweiterung die sich in einem anderen Profil selbständig installierte:
    Diesmal ist es TAARExperiment 2.2.0

    Zitat

    Experiment that tests the Telemetry-Aware Add-on Recommonder (TAAR)


    [attachment=0]TAARExperiment.jpg[/attachment]
    Ich fühle mich bissel wie ein Versuchskaninchen 8)

  • und wieder eine Erweiterung die sich selbst installierte:
    Search Shield Study 3.0.6

    Zitat

    A Shield Study add-on testing the search experience.


    [attachment=0]Search Shield Study 3.0.6.jpg[/attachment]
    Die ist automatisch aktiviert und macht, dass die Such-Leite weg ist. Wenn man unter "Anpassen" geht ist sie zwar vorhanden, aber verlässt man das Anpassen Menü dann ist sie wieder weg. Deaktiviert man die Erweiterung dann ist die Suchleiste wieder da und nach Neustart ist die gesamte Erweiterung dann verschwunden.
    Hier auch fast nur negative Bewertungen https://addons.mozilla.org/de/firefox/add…r-shield-study/ wobei hier nur die Version 3.0.5 angeboten wird.

    Hatten wir das nicht auch hier im Forum, dass Nutzer klagten, dass die Suchleiste weg ist :-?? , das könnte evtl. die Ursache sein, dass sich diese Erweiterung selbst installierte.

    Ich finde den Umgang mit den Erweiterungen die sich durch Mozilla selbst installieren weiterhin recht fragwürdig.

  • Die Bewertungen auf AMO sind nicht wirklich bedeutend, weil die meisten nicht den Kontext kennen, es ist eher ein Problem, dass solche Add-ons überhaupt bewertet werden können, aber das ist eine Einschränkung von AMO. Hotfix-Erweiterungen konnte man ja, glaube ich, auch bewerten, weil die eben auch über AMO verteilt worden sind.

    Man sollte eines nicht vergessen: Firefox 57 wird ein großer und wichtiger Release mit viel Marketing. Und es ist geplant, dass es standardmäßig keine Extra-Suchleiste gibt (für die es mittlerweile ja eh nur noch wenige Gründe gibt; ich hab sie auch schon entfernt, da für mich nicht mehr notwendig). Also ist Mozilla gut damit beraten, damit im Vorfeld zu experimentieren, so dass sie für Firefox 57 eine begründete Entscheidung treffen können.

    An der grundsätzlichen Thematik, dass sich Add-ons selbst installieren, ist nichts neu, das gibt es in Firefox seit Jahren: Hotfix-Add-ons, System-Add-ons, SHIELD-Add-ons, Telemetrie-Experimente, Valence und ADB Helper in Zusammenhang mit der WebIDE, … Ich sehe nach wie vor nicht, was daran besser wäre, wenn Mozilla die Logik direkt in Firefox implementiert, das Ergebnis wäre das Gleiche. Für Firefox Hello erfolgte die Verteilung von Änderungen anfangs beispielsweise DNS-basiert, als das noch kein Add-on war.

    Mit einem kleinen Teil der Nutzer zu testen, ist eigentlich nicht fragwürdig, sondern das Normalste der Welt und wohl besser, als eine Testgruppe von 100 Prozent der Nutzer zu haben. Das wäre nicht gut für Mozilla und es wäre nicht gut für die Nutzer. Und getestet werden muss mit realen Nutzern, wenn man ein Produkt für reale Nutzer optimieren möchte. Wie gesagt: die Alternative dazu heißt nicht, keine Tests mehr durchzuführen, die Alternative dazu heißt, die Logik direkt in Firefox zu implementieren. Das macht aber auch den Opt-Out für die Nutzer schwieriger.


  • Und es ist geplant, dass es standardmäßig keine Extra-Suchleiste gibt

    :roll::roll::roll: Ich fände es zum ko**** ich nutze die ganz oft und zwar werden Suchergebnisse immer in einem neuen Tab geöffnet während ich auf der Seite bleibe. Manchmal ziehe ich dort auch nur einfach ein Wort rein um dann suche ich mit einer anderen Suchmalschine. All das wird dann nicht mehr funktionieren :twisted:

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Klar wird das noch funktionieren - es ist lediglich geplant, die Suchleiste standardmäßig nicht anzuzeigen. Wer sie dennoch will, kann sie einfach einblenden. Zusätzlich zum bereits vorhandenen Weg über die Anpassen-Oberfläche besitzt Firefox ab Version 57 sogar eine ziemlich prominent platzierte Option in der Einstellungs-Oberfläche dazu. Ich denke, diese Option hätte Mozilla nicht eingebaut, wenn der Plan wäre, die Suchleiste komplett aus dem Produkt zu entfernen. Ebenfalls wichtig: das betrifft lediglich neue Nutzer. Für bestehende Nutzer entfernt Mozilla die Suchleiste nicht aus der Oberfläche.

    Siehe dazu mein Artikel Weitere neue Anpassungsmöglichkeiten ab Firefox 57

  • Hallo,

    ich habe noch eine Detailfrage zum "Safe Browsing Version 4 (temporary add-on)":

    Warum erscheint dieses Add-on bei den normalen Erweiterungen und ist nicht - wie sonst üblich - ein System-Add-on?

    Schöne Grüße
    SPKirsch

  • Mozilla hat verschiedene Pipelines, um Erweiterungen auszuliefern. System-Add-ons sind eine Möglichkeit, es gibt aber auch sogenannte SHIELD-Studien. Ein offensichtlicher und wesentlicher Unterschied ist in jedem Fall mal, dass System-Add-ons nicht entfernt werden können, SHIELD-Add-ons können entfernt werden (da sie im Add-on Manager erscheinen). Die Steuerung der SHIELD-Studien wiederum erfolgt übrigens über ein System-Add-on.

    System-Add-ons bringen Funktionserweiterungen, kümmern sich unter Umständen um die Ausrollung von Features oder beheben Fehler in Firefox (für letzeres gibt es außerdem noch die Pipeline der Hotfix-Erweiterungen, das ist aber mehr oder weniger durch System-Add-ons ersetzt worden und wird heute eigentlich nicht mehr eingesetzt). SHIELD hat eine andere "Zielgruppe" - das ist eine Infrastruktur, welche explizit dazu dient, Features zu testen und den Effekt aus verschiedenen Blickwinkeln (seien es die Nutzung, Performance oder Absturzraten) zu messen, um Mozilla Einblicke zu geben, wie ein Feature in der Praxis arbeitet.