Webapplikation GWT mit Firefox 63 völlig zerrissen

  • Vorab: Ich hab mir das noch nicht angesehen, weil ich mich am Flughafen befinde und noch ca. zwei Stunden auf meinen Flug warte. Testen ist hier etwas schwierig. Aber vorab eine Bemerkung dazu:

    Forefox63 installiere ich vorerst nicht mehr.

    Das darf für dich bitte keine Option sein. Ein Browser ist stets aktuell zu halten, da gibt es keinen Weg dran vorbei. Firefox 62 hat schwerwiegende und spätestens seit Firefox 63 auch potentiellen Angreifern bekannte Sicherheitslücken, denn alle Sicherheitslücken von Firefox 62 hat Mozilla mit der Veröffentlichung von Firefox 63 öffentlich bekannt gegeben:

    https://www.mozilla.org/en-US/security…es/mfsa2018-26/

    Sicherheit bei einem Browser sollte man niemals auf die leichte Schulter nehmen. Gerade beim Browser muss Sicherheit die Priorität Nummer 1 sein. Sicherheitslücken werden ausgenutzt, das ist nicht nur Theorie, sondern Realität. Nicht grundlos investieren Browserhersteller so viel in Sicherheit und sind so hinterher, alle paar Wochen Sicherheits-Updates zu veröffentlichen. Das wäre nicht so, wenn es nicht notwendig wäre.

  • Hallo Sören
    das mit der Sicherheit bin ich ganz Deiner Meinung. Aber haben die neuen Funktionen in Firefox63 nur mit Sicherheit zu tun?
    "Seitenelemente blockieren" ist für mich als "Laie" eine Ursache für die nun gezeigten Probleme.
    Ich kann nicht die ganze Applikation jetzt prüfen lassen und neue Klassen programmieren lassen, nur weil sie jetzt mit Firefox nicht mehr funktioniert. Der Code wird ja von einem GWT Compiler erzeugt. Eine Anpassung an Firefox63 wäre mit Sicherheit mit enorm viel Aufwand verbunden. Vorerst kann ich wohl nur die Verwendung anderer Browser empfehlen.
    Freundliche Grüsse
    Werner Steiner

  • das mit der Sicherheit bin ich ganz Diner Meinung. Aber haben die neuen Funktionen in Firefox63 nur mit Sicherheit zu tun?

    Der Punkt ist: Firefox 62 hat Sicherheitslücken, die öffentlich bekannt und in Firefox 63 behoben sind. Das ist vollkommem unabhängig von neuen Funktionen und sonstigen Änderungen in Firefox 63.

    Auch wenn Mozilla nicht veröffentlicht, wie genau Sicherheitslücken auszunutzen sind; Alle Änderungen an Firefox sind öffentlich, da Firefox Open Source ist. Dieser Fakt zusammen mit der offiziellen Bekanntgabe, welche Probleme in alten Versionen existieren, erlaubt halbwegs kompetenten Angreifern eine Rekonstruktion und gezielten Angriff auf Nutzer, die ihre Software nicht aktuell halten.

    Und mal ganz grundsätzlich: Wenn eine Seite nicht korrekt dargestellt wird, liegt das zu 99 Prozent an der Webseite. Ich arbeite in der Webentwicklung, darum lasse ich den Browser als Ausrede nicht gelten. Selbst wenn mal ein Browser-Bug Schuld an einem Problem ist: Ich weiß, dass meine Webseiten meine Verantwortung sind. Als Entwickler einer Webapplikation muss man immer darauf eingestellt sein, dass mal Kompatibilitäts-Anpassungen notwendig sind. Das gehört zum Job dazu. Darum haben Firmen, die sowas auslagern, auch meistens Wartungsverträge mit der Entwickler-Firma. Das Web und die Browser entwickeln sich nun einmal weiter, die Zeit bleibt nicht stehen. Darum kann man nicht davon ausgehen, dass niemals Änderungen notwendig werden. ;)

  • Danke Sören für Dein Statement
    ich kann alles nachvollziehen was Du sagst und schreibst.
    Dennoch habe ich aktuelle Kunden, die Daten eingeben möchten, und das ist aktuell mit Firefox63 nicht mehr möglich. Ich habe den Kunden noch nie geraten, Sicherheits-Updates nicht zu machen.
    Schade gibt es in Firefox63 nicht die Möglichkeit, meine Seite als Ausnahme einzutragen, so dass sie weiterhin funktioniert. Offenbar haben demnach die Sicherheitslücken mit einem Mechanismus zu tun, die unsere Entwickler benutzt haben, um die Fall-Daten nachzuladen.
    Freundliche Grüsse
    Werner Steiner

  • Ein Browser-Update beinhaltet nicht immer nur Sicherheits-UpDates.. da werden auch manchmal grundsätzliche Dinge geändert...
    Ggf. hilft es, wenn du dir die Änderungen zwischen Firefox 62.0.3 und Firefox 63.0 mal ansiehst oder den Entwicklern deiner Webanwendung zum Lesen gibst.
    https://www.mozilla.org/en-US/security…es/mfsa2018-26/

  • Habe mich mal in die Seite eigeloggt, und was mir noch auffiel ist, dass ich mich nicht per Mausklick ausloggen kann

    Anklicken um die Grafik zu sehen
    [attachment=0]logout.gif[/attachment]
    Die Maus wird zum verschiebbaren "Kreuz-Pfeil" (sorry, weiß nicht die richtige Bezeichnung), die auf Klick bei "OK" oder "Abbrechen" nicht reagiert.

    Ich habe bisher noch nicht ausprobiert ob dies auch erst ab FF 63 so ist und auch nicht ob das in anderen Browsern anders ist.

  • Hallo Zitronella
    danke das hab ich auch gemerkt, das ist ein weiteres unschönes Ding von Firefox 63. Man kann dann unter Firefox63 nur noch mit Tabulator und Enter-Taste das Logout machen (dies wohl wegen diesem Pop-up). Das war in 10 Jahren noch nie so, und ist auch auf andern Browsern nicht so. Aber wie ich schon drauf hingewiesen worden bin, darf ja meinen Kunden nicht sagen: Macht kein Sicherheitsupdate. Bleibt mir eben nur hinzuweisen auf Edge und Chrom.

    Freundliche Grüsse
    Werner Steiner

  • Du scheinst die Möglichkeit, das es an deiner Webanwendung liegt, völlig zu negieren.. :(
    lese ggf noch einmal Sörens Beitrag dazu.. An Firefox 63.0 wird es zu den erwähnten 99 % nicht liegen.. :)

  • Hallo zusammen

    Unsere Webapplikation bietet diverse HTML-Fragebogen, die mit integrierten JavaScripts die Usereingabe und Plausibilität verbessern. Wegen GWT mussten Tricks gesucht werden, die JavaScripts nachzuladen, weil sie sonst durch den Compiler ersetzt wurden. Das könnte jetzt ein Problem sein. Ich habe diverse Dinge analysiert mit Firefox63. Einiges läuft nicht mehr rund, so Pop-up Dialoge zum Logout, zum Speichern von Formularen, die Länge aufklappbarer HTML kann nicht mehr via Datenbank gesteuert werden, usw.
    Die Applikation besteht insgesamt aus gegen einer Million Zeilen Code, da ist es doch verständlich, wenn man eine Generalüberholung der Applikation vermeiden möchte.
    Wenn jemand die Applikation nochmals unersuchen möchte unter Firefox63, gebe ich gerne die Zugangsdaten unter Nennung einer persönlichen Mail-Adresse bekannt. Hier zu posten bin ich nicht motiviert, nachdem ich gesehen habe, dass alles öffentlich einsehbar ist, und zwar für jeden Internet-Benutzer, unkontrollierbar.

    Mit freundlichen Grüssen
    Werner Steiner


  • Weshalb ich mich hier einloggen muss ist mir schleierhaft, denn der ganze Fragen/Antworten Katalog ist für jeden im Internet sichtbar.


    Nicht dein ernst, oder? So funktionieren Foren nun einmal, dass man sich registrieren und somit auch einloggen muss. Sonst könnte ja jeder irgend einen Kram hier rein schreiben.


    ist für jeden im Internet sichtbar. So auch die Zugangsdaten.

    Na, und das war dir nicht klar? :-?? Das ist hier ein öffentliches Forum, natürlich ist es dann für jeden sichtbar, so wie es wahrscheinlich in 99% der Foren der Fall ist


    In den Optionen von Firefox63 gibt es zwar ein Dialogfenster für Ausnahmen, jedoch scheint das galsch programmiert zu sein, man knn keine URL eingeben, weil gar kein Feld vorhanden ist, und die Buttons zum speichern deaktiviert sind.

    Wenn nix blockiert ist wie zb. auf deiner Webseite, dann kann auch keine Ausnahme eingetragen werden. Ausnahmen werden eingetragen zb auf bild.de Dort kannst du dann auf das Schild in der Adresszeile klicken und die Blockierung für diese Seite aufheben, dann ist die Seite auch in den Ausnahmen automatisch drin.


    Wenn jemand die Applikation nochmals unersuchen möchte unter Firefox63, gebe ich gerne die Zugangsdaten unter ....@...persönlich bekannt.

    Auch diese Mail-Adresse ist nun komplett öffentlich Du könntest deinen Post aber editieren und die Adresse wieder heraus nehmen. (deswegen habe ich sie extra nicht mit zitiert) Mach das doch lieber per PN, mit Mitgliedern hier aus dem Forum. Zb. könntest du Sören so die Zugansdaten zusenden, wenn er denn überhaupt noch Interesse daran hat.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Guten Abend Zitronella
    da ich zum ersten Mal in einem Forum ein Problem schildere, muss man etwas Nachsicht haben, dass ich nicht schon alles darber weiss.

    Für die bisherigen Rückmeldungen danke ich jedenfalls Allen hier. Es sind einige interessante Aspekte aufgetaucht, die mir zwar nicht ganz neu sind, aber dem Lauf der Zeit entsprechen, und die man so wohl akzeptieren muss.

    Freundliche Grüsse
    Werner Steiner

  • Ich habe auch schon eine GWT-Anwendung programmiert, aber dass GWT eingesetzt wird, ist ja eigentlich unerheblich, weil das Frontend letztlich völlig unabhängig davon ist, was im Hintergrund zum Einsatz kommt. Auch eine GWT-Anwendung setzt am Ende des Tages gewöhnliche Webtechnologie um. Und wird diese korrekt angewendet, funktioniert das auch in allen Browsern.

    Ich bin gerne weiterhin bereit, einen Blick darauf zu werfen, wenn ich Zugangsdaten erhalte. Ohne Garantie, dass ich zu einem Ergebnis komme. Aber ich kann es versuchen. Allerdings hab ich immer nur begrenzt Zeit-Slots für solch aufwändige Angelegenheiten zur Verfügung. Daher kann es ein paar Tage dauern.

  • Sehr geehrter Sören Hentzschel
    Es ist sehr nett und lobenswert, dass Sie sich bereit erklären, die Symptome unter Firefox 63 genauer anzuschauen.

    Ich wollte Ihnen die Zugangsdaten per Persönliche Notiz zusenden. Bin aber damit nicht klar gekommen. Aus Gründen der öffentlichen Einsicht des Forums kann ich nicht alle Informationen hier darstellen.

    Eine Erfolgsgarantie kann ja niemand geben und ich erwarte auch keine. Auch terminlich habe ich keine Erwartungen. Es wäre möglich, dass es sich letztlich um eine Kleinigkeit handelt. Nachdem ich die GUI angeschaut habe, auch darin befindliche HTML, denke ich, dass CSS-Angaben von RehabNET neu unterdrückt/überschrieben werden.

    Wie kann ich Ihnen die Zugangsdaten "geschützt" zukommen lassen?

    Freundliche Grüsse
    W. Steiner

  • Hallo zusammen
    gestern hab ich wegen Layout-Problemen noch etwas gegoogelt: Es gibt ein nahezu identisches Problem mit einer anderen Webapplikation. Dort scheinen auch die Ruler non Fenstern ein Problem zu sein, der Text wird unten über die Windowsbegrenzung hinausgeschrieben und die Ruler funktionieren nicht.
    Hier der Link:
    https://stackoverflow.com/questions/5315…crolled-content
    Titel ist: Firefox 63: wrong display of scrolled content

    Freundliche Grüsse
    Werner Steiner

  • Hallo,

    Wir haben ein sehr ähnliches Problem mit der Darstellung unserer Web-Anwendung seit der Aktualisierung auf Firefox 63. Der weiter oben genannte Beitrag bei Stackoverfow ist von mir.


    Hier der Link:
    https://stackoverflow.com/questions/531 ... ed-content
    Titel ist: Firefox 63: wrong display of scrolled content


    Dort habe ich beschrieben, wie man das Problem mit einem minimalen Beispiel reproduzieren kann und warum die Darstellung falsch ist.
    Wir verwenden eclipse-rcp-luna-SR1-linux-gtk mit RAP 2.3. Mit dem aktuellen eclipse-rcp-photon-R-linux-gtk und RAP 3.5 tritt das Problem nicht mehr auf.
    Aber auch wir haben eine Web-Anwendung mit ca einer Million Zeilen, die seit 2013 entwickelt wird und wir können nicht auf eine neue Eclipse und RAP Version umsteigen. Wir sind also auf eine Unterstützung der Browser angewiesen... und Firefox ist nun mal DER Standardbrowser!

    Beste Grüße,
    Julia Kurde