AddOn-Sperre auf Mozillaseiten

  • Guten Morgen

    Kann man die Sperre (deaktivieren) der Erweiterungen auf Seiten von Mozilla und Konfiguration irgendwie abstellen ?

    Dieses Verhalten nervt mich extrem !

    Danke schon mal vorab für's lesen

    gruss

    gero

  • Bin zwar nicht sonderlich befasst mit der Materie, aber ich glaube, dass auf FF/Mozilla-eigenen Seiten die Einschränkungen wesentlich weitergehen als bei CSP, weil hier Erweiterungen, welche auf den Inhalt der Seite zugreifen wollen/müssen, ja prinzipiell und vollständig deaktiviert werden. Vielleicht kann ja Sören Hentzschel was dazu sagen...

    Ich denke, dass es nur eine geringe Anzahl von Webextensions gibt, die diesen Zugriff wirklich brauchen, z.B. eben Mouse-Gesture-Addons. Wenn diese keinen Zugriff haben, dann macht das gesamte Addon fast keinen Sinn mehr. Eine Möglichkeit wäre, diese speziellen Addons (auf Antrag) einer besonderen Prüfung seitens Mozilla zu unterziehen und diese dann (u.U. mit eingeschränkter Funktionaliät) zu erlauben.

    2 Mal editiert, zuletzt von BrokenHeart (4. Dezember 2019 um 10:50)

  • Hallo

    Um die Funktion der Erweiterungen auf Mozilla Seiten zu ermöglichen:
    Unter about:config die Werte des Eintrags extensions.webextensions.restrictedDomains löschen
    Neuen Bolean Eintrag namens preference privacy.resistFingerprinting.block_mozAddonManager erstellen und den Wert auf true setzen.

    Grüße

    "Wir fahren diesen Planeten gerade an die Wand"
    Klimaforscher Hans Joachim Schellnhuber

  • Der erste Schalter steht bereits im vorherigen Beitrag und der zweite hat ein "preference" da stehen, was da nicht hingehört.

    An dieser Stelle wiederhole ich den Hinweis, dass man damit eine Sicherheitslücke öffnet. Ich wiederhole das, damit es durch die zwei neuen Beiträge nicht untergeht, weil das eine wichtige Information ist, die zwingend genannt werden muss, wenn man diese Schalter nennt.

  • StandingBill :

    Danke! Aber die Schalter hatte ich schon seit langem so gesetzt. Funktioniert auch so auf den Mozilla-Seiten. Mir ging es in erster Linie um die FF-internen Seiten (about:irgendwas) . Aber da sind wohl die Sicherheitsbedenken bzw Sicherheitsanforderungen um einiges höher. Wie ich oben geschrieben habe, wäre eine besondere Privilegierung bestimmter Addons seitens Mozilla eine Möglichkeit...

  • Wie ich oben geschrieben habe, wäre eine besondere Privilegierung bestimmter Addons seitens Mozilla eine Möglichkeit...

    Nein, das ist keine Möglichkeit. Mozilla müsste eine Zwei-Klassen-Gesellschaft von Erweiterungs-Entwicklern einführen - ein absolutes No-Go. Darüber hinaus kann jede noch so vertrauenswürdige Erweiterung morgen ein Update veröffentlichen und plötzlich eine Gefährdung darstellen, sei es bewusst oder unbewusst.

    Es gibt Regeln, was Erweiterungen können und was nicht, und diese Regeln müssen für - fast - ausnahmslos alle gelten. Die einzige Ausnahme kann nur Mozilla selbst sein.

    Davon abgesehen ist es so oder so nicht gewollt, dass Erweiterungen about:-Seiten von Firefox verändern. Also alleine deswegen erübrigt sich das Ganze sowieso schon.

  • Nein, das ist keine Möglichkeit. Mozilla müsste eine Zwei-Klassen-Gesellschaft von Erweiterungs-Entwicklern einführen - ein absolutes No-Go. Darüber hinaus kann jede noch so vertrauenswürdige Erweiterung morgen ein Update veröffentlichen und plötzlich eine Gefährdung darstellen, sei es bewusst oder unbewusst.

    [...]

    Davon abgesehen ist es so oder so nicht gewollt, dass Erweiterungen about:-Seiten von Firefox verändern. Also alleine deswegen erübrigt sich das Ganze sowieso schon.


    Nein, keine Zwei-Klassen-Gesellschaft von Erweiterungs-Entwicklern, sondern eine Zwei-Klassen Gesellschaft von Erweiterungen. Das finde ich, ist ein großer Unterschied. Die Erweiterung müsste zu einer wahrscheinlich sehr kleinen Klasse von Addons gehören, die, nach Beurteilung von Mozilla, ohne speziellen Zugriff auf die Seite nicht auskommt (z.B. Mouse-Gestures).

    zu den Updates: Bei 'Empfohlenen Erweiterungen' findet bei jedem Update ja auch eine eingehende Prüfung statt, bevor sie veröffentlicht werden.

    Man muss ja nicht alles was 'möglich' ist freigeben, sondern nur alles was 'nötig' wäre, um zu funktionieren. Das kann dann auch nur ein Bruchteil sein, was freigeschaltet bzw. erlaubt wird.

    Aber wahrscheinlich eh eine müßige Diskussion, weil es zu viel Aufwand für Mozilla bedeuten würde.

    Ich sehe dies aber als eine Möglichkeit, die die Sicherheit nicht untergraben muss...

  • Nein, keine Zwei-Klassen-Gesellschaft von Erweiterungs-Entwicklern, sondern eine Zwei-Klassen Gesellschaft von Erweiterungen. Das finde ich, ist ein großer Unterschied. Die Erweiterung müsste zu einer wahrscheinlich sehr kleinen Klasse von Addons gehören, die, nach Beurteilung von Mozilla, ohne speziellen Zugriff auf die Seite nicht auskommt (z.B. Mouse-Gestures).

    Zwischen Erweiterungen zu unterscheiden führt zwangsläufig zu einer Unterscheidung von Entwicklern. Du kannst nicht sagen, dass Erweiterung A eine Sache X darf und Erweiterung B eines anderen Entwicklers, der genau das gleiche möchte, nicht. Du musst das entweder für alle erlauben oder kannst es niemandem erlauben. Alles andere wäre schädlich für das Erweiterungs-Ökosystem von Firefox, da es einen fairen Wettbewerb verhindert.

    zu den Updates: Bei 'Empfohlenen Erweiterungen' findet bei jedem Update ja auch eine eingehende Prüfung statt, bevor sie veröffentlicht werden.

    Und dennoch öffnet Mozilla für niemanden eine Sicherheitslücke - und das ist auch gut so. Der Shitstorm, den Mozilla dafür ernten würde, wäre vollkommen gerechtfertigt. Ich hab's ja schon zweimal in diesem Thema erwähnt, dass das eine Sicherheitslücke öffnet. Dass es eine Überprüfung gibt, kann als Rechtfertigung unmöglich ausreichend sein, denn dafür sind menschliche Überprüfungen nicht zuverlässig genug. Das ist zu heikel, um hier mit Ausnahmen zu kommen.

    Aber wahrscheinlich eh eine müßige Diskussion, weil es zu viel Aufwand für Mozilla bedeuten würde.

    Ich sehe dies aber als eine Möglichkeit, die die Sicherheit nicht untergraben muss...

    Das ist keine Frage von Aufwand, sondern tatsächlich völlig unmöglich - sowohl von einem ethischen Standpunkt aus betrachtet als auch von der realen Umsetzbarkeit, die Sicherheit zu garantieren. Das ist nämlich genau der Punkt: "zu 95 Prozent wahrscheinlich kein Problem" reicht nicht, Mozilla bräuchte 100 Prozent, ohne Kompromisse. Diese Garantie könnte Mozilla niemals geben.

  • Musst entschuldigen, ich kenne das nur als CSP, was von der Mozilla-Seite angeordnet wird. Dass Erweiterungen dort nicht agieren dürfen aus Sicherheitsgründen. Ich habe auch einen anderen Schalter dazu in Erinnerung, der auf die CSP wirkt. Das es CSP schon wesentlich länger gibt als Quantum ist mir bekannt.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.