Nur-HTTPS-Modus - Ausnahmen gelten nicht für Addons

  • Firefox-Version
    87.0
    Betriebssystem
    Win10 20H2

    Hi,

    ich hab ein Problem mit den Ausnahmen des Nur-Https-Modus und Addons.

    Und zwar habe ich ein paar "nicht sichere" Http-Seiten die ich per Nur-Https-Ausnahme zulasse, damit die Seite ohne Warnmeldung geladen wird.

    Das Problem ist aber wenn ich die Http-Seite mit z.B. dem Addon Web Page Scanner aufrufe, das diese Ausnahme wohl nicht sehen kann (oder soll) und dann immer einen Fehler ausgibt.

    Ich gehe mal davon aus das das Addon, sowas wie die Firefox Warnung "Sichere Verbindung nicht verfügbar" angezeigt bekommt oder gleich nur noch per HTTPS verbinden kann.

    Gibt es eine Möglich die Http Ausnahme auch für Addons einzurichten, damit das Addon die Http-Seite auch ohne Probleme aufrufen kann?

    Every time you make a typo, the errorists win.

  • Hat jemand vielleicht eine Idee, ob das Attribut bzw. das Feature für die HTTPS-Ausnahme den Addons per API überhaupt zur Verfügung steht? Oder werden bei Addons pauschal dann alle HTTP-Anfragen geblockt?

    Wäre gut zu wissen, ob es theoretisch möglich wäre das im Addon anzupassen oder ob Mozilla einfach noch keine Möglichkeit dafür in die Addon-API eingebaut hat?

    Every time you make a typo, the errorists win.

  • Ja, werde mal ein topic auf Github aufmachen. Aber meine Befürchtung ist, das das ein Firefoxproblem ist. ;)

    Every time you make a typo, the errorists win.

  • Ja, hoffe mal das die HTTPS-Ausnahme in der API für die Addons mit drin ist und das Addon angepasst werden kann.

    Every time you make a typo, the errorists win.

  • Ich sehe das in dem Fall etwas anders. Der Nur-HTTPS-Modus ist ein Privatsphäre-Feature von Firefox und sollte daher transparent funktionieren. Ich bin nicht der Meinung, dass es Sinn ergibt, dass der Entwickler einer Erweiterung sagen kann, dass die Ausnahmeliste entweder berücksichtigt oder nicht berücksichtigt werden soll. Entweder ist das seitens Firefox so vorgesehen oder nicht. Und das macht es für mich zu einer Firefox-Angelegenheit und zu nichts, wofür der Erweiterungs-Entwickler die Verantwortung trägt.

    Ich denke, dazu gehört dieses Ticket hier:

    https://bugzilla.mozilla.org/show_bug.cgi?id=1685862

  • Persönlich sehe ich das wie Andreas - HTTPS-only ist IMO bei Installation nicht aktiv, Benutzer schaltet es selbst ein. Wenn eine Erweiterung dann bei einer HTTP-Anforderung keine Daten bekommt, ist das vornehmlich doch kein Firefox-Problem, sondern eine Benutzerentscheidung. Wenn die Entwickler jetzt eine Schnitstelle implementieren, worin Eingaben manuell getätigt werden müssen, ist das grundsätzlich zu begrüßen, es darf nur nicht automatisch passieren.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Du hast das Problem offensichtlich nicht verstanden. Genauso wie die Aktivierung dieses Modus eine Benutzerentscheidung ist, ist es doch wohl selbstverständlich auch eine Benutzerentscheidung, eine bestimmte Seite auf die Ausnahmeliste zu setzen, weil diese in diesem Modus nicht funktioniert. Und eben jene Ausnahmen finden im Erweiterungs-Kontext keine Berücksichtigung. Wie genau kann das kein Firefox-Problem sein? Es ergibt wie gesagt überhaupt keinen Sinn, da den Entwickler der Erweiterung in die Verantwortung zu ziehen, der kann da überhaupt nichts tun und da braucht es auch keine neue Schnittstelle für. Was du damit meinst, das dürfe nicht automatisch passieren, weiß ich wirklich nicht.

  • Ja, gut. Ausnahmeliste fehlt bislang. Allerdings sehe ich drin auch keinen Nachteil, ich sehe in HTTPS nur Vorteile, für alles andere fragt Firefox nach.

    Aber um auf den Aspekt "Verantwortung" einzugehen - es scheint demnach keine Möglichkeit für Erweiterungen zu gegen, ähnlich wie in der Netzwerkanalyse, zu erkennen, ob Daten genau deswegen nicht geladen werden konnten?

    Ich sehe das eher als "Wasch mich, mach mich aber nicht nass" als eine wirkliche Notwendigkeit, weil HTTPS-only eben eine Benutzerentscheidung ist. Ich mein, wenn die Entwickler eine Ausnahmeliste als Lücke erkennen und nachreichen, soll mich das nicht stören, würde ich eh nicht nutzen wollen. HTTPS ist für mich ein Sicherheitsmerkmal, die Ausnahmeliste - falls meine folgende Annahme richtig wäre: dürfte daher ja nicht nur für Erweiterungen gelten, sondern auch für den regulären Betrieb, daher sehe ich das eher kritisch. Man sollte die Ausnahmeliste daher konkret für den strikten Gebrauch bei Erweiterungen einschränken und nicht für Firefox.

    Ich hoffe, das erklärt meine Bedenken.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Nochmal: Es gibt die Möglichkeit, Ausnahmen festzulegen, längst. Und daran ist, nebenbei bemerkt, auch überhaupt nichts kritisch. Die Möglichkeit, Ausnahmen festzulegen, macht diesen Modus für viele überhaupt erst benutzbar, weil nun einmal nicht jede Seite über HTTPS funktioniert, und die einzige Alternative ansonsten wäre, komplett auf dieses Sicherheits-Feature zu verzichten. Die Berücksichtigung der Ausnahmen funktioniert aktuell nur nicht im Kontext einer Erweiterung. Darum geht es hier in diesem Thema…

  • Ah ja, das war eine deutliche Aussage, war für mich bislang nicht erkennbar. Dann ist das natürlich ein Firefox-Problem.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.