Entwicklung Firefox

  • Sicherheitsmaßnahmen als Mumpitz abzutun

    Das mit den Erweiterungen bei Chromium halte ich echt für übertrieben. wie gesagt, die Masse wird das gar nicht mitbekommen, weil die wohl wie bei Firefox kaum oder keine Erweiterung nutzen. Aber Nutzer wie ich schon, es sind ~30, die nicht mehr aufgeteilt werden wie bei Firefox, sondern einzelne Prozesse benötigen. Beim ersten Mal dachte ich, das System stirbt mir weg, so asi war die Auslastung, ein Quad.

    Fission ist hier willkommen.

    Aber die Google-Leute haben es nicht nur dort übertrieben - irgendwann hatten auch die ein Überhangsmenü, und es sollte besser sein als das von Firefox - voll der Mist, es wird nach Aktivität sortiert, sonst keine Möglichkeit, da fluchen alle drüber.

    Google macht, was Google machen will, ob's Sinn ergibt oder nicht.

    Da mir die Nightly überaus gut gefällt bislang, bleibt's auch dabei.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

  • Google würde es nicht tun, wenn es keine Berechtigung dafür geben würde. Man kann von ihnen halten, was man will. Und gerade in Privatsphäre-Fragen überwiegen da vor allem deren Interessen als Werbedienstleister. Aber in Sicherheitsfragen geht Google keine Kompromisse ein. Viele Prozesse bedeuten außerdem nicht, dass die Auslastung hoch geht und das System nicht mehr benutzbar ist. Die Problematik kann es auch mit nur einem Prozess geben, das ist nicht abhängig von der Zahl der genutzten Prozesse.

    Grundsätzlich würde ich davon ausgehen, dass auch Mozilla in diesem Punkt folgen wird. Die Möglichkeit wurde sogar tatsächlich schon vor Jahren im Mozilla Wiki festgehalten - als etwas für die ferne Zukunft. Nur wie gesagt: Es ist mir aktuell keine konkrete Planung dazu bekannt, was schlicht und ergreifend daran liegt, dass der Fokus jetzt erst einmal auf Fission liegt. Und da geht es bereits auf die Zielgerade: Die Ausrollung von Fission in einer finalen Firefox-Version ist (schrittweise) ab Firefox 94 geplant. Erweiterungen wären dann sicher ein logischer nächster Schritt.

  • Viele Prozesse bedeuten außerdem nicht, dass die Auslastung hoch geht und das System nicht mehr benutzbar ist.

    Das ist wohl richtig, dahingehend war meine Aussage unpräzise. Chromium hat für die Dauer des Starts den Rechner praktisch lahmgelegt. Rudimentär ging da wohl noch was, aber Arbeiten gar nicht mehr. Vorher unter eine Minute, mit mehrere Minuten. Hat man mir ähnlich auch von noch schnelleren Systemen berichtet.

    Man kann von ihnen halten, was man will.

    Sie meinen es eigentlich gut, klar, aber genau diese beiden Beispiele sind suboptimal gelöst worden, um das freundlich zu sagen. Sollte das nicht mehr optional werden, was sie oft gemacht haben später, werden sich einige ganz böse umschauen, was Chrome und Edge ihnen da präsentiert, vor allem Edge auf älteren Systemen. (mit entsprechender Zahl Erweiterungen, nackt wird sich kaum was tun)

    Was Speicher hier am Smartphone angeht, die "üblichen Consumer" 4GB aus den letzten Jahren, 6GB oder mehr war immer mit teureren Versionen. Allerdings merke ich nicht viel von Speichermangel, vermutlich auch deswegen, dass ich Apps auch "richtig" beende, nicht nur doppelt "<" (Samsung, Sony, Wiko). Beim Wiko hat mir Android (6) allerdings auch reichlich die Prozesse rausgeschmissen, obwohl anders eingestellt, eindeutig Speicher, denn beim Sony hat das funktioniert (mehr Speicher).

    Was die Nightly auf dem Desktop angeht, lief die v93 eindeutig besser als die v91 bei identischem Profil.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

  • Sie meinen es eigentlich gut, klar, aber genau diese beiden Beispiele sind suboptimal gelöst worden, um das freundlich zu sagen. Sollte das nicht mehr optional werden, was sie oft gemacht haben später, werden sich einige ganz böse umschauen, was Chrome und Edge ihnen da präsentiert

    Es ergibt nicht wirklich Sinn, die grundlegende Sicherheits-Architektur dauerhaft optional zu machen. Das macht Mozilla auch nicht.

    Was Speicher hier am Smartphone angeht

    Smartphone ist ein eigenes Thema, da wird es nie so viele Prozesse wie am Desktop geben.

  • Das mit den Erweiterungen bei Chromium halte ich echt für übertrieben.

    So übertrieben, dass es schon eine Attacke dafür gibt:

    Zitat

    If you pack Spook.js inside a malicious Chrome extension, you can easily gain access to the data of other extensions -- such as stealing passwords from LastPass

    Catalin Cimpanu on Twitter
    “The attack is the reason why Google added Site Isolation to extensions code in July: https://t.co/NLuhs66UHa If you pack Spook.js inside a malicious Chrome…
    mobile.twitter.com

    Vielleicht sollte man die Einschätzung solcher Fachfragen den Leuten überlassen, die sich beruflich damit beschäftigen und einen Browser für Hunderte Millionen User entwickeln.

    Übrigens werden die Browser durch dieses Feature in Teilen wieder schneller, weil diverse aus Sicherheitsgründen deaktivierte Optimierungen für die Javascript-Engine jetzt wieder aktiviert werden können. Sowohl in Chromium als auch Firefox.

  • Von mir aus. Nur muss ich dann in solchen Dingen schon wieder das Gesamtkonzept in Frage stellen - warum ist das überhaupt möglich? Wären Erweiterungen bei Firefox auch so angreifbar?

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 92.

  • Firefox und Safari sind von dieser speziellen Attacke nicht betroffen. Aber theoretisch kann es sowas natürlich auch bei Firefox geben. Die Frage "warum ist das überhaupt möglich?" lässt mich vermuten, dass du den von mir verlinkten Wiki-Eintrag zu Fission nicht gelesen hast. Denn dort wird eigentlich genau das beantwortet: Der Browser wird von Menschen entwickelt und Menschen machen Fehler. Die Isolierung durch verschiedene Prozesse ist eine zusätzliche Schutzebene, die dann greift, wenn die vorherige Ebene versagt.

    Natürlich sollte über eine Erweiterung nicht auf Daten einer anderen Erweiterung zugegriffen werden können, genau das gleiche mit Websites. Und das versuchen Firefox, Chrome und alle anderen Browser zu gewährleisten. Normalerweise ist das nicht möglich, auch wenn alles in einem Prozess läuft. Zur Wahrheit gehört aber auch, dass spätestens alle vier Wochen wieder einige Sicherheitslücken geschlossen werden. Und solange die Sicherheitslücken nicht geschlossen sind (oder im schlimmsten Fall: solange die Sicherheitslücken nur Angreifern bekannt sind!) ist es dann doch gut, wenn man sich auf eine Schutzebene dahinter verlassen kann, die ausschließt, dass eine Website oder eine Erweiterung auf Daten zugreifen kann, auf die kein Zugriff bestehen darf.

    Insofern: Nein, die Tatsache, dass jede Erweiterung in einem eigenen Prozess läuft, lässt mal sicher nicht das Gesamtkonzept in Frage stellen. Ganz im Gegenteil unterstreicht dieser Fall die Bedeutung dieser Maßnahme im Gesamtsicherheitskonzept. Ohne diese Isolierung hätten wir hier ein ziemlich übles Sicherheitsproblem in Chrome (Zugriff auf Passwörter!). Aber durch die Isolierung wird die Attacke, selbst bei vorhandener Sicherheitslücke, einfach wirkungslos.

  • Gab es eine Änderung was das Speichern der Session beim Beenden angeht? Wenn ich Firefox beeenden möchte, fragt er jetzt immer ob ich alle Tabs schließen will (mit aktiver Sitzungs-Wiederherstellung). Das war zuvor nie der Fall.

    Ich habe jetzt Angst, dass er all meine Tabs schließt, wenn ich das bejahe, und beende ihn jetzt immer über den Task-Manager =O

  • Habe gerade festgestellt, das die Nightly vom 16.9. sich nicht updatet bzw via Hilfe -- Über Nightly als aktuell erkannt wird. Habe jetzt die 1. Version von heute händisch drüber installiert. Das ist mir bisher noch nie passiert... 8|

    Bei anderen auch so?