Wie ein unsigniertes, nicht mehr gewartetes Add-on retten?

  • Zitat von Sören Hentzschel

    Der Punkt hier ist aber, dass Mozilla nichts mit dem Add-on zu tun hat. Mozilla kann nur den Standardumfang von Firefox für bestimmte Anwendungsfälle optimieren. Wenn du ein Add-on verwendest, ist es einzig und allein die Aufgabe des Entwicklers besagten Add-ons, sein Add-on anzupassen.

    Und ja, Firefox muss selbstverständlich primär für die Nutzer optimiert werden, welche die Mehrheit und nicht die Minderheit sind, das versteht sich ja von selbst. So viele andere wären froh, wenn man selbst noch viel mehr nachinstallieren müsste und Firefox dafür nur als schlankes Basispaket ausgeliefert würde. Das entspricht nicht unbedingt meinem Wunschdenken, ist aber ein in gleicher Weise berechtigter Standpunkt.

    Mozilla hat mal damit geworben (und tut es immer noch?), wie toll sich der Firefox anpassen lässt. Das ist mit einigen Entscheidungen von Mozilla gerade für Entwickler immer schwieriger geworden, was dazu geführt hat, dass nützliche Add-ons nicht mehr weiterentwickelt werden und andere hinter den Veränderungen hinterherrennen. In diesem Zusammenhang finde ich die Aussage "einzig und allein die Aufgabe des Entwicklers" ziemlich schwach. Wie gesagt, man hätte die Entwicklung offener halten können. Ist nicht passiert. Statt es einfach dem Nutzer zu überlassen, ob er vorhandene sinnvoller Features wie die Add-on-bar verwenden will, wird dann Pocket integriert, das ich seit Jahren (offline) als Add-on benutze. Ich verstehe es jedenfalls nicht. Wir müssen das hier auch nicht ausdiskutieren, weil hier nicht die Entscheidungen getroffen werden. Ich musste es halt in diesem Zusammenhang als off topic Bemerkung los werden.

  • Und genau das ist ja auch korrekt, Firefox lässt sich wunderbar anpassen. Auch die neue Suchleiste könnte angepasst werden. Es ist nun einmal einzig und alleine die Aufgabe des Entwicklers. Man könnte damit argumentieren, dass man Rücksicht auf das Add-on nehmen könnte, wenn es von ganz vielen Nutzern genutzt wird und zudem aktiv entwickelt wird. Das letzte Update ist aber bereits mehrere Jahre (!) her.

    Bitte betrachte es mal ganz realistisch: wir nehmen jetzt an, dass du für Mozilla die Entscheidungen triffst. Du möchtest die Änderungen am Suchfeld umsetzen. Davon gehen wir aus, weil Mozilla das ja wollte. Würdest du auf die von dir gewünschte Änderung nur aus diesem einen Grund verzichten, weil es ein Add-on gibt, mit dem du nicht das Geringste zu tun hast und dessen Entwicklung bereits vor mehreren Jahren eingestellt worden ist? Sprich unter der Voraussetzung, dass eine Zusammenarbeit in dem Sinne, dass man den Entwickler unterstützt oder so, überhaupt nicht möglich ist? Darauf kann es nur eine einzige Antwort geben, denn wenn man hier mit "Ja" antworten würde, dann wird es immer Gründe geben, Änderungen wegen beliebiger toter Erweiterungen nicht umzusetzen und die aktuelle Firefox-Version wäre vermutlich die letzte Firefox-Version für immer. Nein, der Entwickler hat sein eigenes Add-on vor Jahren bereits aufgegeben. Wieso sollte Mozilla Rücksicht auf ein Add-on nehmen, dass den Entwickler selbst nicht mehr interessiert? Das kann man Mozilla unmöglich ankreiden, das war nicht Mozillas Entscheidung. Diese Entscheidung hat ganz alleine der Entwickler des Add-ons getroffen.

    Ich weiß auch nicht, was du mit "die Entwicklung offener halten" meinst, sehr viel offener geht ja nun wirklich nicht. Offen heißt ja nun nicht, dass Feature XY garantiert für die nächsten zehn Jahre Teil von Firefox ist. Mozilla hat die Leiste mehrere Jahre (!) nach dem ursprünglichen Plan entfernt. Die Add-on-Leiste war ein mit Firefox 4 eingeführter Kompromiss, nachdem die alte Statusleiste ersatzlos gestrichen werden sollte. Und du weißt selbst, dass das Thema Add-on-Leiste nichts mit dem Thema Pocket zu tun hat, es ist nicht möglich, von dem einen Thema ein Bezug zum anderen herzustellen. Die Pocket-Integration wäre auch mit Add-on-Leiste geschehen, und keine Pocket-Integration hätte die Add-on-Leiste nicht gerettet, das sind einfach voneinander ganz unabhängige Entscheidungen. Und weder Pocket noch die Add-on-Leiste haben mit dem Suchfeld zu tun. Also wir springen hier wirklich sehr stark zwischen ganz verschiedenen Themen, die man alle einzeln betrachten muss. Man kann über das Suchfeld sprechen, man kann über die Add-on-Leiste sprechen, man kann über die Pocket-Integration sprechen. Aber halt nich als eine gemeinsame Sache.

  • Zitat von Boersenfeger

    Hinsichtlich der Anpassung des Suchfeldes weise ich nochmal auf die Erweiterung CTR hin,
    https://addons.mozilla.org/de/firefox/add…icthemerestorer
    (siehe auch Beitrag 5 + 13)

    Vielleicht habe ich bezüglich CTR noch was nicht verstanden. Ich habe Endors Beitrag https://www.camp-firefox.de/forum/viewtopi…=990819#p990819 so verstanden, dass ab FF43 CTR zwar das alte Suchfenster wieder herstellen kann, OSE damit aber nicht zurecht kommt. Mir geht es ja nicht nur um das alte Suchfenster, sondern eben um die Möglichkeit, die Suchmaschinen in Ordnern zu organisieren, also das Add-on OSE weiter zu verwenden.

  • bisher funktioniert bei mir Websearchpro weiterhin ganz ausgezeichnet und ich benötige dafür kein OSE.
    Ich hoffe das bleibt so.

    von der Nordseeküste grüßt
    Herbi

    Ich habe einen ganz einfachen Geschmack: Ich bin immer mit dem Besten zufrieden. (Oscar Wilde). ....und deswegen benutze ich FF und TB!
    OS: Windows 10/64 Bit PRO
    FF: Version 64.02 (64-bit)

  • Hast Du das auch mit Firefox 43 getestet?
    Denn erst ab Firefox 43 ändert sich definitiv die Suchleiste.
    Ich fürchte ja, dass ab Firefox 43 auch diese Erweiterung nicht mehr funktioniert.

    Edit
    Ab Firefox 43 ist diese Erweiterung leider auch nutzlos.
    Selbe Probleme wie OSE. Nutzlos. Suchleiste wird nicht mehr angesprochen.
    Es wird auch nur die alte Suchschnittstelle (Api) verwendet usw.
    Viel Arbeit für eventuelle Entwickler. Der Autor hat ja laut Text bei Amo
    auch aufgegeben, es soll aber wohl jemand anderes weiter machen.
    Mal sehen......
    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
    OS: Windows 10 pro 64 bit und Windows 10 Home 64 bit
    Meine Scripte Sammlung: https://github.com/Endor8/userChrome.js
    Kein Support per PN. Fragen bitte im Forum stellen!

  • das funktioniert auch noch mit der Version 43 einwandfrei.
    Auf der Erweiterungsseite von Mozilla wird dieses Add-on ja weiterhin zur Installation angeboten und scheint wohl dementsprechend zertifiziert zu sein.
    Der Entwickler hat zwar die Arbeit eingestellt, vorgeschlagene globale Suchmaschinen zu integrieren, das hindert dich aber nicht daran, deine eigene Suche mit den Maschinen deiner Wahl dir auszusuchen und sie in Websearchpro zu organisieren und integrieren.
    [Blockierte Grafik: http://fs5.directupload.net/images/user/151215/temp/g7wrbg56.jpg]

    von der Nordseeküste grüßt
    Herbi

    Ich habe einen ganz einfachen Geschmack: Ich bin immer mit dem Besten zufrieden. (Oscar Wilde). ....und deswegen benutze ich FF und TB!
    OS: Windows 10/64 Bit PRO
    FF: Version 64.02 (64-bit)

  • Ich halte diese ganze Signiergeschichte für relativ unfruchtbar...
    In nachstehenden Artikeln wird beschrieben, wie man Amo austrickst.. leider in Englisch
    Man möge sich ein Bild machen...
    http://www.ghacks.net/2015/11/25/fir…ng-ineffective/
    http://danstillman.com/2015/11/23/fir…inst-censorship

  • Es wurde beschlossen, das der Wegfall erst in Firefox 45.0 umgesetzt wird...
    https://bugzilla.mozilla.org/show_bug.cgi?id=1186522#c49
    Prima, ggf. gewinnt man ja noch die Einsicht, das dieser gar nicht entfallen sollte... :lol:

  • Zitat von Boersenfeger

    Lies mal direk den ersten Satz von deinem zweiten Link (auf den sich der erste auch nur bezieht):

    Zitat

    Note: This issue has been resolved.

    Sprich: nicht länger relevant, was da steht. Mozilla hat reagiert, siehe:

    https://blog.mozilla.org/addons/2015/12…listed-add-ons/

    Die Signierung garantiert keine Code-Sicherheit. Diese Garantie gab es auch vorher noch nie, wenn ein Add-on nicht auf AMO gehostet worden ist. Durch die nun vollständige Automatisierung der Signierung ist Dan Stillmans Kritikpunkt aus der Welt geschafft. Es war nie Sinn und Zweck der Signierung, menschliche Reviews zu ersetzen, die es gibt, wenn man sein Add-on bei AMO hostet.

  • Zitat von Sören Hentzschel

    Die Signierung garantiert keine Code-Sicherheit... Es war nie Sinn und Zweck der Signierung, menschliche Reviews zu ersetzen, die es gibt, wenn man sein Add-on bei AMO hostet.

    Dann verstehe ich den Sinn und Zweck der Signierung nicht....
    Dann könnte man sich den ganzen Frust und Ärger der Erweiterungsentwickler doch schenken...

  • In dem Fall verstehe ich nicht, was genau deine Annahme war. Natürlich können menschliche Reviews durch nichts ersetzt werden, Technik hat Grenzen. Wenn du die gleichen Garantien haben möchtest wie bei einem auf AMO gehosteten Add-on, dann müsste ausnahmslos jedes Add-on von Mozilla überprüft werden, auch wenn es nicht auf AMO gehostet wird. Aber das war ja bereits vom ersten Tag an nicht der Fall. Wenn deine Annahme war, dass man das Überprüfen komplett automatisieren könnte, dann würde das im Umkehrschluss bedeuten, dass man auch die Reviews bei auf AMO gehosteten Add-ons komplett entfernen könnte, denn dann würde es ja überhaupt keinen Grund mehr geben, die Reviews durchzuführen.

    Und Frust für Erweiterungsentwickler gibt es keinen. Nochmal, was ich bereits mehrfach schrieb: die Signierung erfolgt mittlerweile komplett automatisiert, es gibt keinen Trigger für manuelle Reviews mehr. Damit gibt es auch keine Hürde mehr. Und nachdem Mozilla nun auch eine Signierungs-API eingeführt hat, ist das wirklich einfach für Entwickler, man muss nicht einmal mehr AMO dafür besuchen.

    Der Zweck der Signierung ist es, Mozilla mehr Möglichkeiten zu geben, wenn ein Add-on Mist macht. Der bisherige Ansatz über eine Blockierliste ist vollkommen ineffizient. Mozilla kann nur blockieren, was sie kennen. Durch die Signierung ist es schlicht und ergreifend nicht möglich, dass ein Add-on installiert wird, welches für Mozilla vollkommen unsichtbar ist - unter der Prämisse, dass die Signaturpflicht aktiv ist.

  • Zitat von Sören Hentzschel

    Und nachdem Mozilla nun auch eine Signierungs-API eingeführt hat,

    Es wäre besser gewesen, diese im Vorfeld eingeführt zu haben... denn bis zu diesem Zeitraum waren ja schon einige Entwickler abgängig.... und weiteres Ungemach droht ja... siehe die Diskussion mit Aris über die Zukunft von CTR u.a.

    Zitat von Sören Hentzschel

    Durch die Signierung ist es schlicht und ergreifend nicht möglich, dass ein Add-on installiert wird, welches für Mozilla vollkommen unsichtbar ist - unter der Prämisse, dass die Signaturpflicht aktiv ist.

    Ok, aber bei der Signierung wird ja anscheinend nicht untersucht, ob diese Erweiterung "Mist" macht.... oder ob diese "Adware" etc. mitbringt... ich denke da an diese unschöne Youtoube-Unlocker-Downloader Erweiterung, die uns hier viele Säuberungsaktionen beschert hat. (allerdings weiss ich grad nicht, ob da die Signierpflicht schon bestand).. Wenn das Signierungsprozedere dies leistet, bin ich ruhig... ansonsten ist es aufgeblasener Mummenschanz..

  • Zitat von Boersenfeger

    Es wäre besser gewesen, diese im Vorfeld eingeführt zu haben... denn bis zu diesem Zeitraum waren ja schon einige Entwickler abgängig....

    Diese API gibt es jetzt auch schon ein paar Wochen, ebenso wie die vollständige Automatisierung. Und das war im Vorfeld von Firefox 43, welcher diese Woche erst veröffentlicht worden ist. Ebenso wurde ein lokal ausführbarer Validator vor wenigen Wochen eingeführt. Das hat nicht direkt hiermit zu tun, fällt aber auch unter Vereinfachung für Entwickler.

    Zitat von Boersenfeger

    Ok, aber bei der Signierung wird ja anscheinend nicht untersucht, ob diese Erweiterung "Mist" macht.... oder ob diese "Adware" etc. mitbringt...

    Es ist technisch überhaupt nicht möglich, das zuverlässig zu erkennen. Die einfachsten Fälle kannst du erkennen, aber aufgrund der Spracheigenschaften ist es möglich, solche Überprüfungen auszutricksen. Es war schon immer so, dass man Add-ons von AMO beziehen musste, wenn man eine gewisse Sicherheit (soweit möglich, da auch Menschen Fehler machen) haben möchte. Entwickler haben nun einen Schritt mehr zu machen, für Nutzer sollte aber alles beim Alten bleiben. Ja, in der Praxis wird die Signierung für manches Add-on versäumt, das ist nicht ideal, aber wenn Entwickler diesen einen Extra-Schritt machen, sollte der Nutzer überhaupt keine Auswirkungen spüren. Und das schließt für mich persönlich mit ein, dass diese Annahme weiterhin gilt, dass extern gehostete Add-ons nicht die Überprüfung genossen haben wie auf AMO gehostete Add-ons.

    Es ist übrigens wirklich nur ein einziger Schritt.

    Code
    jpm sign --api-key ${AMO_API_KEY} --api-secret ${AMO_API_SECRET}

    Nach Eingabe dieses Befehls ist das gewünschte Add-on bereits signiert, mehr ist nicht zu tun. Es muss halt vorher einmalig ein Benutzerkonto auf AMO angelegt und ein API-Schlüssel generiert werden, aber das ist ja auch in einer Minute erledigt.

  • Ist ja alles schön und gut, erklärt mir aber trotzdem immer noch nicht die Notwendigkeit des Ganzen... ich komme wieder zu meiner letzten Feststellung.. :D

    Zitat von Boersenfeger

    .. ansonsten ist es aufgeblasener Mummenschanz..

  • Mal so am Rand gefragt: Was ist an so einer "Signierung erhalten" eigentlich das Problem? Ich muss überall im Leben für jeden Furz unterschreiben.

    8) Gruß camel-joe

    Festes Profil: nicht vorhanden
    Portable: ESR

  • Ich sehe kein Problem allerdings auch nicht die Notwendigkeit... immer noch nicht...
    .. und im Übrigen muss man gar nichts unterschreiben... :)
    Dann muss man halt nur ggf. verzichten oder ggf. nach einem Ersatz suchen, den es auch ohne Unterschrift gibt...

  • Zitat von Boersenfeger

    Ist ja alles schön und gut, erklärt mir aber trotzdem immer noch nicht die Notwendigkeit des Ganzen... ich komme wieder zu meiner letzten Feststellung.. :D

    Die Erklärung hast du längst bekommen…

    Zitat von Sören Hentzschel

    Der Zweck der Signierung ist es, Mozilla mehr Möglichkeiten zu geben, wenn ein Add-on Mist macht. Der bisherige Ansatz über eine Blockierliste ist vollkommen ineffizient. Mozilla kann nur blockieren, was sie kennen. Durch die Signierung ist es schlicht und ergreifend nicht möglich, dass ein Add-on installiert wird, welches für Mozilla vollkommen unsichtbar ist - unter der Prämisse, dass die Signaturpflicht aktiv ist.