Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem
Am 06.05.19 um 16:06 schrieb Kevin Price:
> Am 05.05.19 um 12:23 schrieb Martin Steigerwald:
>> xpinstall.signatures.required=false
>
> Davon rate ich _dringend_ ab, und dazu es rückgängig zu machen, sofern
> bereits geschehen. Es würde Sicherheitsprobleme in Firefox öffnen.
>
>> Und ich dachte, ich hätte sämtliches Nach-Hause-Telefonieren von Firefox
>> abgeschaltet.
>
> Mit Nach-Hause-Telefonieren hat diese Option rein gar nichts zu tun,
> sondern mit der Gültigkeitsprüfung von Add-On-Zertifikaten anhand
> digitaler Signaturen. Das braucht keine Verbindung zu Mozilla, sonst
> hätte man das Problem in noch viel kürzerer Zeit lösen können.
>
> Tatsächlich hat Upstream (Mozilla) das Problem mit V. 60.6.2 gelöst, und
> debian hat den Fix bereits übernommen. https://bugs.debian.org/928449
Jepp,
das Upgrade (60.6.2esr-1~deb9u1) über (60.6.1esr-1~deb9u1) hat's
"repariert".
> Die korrekte Handlungsempfehlung ist, abzuwarten bis das im FTP-Archiv
> ankommt, und solange keine Add-Ons zu entfernen o. ä., weil das zum
> Datenverlust führen kann; und dann auf die gefixte Version zu upgraden.
>
> So leichtsinnige Handlungsempfehlungen wie im Ausgangstext gehören nicht
> unwidersprochen auf eine Liste, die auch von Leuten gelesen wird, die
> die Security-Konsequenzen nicht vollständig absehen können. Und schon
> gar nicht ohne große Warnungen dabei.
Naja, soooo leichtsinnig war's ja vielleicht auch nicht. Stimmt schon:
Mit dem empfohlenen Setting könnten unsignierte AddOns installiert
werden. Andersrum haben vielleicht einige Leute AddIns, die
Sicherheitszugewinn verankern, und diese laufen ohne das Setting nicht mehr.
Ich glaube, dass viele Leser hier das abschätzen können.
Nun ist ja wieder alles gut.
Grüße,
Boris
Reply to: