[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem



Kevin Price - 06.05.19, 16:06:
> Am 05.05.19 um 12:23 schrieb Martin Steigerwald:
> > xpinstall.signatures.required=false
> 
> Davon rate ich _dringend_ ab, und dazu es rückgängig zu machen, sofern
> bereits geschehen. Es würde Sicherheitsprobleme in Firefox öffnen.

Einen Browser ohne uBlock Origin verwende ich nicht, solange ich das 
anders hinbekommen kann. Nicht mal für einige Stunden lang. 
Das hat er nämlich auch geblockt, *obwohl* ich das über die Debian-
Paketverwaltung als Paket 'webext-ublock-origin' installiert habe.

Da ist mir das Risiko von Tracking schwerwiegender als ein 
Sicherheitsproblem in einem Addon, die ich soweit wie möglich als 
webext-Debian-Pakete installiert habe, während ich die darüberhinaus 
gehenden nicht automatisch aktualisieren lasse.

Darf jeder natürlich abwägen, wie er / sie möchte.

> > Und ich dachte, ich hätte sämtliches Nach-Hause-Telefonieren von
> > Firefox abgeschaltet.
 
> Mit Nach-Hause-Telefonieren hat diese Option rein gar nichts zu tun,
> sondern mit der Gültigkeitsprüfung von Add-On-Zertifikaten anhand
> digitaler Signaturen. Das braucht keine Verbindung zu Mozilla, sonst
> hätte man das Problem in noch viel kürzerer Zeit lösen können.

Hmmm, da habe ich vielleicht was bei Heise falsch aufgeschnappt.
 
> Tatsächlich hat Upstream (Mozilla) das Problem mit V. 60.6.2 gelöst,
> und debian hat den Fix bereits übernommen.
> https://bugs.debian.org/928449
> 
> Die korrekte Handlungsempfehlung ist, abzuwarten bis das im FTP-Archiv
> ankommt, und solange keine Add-Ons zu entfernen o. ä., weil das zum
> Datenverlust führen kann; und dann auf die gefixte Version zu
> upgraden.

Es gibt hier nicht korrekt und unkorrekt oder falsch und richtig, 
sondern unterschiedliches Abwägen unterschiedlicher Risiken.

> So leichtsinnige Handlungsempfehlungen wie im Ausgangstext gehören
> nicht unwidersprochen auf eine Liste, die auch von Leuten gelesen
> wird, die die Security-Konsequenzen nicht vollständig absehen können.
> Und schon gar nicht ohne große Warnungen dabei.

Für mich ist ein Browser ohne Addons wie uBlock Origin bei dem, was 
momentan im Web abgeht, gefährlicher als das Risiko einer Malware im 
Addon über addons.mozilla.org.

Ciao,
-- 
Martin



Reply to: