Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)

To: debian-user-german@lists.debian.org
Subject: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
From: Martin Steigerwald <martin@lichtvoll.de>
Date: Tue, 07 May 2019 09:32:53 +0200
Message-id: <[🔎] 2337003.dLHxrlaThM@merkaba>
In-reply-to: <[🔎] c742d9ee-238b-638e-51f4-93caa03e8b9e@osnanet.de>
References: <[🔎] 4190226.23yARCC49m@merkaba> <[🔎] c742d9ee-238b-638e-51f4-93caa03e8b9e@osnanet.de>

Hi Kevin.

Kevin Price - 06.05.19, 16:06:
> > Und ich dachte, ich hätte sämtliches Nach-Hause-Telefonieren von
> > Firefox abgeschaltet.
> 
> Mit Nach-Hause-Telefonieren hat diese Option rein gar nichts zu tun,
> sondern mit der Gültigkeitsprüfung von Add-On-Zertifikaten anhand
> digitaler Signaturen. Das braucht keine Verbindung zu Mozilla, sonst
> hätte man das Problem in noch viel kürzerer Zeit lösen können.

Deine Mail klingt als ob du dich damit etwas besser auskennst. Wie 
funktioniert diese Add-On-Prüfung genau?

Hast du da einen Link zu?

Für mich war die Verhaltensweise von Firefox nicht logisch, wenn es nur 
darum geht, nur geprüfte Add-Ons zu installieren. Warum?

1) Firefox hat sämtliche Addons deaktiviert. Auch die als Debian-Paket 
installierten, für deren Prüfung die Debian-Paket(quellen)verwaltung 
zuständig ist.

2) Firefox hat einmal bereits als gültig erkannte, bereits bei deren 
Installation oder letzter Aktualisierung geprüfte Addons deaktiviert, 
die sich auf dem Dual SSD BTRFS RAID 1 mit an Sicherheit grenzender 
Wahrscheinlich nicht plötzlich verändert haben. Beim nächsten Schrubben 
von BTRFS weiß ich das noch sicherer. Das wäre so als wenn Apt plötzlich 
bereits als Pakete installierte Software unzulänglich machen würde. Das 
ist ein Verhalten, das mich an die Praktiken so mancher großer App-
Store-Betreiber wie Google, Apple, Microsoft erinnert.

3) Firefox hat das einfach irgendwann während des Surfens gemacht. Nicht 
direkt nach dem Starten. Warum also nicht gleich, wenn es doch um die 
Sicherheit der Benutzer geht?

Das zusammen mit dem Kommentar über ein angebliches Nach-Hause-
Telefonieren bei Heise, dem allerdings jeglicher Beleg oder 
Quellenangabe fehlte, brachte mich auf die Idee, Firefox  würde hier 
nach Hause telefonieren.

Falls das System dazu dient, das Installieren unsicherer Add-Ons zu 
verweigern, dann muss Firefox Updates auf nicht via Signatur prüfbare 
Add-Ons verweigern. Das Programm darf jedoch nicht bereits einmal 
geprüfte und für gut befundene Add-Ons deaktivieren, solange es aus 
Kompatibilitätsgründen keinen Grund dafür gibt. So sehe ich das 
zumindest.

Daher macht für mich das Verhalten von Firefox keinen Sinn. Es ist für 
mich intransparent.

Ciao,
-- 
Martin

Reply to:

Follow-Ups:
- Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
  - From: Ansgar Burchardt <"Ansgar Burchardt"@43-1.org>
- Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
  - From: Martin Steigerwald <martin@lichtvoll.de>

References:
- Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem
  - From: Martin Steigerwald <martin@lichtvoll.de>
- Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem
  - From: Kevin Price <kp@osnanet.de>

Prev by Date: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem
Next by Date: Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
Previous by thread: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem
Next by thread: Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
Index(es):
- Date
- Thread