Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
Hi Kevin.
Kevin Price - 06.05.19, 16:06:
> > Und ich dachte, ich hätte sämtliches Nach-Hause-Telefonieren von
> > Firefox abgeschaltet.
>
> Mit Nach-Hause-Telefonieren hat diese Option rein gar nichts zu tun,
> sondern mit der Gültigkeitsprüfung von Add-On-Zertifikaten anhand
> digitaler Signaturen. Das braucht keine Verbindung zu Mozilla, sonst
> hätte man das Problem in noch viel kürzerer Zeit lösen können.
Deine Mail klingt als ob du dich damit etwas besser auskennst. Wie
funktioniert diese Add-On-Prüfung genau?
Hast du da einen Link zu?
Für mich war die Verhaltensweise von Firefox nicht logisch, wenn es nur
darum geht, nur geprüfte Add-Ons zu installieren. Warum?
1) Firefox hat sämtliche Addons deaktiviert. Auch die als Debian-Paket
installierten, für deren Prüfung die Debian-Paket(quellen)verwaltung
zuständig ist.
2) Firefox hat einmal bereits als gültig erkannte, bereits bei deren
Installation oder letzter Aktualisierung geprüfte Addons deaktiviert,
die sich auf dem Dual SSD BTRFS RAID 1 mit an Sicherheit grenzender
Wahrscheinlich nicht plötzlich verändert haben. Beim nächsten Schrubben
von BTRFS weiß ich das noch sicherer. Das wäre so als wenn Apt plötzlich
bereits als Pakete installierte Software unzulänglich machen würde. Das
ist ein Verhalten, das mich an die Praktiken so mancher großer App-
Store-Betreiber wie Google, Apple, Microsoft erinnert.
3) Firefox hat das einfach irgendwann während des Surfens gemacht. Nicht
direkt nach dem Starten. Warum also nicht gleich, wenn es doch um die
Sicherheit der Benutzer geht?
Das zusammen mit dem Kommentar über ein angebliches Nach-Hause-
Telefonieren bei Heise, dem allerdings jeglicher Beleg oder
Quellenangabe fehlte, brachte mich auf die Idee, Firefox würde hier
nach Hause telefonieren.
Falls das System dazu dient, das Installieren unsicherer Add-Ons zu
verweigern, dann muss Firefox Updates auf nicht via Signatur prüfbare
Add-Ons verweigern. Das Programm darf jedoch nicht bereits einmal
geprüfte und für gut befundene Add-Ons deaktivieren, solange es aus
Kompatibilitätsgründen keinen Grund dafür gibt. So sehe ich das
zumindest.
Daher macht für mich das Verhalten von Firefox keinen Sinn. Es ist für
mich intransparent.
Ciao,
--
Martin
Reply to: