Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
Martin Steigerwald writes:
> Falls das System dazu dient, das Installieren unsicherer Add-Ons zu
> verweigern, dann muss Firefox Updates auf nicht via Signatur prüfbare
> Add-Ons verweigern. Das Programm darf jedoch nicht bereits einmal
> geprüfte und für gut befundene Add-Ons deaktivieren, solange es aus
> Kompatibilitätsgründen keinen Grund dafür gibt. So sehe ich das
> zumindest.
Es geht (auch) darum, dass nicht irgendwelche anderen Programme dem
Nutzer irgendwelche Firefox-Addons unterschieben; etwa die sinnvollen
Browser-Toolbars, die irgendwann mal mit allem möglichen zusammen kamen.
Nur bei der Installation durch den Nutzer die Signatur überprüfen hilft
dagegen nicht. Auch eine Option, die Signaturprüfung einfach
abzustellen ist daher kontraproduktiv: die können auch andere Programme
umstellen; das Firefox-Binary zu verändern verlangt mehr Vorsatz.
Das kann man auch etwa auf [1] nachlesen wenn man die Suchmaschine des
geringsten Mistrauens fragt, warum Mozilla Signaturen für Add-ons
verlangt.
[1] https://blog.mozilla.org/addons/2015/04/15/the-case-for-extension-signing/
Ansgar
Reply to: