[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)

Ansgar Burchardt - 07.05.19, 09:47:
> Martin Steigerwald writes:
> > Falls das System dazu dient, das Installieren unsicherer Add-Ons zu
> > verweigern, dann muss Firefox Updates auf nicht via Signatur
> > prüfbare
> > Add-Ons verweigern. Das Programm darf jedoch nicht bereits einmal
> > geprüfte und für gut befundene Add-Ons deaktivieren, solange es aus
> > Kompatibilitätsgründen keinen Grund dafür gibt. So sehe ich das
> > zumindest.
> 
> Es geht (auch) darum, dass nicht irgendwelche anderen Programme dem
> Nutzer irgendwelche Firefox-Addons unterschieben; etwa die sinnvollen
> Browser-Toolbars, die irgendwann mal mit allem möglichen zusammen
> kamen.

Okay, jetzt mal für Debian:

Wie soll außer durch die Zustimmung des Benutzers ein Add-On installiert 
werden, sofern der Benutzer sonst nur die Debian-Paketverwaltung nutzt? 
Der Browser sollte doch *immer* vorher nachfragen.

Für Windows mag das ja Sinn machen… mit all den Installern, die auf dem 
System weiß der Kuckuck was machen, aber für Linux?
 
> Nur bei der Installation durch den Nutzer die Signatur überprüfen
> hilft dagegen nicht.  Auch eine Option, die Signaturprüfung einfach
> abzustellen ist daher kontraproduktiv: die können auch andere
> Programme umstellen; das Firefox-Binary zu verändern verlangt mehr
> Vorsatz.
> 
> Das kann man auch etwa auf [1] nachlesen wenn man die Suchmaschine des
> geringsten Mistrauens fragt, warum Mozilla Signaturen für Add-ons
> verlangt.
> 
>   [1]
> https://blog.mozilla.org/addons/2015/04/15/the-case-for-extension-sig
> ning/

Das erklärt aber immer noch nicht, wie das funktioniert.

Mehr dazu steht im Blog-Post, auf der sich der von Dir erwähnte Blog-
Post bezieht, unter "Here's how it will work":

Introducing Extension Signing: A Safer Add-on Experience
https://blog.mozilla.org/addons/2015/02/10/extension-signing-safer-experience/

Da steht aber nur was von der Installation von Addons.

Auf

https://wiki.mozilla.org/Add-ons/Extension_Signing

"Is this a way for Mozilla to censor add-ons they don't like, enforce 
copyright, government demands, etc.?

No, the purpose of this is to protect users from malicious add-ons. We 
have a set of guidelines for when it is appropriate to blocklist an add-
on and have refused multiple times to block for other reasons."

steht was von einer Blocklist für Addons. Da wäre dann für mich die 
Frage: Lädt Firefox eine solche regelmäßig von Mozilla-Servern oder wird 
die mit Firefox ausgeliefert?

Die Antwort ist für mich da nicht ganz klar. Einerseits steht da "Nein", 
andererseits steht dann, dass Mozilla mehrfach verweigerte, Addons aus 
anderen Gründen zu blocken, was darauf hindeutet, dass sie es könnten.

Ciao,
-- 
Martin
Reply to: