Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
Martin Steigerwald - 07.05.19, 09:32:
> Kevin Price - 06.05.19, 16:06:
> > > Und ich dachte, ich hätte sämtliches Nach-Hause-Telefonieren von
> > > Firefox abgeschaltet.
> >
> > Mit Nach-Hause-Telefonieren hat diese Option rein gar nichts zu tun,
> > sondern mit der Gültigkeitsprüfung von Add-On-Zertifikaten anhand
> > digitaler Signaturen. Das braucht keine Verbindung zu Mozilla, sonst
> > hätte man das Problem in noch viel kürzerer Zeit lösen können.
>
> Deine Mail klingt als ob du dich damit etwas besser auskennst. Wie
> funktioniert diese Add-On-Prüfung genau?
>
> Hast du da einen Link zu?
>
> Für mich war die Verhaltensweise von Firefox nicht logisch, wenn es
> nur darum geht, nur geprüfte Add-Ons zu installieren. Warum?
>
> 1) Firefox hat sämtliche Addons deaktiviert. Auch die als Debian-Paket
> installierten, für deren Prüfung die Debian-Paket(quellen)verwaltung
> zuständig ist.
>
> 2) Firefox hat einmal bereits als gültig erkannte, bereits bei deren
> Installation oder letzter Aktualisierung geprüfte Addons deaktiviert,
> die sich auf dem Dual SSD BTRFS RAID 1 mit an Sicherheit grenzender
> Wahrscheinlich nicht plötzlich verändert haben. Beim nächsten
> Schrubben von BTRFS weiß ich das noch sicherer. Das wäre so als wenn
> Apt plötzlich bereits als Pakete installierte Software unzulänglich
> machen würde. Das ist ein Verhalten, das mich an die Praktiken so
> mancher großer App- Store-Betreiber wie Google, Apple, Microsoft
> erinnert.
>
> 3) Firefox hat das einfach irgendwann während des Surfens gemacht.
> Nicht direkt nach dem Starten. Warum also nicht gleich, wenn es doch
> um die Sicherheit der Benutzer geht?
Hier ist eine Begründung für den dritten Punkt:
> Although add-ons all expired around midnight, the impact of the outage
> wasn’t felt immediately. The reason for this is that Firefox doesn’t
> continuously check add-ons for validity. Rather, all add-ons are
> checked about every 24 hours, with the time of the check being
> different for each user.
Technical Details on the Recent Firefox Add-on Outage
https://hacks.mozilla.org/2019/05/technical-details-on-the-recent-firefox-add-on-outage/
Da ist auch Einiges weitere mehr zur Funktionsweise drin.
[…]
--
Martin
Reply to: