Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)

To: debian-user-german@lists.debian.org
Subject: Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
From: Martin Steigerwald <martin@lichtvoll.de>
Date: Sat, 11 May 2019 12:29:02 +0200
Message-id: <[🔎] 2221412.fyGjMWVp7B@merkaba>
In-reply-to: <[🔎] 2337003.dLHxrlaThM@merkaba>
References: <[🔎] 4190226.23yARCC49m@merkaba> <[🔎] c742d9ee-238b-638e-51f4-93caa03e8b9e@osnanet.de> <[🔎] 2337003.dLHxrlaThM@merkaba>

Martin Steigerwald - 07.05.19, 09:32:
> Kevin Price - 06.05.19, 16:06:
> > > Und ich dachte, ich hätte sämtliches Nach-Hause-Telefonieren von
> > > Firefox abgeschaltet.
> > 
> > Mit Nach-Hause-Telefonieren hat diese Option rein gar nichts zu tun,
> > sondern mit der Gültigkeitsprüfung von Add-On-Zertifikaten anhand
> > digitaler Signaturen. Das braucht keine Verbindung zu Mozilla, sonst
> > hätte man das Problem in noch viel kürzerer Zeit lösen können.
> 
> Deine Mail klingt als ob du dich damit etwas besser auskennst. Wie
> funktioniert diese Add-On-Prüfung genau?
> 
> Hast du da einen Link zu?
> 
> Für mich war die Verhaltensweise von Firefox nicht logisch, wenn es
> nur darum geht, nur geprüfte Add-Ons zu installieren. Warum?
> 
> 1) Firefox hat sämtliche Addons deaktiviert. Auch die als Debian-Paket
> installierten, für deren Prüfung die Debian-Paket(quellen)verwaltung
> zuständig ist.
> 
> 2) Firefox hat einmal bereits als gültig erkannte, bereits bei deren
> Installation oder letzter Aktualisierung geprüfte Addons deaktiviert,
> die sich auf dem Dual SSD BTRFS RAID 1 mit an Sicherheit grenzender
> Wahrscheinlich nicht plötzlich verändert haben. Beim nächsten
> Schrubben von BTRFS weiß ich das noch sicherer. Das wäre so als wenn
> Apt plötzlich bereits als Pakete installierte Software unzulänglich
> machen würde. Das ist ein Verhalten, das mich an die Praktiken so
> mancher großer App- Store-Betreiber wie Google, Apple, Microsoft
> erinnert.
> 
> 3) Firefox hat das einfach irgendwann während des Surfens gemacht.
> Nicht direkt nach dem Starten. Warum also nicht gleich, wenn es doch
> um die Sicherheit der Benutzer geht?

Hier ist eine Begründung für den dritten Punkt:

> Although add-ons all expired around midnight, the impact of the outage
> wasn’t felt immediately. The reason for this is that Firefox doesn’t
> continuously check add-ons for validity. Rather, all add-ons are
> checked about every 24 hours, with the time of the check being
> different for each user.

Technical Details on the Recent Firefox Add-on Outage

https://hacks.mozilla.org/2019/05/technical-details-on-the-recent-firefox-add-on-outage/

Da ist auch Einiges weitere mehr zur Funktionsweise drin.

[…]
-- 
Martin

Reply to:

References:
- Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem
  - From: Martin Steigerwald <martin@lichtvoll.de>
- Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem
  - From: Kevin Price <kp@osnanet.de>
- Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
  - From: Martin Steigerwald <martin@lichtvoll.de>

Prev by Date: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem
Next by Date: Relevanz von /proc/cpuinfo
Previous by thread: Re: Funktionsweise der Add-On-Prüfung in Firefox (war: Re: Firefox-Erweiterungen ausgeschaltet wegen Zertifikatsproblem)
Next by thread: Firefox-Erweiterungen ausgeschaltet bei älterer Version
Index(es):
- Date
- Thread