Fucking Sicherheitswarn

> Nachdem Mozilla dies mehrfach verschoben hat, werden nun auch Signaturen der Addons zwingend überprüft. Das heißt sämtliche Erweiterungen, welche noch nicht von Mozilla signiert worden sind, werden von dem Browser nicht mehr akzeptiert.

Damit werde ich Firefox wohl auch auf meinem Hauptrechner aufgeben, wenn eine der von mir verwendeten Erweiterungen betroffen ist. Das Sicherheit für viele Hersteller mit dem Nutzer Entscheidungsfreiheit abzunehmen gleichgesetzt wird ist einfach mal scheiße.

Deswegen nutze ich seit der Ankündigung davon nur noch cyberfox.
Dieser wird auch in Zukunft die Möglichkeit offen lassen nicht signierte Addons zu installieren.

Vor allem da der ganze Quark sowieso kein Sicherheitsgewinn ist.



1 mal bearbeitet, zuletzt am 02.08.16 22:32 durch Apfelbrot.

Ach, eben mal festgestellt das Teilweise die paar deaktivierten Addons sowieso steinalt sind und es inzwischen bessere (neue o. forks) gibt die auch signiert sind. ;)

Apfelbrot schrieb:
--------------------------------------------------------------------------------
> Deswegen nutze ich seit der Ankündigung davon nur noch cyberfox.
> Dieser wird auch in Zukunft die Möglichkeit offen lassen nicht signierte
> Addons zu installieren.
>
> Vor allem da der ganze Quark sowieso kein Sicherheitsgewinn ist.

Genau. Kryptografische Signaturen sind vollkommen nutzlos, verifizieren auch nicht den Urheber, noch garantieren sie die Validität des Codes. Manche Leute sollten vor dem Posten, erst einen Fragebogen ausfüllen müssen.

nojoe schrieb:
--------------------------------------------------------------------------------
> Ach, eben mal festgestellt das Teilweise die paar deaktivierten Addons
> sowieso steinalt sind und es inzwischen bessere (neue o. forks) gibt die
> auch signiert sind. ;)

Ich habe die steinalten Addons, die ich noch habe und nicht bei Mozilla gelistet sind, schon vor einiger Zeit bei Mozilla signieren lassen. Somit funktionieren diese weiterhin.

Bis sie das XUL rausschmeißen, dann dürften die nicht mehr gehen.

Ob ich allerdings e10s mit den uralten Addons nutzen kann, ist unklar. Wahrscheinlich muss ich das deaktiviert lassen.



3 mal bearbeitet, zuletzt am 03.08.16 08:14 durch Spaghetticode.

Apfelbrot schrieb:
--------------------------------------------------------------------------------

> Vor allem da der ganze Quark sowieso kein Sicherheitsgewinn ist.

Nein?

(Ich vermute eher, dass die Existenz solcher Postings genau der Grund ist, dass Mozilla den Usern keine Entscheidung zutraut...)

PS: Was ist eigentlich ein "Warn"?



1 mal bearbeitet, zuletzt am 03.08.16 08:51 durch longthinker.

das mag ja nicht falsch sein aber wenn jemand noch ein gutes altes addon hat das noch geht ist es wahrscheiunlich nicht signiert und ja gute nacht.

Das ist in der Tat ein Problem.
Nur hat Mozilla auch ewig nicht auf die Signierung gepocht was am Ende zur folge hat das Entwickler keinen Zugzwang hatten endlich zu liefern.
Es ist doof, aber es muss endlich mal passieren. Und ich bin mir ziemlich sicher das es wie immer eine Option in den Einstellungen gibt um eine Ausnahme hinzu zu liefern.

Ich erinnere mich gerade mal an die Zeit wo die schnelle Versionsnummern kamen. Viele Addons waren nicht mehr kompatibel. Da gab es fix ein Add-on welches Ausnahmen erlaubt hatte. Ich bin mir nicht sicher - aber es wird wieder eine Lösung geben. Das wird aber auch nur ein Übergang sein.

Bis dahin werden hoffentlich Forks vorhanden sein oder Updates kommen. Ansonsten ist es traurig - aber desto früher der Schritt gemacht wird desto besser.

also hätte es die signatur schon von früh an gegeben egal ob optional oder nicht wäre wahrscheinlich schon ein großer teil im mozstore signiert.

das mit dem signatur erzwingen gabs ja iirc seit 44 schon aber mit about:config methode als ausnahme aber damit das das jz nochmal dransteht denke ich dass die die option weg gemacht haben.

mich nervt die sig auch wenn ich bspw mal was an nem addon anpassen will (classic theme restorer hat ne zeile im CSS die ich ne will aber nicht wegbekomme mit stylisch oder so aber modden geht wegen signatur nicht)