1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Addon lädt Malware nach: Firefox…

Signaturfunktion von Mozilla ist Mist!

  1. Thema

Neues Thema Ansicht wechseln


  1. Signaturfunktion von Mozilla ist Mist!

    Autor: jokergermany.de.vu 03.03.16 - 13:05

    Es ist zum kotzen, dass Mozilla entscheidet, was für mich gut ist.
    Es ist völlig verständlich, was Mozilla in diesem Fall tut.
    Was mich aber ankotzt ist, dass Sie die Signaturpflicht als Zwang durchsetzen möchten.
    Solange man die Signaturpflicht in about:config abstellen kann, ist es noch in Ordnung, aber wenn dies wegfällt...
    Deaktiviere die Signaturpflicht bei allen meinen Bekannten, da Mozilla sagt "Manipulating the referrer violates the user's privacy and is not allowed in this case."
    Ein anderes nahezu identisches Addon mit über 800 Nutzern dagegen ist in Ordnung....

  2. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: stonerl 03.03.16 - 13:26

    Was glaubst du was das AddOn gemacht hat. Es hat die Signaturpflicht per user.js ausgeschaltet. Dadurch konnte das Malware-AddOn erst nachgeladen und aktiviert werde.

    Und in diesem Fall wäre es gut gewesen wenn Mozilla das deaktivieren der Signaturpflicht schon abgeschalten hätte.

  3. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: Mingfu 03.03.16 - 13:53

    stonerl schrieb:
    --------------------------------------------------------------------------------
    > Und in diesem Fall wäre es gut gewesen wenn Mozilla das deaktivieren der
    > Signaturpflicht schon abgeschalten hätte.

    Das hätte überhaupt nichts geholfen. Ein Addon, welches seine eigene Funktionalität durch Nachladen von Code beliebig manipulieren kann, ist bereits selbst das Problem. Das Problem lag also nicht erst darin begründet, dass da ein weiteres verdecktes Addon installiert wurde, sondern dass das ursprünglich signierte Addon Code nachladen und ausführen konnte. Die Signaturen verhindern hier also gar nichts.



    1 mal bearbeitet, zuletzt am 03.03.16 13:56 durch Mingfu.

  4. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: Apfelbrot 03.03.16 - 13:57

    Quatsch mit Soße, das deaktivieren der Möglichkeit die Signaturpflicht abschalten ist einfach nur dumm.
    Außer man gibt eine Möglichkeit selbst zu signieren, und diese Ausnahmen dann zu bestätigen.

    Denn nicht jede Firma hat Lust eventuelle interne Plugins signieren zu lassen.

    Abgesehen davon dass eine Signatur vor gar nichts schützt, wie man ja hier toll sehen kann.

    Es sollte eher endlich etwas getan werden damit Addons auf solche Einstellungen gar nicht erst schreibend zugreifen können.
    Man muss da gewisse Grenzen setzen, und bei der Installation eines Addons wie zB. im PlayStore die rechte auflisten welche das Addon haben möchte.

    Aber Mozilla schafft sich ab. Der Browser wird immer mehr überfüllt mit unnützem schei**.
    Dann solche Pseudo Sicherheitsfunktionen wie Signaturpflicht für Addons die reine Augenwischerei sind (bei dir scheint es ja gut zu funktionieren).

    Kein Wunder dass immer mehr Leute zu Chrome oder Cyberfox rennen.

  5. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: stonerl 03.03.16 - 14:02

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > stonerl schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und in diesem Fall wäre es gut gewesen wenn Mozilla das deaktivieren der
    > > Signaturpflicht schon abgeschalten hätte.
    >
    > Das hätte überhaupt nichts geholfen. Ein Addon, welches seine eigene
    > Funktionalität durch Nachladen von Code beliebig manipulieren kann, ist
    > bereits selbst das Problem. Das Problem lag also nicht erst darin
    > begründet, dass da ein weiteres verdecktes Addon installiert wurde, sondern
    > dass das ursprünglich signierte Addon Code nachladen und ausführen konnte.
    > Die Signaturen verhindern hier also gar nichts.


    Das stimmt nicht. Das Addon hätte zwar nachgeladen werden aber nicht aktiviert werden können. Das Adblock Convert AddOn war nämlich nicht signiert. Dadurch das Youtube Unblocker die Prüfung abschalten konnte, konnte das zweite AddOn überhaupt aktiviert werden.

    Wenn man nämlich in der user.js den Eintrag entfernt und in der about:config die Prüfung wieder einschaltet macht das AddOn nämlich gar nichts.

  6. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: stonerl 03.03.16 - 14:06

    Apfelbrot schrieb:
    --------------------------------------------------------------------------------
    > Quatsch mit Soße, das deaktivieren der Möglichkeit die Signaturpflicht
    > abschalten ist einfach nur dumm.
    > Außer man gibt eine Möglichkeit selbst zu signieren, und diese Ausnahmen
    > dann zu bestätigen.
    >
    > Denn nicht jede Firma hat Lust eventuelle interne Plugins signieren zu
    > lassen.
    >
    > Abgesehen davon dass eine Signatur vor gar nichts schützt, wie man ja hier
    > toll sehen kann.
    >
    > Es sollte eher endlich etwas getan werden damit Addons auf solche
    > Einstellungen gar nicht erst schreibend zugreifen können.
    > Man muss da gewisse Grenzen setzen, und bei der Installation eines Addons
    > wie zB. im PlayStore die rechte auflisten welche das Addon haben möchte.
    >
    > Aber Mozilla schafft sich ab. Der Browser wird immer mehr überfüllt mit
    > unnützem schei**.
    > Dann solche Pseudo Sicherheitsfunktionen wie Signaturpflicht für Addons die
    > reine Augenwischerei sind (bei dir scheint es ja gut zu funktionieren).
    >
    > Kein Wunder dass immer mehr Leute zu Chrome oder Cyberfox rennen.

    Ab Firefox 46 soll das nicht mehr möglich sein. Und wie ich bereits vorher erwähnte war es nur möglich weil es abschaltbar war. Nicht signierte AddOns würden dann nämlich gar nicht mehr ausgeführt bzw. nicht einmal installiert werden. In diesem Fall hätte es geholfen, denn das nachgeladene war nicht signiert.



    1 mal bearbeitet, zuletzt am 03.03.16 14:12 durch stonerl.

  7. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: chefin 03.03.16 - 15:02

    In diesem Fall müssen die Vorteile weniger gegen die Nachteile vieler Zurück stehen. Das ist so in einer Demokratie und Mozilla tut zumindest was.

    Die Signaturprüfung großflächig überall abzuschalten so pauschal wie es hier erwähnt wird ist extrem leichtsinnig. Sowas für sich selbst zu machen, ist OK. Wer sich zutraut dort rumzumanipulieren und das Knowhow hat auch zu verstehen was er da tut, darf das gerne. Es aber für andere zu machen, weil man persönlich das so entscheidet ist falsch.

    Das Ende ist dann nunmal das Entfernern solcher Möglichkeiten.

  8. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: narea 03.03.16 - 15:04

    Nimmst du halt die nightly oder developer Version.

  9. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: jokergermany.de.vu 03.03.16 - 15:23

    narea schrieb:
    --------------------------------------------------------------------------------
    > Nimmst du halt die nightly oder developer Version.

    Nur weil man unsignierte Addons nutzen möchte/muss, möchte man noch lange keine nightly oder developer Version nutzen =(

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Die Signaturprüfung großflächig überall abzuschalten so pauschal wie es
    > hier erwähnt wird ist extrem leichtsinnig. Sowas für sich selbst zu machen,
    > ist OK. Wer sich zutraut dort rumzumanipulieren und das Knowhow hat auch zu
    > verstehen was er da tut, darf das gerne. Es aber für andere zu machen, weil
    > man persönlich das so entscheidet ist falsch.
    Tja, aber wenn ich denjenigen ebend ein Addon installiere, was anders nicht funktioniert...
    Und Ich habe es sogar probiert hoch zu laden.
    Und von dem Entwickler, von dem ich das Addon damals bekommen habe (er hat aufgehört) ist eine fast identische Version erhältlich die Seit 2013 bei Mozilla herunterladbar ist und die ist natürlich signiert.

    Ich habe kein Bock mich von Mozilla bevormunden zu lassen. Ja, dass Addon ändert Referrer, aber das sollte nicht Mozillas Problem sein!

    Momentan ist der Firefox noch wie der PlayStore von Google, sollten sie tatsächlich wie angekündigt zum AppStore von Apple werden, bin ich weg!

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Das Ende ist dann nunmal das Entfernern solcher Möglichkeiten.

    Und ab diesem Zeitpunkt werde ich mich nach Alternativen umschauen.
    Waterfox usw.



    1 mal bearbeitet, zuletzt am 03.03.16 15:25 durch jokergermany.de.vu.

  10. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: Thegod 03.03.16 - 15:39

    Stimme komplett zu, die Signaturpflicht ist eine Frechheit von Mozilla. Wenn diese wirklich im Stable-Pfad nicht mehr abschaltbar ist nutze ich kein Firefox mehr (sondern irgend einen Fork).

  11. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: stonerl 03.03.16 - 15:47

    Thegod schrieb:
    --------------------------------------------------------------------------------
    > Stimme komplett zu, die Signaturpflicht ist eine Frechheit von Mozilla.
    > Wenn diese wirklich im Stable-Pfad nicht mehr abschaltbar ist nutze ich
    > kein Firefox mehr (sondern irgend einen Fork).

    Oder wie narea bereits erwähnte: Nehmt einfach die Developer Edition. Die unterscheidet sich nicht wirklich vom normalen Firefox.

    Ansonsten solltet ihr einfach jetzt schon umsteigen denn in Firefox 46 ist es dann fix.

    https://wiki.mozilla.org/Add-ons/Extension_Signing

  12. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: saithis 03.03.16 - 18:42

    Ich nutze die Developper Version schon seit sie rausgekommen ist und hatte bisher noch kein Problem damit. Also wer sich über die Signaturpflicht aufregt, kann ohne bedenken die Developper Version nutzen.

    Zudem kann ich stonerl nur zustimmen, wäre die Signaturpflicht nicht mehr abschlatbar, wäre das nachgeladene Addon ungefährlich gewesen, da es nicht ausgeführt worden wäre. Dementsprechend hilft die Signaturpflicht sehr wohl.

  13. Re: Signaturfunktion von Mozilla ist Mist!

    Autor: Wallbreaker 03.03.16 - 20:44

    saithis schrieb:
    --------------------------------------------------------------------------------
    > Ich nutze die Developper Version schon seit sie rausgekommen ist und hatte
    > bisher noch kein Problem damit. Also wer sich über die Signaturpflicht
    > aufregt, kann ohne bedenken die Developper Version nutzen.
    >
    > Zudem kann ich stonerl nur zustimmen, wäre die Signaturpflicht nicht mehr
    > abschlatbar, wäre das nachgeladene Addon ungefährlich gewesen, da es nicht
    > ausgeführt worden wäre. Dementsprechend hilft die Signaturpflicht sehr
    > wohl.

    Finde diese Aufregung ohnehin sehr amüsant, als hätte irgendeiner dieser Kandidaten jemals Addons manuell in Firefox installiert, außerhalb von Firefox. Das mit den Signaturen fällt absolut nicht auf, die Mehrheit aller Anwender kriegt das niemals mit. Und wenn es hierbei nur um den Open-Source Gedanken geht, dass man Addons etc. auch via Paketmanager installieren konnte, dann ist diese Einschränkung dennoch besser.
    Letztlich muss sichergestellt sein das Addons sicher sind, und wer Firefox generell nutzt vertraut auch Mozilla, und demnach auch den Addons. Die Signaturpflicht ist eine gute Sache, zumal Mozilla alles Andere als nicht vertrauenswürdig ist.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Volksbank Lahr eG, Lahr
  2. Schaeffler Technologies AG & Co. KG, 91074 Herzogenaurach
  3. operational services GmbH & Co. KG, verschiedene Standorte
  4. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Braunschweig, München, Wolfsburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 569€ (Bestpreis!)
  2. (u. a. moto g8 power 64GB 6,4 Zoll Max Vision HD+ für 159,99€)
  3. (u. a. Apple iPhone 11 Pro Max 256GB 6,5 Zoll Super Retina XDR OLED für 929,98€)
  4. 214,90€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energie- und Verkehrswende: Klimaneutrales Fliegen in weiter Ferne
Energie- und Verkehrswende
Klimaneutrales Fliegen in weiter Ferne

Wasserstoff-Flugzeuge und E-Fuels könnten den Flugverkehr klimafreundlicher machen, sie werden aber gigantische Mengen Strom benötigen.
Eine Recherche von Hanno Böck

  1. Luftfahrt Neuer Flughafen in Berlin ist eröffnet
  2. Luftfahrt Booms Überschallprototyp wird im Oktober enthüllt
  3. Flugzeuge CO2-neutral zu fliegen, reicht nicht

Keyboardio Atreus im Test: Die Tastatur für platzbewusste Ergonomiker
Keyboardio Atreus im Test
Die Tastatur für platzbewusste Ergonomiker

Eine extreme Tastatur für besondere Geschmäcker: Die Atreus von Keyboardio ist äußerst gewöhnungsbedürftig, belohnt aber mit angenehmem Tippgefühl.
Ein Test von Tobias Költzsch

  1. HyperX x Ducky One 2 Mini im Test Kompakt, leuchtstark, limitiert
  2. Nemeio Tastatur mit E-Paper-Tasten ist finanziert
  3. Everest Max im Test Mehr kann man von einer Tastatur nicht wollen

Weiterbildung: Was IT-Führungskräfte können sollten
Weiterbildung
Was IT-Führungskräfte können sollten

Wenn IT-Spezialisten zu Führungskräften aufsteigen, müssen sie Fachwissen in fremden Gebieten aufbauen - um Probleme im neuen Job zu vermeiden.
Ein Bericht von Manuel Heckel

  1. IT-Profis und Visualisierung Sag's in Bildern
  2. IT-Jobs Die schwierige Suche nach dem richtigen Arbeitgeber
  3. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden