Alles Wissenswerte zu Firefox ESR 78 inklusive Unterschiede zu Firefox 78

Du benötigst Hilfe bezüglich Firefox? Bitte stelle deine Frage im öffentlichen Bereich des Forums und nicht per Konversation an wahllos ausgesuchte Benutzer. Wähle dazu einen passenden Forenbereich, zum Beispiel „Probleme auf Websites“ oder „Erweiterungen und Themes“ und klicke dann rechts oben auf die Schaltfläche „Neues Thema“.

Mozilla hat heute Firefox 78 veröffentlicht. Firefox 78 ist gleichzeitig die neue Basis für Firefox ESR, die Firefox-Version mit Langzeitunterstützung. Während Firefox 78 und Firefox ESR 78 grundsätzlich identisch sind, gibt es doch ein paar wichtige Unterschiede zwischen beiden Versionen. Auch sonst gibt es einiges Wissenswertes für System-Administratoren.

Mozilla hat Firefox 78 und Firefox ESR 78 veröffentlicht. Nutzer von Firefox ESR 68 haben noch acht Wochen Zeit, ehe sie mit Erscheinen von Firefox 80 und Firefox ESR 78.2 am 25. August 2020 automatisch auf Firefox ESR 78 migriert werden. Wie schon Firefox ESR 68 unterscheidet sich auch Firefox ESR 78 in ein paar Aspekten von seinem Mainstream-Pendant.

Download Mozilla Firefox ESR 78

Firefox ESR 78: Kein WebRender

WebRender stammt wie die mit Firefox 57 eingeführte CSS-Engine Stylo ebenfalls aus Mozillas Next-Generation-Engine Servo und ist in der Programmiersprache Rust geschrieben. Es handelt sich bei WebRender um einen Renderer für Webseiten-Inhalte, welcher unter stärkerer Einbeziehung der Grafikkarte als bisher im Grunde wie eine Spiele-Engine arbeitet, aber für das Rendering von Web-Content optimiert ist und dadurch große Performance-Vorteile liefern soll.

Mit Firefox 67 hat es WebRender erstmals in eine finale Version von Firefox geschafft, allerdings erst für einen kleinen Teil der Nutzer. Während Mozilla WebRender weiter verbessert und für immer mehr Nutzer aktiviert, wird WebRender in Firefox ESR 78 für alle Nutzer komplett deaktiviert bleiben.

Firefox ESR 78: System-Zertifikate

Standardmäßig nutzt Firefox seinen eigenen Zertifikatsspeicher und bietet damit eine erhöhte Sicherheit gegenüber anderen Browsern. Im Unternehmensumfeld jedoch ist es häufig gewünscht, dass Zertifikate aus dem Zertifikatsspeicher des Betriebssystems genutzt werden. Darum ist dies in Firefox ESR 78 standardmäßig aktiviert.

Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:

security.enterprise_roots.enabled

Firefox ESR 78: Deaktivierte MITM-Erkennung

Nicht nur Schadsoftware, auch sogenannte „Sicherheits“-Software unterbricht verschlüsselte Verbindungen (das heißt Verbindungen über https://) immer wieder, um die Inhalte zu lesen, bevor diese den Browser erreichen, und verkauft dies dann auch noch als Feature. Man spricht dabei von einem sogenannten Man-in-the-Middle („MITM“). Die Folge für Firefox-Nutzer ist aufgrund der häufig mangelhaften Implementierung in einigen Fällen, dass Firefox keine Verbindungen über https:// mehr herstellen kann. Firefox 78 kann Verbindungsprobleme aufgrund von MITM erkennen. Dazu setzt Firefox im Problemfall die Option security.enterprise_roots.enabled auf true und versucht die Verbindung erneut. Funktioniert dies, lässt Firefox die Option auf true, ansonsten wird die Option auf false zurückgesetzt.

Da Firefox ESR 78 den Import von System-Zertifikaten standardmäßig zulässt, ist die MITM-Erkennung in Firefox ESR 78 standardmäßig deaktiviert.

Zur Aktivierung muss der folgende Schalter über about:config auf true geschaltet werden:

security.certerrors.mitm.auto_enable_enterprise_roots

Nur in Firefox ESR 78: Deaktivierbare Signaturpflicht für Add-ons

Zum Schutz seiner Nutzer hat Mozilla eine Signaturpflicht für Add-ons in Firefox eingeführt, welche seit Firefox 43 standardmäßig aktiviert ist. Diese kann nur in Nightly-Builds sowie in der Developer Edition von Firefox deaktiviert werden, nicht in Beta- oder finalen Versionen. Die ESR-Version von Firefox 78 erlaubt auch in der finalen Ausführung die Deaktivierung der Signaturpflicht.

Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:

xpinstall.signatures.required

Achtung: Es ist aus Sicherheitsgründen nicht empfohlen, die Signaturpflicht für Erweiterungen zu deaktivieren. Wer seine Erweiterungen ausschließlich über addons.mozilla.org bezieht, findet außerdem in der Regel sowieso ausschließlich signierte Erweiterungen vor.

Nur in Firefox ESR 78: Zusätzliche Enterprise Policy

Seit Firefox 60 liefert Mozilla seine Enterprise Policy Engine aus. Damit ist es für Systemadministratoren möglich, Firefox für die Verteilung im Unternehmen vorzukonfigurieren, wofür bis einschließlich Firefox ESR 52 gerne der sogenannte CCK2 Wizard benutzt worden ist, der allerdings mit Firefox 57 und höher nicht kompatibel ist.

Die SearchEngines-Policy zum Konfigurieren der Suchmaschinen funktioniert ausschließlich in Firefox ESR.

Folgende Unterschiede aus Firefox ESR 68 existieren nicht mehr

Folgende Unterschiede existierten noch zwischen Firefox 68 und Firefox ESR 68, aber nicht mehr zwischen Firefox 78 und Firefox ESR 78:

Service Workers in Firefox ESR verfügbar

Service Workers bezeichnen einen Webstandard, der praktische Anwendungsfälle für moderne Webapplikationen ermöglicht. Firefox unterstützt Service Workers bereits seit Version 44. In Firefox ESR 45, Firefox ESR 52, Firefox ESR 60 und auch noch in Firefox ESR 68 standen Service Workers allerdings nicht zur Verfügung. Mit Firefox ESR 78 sind Service Workers erstmals auch in Firefox ESR verfügbar.

Push-Benachrichtigungen stehen zur Verfügung

Ebenfalls waren Push-Benachrichtigungen bis Firefox ESR 68 noch standardmäßig deaktiviert, da diese Service Workers als technische Voraussetzung haben. Mit der Aktivierung von Service Workers stehen auch Push-Benachrichtigungen ab Firefox ESR 78 zur Verfügung.

Alle Neuerungen zwischen Firefox ESR 68 und Firefox ESR 78

Für einen Überblick über alle wichtigen Neuerungen zwischen Firefox ESR 68 und Firefox ESR 78 empfiehlt sich die Lektüre der Artikel über die Neuerungen der entsprechenden Major-Releases:

Sonstiges Wissenswertes für Unternehmens-Administratoren

Unternehmensrichtlinien und Enterprise Policy Generator

Firefox lässt sich mittels zahlreicher Unternehmensrichtlinien konfigurieren. Dabei gibt es verschiedene Wege: Plattformübergreifend auf Windows, Apple macOS sowie Linux über eine Datei policies.json, via GPO auf Windows oder via .plist-Datei auf Apple macOS.

Die von mir entwickelte Erweiterung Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Die Erweiterung bietet eine einfach verständliche Oberfläche, über welche alle verfügbaren Policies ganz einfach zusammengeklickt werden können, ohne dass Kenntnisse irgendeiner Art notwendig wären – inklusive Möglichkeit, Konfigurationen zu speichern oder für andere Systeme zu exportieren und zu importieren.

Download Enterprise Policy Generator für Firefox

In der aktuellen Version unterstützt der Enterprise Policy Generator noch nicht alle von Firefox 78 unterstützten Unternehmensrichtlinien. Im Juli soll ein großes Update für den Enterprise Policy Generator erscheinen, welches die Unterstützung für zahlreiche neue Unternehmensrichtlinien bringen wird.

MSI-Installer für Windows

Um System-Administratoren im Unternehmen das Anpassen und Verteilen von Firefox einfacher zu machen, bietet Mozilla anpassbare MSI-Installer für Firefox ESR auf Windows 7 und höher an.

MSI-Installer erlauben die Anpassung über eine MST-Datei und können über die auf Windows üblichen Deployment-Tools wie Active Directory oder Microsoft System Center Configuration Manager verteilt werden. Mozilla hat eine Dokumentation zu den MSI-Installern veröffentlicht.

Download MSI-Installer von Firefox ESR 78

pkg-Installer für Apple macOS

Ähnlich zu den MSI-Installern für Windows gibt es pkg-Installer für Apple macOS.

Download pkg-Installer von Firefox ESR 78

Nutzer von Apple macOS 10.9 bis 10.11 werden auf Firefox ESR 78 migriert

Nutzer der Mainstream-Version von Firefox auf Apple macOS 10.9 bis 10.11 werden automatisch auf Firefox ESR 78 migriert und erhalten damit mit Firefox ESR 78 ihr letztes Feature-Update. Nach einem weiteren Jahr Sicherheits-Updates durch Firefox ESR 78 ist für Nutzer von Apple macOS 10.9 bis 10.11 danach Schluss. Bereits Firefox 79 lässt sich auf diesen macOS-Versionen nicht einmal mehr starten.

Veraltete Sicherheits-Protokolle werden nicht länger unterstützt

Unternehmen sollten sicherstellen, dass ihre Seiten üblichen Sicherheits-Standards folgen. Denn mit Firefox 78 unterstützt Firefox nicht länger die veralteten Sicherheitsprotokolle TLS 1.0 sowie 1.1. Das Sicherheitsprotokoll TLS 1.0 ist bereits über 21 Jahre alt. TLS 1.1 bot nur geringfügige Verbesserungen gegenüber TLS 1.0. Aus Sicherheitsgründen ist daher das 2008 finalisierte TLS 1.2 oder noch besser das 2018 finalisierte TLS 1.3 zu nutzen. Ansonsten sieht der Benutzer nur eine Fehlerseite. Außerdem unterstützt Firefox 78 nicht länger die veralteten DHE-Chiffresuiten TLS_DHE_RSA_WITH_AES_128_CBC_SHA sowie TLS_DHE_RSA_WITH_AES_256_CBC_SHA.

Dedizierte Profile pro Installation abschalten

Lesezeichen, Chronik, Erweiterungen, Passwörter, Einstellungen – diese und noch weitere Dinge werden in einem sogenannten Profil gespeichert. Verschiedene Firefox-Installationen nutzen bisher standardmäßig immer das gleiche Profil.

Seit Firefox 67 nutzt der Mozilla-Browser dedizierte Profile pro Installation. Das heißt, dass wenn ein Nutzer mehrere Firefox-Installation hat, jede dieser Installationen ein eigenes Profil verwendet und damit standardmäßig nicht länger in allen Installationen automatisch die gleichen Lesezeichen, die gleiche Chronik etc. zur Verfügung stehen.

Gerade im Unternehmensumfeld kann dies unerwartet sein. Über eine Umgebungsvariable mit beliebigem Wert kann dieses Feature abgeschaltet werden:

MOZ_LEGACY_PROFILES

Wie Umgebungsvariablen angelegt werden, ist der Dokumentation des jeweiligen Betriebssystems zu entnehmen.

Downgrade-Schutz abschalten

Ein anderes Feature seit Firefox 67 ist ein Downgrade-Schutz. Firefox verhindert, dass der Browser mit einem Profil gestartet wird, welches bereits mit einer neueren Firefox-Version genutzt worden ist. Auch dieses Feature kann über eine Umgebungsvariable mit beliebigem Wert abgeschaltet werden:

MOZ_ALLOW_DOWNGRADE

Alternativ dazu kann Firefox mit dem folgenden Kommandozeilen-Argument gestartet werden:

--allow-downgrade

Dokumentation für System-Administratoren

Hier gibt es spezielle Hilfe-Seiten für die Administration von Firefox im Unternehmen.

Der Beitrag Alles Wissenswerte zu Firefox ESR 78 inklusive Unterschiede zu Firefox 78 erschien zuerst auf soeren-hentzschel.at.

Antworten 3

  • "On Topic" Frage:


    Warum wurde WebRender für die ESR-Version deaktiviert? Heißt das, dass die WebRender-Entwicklung noch keinen stabilen Status hat, für den man einen "Lanzeitsupport" garantieren kann? Ist vorgesehen, dies in einer späteren SubVersion nachzureichen und per Option zu aktivieren?


    Sehr schade falls nicht...:(


  • Man ist noch nicht an dem Punkt, dass jeder Nutzer WebRender nutzen kann. Das ist aber das Ziel und dahin zu kommen, darauf liegt der Fokus von Mozilla. Mozilla hat nicht die Ressourcen, zusätzlich auch noch bis zu ein Jahr lang Bugfixes für Firefox 78 zurück zu portieren. Darüber hinaus ist Firefox ESR für Unternehmen, nicht für Privatpersonen. Und im Unternehmen dürfte eine Verfügbarkeit von WebRender für die Administratoren wirklich keine Priorität haben.


    Ob WebRender verwendet wird oder nicht, das ist eine so große Sache, dass es komplett ausgeschlossen ist, das mit einem ESR-Update außerhalb eines Major-Updates zu aktivieren. Eine solche Änderung kann die Kriterien für ein ESR-Update nicht erfüllen. Ausschließlich kritische Bugfixes, Sicherheits-Fixes sowie zusätzliche Unternehmensrichtlinien qualifizieren für ein ESR-Update.

  • Beiträge zur Auslieferung von Firefox 78 abgetrennt nach Firefox 78.

  • Diskutiere mit!