Thunderbird nutzt die gleiche Plattform und ist grundsätzlich auch betroffen. Aber da das Problem bei Firefox ja schon nicht für jeden reproduzierbar und die Ursache auch noch nicht klar ist, vermute ich mal, dass irgendein Grenzfall vorliegt, der zufällig zutrifft oder nicht zutrifft, und es dementsprechend auch gut sein kann, dass mancher das Problem auch in Thunderbird hat und jemand anderes nur in Firefox.
Beiträge von Sören Hentzschel
-
-
Die Änderung ist heute im Release-Kanal gelandet. Geplant ist Firefox 137.0.2 für kommenden Dienstag.
(Das heißt natürlich, dass wenn man den Schalter app.update.multiSessionInstallLockout.enabled nicht vorher manuell auf false setzt, die Änderung erst mit Firefox 137.0.2 kommt und man das korrigierte Verhalten dann auch erst beim Update von Firefox 137.0.2 auf Firefox 138 sehen wird).
-
Richtig, das wird ein Boolean-Schalter, der dann auf true gesetzt werden muss.
-
Lukas Linder × Katha Rosa – Es ist okay
Externer Inhalt www.youtube.comInhalte von externen Seiten werden ohne deine Zustimmung nicht automatisch geladen und angezeigt.Durch die Aktivierung der externen Inhalte erklärst du dich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt. -
Ich denke, das Thema hat sich erledigt, da Mozilla für Nutzer von Scripts eine Ausnahme implementiert:
Mozilla hat sich hier in der Strategie nun doch etwas anders entschieden: Statt das automatisch für Nutzer mit Scripts zu erlauben, muss ähnlich wie für die userChrome.css-Anpassungen eine Option angepasst werden. Der Name der Option ist so gewählt, dass man auch zur Kenntnis nimmt, dass das gefährlich ist.
security.allow_unsafe_dangerous_privileged_evil_eval
Der Patch ist noch nicht gelandet, sollte es die nächsten Tage aber irgendwann.
-
Ich habe nichts ausgewählt. Es wird das Symbol der eingestellten Standard-Suchmaschine angezeigt. Und das ist bei Firefox standardmäßig Google. Man muss etwas anderes einstellen, damit dort nicht das Google-Symbol zu sehen ist. Die Lupe im Screenshot von Naturfreund ist das Symbol von Startpage.
-
Was allerdings gegen Benachrichtigungen als Ursache sprechen dürfte, ist der Umstand, dass diese Fenster aufgepoppt sind, kurz nachdem ich FF gestartet hatte und angefangen hatte zu tippen. Als Startseite ist google.de eingestellt. Da ich sofort getippt hatte, müsste das in der Adresszeile eingegeben worden sein, sodass in dem Moment kein Bezug zu "hörzu" bestand.
Web-Benachrichtigungen erfordern nicht, dass die Quell-Website geöffnet ist. Du kennst das vielleicht vom Smartphone, wo es ja auch ständig Benachrichtigungen von Apps gibt, die du gerade nicht nutzt. Damit ist das vergleichbar. Im Unterschied dazu muss der Browser allerdings gestartet sein, weswegen es auch Sinn ergibt, dass die Benachrichtigungen unmittelbar nach dem Browserstart erscheinen - du bekommst dann alle Benachrichtigungen, die sich in der Zwischenzeit angesammelt haben.
Außerdem habe ich an MEINEM PC unter FF die Seite hoerzu.de aufgerufen und bekomme dort keine Anfrage für Benachrichtigungen.
Die Quelle ist unter Umständen nicht tatsächlich die hoerzu, sondern irgendeine andere Seite, die über solche Benachrichtigungen Geld verdient. Wenn nämlich plötzlich und unerwartet Benachrichtigungen für diverse Dinge erscheinen, habe ich ehrlich gesagt den Verdacht, dass Adware auf das System gelangt ist, welche die Benachrichtigungen als Mittel zum Zweck nutzt.
-
Sicher, aber wie kann ich erkennen welche das sind ?
Das kann zugegeben schwierig sein, selbst zu erkennen. Im Zweifel sollte man es als Warnzeichen betrachten, wenn in einem Expertenforum (wo man sich also mit der Thematik etwas besser auskennt) mehrfach vor einer Seite gewarnt wird. Wichtig ist natürlich, dass das auch begründet und nicht einfach nur behauptet wird. Aber das ist hier ja der Fall.
Die Entwickler von Software, deren Software ungefragt genommen und mit anderen Dingen gebündelt wird, mit solchen Websites in einen Topf zu werfen, ist schon ziemlich deplatziert.
s.o.
Deine Annahme dürfte im Normalfall immer sein, dass du seriöse / sinnvolle Software ohne böse Absichten herunterlädst. Ansonsten würdest du die Software ja auch nicht von Drittanbieter-Websites herunterladen. Die können noch so viel damit werben, dass sie die Software prüfen, eines machen sie definitiv nicht: Die Software verändern. Das heißt, wenn du der Software grundsätzlich vertraust, gibt es keinen Grund zur Annahme, dass du über die Hersteller-Website etwas Schlechteres bekommst. Im Gegenteil: Von der Hersteller-Website ist die Software in jedem Fall frei von zusätzlich installierter Software, mit denen der Hersteller nichts zu tun hat.
Wenn die Software von Haus aus nicht seriös und / oder sinnvoll ist, wird sie es natürlich auch nicht, wenn du sie von der Hersteller-Website herunterlädst.
Wenn du AVIRA ablehnst und nicht generell gegen antivirensoftware bist :
Welche AVSW würdest du vorschlagen ?Auf Windows ausschließlich den Defender von Microsoft. Das Geschäft mit AV-Software ist leider ziemlich kaputt. Manch großer Name verdient längst mehr Geld mit zusätzlicher Software, die damit gebündelt wird, als mit dem eigentlichen Produkt. Und um das zu verkaufen, werden von praktisch allen sehr fragwürdige Features implementiert, die mit Ängsten der Nutzer spielen und nach einer notwendigen Lösung klingen, aber tatsächlich wenig Wert haben und teilweise sogar die Sicherheitsstandards moderner Browser unterwandern und damit die Sicherheit schwächen. Als Beispiel sei das HTTPS-Scanning genannt. Und wenn du dann durch Artikel von Sicherheitsexperten wie Palant immer wieder erfährst, wie inkompetent diese Unternehmen häufig ausgerechnet in Sicherheits-Themen sind und wie dort mit Schwachstellen umgegangen wird, fragt man sich schon, ob Sicherheit wirklich noch deren Kerngeschäft ist oder ob es nur noch um das Beiwerk geht.
Mit dem Defender als kostenloses Produkt kommt Microsoft gar nicht erst in Versuchung, reine Marketing-Features als Verkaufsargument einzusetzen. Und tatsächlich fokussiert sich der Defender wirklich auf seine eigentlichen Aufgaben ohne unnötige Zusatz-Features, mit dem Ergebnis, dass dieser so wenige Probleme wie keine andere AV-Software verursacht. Das heißt nicht, dass der Defender fehlerfrei wäre. Fehlerfreie Software gibt es nicht. Und der Defender wird genauso wenig wie jede andere AV-Software jede Bedrohung erkennen. Das sind alles nur Werkzeuge, keine Wundermittel. Als Windows-Nutzer hätte ich mit dem Defender aber das beste Gefühl.
-
-
die Änderungen hat Sören Hentzschel in seinem Artikel zu Fx 137 beschrieben.
Das habe ich gemacht, verstehe aber nur "Bahnhof" - muss mich mal näher damit beschäftigen.
War dieser Teil inklusive Screenshot wirklich so schlecht beschrieben?
-
Vielleicht könntest du in Betracht ziehen, dass ich mich und meine CSS Beiträge dabei mit einschließe.
Dass du dich selbst einschließt, ändert doch nichts daran, dass du mit der Aussage die Qualität der Arbeit in diesem Forum als Ganzes in Frage gestellt hast.
Tatsache ist: Dieses Forum ist natürlich nicht so groß wie Reddit. Aber auch hier bekommen die Nutzer in der Regel exakt das, was sie wollen. Wege zum Ziel gibt es meistens mehr als einen. -
Hallo,
ich habe deinen Beitrag in ein neues Thema abgetrennt, weil das mit deinem ursprünglichen und bereits als gelöst markierten Thema nichts zu tun hat.
-
Eine Content Security Policy macht unsicheren Code nicht sicher, sondern bietet Sicherheit dadurch, dass die Ausführung von Scripts nur noch aus sicheren Quellen erlaubt wird. Das heißt zum Beispiel (CSP können unterschiedlich konfiguriert werden), dass Inline-Eventhandler verboten werden und nur noch der Code erlaubt wird, der aus Script-Dateien kommt.
Wenn man das von der Perspektive der Scripts betrachtet, die hier im Forum erstellt und geteilt werden, mag sich das nicht direkt erschließen, wieso addEventlistener() besser sein soll als setAttribute(). Beides sind Funktionen im Script, die letztlich das Gleiche ausführen. Dabei muss man aber bedenken, dass diese Scripts eine andere Ausgangslage als der Firefox-Code haben. Scripts verwenden deswegen setAttribute(), weil ja nicht die XUL- und HTML-Dateien von Firefox bearbeitet werden. Stattdessen muss alles im Script stattfinden. Und mittels setAttribute() wird aus einem Script heraus der Inline-Event-Handler im HTML oder XUL gesetzt, als stünde dieser von Anfang an dort.
Firefox hat jetzt (zumindest in der Datei browser.xhtml) keine Inline-Event-Handler mehr im HTML. Nachdem diese Voraussetzung geschaffen wurde, konnte mittels CSP die Verwendung von Inline-Event-Handlern generell verboten werden. Und aus diesem Grund können auch die hier besprochenen Scripts keine Inline-Event-Handler mehr setzen. Die CSP verhindert das. Die Ausführung von Scripts aus Script-Dateien ist nach wie vor erlaubt. Und da addEventlistener() den Handler nicht im HTML setzt, funktioniert das weiterhin.
Ich kan nicht in die Details gehen, wie Sicherheitslücken ausgenutzt werden können. Davon bin ich selbst thematisch zu weit entfernt. Aber die als Beispiel gebrachte Kette von Exploits in Firefox, die eben auch das Erstellen eines Inline-Event-Handlers über setAttribute() eingeschlossen hat, hat dem Entdecker beim Hacker-Wettbewerb Pwn2Own 2022 ein Preisgeld in Höhe von 100.000 USD gebracht. Ich denke, das sagt genug über die Wichtigkeit aus, die Möglichkeiten einzuschränken, an welchen Stellen Code ausgeführt werden kann. Natürlich bestand die Sicherheitslücke nicht alleine darin, sondern war eine Kombination aus mehreren Schwachstellen. Aber wären Inline-Event-Handler nicht erlaubt gewesen, wäre das ganze Angriffs-Szenario spätestens an dieser Stelle gescheitert.
-
Hallo,
das Löschen deines Profils wird an den Daten des Sync-Servers überhaupt nichts verändern. Synchronisation bedeutet: Alle Geräte haben am Ende die gleichen Daten. Erstellst du ein Lesezeichen auf einem Gerät, hast du es auf allen Geräten. Löschst du ein Lesezeichen, wird es auf allen Geräten gelöscht. Es gibt also gar keinen Grund, direkt „in der Cloud“ irgendeinen bestimmten Zustand zu erzeugen.
-
Wir können in Zukunft nicht mehr sagen, dass MozBackup nicht mehr weiterentwickelt wird, denn die Entwicklung wurde neu aufgenommen.
Zunächst soll MozBackup 1.6 veröffentlicht werden. Die Versionsreihe 1.x nennt der Entwickler jetzt „MozBackup Legacy“. Das Ziel der neuen Version ist es, eine funktionierende Version zu haben, die alles unterstützt, was in den letzten Jahren neu dazu kam. Es wird aber auch an MozBackup 2.0 gearbeitet, was eine neue Software werden wird, die dann auch nicht nur auf Windows, sondern auch auf macOS und Linux laufen wird.
-
es ist halt immer noch das einzige Forum mit vernünftigen und aktuellen CSS inhalten für Firefox.
Vielleicht überlegst du mal, in welchem Forum du das gerade geschrieben hast und wie das wohl hier ankommt.
-
CHIP ist eine gewinnorientierte seite, wie die die seiten der entwickler auch.
Eine Seite kann auch gewinnorientiert betrieben werden, ohne zu unseriösen Mitteln zu greifen. Das ist eine Grundsatz-Entscheidung. Und eben solche Grundsatz-Entscheidungen ändern sich nicht plötzlich.
Die Entwickler von Software, deren Software ungefragt genommen und mit anderen Dingen gebündelt wird, mit solchen Websites in einen Topf zu werfen, ist schon ziemlich deplatziert.
2. Wieviele FF + AVIRA updates hat es seit 05/23 gegeben ? Könnte sein dass die probleme beseitigt wurden.
Das ist doch überhaupt nicht der Punkt. Der Punkt ist, dass diese Software bekannt dafür ist, schwerwiegende Probleme zu verursachen, und dass das kein Einzelfall ist.
Du hast selbst geschrieben, dass du bei IT-Themen kein Experte bist. Aber denen, die sich damit ein bisschen besser auskennen, scheinst du auch nicht zu glauben.
-
Das Thema CSP und das Anpassen von Inline-Event-Handlers war in den letzten Wochen und Monaten in Zusammenhang mit den Scripts ja relativ präsent in diesem Forum. Wer sich etwas für die Hintergründe interessiert, wieso Mozilla das gemacht hat (Mozilla selbst musste über 600 Inline-Event-Handler umstellen!), bekommt in Mozillas Sicherheits-Blog etwas Lesematerial:
Hardening the Firefox Frontend with Content Security PoliciesMost of the Firefox User Interface (UI), including the address bar and the tab strip, are implemented using standard web technologies like HTML, CSS and…attackanddefense.dev -
Ein neuer Artikel wurde veröffentlicht:
ZitatMozilla hat bekannt gegeben, dass die US-Regierung um Donald Trump und Elon Musk bereits zugesicherte Fördergelder für die Mozilla Foundation in Millionenhöhe gestrichen hat. Aus diesem Grund ruft die Mozilla Foundation zu Spenden auf, um die Zukunft wichtiger Projekte wie Mozilla Common Voice zu sichern.Artikel lesen: „US-Regierung streicht Fördergelder für Mozilla Foundation in Millionenhöhe“
-
Mozilla wird die Änderung zeitnah standardmäßig deaktivieren, bis sie einen Weg gefunden haben, das Problem richtig zu beheben:
1959492 - Disable the "Bypassing Updates" featureASSIGNED (bytesized) in Toolkit - Application Update. Last updated 2025-04-09.bugzilla.mozilla.orgIch werde in diesem Thema dann nochmal ein Update geben, sobald das passiert ist.
