Beiträge von Lendo

Zitat von Fxler

Der "tree" wurde jetzt geschlossen, um die Alpha1 Blocker zu beseitigen.
Frage dazu: Bedeutet das, dass der Trunk jetzt "gebrancht" wird für 1.9 oder ledglich, dass der Trunk den Status a2 erhält?

Weder noch. Das bedeutet bloss, dass jetzt keine neuen Bugfixes mehr für den Trunk vorgeschlagen oder eingebracht werden dürfen, bis der Blocking-Status wieder aufgehoben wird. Wenn das geschehen ist, gibts ein offizielles Alpha1-Nightly und im Trunk geht es weiter mit dem Alpha-Status, der dann mal in Alpha 2 geändert werden wird. Ein Branch wird dadurch nicht erzeugt, da nur ein einzelnes Nightly (eben Alpha1) hervorgebracht wird und kein neuer Entwicklungszweig.

Soweit ich weiß, wird der nächste Branch (der für Firefox 3 und Gecko 1.9) erst am Ende des Alpha-Prozesses erzeugt; ich schätze im Frühling nächsten Jahres, bevor die erste Beta erscheinen wird. Dann wird es weiterhin den Trunk geben (für Firefox 4/Gecko 2) und den Fx3/Gecko 1.9-Branch.

Siehe http://www.firefox-browser.de/wiki/Nightly

Ein Firefox-Entwickler, Mike Connor, hat sich zu Wort gemeldet:

Zitat

------- Comment #155 from mconnor@mozilla.com 2006-11-29 15:03 PST -------
(In reply to comment #150)
> > Let me repeat myself again: The password manager should remember what domain
> > the password form refer back to the first time the password was filled in and
> > was saved. It shouldn't fill in the password when any of the 2 domains differ.
> > (domain your on right now and the domain the form data is send to)
> >
> > Pros:
> > http://www.domain.com would not even raise a warning if it submits passwords to
> > login.domain.com when it submitted to the same host previouse.
> >
> > And also, i'm strongly against warnings. Even when one out of 10 people ignore
> > the warning, the phisher has won his price. Simply do not fill in form data
> > when something looks wrong and it's all fine.

This is essentially what we're going to do. There is a small risk that
upgrading users will hit a phishing site before the legitimate site, but the
alternative of crippling stuff out of the box isn't good either. Patch tonight
or tomorrow.

Alles anzeigen

Gute Nachricht für alle bisher Wartenden. Wird es wohl doch noch in das nächste Update schaffen. Was lange währt, wird endlich gut.

PS: firesteff, also so krass ist der Fehler nicht, dass man deswegen extra umsteigen müsste - außer du hast viel mit Websites wie myspace zu tun, die Nutzern HTML-Einträge/-Seiten erlauben und du dort deine Passwörter mit Firefox speicherst. Aber Opera ist auch ein vernünftiger Browser und besser als gewisse andere.

S1!c3r, wäre nett, wenn du das auch in der Wiki-Seite hinzufügen würdest.

a) Anscheinend wird der Bug Cross-Site Forms + Password Manager = Security Failure nicht in 2.0.0.1 eine Lösung durch Firefox selbst erhalten. Das liest sich zumindest so in diesem Thema über 2.0.0.1 im MozillaZine-Forum. Auch gibt es noch keine Statusveränderung im Bugzilla-Eintrag (immer noch "new", aber auch immer noch blocking 1.8.1.1 markiert), kein Mozilla-Entwickler sagt was zu dem Thema und das QA für 2.0.0.1 läuft schon an. Und im Bugzilla-Eintrag ist man sich noch nicht klar, wie man dies lösen soll (strengere Handhabung von Passwörterspeicherung mit Komfortverlust oder das Problem muss von den Webmastern gelöst werden). Ist also relativ unwahrscheinlich, dass sich da noch etwas tut bis 2.0.0.1, wenn das Update noch vor Weihnachten kommen soll.

b) Wer 2 Fragen hat wie:
Ist die Benutzung des Passwort-Managers in Firefox sicher?
Ist Minefield (die Trunk-Version von Firefox, aus der 3.0 werden soll) sicher?

Dem empfehle ich den kurzen Kommentar von chob (englisch) durchzulesen.

c) Auf MySpace wurde das Problem angeblich behoben. (Quelle) Kann ich aber nicht testen, da ich dort noch nie war und auch nicht vorhabe, dort jemals etwas zu tun. Wenn dies so ist und nur sehr wenige Websites dieses Problem in Firefox zulassen durch nachlässige Handhabung von HTML und type="password" (auf Websites wie ebay und Amazon kann so ein Problem nicht auftreten, da dort kein Benutzer HTML-Seiten verfassen kann und somit auch keine Passwörter von Eingabefeldern anderer Subdomains übernehmen könnte), wird der Bugzilla-Eintrag wohl zu den Akten gelegt, weil es vernachlässigbar ist (ein sogenanntes "non-issue"). Aber entschieden ist natürlich noch nichts. Man wird sehen.

Zitat von hall77

So wie ich Mozilla kenne, ist mit einem Sicherheitspatch in den kommenden Tagen zu rechnen. :wink:
Andererseits frage ich mich aber, was es dann mit dem Pishing-Schutz auf sich hat? Sollte der nicht präparierte Webseiten erkennen können..., oder verwechsle ich da jetzt etwas? :roll:

Das hat nichts mit dem Phishing-Schutz zu tun, der in Browser eingebaut ist. Der Phishing-Schutz soll nur vor Seiten warnen, die vortäuschen, die echte Seite zu sein. Dieses Problem mit dem Passwort-Manager passiert aber auf vertrauenswürdigen Seiten bzw. Unterdomains von Websites. Da kann der beste Phishing-Detektor nichts ausrichten.

Rumborak, wenn du helfen willst, trage deine Gedanken (in englischer Sprache) bitte im Bugzilla-Eintrag ein, der sich mit diesem Problem beschäftigt:

#360493: Cross-Site Forms + Password Manager = Security Failure

Hier bei uns über Lösungsmöglichkeiten zu diskutieren bringt nichts, da dies kein Entwickler liest und Firefox dementsprechend nicht helfen kann.

Ein wichtiger Schritt zu Firefox 3 wurde heute wieder abgeschlossen:

Turn on thebes/cairo as default rendering back end on all primary platforms

Christopher Blizzard hat es äußerst treffend in seinem Bugkommentar formuliert:

Zitat

<borat>Niiiice</borat>

Neben dem Offensichtlichen in diesem Bug (grundsätzliche Funktionsfähigkeit und Aktivierung von Cairo/Thebes als Darstellungsengine für Fx3 und ff. sowie Vorhandensein in Gran Paradiso Alpha 1 im Dezember) gibt es noch etwas weiteres Positives:
Dieser Bug ist einer von dreien, die den anderen Bug Fix the use of units in Gecko "blockieren", d.h. ohne den ersten Bugfix kann der andere Bug nicht behoben werden. Und der zweite Bug ist besonders für Webentwickler interessant, da er viele kleine Gecko-Anzeigeschwierigkeiten von Webseiten bedingt sowie es ermöglichen kann, dass Fx3 vollstängies Zoomen hat wie in Opera (Full zooming, ein Uralt-Bug aus dem Jahr 1999 mit dem netten Zusatz parity-opera parity-IE7 markiert ).

Edit am 3. Dezember 2006:
Jesse Ruderman hat vor 2 Tagen auf seiner Website The Burning Edge, auf der er inoffizielle, aber sehr ausführliche Listen behobener Bugs in den Firefox-Releases veröffentlicht sowie regelmäßig Statusberichte über aktuell geschlossene Bugs in Nightlies gibt, das Freischalten von cairo-cocoa auch auf MacOSX bekannt gegeben (Artikel 2006-12-01 Trunk builds). Damit hat er bestätigt, was ich ein paar Tage zuvor in diesem Beitrag gesagt habe. Nur ist es jetzt nicht nur "gefixt", sondern auch vom QM kontrolliert und im Trunk eingebaut. Die viele Arbeit an den alten Darstellungsfehlern in Gecko kann nun endlich so richtig in Schwung kommen.

Um es freundlicher zu sagen:
Das ist kein Problem von Firefox sondern eins der ProSieben-Seite. Lösungsvorschlag: Den Webmaster der Website anschreiben, dass du das Video mit einem anderen Browser als IE nicht ansehen kannst usw.

Zu JavaScript: http://www.firefox-browser.de/wiki/JavaScript

Schade und enttäuschend, dass sich kein hoher Mozilla-Entwickler im Bugzilla-Eintrag dazu äußerst. Es scheint, als würden die freiwilligen Entwickler und die Bug-Finder diskutieren, ohne dass man zu einer Entscheidung kommen würde (wird ja noch gestritten ob das ein myspace-spezifisches Problem ist oder auf welche Art man die Schwachstelle lösen sollte oder ob man überhaupt was tun könne, ohne mit den bisher gespeicherten Daten im Passwort-Manager zu brechen ... ).

Auch würden ein paar offizielle Worte auf den Mozilla-Seiten oder den Blogs der Entwickler oder von Asa, dem Oberdotzler, dem Schrecken weiter Teile der Firefox-Gemeinde - und dem Kreischen der Online-Medien - etwas Wind aus den Segeln nehmen. Wieder mal ein Mismanagement beim Marketing. Aber wär ja nicht das einzige Mal bei Mozilla - und dieser Tage nicht der einzige Fall, siehe den extrem rufschädigenden Fehler bei Thunderbird, der zwar bereits nach 2 Tagen(!) nach Bekanntwerden mit einem ersten Bugfix beliefert wurde, jedoch scheint es nur im Trunk (3.0 ff) und Branch (2.0) einfach zu sein, für 1.5.x ist es etwas haariger. Auch hapert es am QA-Management. Ich schätze, man hat einfach nicht die Resourcen, um ein 1.5.0.8a herauszugeben und im Dezember dann das richtige 1.5.0.9-Update.

Casino Royal ist der erste gute Bond-Film seit 25 Jahren! Spannung, Action (keine Terminator- oder Superhelden-Action!), Leidenschaft und Humor, alles vereint in einem Film, der sogar sinnvolle Dialoge aufweist. Kann den Film nur weiterempfehlen.

Genau wie bei Batman hat man mit der Anfangsgeschichte erfolgreich Niveau und frischen Wind in die Filmreihe gebracht. Ich hoffe, so geht das weiter (bei Bond wie bei Batman).

Zitat von AxelHecht

Da freuen sich die Engländer, endlich sagt's einer laut und deutlich, sie sind keine Europäer! :twisted:

Ich erspare mir einen Kommentar, der politisch und zu sehr OT werden würde. *g*

Zum Redesign:
Vor dem letzten Schliff für das neue Design sollte eigentlich die Wikisoftware aktualisiert werden, womit auch einige Probleme damit behoben werden könnten. Es wird derzeit versucht, das noch zu bewerkstelligen.

Zitat von DAC324

Automatisch, d.h. werden sie Dir ohne irgendwelches Zutun (z.B. "Help, Update Firefox" o.s.ä. zu klicken) vom Firefox angeboten?

Das ist eine gute Frage, die ich dir im Moment gar nicht beantworten kann. Seit Places abgeschaltet wurde, habe ich die Trunk-Version nur wenige Minuten offen, bis ich zum Branch-Nightly bzw. jetzt zu Fx2 wechsle. Da ich es eilig habe, rufe ich die Updates immer händisch ab über das Menü, installiere sie und schließe die Version …

(Erst die Acid2-kompatiblen Versionen nächstes Frühjahr werden ich vermehrt zum Surfen benutzen.)

Zitat von Freak416

aber von euch hatte keiner negative Erfahrungen wie Datenverluste oder so???

Bei einem Arbeitskollegen gingen nach dem IE7-Update die Outlook-Kalenderdaten nicht mehr zum Öffnen und Bearbeiten. Er musste da Office neu installieren, damit alles wieder funktionierte. Sonst kenne ich keine Probleme.

PS: Er ist bekennender Opera-Benutzer - wahrscheinlich ging deshalb was schief. Alle, die nicht IE benutzen, müssen mal bestraft werden.

Firefox ist keine "Freeware", sondern Open Source. Das heißt: Ja, man darf Firefox auch verkaufen.

Zitat von Dr. Evil

Bei mir updaten die englischen Nightlies auf dem 1.8-Branch auch ganz brav.

Wie stabil laufen die zur Zeit? Mir wird der 2.0.0.1pre zu langweilig

Hehe, kann ich verstehen. Hab seit dem Erscheinen von Fx2 den 1.8.1er Branch nicht mehr aktualisiert.

Der Trunk ist eigentlich sehr stabil - nur darf man im Browserfenster nicht die rechte Maustaste drücken, dann stürzt er ab (durch die Sitzungswiederherstellung aber kein großes Problem *g*). Also ein Manko, das mir seit Wochen auf den Geist geht, sonst einwandfrei. Warte nur noch auf das Reflow Refactoring, das aber wohl erst Anfang nächsten Jahres mit der Alpha2 integriert werden wird (leider).

sjakobs:
Installiere deine Trunk-Version ganz neu mit neuem Profil und ohne irgendwelche Lokalisierungen und probier es nochmal.

Solcherlei Dinge sind schlecht für alle _guten_ Browser dieser Welt ("Wir sind die Guten." - Zitat eines österr. Internetanbieters), da sich alle mit gestohlenem Windows trotzdem den IE7 besorgen können und mit ihm dem Trug von Glück und Sicherheit weiter frönen können

Die Updates funktionieren, jedoch nur wenn der Originalfox ein en-US ist und keine lokalisierte Version und wenn kein Sprachpaket aktiviert ist (wobei allein mit der Installation allein womöglich auch Probleme auftreten könnten).

Die Trunk-Nightlies, aus denen Firefox 3 und folgende werden soll, gehen bei mir einwandfrei. Tag für Tag ...

Zitat von NightHawk56

Was also bleibt? Setze deinen Verstand ein! Verlass dich nicht auf Maschinen, sondern lieber auf dich selbst. Das aber setzt Verantwortungsbewusstsein voraus!

Genau, aber wir wissen doch alle, dass niemand perfekt ist und wohl einige Leute drauf reinfallen können; also gut, wenn das mit dem nächsten Update behoben ist.

(Wobei ich den raschen Bugfix eher aus Marketinggründen wünsche als aus meinem persönlichen Sicherheitsbedürfnis.)

Wie Simon schon sagte, wenn du alle Update-Mechanismen abgestellt hast, kann dies das Anti-Phishing sein, das alle 30-50 Minuten seine lokale Blacklist aktualisiert sowie kurz nach Programmstart.
->> http://www.firefox-browser.de/wiki/Phishing-Schutz

Und wenn du Erweiterungen ausschließt, kann es vielleicht mit einem Bug bei den dynamischen Lesezeichen und deren Favicons zusammenhängen.
->> https://bugzilla.mozilla.org/show_bug.cgi?id=358878
(Dieser Fehler wird mit dem nächsten Autoupdate behoben sein.)

Zitat von gozoc

Danke für die Info über die 2.0.0.1, aber irgendwie vermisse ich dort den Bugfix für

Cross-Site Forms + Password Manager = Security Failure

Dieser Bug ist ebenfalls für 2.0.0.1 vorgesehen aber noch in Arbeit und nicht gefixt.

Ich habe nicht alle Bugs aufgeführt (das sind ja mehrere Dutzend!); außerdem ist dieser Bug noch nicht gefixt und ich habe nur abgeschlossene Bugs aufgezählt.