Verstehe die Frage nicht... wenn einmal zertifiziert, dann gilt das für alle Kinder der Mozilla-Familie, denk ich mir..
Firefox erfordert in Zukunft Signierung von Add-ons
-
-
Ach so, dann hat sich dieses Thema ja auch für clamdrib erledigt. Das läuft ja nur mit Thunderbird/SeaMonkey Mail & Newsgroups, wird also wohl keine Probleme damit geben.
Mike
-
Zitat von TmoWizard
Hallöchen @Sören!
Mir fällt hierbei nochmal eine Frage ein:
Wie soll das eigentlich mit Add-ons funktionieren, die für SeaMonkey und Firefox/Thunderbird existieren? Das ist ja ein und dieselbe *.xpi, siehe z. B. Adblock Plus!
Falls die xpi für mehrere Produkte (inkl. Firefox) angeboten wird, muss sie vor der Freigabe natürlich signiert werden bevor sie als Update/Download für alle Produkte zur Verfügung steht. Natürlich könnte man tricksen und ein und dieselbe Version für Firefox und für Thunderbird/Seamonkey anbieten aber verschiedene xpis hochladen.
[Blockierte Grafik: http://i.imgur.com/b277RFs.png]
Entwickler und Übersetzer, die ihre Änderungen lokal auf aktuellen Firefox Versionen testen wollen, werden keine wirklichen Probleme durch das neue Verfahren bekommen wie dem offiziellen Beitrag auf Mozilla und Sörens Artikel zu entnehmen ist.
ZitatInstallation of unsigned extensions will still be possible on Nightly and Developer Edition, as well as special, unbranded builds of Release and Beta that will be available mainly for developers testing their extensions.
https://blog.mozilla.org/addons/2015/02…fer-experience/ZitatIn der Nightly Version sowie in der Firefox Developer Edition wird man auch nicht signierte Add-ons installieren können. Darüber hinaus wird es spezielle Release- und Beta-Builds ohne Firefox-Branding geben, welche zu Testzwecken genutzt werden können. Diese erlauben auch die Installation nicht signierter Add-ons.
https://www.soeren-hentzschel.at/mozilla/firefo…ng-von-add-ons/ -
Zunächst einmal habe ich den Blogpost gelesen. Ob automatisiert oder nicht, ich sehe die Gefahr für (erzwungene) Abschaltungen bzw. Rückrufe.
Wo ein erzwungener Signiervorgang ist, sind auch Zensuren und ggf. Aufhebungen (revokes) möglich.Wenn das Ganze wirklich geschützt sein soll, muss vermutlich der Signaturcheck jeder Erweiterung bei jedem Start des Browsers durchgeführt werden, oder? Da bleibt dann noch die Frage, wie sehr das auf die Startzeit Einfluss hat.
Von der Weiterführung der Versionierungs- und Konvergenz- Diskussion sehe ich jetzt mal ab, weil es nicht zu diesem Thema gehört.
PS: Ich möchte niemandem hier etwas "verkaufen".
-
Zitat von MitBrotZumErfolg47
Zunächst einmal habe ich den Blogpost gelesen. Ob automatisiert oder nicht, ich sehe die Gefahr für (erzwungene) Abschaltungen bzw. Rückrufe.
Wo ein erzwungener Signiervorgang ist, sind auch Zensuren und ggf. Aufhebungen (revokes) möglich.Natürlich besteht die technische Möglichkeit. Aber Mozilla war noch nie für Zensur bekannt, ich sehe daher keinen Anlass, plötzlich ohne jedes Anzeichen das komplette Gegenteil zu vermuten. Und würde es so kommen, könnte man dann darüber sprechen. Aber das das bislang noch nie ein Thema war, halte ich Spekulationen in diese Richtung für reine Zeitverschwendung. Und damit das gleich klargestellt ist: Einem Add-on die Signierung zu verweigern ist lange nicht gleichzusetzen mit Zensur. Es wird ganz sicher Add-ons geben, die nicht signiert werden. Und dafür wird es sehr gute Gründe geben. Das wird nämlich genau die Add-ons betreffen, vor denen die Firefox-Nutzer geschützt werden sollen. Würde jedes Add-on signiert werden, ungeachtet dessen, was es macht, wäre die ganze Aktion komplett sinnlos. Es gibt aber Dinge, die darf ein Add-on nicht machen und die waren schon immer gegen Mozillas Richtlinien, es geht hier nicht um vollkommen neue Regeln, die plötzlich aufgestellt werden sollen. Es geht um den Schutz vor Add-ons, welche diese Regeln ignorieren. Und der Schutz der Firefox-Nutzer liegt nun einmal in der Verantwortung von Mozilla…
Wie sieht denn dein alternativer Vorschlag zur Erreichung des Ziels aus? Nein, den aktuellen Status beizubehalten ist keine Option.
Zitat von MitBrotZumErfolg47Wenn das Ganze wirklich geschützt sein soll, muss vermutlich der Signaturcheck jeder Erweiterung bei jedem Start des Browsers durchgeführt werden, oder? Da bleibt dann noch die Frage, wie sehr das auf die Startzeit Einfluss hat.
Das wird den Kohl garantiert nicht fett machen, ist ja nun kein extrem komplexer Vorgang, eine Signatur zu prüfen…
-
EINE Signatur zu prüfen vielleicht nicht - aber bei einigen zig Add-ons rechne ich schon damit, dass sich das bemerkbar machen kann.
Ich bin positiv überrascht, dass nur 7 meiner Add-ons noch unsigniert sind.
In deinem neuen post zum thema heißt es: "Jede ID darf nur einmal im System vorkommen" - verstehe ich das richtig, dass dann zB jeder, der CheckPlaces weiterhin nutzen will, eine andere ID vergeben muss ? Man also nicht "mal eben" ein bestehendes Add-On hochladen kann, bzw das nur funktioniert, wenn man der erste ist?! -
Wenn das aber nicht öffentlich über AMO angeboten wird, muss jeder Benutzer auch ein Einreicher sein. Sicherlich kann das jetzt einer machen und an 17 Leute weitergeben - da es aber rechtlich wohl problematisch ist, das öffentlich weiter anzubieten, müssen es dennoch tausende Leute einreichen, wenn ich das richtig verstehe.
Interessanter Weise sind offenbar nicht alle AMO-Add-ons automatisch signiert:https://addons.mozilla.org/de/firefox/addon/https-everywhere/
https://addons.mozilla.org/de/firefox/addon/apk-downloader/währen diese "nicht überprüft" bzw "vorläufig freigegeben" sind, ist
https://addons.mozilla.org/de/firefox/addon/secure-login
sogar "vorgestellt", jedoch nicht signiert.
Auch
https://addons.mozilla.org/de/firefox/add…icthemerestorerist nicht signiert.
-
Zitat von MitBrotZumErfolg47
Wenn das aber nicht öffentlich über AMO angeboten wird, muss jeder Benutzer auch ein Einreicher sein.
Nö, wieso? Webseite des Add-ons? GitHub? Hier im Forum? Add-ons können überall gehostet werden, nicht nur auf AMO.
Zitat von MitBrotZumErfolg47Sicherlich kann das jetzt einer machen und an 17 Leute weitergeben - da es aber rechtlich wohl problematisch ist, das öffentlich weiter anzubieten, müssen es dennoch tausende Leute einreichen, wenn ich das richtig verstehe.
Was die Add-ons betrifft, die du auf AMO findest, die haben ausnahmslos alle eine Lizenz angegeben. Und die Lizenz der meisten Add-ons erlaubt das. Es ist aber auf jeden Fall positiv, dass du an diesen Punkt denkst. Lizenzen sollten natürlich respektiert werden, wenn es um eine Weitergabe geht.
Zitat von MitBrotZumErfolg47Interessanter Weise sind offenbar nicht alle AMO-Add-ons automatisch signiert:
https://addons.mozilla.org/de/firefox/addon/https-everywhere/
https://addons.mozilla.org/de/firefox/addon/apk-downloader/Weil beide Add-ons kein einziges Review von Mozilla erhalten haben. Automatisch signiert wurden ausschließlich die neusten Versionen all derer Add-ons, die von Mozilla in der Vergangenheit überprüft worden sind.
Zitat von MitBrotZumErfolg47währen diese "nicht überprüft" bzw "vorläufig freigegeben" sind, ist
https://addons.mozilla.org/de/firefox/addon/secure-login
sogar "vorgestellt", jedoch nicht signiert.
Das Add-on wurde in einer früheren Version automatisch von Mozilla signiert. Mittlerweile ist eine neuere Version veröffentlicht. Der Versionszusatz ".1-signed" wurde ausschließlich bei der automatisierten Massen-Signierung drangehängt. Die aktuelle Version hat ein Review erhalten und ist damit automatisch signiert - auch wenn ".1-signed" hinten nicht dran steht. Reviews schließen die Signierung mit ein.
Zitat von MitBrotZumErfolg47Auch
https://addons.mozilla.org/de/firefox/add…icthemerestorerist nicht signiert.
Doch, ist es. Hier gilt das Gleiche. Um das zu belegen, hab ich CTR mal eben in Firefox installiert:
[attachment=0]Bildschirmfoto 2015-06-09 um 01.10.16.png[/attachment]
Beachte den Unterschied zum ADB Helper. Dieses Add-on ist nicht signiert. Du siehst also, CTR ist signiert.
Und ich werd jetzt erst einmal wieder den CTR deinstallieren, da hab ich keine Verwendung für.
-
Nachtrag, wo ich meinen Screenshot gerade sehe: Das entspricht schon mehr dem, wie das dann mit nicht signierten Add-ons in einer finalen Version von Firefox aussehen wird:
-
Das ist in der Vorbereitung recht unpraktisch, dass bei weiteren Updates "-signed" nicht mehr angehängt ist.
Naja, ab 39 wird es dann unter "Addons" wohl eine Warnung geben.Was die Lizenz angeht: Da das Add-on nicht mehr offiziell angeboten wird, habe ich keine Ahnung, wie die Lizenz ist.
Da es aber nicht (von einem Dritten) auf AMO gehostet wurde, habe ich angenommen, dass die Lizenz das verbietet.Wieso steht eigentlich im Installationsdialog "Autor nicht verifiziert" (zB bei CTR), wenn die App signiert ist?!
-
Zitat von MitBrotZumErfolg47
Das ist in der Vorbereitung recht unpraktisch, dass bei weiteren Updates "-signed" nicht mehr angehängt ist.
Naja, ab 39 wird es dann unter "Addons" wohl eine Warnung geben.Das ist nicht wirklich unpraktisch, weil du ja einfach selbst das an die Versionsnummer ranhängen kannst, das gibt dir also keine Sicherheit, dass ein Add-on wirklich signiert ist.
Ab Firefox 40 wird man das im Add-on Manager erkennen, vorher ist die Signierung vollkommen irrelevant.
Zitat von MitBrotZumErfolg47Wieso steht eigentlich im Installationsdialog "Autor nicht verifiziert" (zB bei CTR), wenn die App signiert ist?!
Wenn das Add-on (nicht App) signiert ist, hat das nichts mit dem Autor zu tun, die Signierung von Add-ons bedeutet keine Verifizierung des Entwicklers. Das steht bei so ziemlich jedem Add-on da und ist daher recht sinnlos. Deswegen gibt es diesen Hinweis ab Firefox 40 auch nicht mehr.
-
Zitat von Sören Hentzschel
Du siehst also, CTR ist signiert.
Woran siehst du das? Hätte ja auf "-signed" geachtet. -
und warum wurde es verschoben? Eigentlich find ich das gar nicht so schlecht mit der Signierung, weil ich hoffe dass damit Malware-Erweiterungen weniger Chancen haben.
-
Ich weiß es nicht.
-
Zitat von Sören Hentzschel
Ich weiß es nicht.
Nanu, das gibt es auch?
