Firefox erfordert in Zukunft Signierung von Add-ons

  • Meinen Dank an madperson und Sören, jetzt wird es etwas klarer.

    Zitat von Sören Hentzschel

    The automated process is still being defined,

    Das war mir klar und der Zeitpunkt für tiefere Diskussionen ist noch nicht gegeben.

  • Zitat von Bernd.

    Anmerkungen zum Artikel


    schadhaft oder schädlich? Ersteres würde ja einen Defekt zB beim Download bedeuten.


    Das ist so ein kleiner, aber feiner Wort-Unterschied, der ganz nach dem Geschmack von Bastian Sick sein dürfte. ;) Du hast Recht, ich sollte das korrigieren. Danke.


    Zitat von Bernd.


    Das wäre für mich wichtig, weil ich für mich modifizierte Erweiterungen nutze. Ein Schalter im about:config täte mir reichen. Allerdings wäre das etwas naiv gedacht, eine private Signierung täte mir langen.


    Der Grund, wieso es keine Einstellung (also auch nicht über about:config) geben wird, ist ganz einfach, dass wenn das eine Einstellung ist, die du verändern kannst, dann kann auch die unerwünschte Anwendung die Einstellung verändern. Das ist ja das ganz grundlegende Problem, welches Firefox seit eh und je begleitet, die Anwendungen modifizieren Firefox von außen und im schlechtesten Fall bekommt der Nutzer davon gar nichts mit. Darum ist hier der Gedanke, dass man das gar nicht erst einstellbar macht, dann kann dieser Schutz auch nicht umgangen werden.


    Wie genau diese angedeutete Option nun aber aussehen soll, ist leider noch nicht bekannt, da wohl noch nicht zu hundert Prozent ausgearbeitet. Aber das würde mich auch sehr interessieren.

  • Hi, hab mal 2 Fragen zum Verständnis:


    1. Was bedeutet "Signierung" im Endeffekt? Also was genau macht Mozilla mit dem Addon? Ich kann mir kaum vorstellen, dass die einfach einen Schalter a la "sign_addon_xy" einbauen und auf 1 setzen.


    2. Auf Sörens Seite sagt der erste Punkt der Liste folgendes: "Add-ons, welche auf AMO hochgeladen werden und ein positives Review erhalten, werden automatisch signiert."
    Meint hierbei Review eine Bewertung? Sprich, irgendwer bewertet mit 5 Sternen und schon isses signiert oder wie soll ich mir das vorstellen.

  • 1. Es wird eine automatisierte Überprüfung durch Mozilla vorgenommen. Du lädst dein Add-on hoch, es werden automatisch Tests durchgeführt, welche primär die Sicherheit betreffen, du erhältst das Add-on signiert zurück. Wie genau diese digitale Signatur aussieht, kann ich nicht sagen, ich habe in den Kommentaren dazu nur gelesen: "The add-on file will be digitally signed, which means that it is extremely difficult to fake and you don’t need to be online in order for the verification to work". Du kannst auf jeden Fall nicht einfach das Add-on ändern ohne die Signierung ungültig zu machen.


    2. Review kann in der Tat zwei Bedeutungen haben, hier ist das Review durch Mozilla gemeint, sprich jemand hat sich den Code des Add-ons angesehen. Von manchen Add-ons gibt es ja eine neuere Version, die noch kein Review durch Mozilla erhalten hat, diese Version wird dann bei Einführung des Systems nicht automatisch signiert, sondern die neuste, auf die das zutrifft. Ansonsten gilt für jede neue Version in der Zukunft dann, dass sie mit dem Review von Mozilla automatisch signiert wird, aber eben nicht, wenn Mozilla Mängel feststellt, sprich das Add-on durch das Review fällt.

  • Es gab doch mal, zumindest bei einigen Addons, eine Datei manifest.mf in einem Ordner META-INF, die wohl diverse Hash-Werte auflistete. Um eine veränderte Version des Addons installieren zu können, musste man die Datei manifest.mf löschen.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice und WordPress

  • Adblock Plus zbs.


    so sieht es in der Erweiterung aus:


    so im entsprechenden Ordner:


    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:70.0) Gecko/20100101
    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:71.0) Gecko/Firefox/71.0a1

    OS: Windows 7 H. P. 64 Bit
    Kein Support per PN. Fragen bitte im Forum stellen!

    Einmal editiert, zuletzt von Endor ()

  • Zitat von Sören Hentzschel

    Bei welchen Add-ons hast du das denn gesehen? Ich habe sowas nämlich noch bei keinem Firefox Add-on gesehen und META-INF klingt für mich stark nach Java.


    Ja, Adblock Plus zum Beispiel. Aber mit Java hast du auch recht, z. B. bei Jedit.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice und WordPress

  • So sieht es in der Datei manifest.mf aus:



    Deer Inhalt ist gekürzt, da die Anzahl der Zeichen die im Forum zulässige Anzahl der Zeichen überschreitet.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice und WordPress

  • Hallo allerseits,


    ich finde Signierung der AddOns wirklich eine gute Idee.
    Allerdings sehe ich auch etwas schwarz, was die Zusammenarbeit mit den Entwicklern betrifft.
    hier hat der Entwirkckler von VirtualIdentitiy im Jahr 2011 beschrieben, wesshalb er sein AddOn nicht mehr auf addons.mozilla.org veröffentlicht.
    Ein Auszug:

    Zitat

    [...]
    The problem is, that addons.mozilla.org requires a code-review of my extension before it gets published. Even if my addon fulfills all the requirements of this review, it will take time (and manpower) to get this done. Therefore it might take a week or two before any bugfix can be released.


    [...]


    However, addons.mozilla.org was mostly to slow to get my bugfixes released in short time. And it’s a pity not being able to publish a bugfix immediately, seeing people downloading a broken version and getting reports about already fixed bugs.
    [...]


    Ich hoffe, dass es schneller geht / gehen wird, als der review-Prozess 2011.


    Grüße, Ulrich

  • Das mit dem Signieren der Addons sollte automatisch und daher auch schneller gehen,
    man muss Addons deswegen aber nicht zwingend auch bei Amo anbieten. Man kann weiterhin
    seine Erweiterungen nach dem Signieren auch selber zum download anbieten, wenn ich das alles
    so richtig verstanden habe.


    Mfg.
    Endor

    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:69.0) Gecko/20100101 Firefox/69.0
    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:70.0) Gecko/20100101
    Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:71.0) Gecko/Firefox/71.0a1

    OS: Windows 7 H. P. 64 Bit
    Kein Support per PN. Fragen bitte im Forum stellen!

  • Es ist nicht ganz so mit der Überprüfung auf AMO wie der Entwickler in deinem Zitat schreibt. Die endgültige Prüfung dauert, das stimmt. Aber das Bestehen der vorläufigen Überprüfung beim Hochladen einer Erweiterung reicht vorerst, denn die Erweiterung bzw. deren neue Version wird auf der Unterseite /versions bereits zur Verfügung gestellt, so dass man sie schon nutzen kann. Wenn die Erweiterung fehlerfrei ist, wird sie dann frei gegeben und das Erscheinen auf der offiziellen AMO-Seite ist dann nur noch eine kosmetische Änderung. Ich gebe allerdings zu, dass sicherlich nicht alle Benutzer die Unterseite /versions kennen, die es zu jeder Erweiterung gibt.

    Übersetzer für Obersorbisch und Niedersorbisch auf pontoon.mozilla.org u.a. für Firefox, Firefox für Android, Firefox für iOS, Firefox Klar/Focus für iOS und Android, Thunderbird, Pootle, Django, LibreOffice und WordPress

  • Na wunderbar. Und nicht mehr gepflegte nicht-AMO Add-Ons wird man mutwillig nicht mehr nutzen können - hoffe die "spezielle" Version ist öffentlich verfügbar und diese updated sich zur jeweils nächsten "speziellen" Version.


    Ein weiterer Schritt in der mir absolut unverständlichen Chromisierung des Firefox.


    Bessere Lösung mMn: Bei Add-Ons, die nicht im Fox vom User selbst installiert wurden, beim Start des Browsers nachfragen.

  • Zitat von MitBrotZumErfolg47

    Na wunderbar. Und nicht mehr gepflegte nicht-AMO Add-Ons wird man mutwillig nicht mehr nutzen können - hoffe die "spezielle" Version ist öffentlich verfügbar und diese updated sich zur jeweils nächsten "speziellen" Version.


    Ein Add-on, welches nicht mehr gepflegt wird, wird immer ein Problem sein, das war schon immer so, daran ist nichts neu. Im Zweifel signierst du es halt selbst.


    Zitat von MitBrotZumErfolg47

    Ein weiterer Schritt in der mir absolut unverständlichen Chromisierung des Firefox.


    Vollkommener Blödsinn. Chrome macht es vollkommen anderes, nämlich die Installation aus anderen Quellen gar nicht erst erlauben. Mozilla hat sich ganz explizit dagegen entschieden, es ist wie Chrome zu machen. Du möchtest uns jetzt das Gegenteil verkaufen.


    Zitat von MitBrotZumErfolg47

    Bessere Lösung mMn: Bei Add-Ons, die nicht im Fox vom User selbst installiert wurden, beim Start des Browsers nachfragen.


    Das passiert doch schon längst. Aber das können Anwendungen umgehen. Und dann muss Mozilla das Add-on wieder blockieren, solche Fälle gibt es permanent.

  • Klar kann ein nicht-gepflegtes Add-On Probleme machen. Seit die Version nichts mehr über Kompatibilitätsaspekte aussagt (Chromifizierung) kann man ohne tiefergreifende Info nicht einmal abschätzen, ob es derartige Probleme gibt.


    Im Prinzip erlaubt Mozilla in Zukunft doch auch nicht mehr die Installation aus beliebigen Quellen - alles muss von AMO abgesegnet werden, wie du selber im Blog geschrieben hast: "Allerdings muss der Entwickler auf AMO einen nicht öffentlichen Eintrag für sein Add-on erstellen." - würde AMO dann sagen "Webseiten (lokal) verändern ist böse" oder würde es durch einen Richter dazu gezwungen, muss es das Add-On also zurückziehen?! (Stichwort Facebook klagt erfolgreich gegen den Unfriend Detector)


    Stellt sich die Frage: Warum/wie können Anwendungen den bisherigen Schutz umgehen....


    "Im Zweifel signierst du es halt selbst." - Meinst du damit, dass ich einen AMO-Account anlege und es selber dort vorlege?
    Würde ich dadurch nicht implizit behaupten, ich wäre der Entwickler?
    Anders herum gäbe es dann evtl etliche "unischtbare" AMO-Einträge für dasselbe Add-On, weil es von verschiedenen Leuten zur "Selbstsignierung" hochgeladen wurde?


    PS: Mit "Chromisierung" meine ich keineswegs, dass am Ende der Fox 1:1 Chrome ist. Mehr meine ich Leitideen, die FF von Chrome übernommen hat, die ich falsch finde (z.B. Menüschachtelung auf großen Bildschirmen, Versionsnummerireung etc.). Das hier soll aber nicht in eine Diskussion darüber ausarten, hier soll es ja um die Zwangssignierung gehen.

  • Zitat von MitBrotZumErfolg47

    Klar kann ein nicht-gepflegtes Add-On Probleme machen. Seit die Version nichts mehr über Kompatibilitätsaspekte aussagt (Chromifizierung) kann man ohne tiefergreifende Info nicht einmal abschätzen, ob es derartige Probleme gibt.


    Lass doch mal dein ausgedachtes Wort "Chromifizierung" weg, es fällt ansonsten ziemlich schwer, den Inhalt deiner Beiträge ernst zu nehmen, und damit tust du dir letztlich selbst keinen Gefallen. Du lenkst damit nämlich vom wesentlichen Inhalt deiner eigenen Beiträge ab. Und ich würde mich gerne seriös mit dem Thema befassen, ohne davon weggelenkt zu werden, was inhaltlich da steht…


    Inhaltlich ist mir aber auch unabhängig davon unklar, worauf du hinaus möchtest. Was soll "Seit die Version nichts mehr über Kompatibilitätsaspekte aussagt" bedeuten? Welche API-Änderungen es in jeder Firefox-Version gibt, ist dokumentiert und jedem ernstzunehmenden Entwickler bekannt. Ernstzunehmend bedeutet in diesem Fall nicht irgendwo mal ein Tutorial gelesen und fünf Zeilen kopiert zu haben, das hat nichts mit entwickeln zu tun. So jemand weiß das vermutlich nicht…


    Zitat von MitBrotZumErfolg47

    Im Prinzip erlaubt Mozilla in Zukunft doch auch nicht mehr die Installation aus beliebigen Quellen


    Das ist nicht nur im Prinzip, sondern komplett falsch. Die Installation ist weiterhin aus jeder Quelle möglich. Da kann man nichts anderes draus drehen.


    Zitat von MitBrotZumErfolg47

    alles muss von AMO abgesegnet werden, wie du selber im Blog geschrieben hast: "Allerdings muss der Entwickler auf AMO einen nicht öffentlichen Eintrag für sein Add-on erstellen." - würde AMO dann sagen "Webseiten (lokal) verändern ist böse" oder würde es durch einen Richter dazu gezwungen, muss es das Add-On also zurückziehen?! (Stichwort Facebook klagt erfolgreich gegen den Unfriend Detector)


    Wenn du dich schon auf meinen Blog beziehst, dann kann ich dir den Ratschlag geben, meinen Artikel nochmal zu lesen, denn als Verfasser des Artikels weiß ich ganz sicher, dass in dem Artikel steht, dass wir von einem automatisierten Vorgang sprechen. Und hättest du diesen Thread gelesen, dann wüsstest du außerdem, dass der Anspruch an ein Add-on bei der Zertifizierung geringer (!) ist als der zu erfüllende Anspruch bei einem lediglich vorläufig freigegebenen Add-on.


    Zitat von MitBrotZumErfolg47

    Stellt sich die Frage: Warum/wie können Anwendungen den bisherigen Schutz umgehen....


    Die Entwickler entsprechender Software sind auch nicht auf den Kopf gefallen, das sind sicherlich genauso schlaue Köpfchen dabei wie bei Mozilla. Das hat nichts speziell mit Firefox oder Mozilla zu tun, das ist mit so ziemlich allem so, wo es "gut" und "böse" gibt, es ist ein Katz- und Mausspiel. Aber gerade weil Firefox so viel tolle Sachen zulässt wie kein anderer Browser, sprich du hast die umfangreichsten Möglichkeiten der Anpassung, bietet Firefox auch von allen Browsern die größte Fläche für Manipulationen von Außen.


    Zitat von MitBrotZumErfolg47

    "Im Zweifel signierst du es halt selbst." - Meinst du damit, dass ich einen AMO-Account anlege und es selber dort vorlege?
    Würde ich dadurch nicht implizit behaupten, ich wäre der Entwickler?


    Das würde niemanden interessieren. Die Signierung bedeutet schließlich nicht, dass du es veröffentlichst. Und selbst wenn du es veröffentlichen wolltest, in vielen Fällen würde die Lizenz das sogar erlauben. Das muss man im Einzelfall sehen. Aber signieren dürfte so oder so kein Problem sein.


    Zitat von MitBrotZumErfolg47

    Anders herum gäbe es dann evtl etliche "unischtbare" AMO-Einträge für dasselbe Add-On, weil es von verschiedenen Leuten zur "Selbstsignierung" hochgeladen wurde?


    Wäre auch vollkommen egal. Davon bekommst du ja nichts mit. Denn wie ich bereits sagte, die Signierung hat nichts mit einer Veröffentlichung zu tun.


    Zitat von MitBrotZumErfolg47

    PS: Mit "Chromisierung" meine ich keineswegs, dass am Ende der Fox 1:1 Chrome ist. Mehr meine ich Leitideen, die FF von Chrome übernommen hat, die ich falsch finde (z.B. Menüschachtelung auf großen Bildschirmen, Versionsnummerireung etc.). Das hier soll aber nicht in eine Diskussion darüber ausarten, hier soll es ja um die Zwangssignierung gehen.


    Das Thema, um das es hier geht, hat nur wie gesagt ziemlich wenig mit Chrome zu tun, Mozilla hat sich ausdrücklich gegen den Weg entschieden, den Google gewählt hat. So und nicht anders ist, das steht auch in der offiziellen Ankündigung, ist also ein offizieller Standpunkt und nicht meine Interpretation. Und was das Menü betrifft, hab ich auch keine Ahnung, was du meinst. Das Menü von Chrome sieht doch vollkommen anders aus als das von Firefox. Und die damit verbundene Anpassung gibt es in Chrome überhaupt nicht. Natürlich übernimmt Mozilla gute Ideen und teilweise Code von Google, Google übernimmt aber auch von Mozilla Ideen und Code. Open Source ist etwas Feines.