Erst einmal Hallo zusammen. Ich bin neu hier im Forum und habe gleich eine Frage. Mir ist aufgefallen, daß Web Extensions auf der Mozilla Addon Seite nicht funktionieren was man z.B. bei Erweiterung die Mausgesten simulieren deutlich beobachten kann. Auf allen anderen Seiten funktioniert es. Vielen Dank schon mal.
Web Extensions funktionieren nicht auf Mozilla Addon Seite
-
WeTho -
31. Juli 2017 um 15:20 -
Erledigt
-
-
meinst du mit mozilla's addon seite "about:addons"? ja, das verhalten solcher privilegierten seiten können webextensions nicht modifizieren - das ist so gewollt...
-
Hallo,
ich könnte mir vorstellen, dass damit tatsächlich addons.mozilla.org gemeint ist. Content-Scripts von WebExtensions funktionieren nämlich auf diversen Mozilla-Webseiten nicht, weil Mozilla seine Server aus Sicherheitsgründen so konfiguriert hat, dass das nicht möglich ist.
-
Läuft das über eine besonders strikte Umsetzung der CSP Policy oder ist das etwas internes? Bzw. können auch andere Webseiten mit dem gleichen Verfahren Erweiterungen auf ihrer Webseite unbrauchbar machen?
-
Vielen Dank für eure Antworten. Ja ich meine die Seite "addons.mozilla.org" nicht "about:addons".
-
Läuft das über eine besonders strikte Umsetzung der CSP Policy oder ist das etwas internes? Bzw. können auch andere Webseiten mit dem gleichen Verfahren Erweiterungen auf ihrer Webseite unbrauchbar machen?Ja, CSP. Also auch ja zur zweiten Frage.
-
naiv gefragt: ich hoffe, es ist damit nicht möglich einen adblocker von der eigenen seite auszusperren
-
Das nicht, Werbeblocker arbeiten anders. Die setzen früher an und blockieren Elemente bereits im Moment der Anfrage, so dass diese gar nicht erst geladen werden. So ein Content-Script kommt erst dann zum Einsatz, wenn die Seite bereits geladen ist. Man kann verhindern, dass Content-Scripts auf der eigenen Webseite ausgeführt werden, aber wenn man bereits die Anfragen manipuliert, kommt man der Webseite zuvor.
-
Ich verstehe die technischen Gründe dahinter, was ich aber nicht verstehe ist die Überlegung von Mozilla und den Firefox Entwicklern den Webextensions nicht intern eine höhere Priorität zu geben. Im Sinne eines offenen Netzes sollte es doch möglich sein eine Webseite nach eigenem Gutdünken zu verändern, Mozilla hat ja dank der Signierung die Möglichkeit Scripts auf ihre Vertrauenswürdigkeit zu prüfen.
-
Dem kann ich mich voll und ganz anschließen.
-
Die höchste Priorität für Mozilla hat Sicherheit und ganz besonders die Sicherheit der eigenen Webseiten und Produkte. Das steht über allem anderen. Und das ist auch gut so.
Bitte eine Sache nicht vergessen: Mozilla hat mehrere hundert Millionen (!) Nutzer seiner Produkte und trägt eine entsprechende Verantwortung für alles, was auf den Mozilla-Webseiten passiert, selbst wenn das Verhalten durch ein Add-on geändert wird. Vorsicht war schon immer besser als Nachsicht (Signierung ist nur Nachsicht!) und der hohe Sicherheits-Standard, den Mozilla pflegt, ist einer der Gründe, wieso ich Mozilla vertraue und Firefox nutze. Ja, Legacy-Erweiterungen können machen, was sie wollen, WebExtensions setzen den Sicherheits-Standard noch einmal höher. Und verkehrt ist das sicher nicht. Die Gefahren im Web wurden in den letzten Jahren immer mehr, nicht weniger.
-
In Firefox 57 kann die Einstellung privacy.resistFingerprinting.block_mozAddonManager auf true gesetzt werden (aus dem Tor-Browser in Firefox integriert), was den Nebeneffekt hat, dass Content-Scripts auch auf den Mozilla-Webseiten wirken.