seltsamer Code in Malware Erweiterung

  • Du hast mich nicht verstanden. Die Malware testet die URL und schreibt bei Bedarf was anderes hin. Das kann man aber auch selbst machen, da ist im Grunde nichts verwerfliches dran.
    URL checken, bei "[addonname]:optionsseite" eingreifen und auf die gewünschte Seite umlenken. Die korrekte URL liefert browser.extension.getURL.

    Das hätte ja auch überhaupt keinen Sinn. Wieso sollte man das bei seiner eigenen Erweiterung machen? Dann liefere ich doch erst überhaupt keine sichtbare Seite aus, wenn ich nicht will, dass diese erreicht werden kann. Und auf Seiten fremder Erweiterungen kann nicht zugegriffen werden.

  • Noch schnell: Das Grundproblem sehe ich da eher in der automatischen Signierung aller AddOns. Das die irgendwann später mal vielleicht gesperrt werden ist dann für viele Fälle schon zu spät.


    Naja, wie willst du es sonst machen? Wieder tage- oder sogar wochenlang warten, bis eine Extension signiert wurde? Und das auch bei jedem Update? Kann das, bei der relativ grossen Anzahl an täglich neuen Addons und Updates, überhaupt bei jeder Erweiterung manuell geprüft werden? Ich meine, das kostet nicht nur Zeit, sondern auch Personalkapazitäten (und Geld). Und schützt auch nicht unbedingt immer, wenn der Code nicht haargenau bis ins Detail gecheckt wird. Du siehst ja an diesem Beispiel, dass da - wenn auch recht simpel - mit Verschleierung gearbeitet wird. Und: Menschen machen Fehler. Also auch bei manueller Überprüfung.
    Nee, ich sehe das eher umgedreht. Eine Überprüfung von Extensions vor der Signatur würde nur vorgaukeln, dass Erweiterungen in Ordnung sind, sobald sie bei AMO gelistet werden. Das kann aber niemand zu 100% garantieren.
    Man muss solche Schlupflöcher - wie in diesem Fall - stopfen. Klarer Fall. Aber da ist auch ein wenig die Nutzergemeinschaft gefragt. Und das funktioniert doch recht gut, wie ich finde. Man muss auch bedenken, dass das System Webextension noch relativ jung ist. Noch findet man Lücken, aber das wird mit der Zeit schwerer.
    Und Nutzer sollten eben auch mal das Gehirn einschalten. (Leider gibt es dafür noch keine Erweiterung.) Bevor man sich eine Extension installiert, schaut man nach Nutzerzahlen und Bewertungen. Sind die Berechtigungen angemessen? Hat der Entwickler noch andere Addons am Start und wie schauen dort die Bewertungen aus? Im Zweifel lässt man sich ein bissel Zeit und schaut später nochmal vorbei. Oder prüft die Extension selbst, wenn man dazu in der Lage ist... :wink:

    Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)

  • Mein Vorschlag wäre: Es darf keine Erweiterung über fremde Seiten außer AMO installiert werden. Will man seine eigene signierte Erweiterung nutzen muss man das manuell machen. Man kann also nur diese herunter laden und MUSS dann manuell installieren.
    Wer eine Erweiterung öffentlich anbietet, der kann diese auch auf AMO verlinken. Will er sie für den Eigengebrauch nutzen, wäre es kein Problem diese manuell zu installieren. So wäre doch ein Großteil von Missbrauch schon eingeschränkt. Ich weiß aber nicht ob das technisch möglich wäre, so eine Sperre einzurichten.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Wo genau besteht der Schutz, wenn man die Erweiterung über AMO nicht, aber manuell (in welcher Form auch immer) installieren kann? Letztlich ist es doch in beiden Fällen das Gleiche: der Nutzer wird aufgefordert, eine Erweiterung zu installieren, und macht genau das. Notfalls liefert die Webseite direkt noch eine Anleitung dazu mit, wenn es mit einem Button-Klick nicht getan ist. Wer auf solche Webseiten reinfällt, der führt auch diese Anweisung mit einer sehr hohen Wahrscheinlichkeit aus.

    > Wer eine Erweiterung öffentlich anbietet, der kann diese auch auf AMO verlinken.

    Nicht zwangsläufig. Es gibt auch Erweiterungen, die nicht mit AMO-Richtlinien vereinbar sind, aber nicht, weil sie einen Schaden anrichten. Anderes Beispiel: Beta-Versionen. Beta-Versionen können über AMO nicht mehr angeboten werden. Mozilla besteht seit wenigen Monaten darauf, dass Entwickler Beta-Versionen über ihre eigenen Seiten anbieten.

  • Sehe ich genauso. Stell' dir vor, ich bastle eine Website und biete dort das neue ultimative SuperTabMixPlus an, mit den beliebten alten Features plus etliche neue Funktionen. Dazu ein paar nette Fake-Screenshots. In das Impressum schreibe ich ganz frech, ich sei onemen. Noch ein bisschen SEO und fertig ist der Honeypot für viele unbedarfte User, die alle "ihr" TMP zurückhaben wollen... :P

    Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)


  • Wo genau besteht der Schutz, wenn man die Erweiterung über AMO nicht, aber manuell (in welcher Form auch immer) installieren kann?


    Es wäre durchaus ein Schutz. Man muss nicht nur einfach (und wird auf so manchen Fake Seiten, quasi dazu genötigt) auf "installieren" klicken.


    der Nutzer wird aufgefordert, eine Erweiterung zu installieren, und macht genau das. Notfalls liefert die Webseite direkt noch eine Anleitung dazu mit, wenn es mit einem Button-Klick nicht getan ist.

    Das ist aber eine wesentlich größere Hürde als nur auf "installieren" klicken und die böse Webseite müsste erst einmal dem Nutzer ermöglichen, nach dem Download der xpi von der Seite herunter zu kommen um in about:addons gehen zu können um dann diese Erweiterung manuell zu installieren. Genau dies wird aber bei diesen Fake Seiten meist unterbunden. Sie zwingen die den User mit sämtlichen Tricks zb Vollbild und gefakte Mauszeiger, die über dem Abbrechen Zeichen einen Mausklick auslösen (weil der echte Mauszeiger versteckt wird) auf ihrer Seite zu bleiben.


    Es gibt auch Erweiterungen, die nicht mit AMO-Richtlinien vereinbar sind, aber nicht, weil sie einen Schaden anrichten


    Dann müssen diese eben eine Anleitung bei legen, wie eine manuelle Installation durchzuführen ist.


    Anderes Beispiel: Beta-Versionen. Beta-Versionen können über AMO nicht mehr angeboten werden. Mozilla besteht seit wenigen Monaten darauf, dass Entwickler Beta-Versionen über ihre eigenen Seiten anbieten.

    Tja, nicht durchdacht finde ich. Dann gilt auch hier das mit der Anleitung

    Aber mir fiel noch etwas ein: unter Einstellung Sicherheit-->"Warnen, wenn Websites versuchen, Add-ons zu installieren" Dort kann man einstellen welche Seite ohne Warnung installieren dürfen. Das könnte man auch rigoroser handhaben. Nicht dass "nur" gewarnt wird, sondern dass es schlicht verboten wird, dass Seiten, die nicht in der Ausnahmeliste sind, gar nicht installieren dürfen. Auch hier müsste der Nutzer dann erst die böse Seite verlassen und sie manuell in die Liste eintragen. Auch hier, eine große Hürde und er müsste wie oben schon genannt die Seite erst einmal verlassen um dies zu tun.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Im Endeffekt möchtest du, dass AMO (und vermutlich auch Test Pilot) die einzigen vollwertigen Distributionskanäle für Firefox-Erweiterungen sind. Ich sehe darin ein ähnliches Problem als wenn Google andere App Stores als den Google Play Store verbieten würde. Eine manuelle Installation ginge dann ja auch noch, das wäre also ziemlich vergleichbar. Ich fände diesen Schritt von Google furchtbar, ich würde diesen Schritt von Mozilla furchtbar finden. Auch wenn sich Mozilla bislang nicht als Zensor aufspielt, würde es Mozilla quasi die Macht geben, darüber zu bestimmen, was inhaltlich angeboten werden darf und was nicht. Das ist für ein Open Source-Projekt keine gute Position. Solange andere Quellen als AMO erlaubt sind, kann alles, was nicht mit AMO-Richtlinien vereinbar ist, immer noch woanders angeboten werden, ohne dass es in einem schlechteren Nutzungserlebnis resultiert. Das wegzunehmen, würde definitiv in einem Shitstorm resultieren, der gar nicht mal so unberechtigt wäre.

    > Tja, nicht durchdacht finde ich.

    Dahinter stecken Überlegungen, die hier erklärt wurden:
    https://blog.mozilla.org/addons/2018/02…-beta-versions/


  • Im Endeffekt möchtest du, dass AMO (und vermutlich auch Test Pilot) die einzigen vollwertigen Distributionskanäle für Firefox-Erweiterungen sind.

    jein. Per Default (bei Firefox Neuinstallation) schon. Danach sind manuell in der Whitelist genauso vollwertig. Genauso wie bei Neuinstallation einige Lesezeichen "vorinstalliert" sind und man manuell andere Lesezeichen hinzufügen kann. Eigentlich gibs doch jetzt schon einen Unterschied: addons.mozilla.org ist in der Whitelist. Bei allen anderen Seiten die Addons installieren wollen wird "gewarnt". Wobei diese Warnung echt ein Witz ist.
    [attachment=0]addon-warnung.png[/attachment] Ich fände es sinnvoll, anstatt der Warnung ein Verbot (wenn nicht in der Whitelist)


    Ich sehe darin ein ähnliches Problem als wenn Google andere App Stores als den Google Play Store verbieten würde. Eine manuelle Installation ginge dann ja auch noch, das wäre also ziemlich vergleichbar. Ich fände diesen Schritt von Google furchtbar.


    Google Play Store akzeptiert doch jetzt schon keine anderen AppStores in ihrem PlayStore. (F-Droid um nur ein Beispiel zu nennen) Ich muss unter Sicherheit erst "Installation aus unbekannten Quellen zulassen" anwählen um F-Droid installieren zu können. Es gibt auch keine Whitelist unter "Sicherheit" weiter Apps aus F-Droid zu installieren. Ich muss weiterhin Unbekannte Herkunft zulassen. Das ist doch jetzt schon wesentlich rigoroser als ich es für Firefox vorschlage.


    Auch wenn sich Mozilla bislang nicht als Zensor aufspielt, würde es Mozilla quasi die Macht geben, darüber zu bestimmen, was inhaltlich angeboten werden darf und was nicht.

    Nö, mit der Whitelist ist das Argument quasi hinfällig. Wer unbedingt eine Erweiterung von böseseite.xy installieren will könnte dann böseseite.xy in die Whitelist eintragen.


    Dahinter stecken Überlegungen, die hier erklärt wurden:
    https://blog.mozilla.org/addons/2018/02…-beta-versions/

    Muss ich mir mal in Ruhe durchlesen.

  • Ich gebe zu, dass mein Beispiel mit dem Play Store wirklich schlecht gewählt war, weil die anderen Stores natürlich nicht im Play Store drin sind und daher das Aktivieren der Option erforderlich ist, Apps aus anderen Quellen installieren zu dürfen. Als Vergleich taugt das damit nicht besonders gut. ;)

    An meiner grundsätzlichen Haltung zum Thema ändert das aber wenig, weil ich der Meinung bin, dass auch andere Webseiten eine erstklassige Nutzererfahrung anbieten dürfen sollten. Und das ist nicht gegeben, wenn der Nutzer Einstellungen verändern muss. Ich denke einfach, dass Mozilla hier nicht schlechten Beispielen folgen sollte, vor allem während sie gleichzeitig für eine Offenheit des Web stehen und sich gegen "Silos" positionieren. Mich betrifft es zwar nicht direkt, weil es meine persönliche Position ist, Firefox-Erweiterungen nur von AMO herunterzuladen, aber ich schätze doch gewisse Freiheiten, die Mozilla gibt.

    Natürlich ist es am Ende immer ein Balance-Akt. Praktisch jede Freiheit bringt Gefahren und praktisch jede Einschränkung der Gefahren bringt auch Einschränkungen für die allgemeine Benutzung. Aber ich bin der Überzeugung, dass es noch tiefer hängende Früchte gibt (gibt es das als Redewendung überhaupt auch im Deutschen oder nur im Englischen? :D ), wo man zum Schutz der Nutzer ansetzen kann, und zu dieser Maßnahme erst greifen sollte, wenn alle anderen Mittel erschöpft sind.

  • Das hätte ja auch überhaupt keinen Sinn. Wieso sollte man das bei seiner eigenen Erweiterung machen? Dann liefere ich doch erst überhaupt keine sichtbare Seite aus, wenn ich nicht will, dass diese erreicht werden kann. Und auf Seiten fremder Erweiterungen kann nicht zugegriffen werden.

    Gargel... Letzter Erklärungsversuch: Will User die Einstellungen von ErweiterungX ändern, muss er irgendwie auf die Optionsseite kommen. Der wohl am häufigsten genutzte Weg ist, über die AddOn-Liste about:addons die Einstellungen zu öffnen. Wenn ErweiterungX das einfacher machen will, könnte diese Erweiterung einfach die URL-Zeile auf die Eingabe
    ErweiterungX:Optionen
    überwachen und dann direkt die eigenen Optionen öffnen. ErweiterungX würde halt schlicht per browser.extension.getURL die korrekte moz-Extension-URL einfügen und der User wäre bei den Optionen von ErweiterungX. Ohne Umweg über about:addons. Für Schnelltipper kann das Zeit sparen und es ist eindeutig leichter zu merken als ein wie auch immer konstruiertes Tastenkürzel. Und im Gegensatz zum heutzutage üblichen Weg über irgendwelche Icons im Popup - deren Sinn sich nicht immer sofort erschliesst - ist es auch verständlich.

    Es ist auch in eventuellen Hilfetexten viel leichter zu erklären:
    - Wenn Du in ErweiterungX die Option Iconfarbe ändern willst, klickst Du auf das Icon der ErweiterungX oben rechts im Browserfenste, im auftauchenden Popup dann das zweite Icon von links. Dann öffnet sich ein neuer Tab, in dem Du im linken Bereich den Reiter "Oberfläche" aufrufst. Dort kannste dann die Farbe der Icons ändern.
    - Gib "ErweiterungX:Oberfläche" in die Adresszeile ein, dort kannste die Farbe der Icons ändern.

    Was ist da wohl besser zu verstehen?

    Greetz,
    DF


  • [...]
    Nee, ich sehe das eher umgedreht. Eine Überprüfung von Extensions vor der Signatur würde nur
    vorgaukeln, dass Erweiterungen in Ordnung sind, sobald sie bei AMO gelistet werden. Das kann aber niemand zu 100% garantieren.

    Dann ist der Signaturzwang schlicht nutzlos. Nachträgliches Sperren ist imho wie gesagt zu spät.

    Zitat


    [....]
    Und Nutzer sollten eben auch mal das Gehirn einschalten. (Leider gibt es dafür noch keine Erweiterung.) Bevor man sich eine Extension installiert, schaut man nach Nutzerzahlen und Bewertungen. Sind die Berechtigungen angemessen? Hat der Entwickler noch andere Addons am Start und wie schauen dort die Bewertungen aus? Im Zweifel lässt man sich ein bissel Zeit und schaut später nochmal vorbei. Oder prüft die Extension selbst, wenn man dazu in der Lage ist... :wink:

    Das Problem ist doch, dass OttoNormalVerbraucher auf einer Seite landet, die ihn erst dann wieder seinen Browser benutzen lässt, wenn die jeweilige Malware installiert wurde ohne das er eine Chance hätte diese als Update getarnte Malware irgendwie zu überprüfen. Und die Seite ist meistens auch noch so geschickt gestaltet, dass der normale DAU gar nicht merkt, dass er beschissen werden soll.

    Sicher, Erst Denken Dann Klicken ist ein guter Rat und ich pers. würde es begrüssen wenn ein Internetzugang immer auch bedeuten würde, dass der Nutzer wenigstens halbwegs weiss was er da tut, aber der extrem einfache und vor allem günstige Zugang zum Netz bedeutet halt auch, dass die Meisten einfach nur Nutzer sind die nicht wissen _wollen_ WIE es funktioniert. Und wenn ich mir meinen Vater ansehe mit seinen über 70 Jahren... ich werde nicht einmal versuchen ihm zu erklären, dass er bei solchen Seiten erst Esc und dann Strg-W drücken muss. Ich fahre halt einmal die Woche hin und räume wieder auf.

    Alpträume bekomme ich allerdings immer, wenn ich sehe wie wenig die heutigen Schulkinder lernen wie die Technik dahinter funktioniert. Es muss ja nicht gleich Programmierung in Assembler sein, aber eine Kommandozeile dürfte man ihnen durchaus mal vorführen und das Computer mehr sind als ein Browser unter Windows in dem Facebook läuft wäre auch schön. Immerhin gibt es Heute praktisch keinen Arbeitsplatz mehr, der ohne IT auskommt. Wenn man da immerhin noch so Sachen wie Strg-Shift-Esc kennt oder weiss wie man mal den Router neu startet.. aber ich werde OT ;).

    Greetz,
    DF

  • Gargel... Letzter Erklärungsversuch: Will User die Einstellungen von ErweiterungX ändern, muss er irgendwie auf die Optionsseite kommen. Der wohl am häufigsten genutzte Weg ist, über die AddOn-Liste about:addons die Einstellungen zu öffnen. Wenn ErweiterungX das einfacher machen will, könnte diese Erweiterung einfach die URL-Zeile auf die Eingabe
    ErweiterungX:Optionen
    überwachen und dann direkt die eigenen Optionen öffnen. ErweiterungX würde halt schlicht per browser.extension.getURL die korrekte moz-Extension-URL einfügen und der User wäre bei den Optionen von ErweiterungX. Ohne Umweg über about:addons. Für Schnelltipper kann das Zeit sparen und es ist eindeutig leichter zu merken als ein wie auch immer konstruiertes Tastenkürzel. Und im Gegensatz zum heutzutage üblichen Weg über irgendwelche Icons im Popup - deren Sinn sich nicht immer sofort erschliesst - ist es auch verständlich.


    Sorry, aber daran ist nichts verständlich. Wenn ich in die Adresszeile "about:addons" eingebe, will ich genau dorthin und nicht von irgendeiner Extension umgeleitet werden. In einer Extension kann man praktisch von überall aus direkt auf die eigene Optionsseite verlinken - in welcher Form auch immer. Wozu also irgendwelche obskuren Umleitungen? :wink:

    Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)

  • Das Problem ist doch, dass OttoNormalVerbraucher auf einer Seite landet, die ihn erst dann wieder seinen Browser benutzen lässt, wenn die jeweilige Malware installiert wurde ohne das er eine Chance hätte diese als Update getarnte Malware irgendwie zu überprüfen. Und die Seite ist meistens auch noch so geschickt gestaltet, dass der normale DAU gar nicht merkt, dass er beschissen werden soll.


    Also keine Ahnung, von was du da gerade schreibst, aber ich bezog und beziehe mich auf Extensions und nicht auf Malware-Seiten. :)

    Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)


  • Sorry, aber daran ist nichts verständlich. Wenn ich in die Adresszeile "about:addons" eingebe, will ich genau dorthin und nicht von irgendeiner Extension umgeleitet werden.

    about:addons wird auch nicht angerührt. Die Erweiterung reagiert ausschliesslich auf Pseudo-URLs wo der eigene Name vor dem Doppelpunkt steht. Also ErweiterungX:Oberfläche, ErweiterungX:Whitelist, ErweiterungX:Erweitert, ErweiterungX:Benutzer, etc etc etc...

    Zitat


    In einer Extension kann man praktisch von überall aus direkt auf die eigene Optionsseite verlinken - in welcher Form auch immer. Wozu also irgendwelche obskuren Umleitungen? :wink:

    Ich hab das mal getestet: Um in AB+ die erweiterten Einstellungen aufzurufen muss ich zwangsweise die Maus in die Hand nehmen, aufs Icon klicken, den Text "Optionen" suchen, drauf klicken und im auftauchenden neuen Tab den Reiter "Erweitert" anklicken. Deutlich schneller ginge
    adblock+:erweitert
    in die Adresszeile zu tippen. Vor allem weil ich dazu die Hände nicht von der Tastatur nehmen muss.

    Würde man das auf die Spitze treiben, könnte man es sogar so machen, dass man darüber direkt Einstellungen der Erweiterung verändern kann. Also zum Beispiel...

    adblock+:whitelist?add:camp-firefox.de

    ...würde camp-firefox.de auf die AB+-Whitelist setzen. Technisch umsetzbar ist das problemlos.
    Ja, das geht jetzt akut am Thema vorbei, also höre ich hier wirklich auf :).

    Greetz,
    DF


  • Also keine Ahnung, von was du da gerade schreibst, aber ich bezog und beziehe mich auf Extensions und nicht auf Malware-Seiten. :)

    Das ist ein und dasselbe in diesem Zusammenhang. Es gibt Seiten die den Firefox "einfangen". Man kann von der Seite nicht runter ohne eine böse Erweiterung zu installieren, man kann nicht einmal den Tab schliessen. Und nein, das kommt nicht nur auf den üblichen Pornoseiten etc.

    Greetz,
    DF

  • Will User die Einstellungen von ErweiterungX ändern, muss er irgendwie auf die Optionsseite kommen. Der wohl am häufigsten genutzte Weg ist, über die AddOn-Liste about:addons die Einstellungen zu öffnen. Wenn ErweiterungX das einfacher machen will, könnte diese Erweiterung einfach die URL-Zeile auf die Eingabe
    ErweiterungX:Optionen
    überwachen und dann direkt die eigenen Optionen öffnen. ErweiterungX würde halt schlicht per browser.extension.getURL die korrekte moz-Extension-URL einfügen und der User wäre bei den Optionen von ErweiterungX. Ohne Umweg über about:addons. Für Schnelltipper kann das Zeit sparen und es ist eindeutig leichter zu merken als ein wie auch immer konstruiertes Tastenkürzel. Und im Gegensatz zum heutzutage üblichen Weg über irgendwelche Icons im Popup - deren Sinn sich nicht immer sofort erschliesst - ist es auch verständlich.

    Das ist aber ein sehr konstruierter Use Case. Letztlich ist der einzige sinnvolle Grund, about:addons zu blockieren, das Verhindern der Deinstallation einer Erweiterung. Und dafür ist es letztlich egal, was man statt about:addons anzeigt. Ich bezweifle stark, dass ein Button-Klick, den sich so ein Anwender sparen kann, auch nur für einen einzigen Entwickler auf diesem Planeten genug Motivation wäre, Mozillas Richtlinien zu verletzen, was bei Bekanntwerden ohne Wenn und Aber zur Blockierung der Erweiterung führt. Das wäre es einfach nicht wert. Sinn ergibt das nur, wenn man etwas derart Unseriöses machen will, was von Mozilla sowieso nicht geduldet würde. Warum sonst Risiko eingehen? Dafür geben sich Entwickler viel Mühe, Mozilla auszutricksen.

    Den Teil mit dem Tastenkürzel verstehe ich nicht, man muss sich doch überhaupt keine Tatenkürzel merken. Und an der Verständlichkeit dürfte es auch nicht scheitern. Im Add-on Manager gibt es bei jeder Erweiterung, die das möchte, direkt in der Übersicht einen Button für die Einstellungen, unabhängig von zusätzlichen Toolbar-Icons, die es häufig auch noch gibt. Ich habe noch nie gehört, dass daran ein Nutzer gescheitert wäre. Aus der Erfahrung von zu Spitzenzeiten über 150.000 täglichen Nutzern meiner Erweiterung New Tab Override kann ich auch sagen, dass es in all den Jahren nicht eine einzige Anfrage diesbezüglich gab.

    Es ist auch in eventuellen Hilfetexten viel leichter zu erklären:
    - Wenn Du in ErweiterungX die Option Iconfarbe ändern willst, klickst Du auf das Icon der ErweiterungX oben rechts im Browserfenste, im auftauchenden Popup dann das zweite Icon von links. Dann öffnet sich ein neuer Tab, in dem Du im linken Bereich den Reiter "Oberfläche" aufrufst. Dort kannste dann die Farbe der Icons ändern.
    - Gib "ErweiterungX:Oberfläche" in die Adresszeile ein, dort kannste die Farbe der Icons ändern.

    Was ist da wohl besser zu verstehen?

    Also da habe ich wirklich überhaupt keinen Zweifel dran, dass die Beschreibung eines Buttons in der Symbolleiste oder einer mit "Einstellungen" beschrifteten Schaltfläche im Add-on Manager besser zu verstehen ist als dem Nutzer zu sagen, er soll etwas Kryptisches wie moz-extension://11ffc4f8-a982-3143-9504-577828a3e350/html/options.html in die Adressleiste eingeben.

    Dann ist der Signaturzwang schlicht nutzlos. Nachträgliches Sperren ist imho wie gesagt zu spät.

    Nein, der Signaturzwang ist auf keinen Fall nutzlos. Eine Kontrolle der Erweiterungen hat mit der Signierung schlicht und ergreifend nichts zu tun. Das sind zwei voneinander unabhängige Dinge. Eine Signierung macht einen Blockiermechanismus nicht obsolet, das ist überhaupt nicht das Ziel. Beides sind Teile, die ihren Teil zum Gesamt-Konzept beitragen und sich neben anderen Maßnahmen ergänzen.

    Mozilla hatte die Signierung mal mit der Überprüfung gekoppelt. Aber das hatte sich als nicht praxistauglich erwiesen. Vor allem nachdem Mozilla dazu übergegangen ist, Erweiterungen sofort freizuschalten und erst danach zu überprüfen, würde es auch gar nicht mehr funktioniren.

  • Das ist ein und dasselbe in diesem Zusammenhang. Es gibt Seiten die den Firefox "einfangen". Man kann von der Seite nicht runter ohne eine böse Erweiterung zu installieren, man kann nicht einmal den Tab schliessen. Und nein, das kommt nicht nur auf den üblichen Pornoseiten etc.


    Ähm, nee, ist es nicht. :P
    Hier geht es um Erweiterungen. Und die mögen möglicherweise auf solche Malware-Seiten umleiten, aber die sind hier nicht das Thema. Und du musst mir auch nicht die (böse) Online-Welt erklären. Ich lebe hier. Seit Jahrzehnten... :lol:

    about:addons wird auch nicht angerührt. Die Erweiterung reagiert ausschliesslich auf Pseudo-URLs wo der eigene Name vor dem Doppelpunkt steht. Also ErweiterungX:Oberfläche, ErweiterungX:Whitelist, ErweiterungX:Erweitert, ErweiterungX:Benutzer, etc etc etc...


    Es wird immer verworrener. Ich kann dir jetzt gar nicht mehr folgen. :)


    Ich hab das mal getestet: Um in AB+ die erweiterten Einstellungen aufzurufen muss ich zwangsweise die Maus in die Hand nehmen, aufs Icon klicken, den Text "Optionen" suchen, drauf klicken und im auftauchenden neuen Tab den Reiter "Erweitert" anklicken. Deutlich schneller ginge
    adblock+:erweitert
    in die Adresszeile zu tippen. Vor allem weil ich dazu die Hände nicht von der Tastatur nehmen muss.

    Würde man das auf die Spitze treiben, könnte man es sogar so machen, dass man darüber direkt Einstellungen der Erweiterung verändern kann. Also zum Beispiel...

    adblock+:whitelist?add:camp-firefox.de

    ...würde camp-firefox.de auf die AB+-Whitelist setzen. Technisch umsetzbar ist das problemlos.
    Ja, das geht jetzt akut am Thema vorbei, also höre ich hier wirklich auf :).


    Du könntest auch einfach Strg+Umschalttaste+A drücken und dann die entsprechende Einstellung anwählen. :roll:
    Man kann Dinge auch komplizierter machen als sie eigentlich sind, ne... :P

    Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)


  • Hier geht es um Erweiterungen. Und die mögen möglicherweise auf solche Malware-Seiten umleiten, aber die sind hier nicht das Thema.

    Umgekehrt wird ein Schuh daraus. Man wird auf eine solche Seite geleitet und fängt sich dort die Erweiterung ein und kommt nicht runter, bis man die erzwungene Erweiterung installiert hat.


    Du könntest auch einfach Strg+Umschalttaste+A drücken und dann die entsprechende Einstellung anwählen. :roll:

    bei obig genannter aufgezwungenen Erweiterung kommt da aber trotzdem google.com

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Umgekehrt wird ein Schuh daraus. Man wird auf eine solche Seite geleitet und fängt sich dort die Erweiterung ein und kommt nicht runter, bis man die erzwungene Erweiterung installiert hat.


    Sorry, da habe ich deinen ersten Post falsch verstanden. Ich bin davon ausgegangen, du hättest die Extension dort "freiwillig" heruntergeladen. :wink:

    bei obig genannter aufgezwungenen Erweiterung kommt da aber trotzdem google.com


    Das hat aber jetzt gar nichts damit zu tun. Es ging hier nur um seinen für mich merkwürdigen Umleitungsvorschlag. :)

    Windows 10 | FF 62.0 (64-Bit) / FF 61.0 (64-Bit) / FF 63.0 (64-Bit)


  • Sorry, da habe ich deinen ersten Post falsch verstanden.


    Klar habe ich sie freiwillig herunter geladen zum testen. Ich begab mich ganz bewusst auf Seiten, wo ich wusste die öffnen viele Werbe und Fake Seiten und bin dann eben auf einigen fündig geworden, die mir u.a. diese Erweiterung aufzwingen wollten (ich weiß schon wie man das umgehen kann, aber das ist nicht das Thema) und habe sie mir freiwillig installiert um zu sehen was sie macht.
    Vielleicht hab ich deinen Post ja falsch verstanden :D


    Das hat aber jetzt gar nichts damit zu tun.

    ok, dann vergiss meinen Einwand.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)