32 Reaktionen

Anleitung zum Signieren von Firefox Add-ons

Geschätzte Lesedauer:

Spätestens mit dem Erscheinen von Firefox 41 müssen Add-ons von Mozilla signiert sein, damit sie in Firefox installiert werden können. Auch weiterhin können Add-ons aus anderen Quellen als addons.mozilla.org installiert werden, ebenso ist weiterhin die Anpassung von Add-ons an die eigenen Bedürfnisse möglich. Allerdings erfordert dies eine Signierung. Dies ist nicht sehr schwer und schnell erledigt, wie diese Anleitung zeigt.

Aus Sicherheitsgründen müssen Add-ons für Firefox in Zukunft signiert sein, damit sie installiert werden können. Ab Firefox 40 werden nicht signierte Add-ons automatisch deaktiviert, können aber wieder aktiviert werden, ab Firefox 41 führt kein Weg mehr an signierten Add-ons vorbei. Mozilla hat vor wenigen Tagen die aktuellsten Versionen der Add-ons auf AMO (addons.mozilla.org) signiert und per Update an die Nutzer verteilt, so dass Nutzer normalerweise nicht auf ihr Lieblings-Add-on verzichten müssen sollten, wenn es soweit ist.

Wer eigene Add-ons installieren, diese aber nicht auf AMO bereitstellen möchte, oder aber wer ein bestehendes und selbst angepasstes Add-on installieren möchte, der kann sein Add-on ganz einfach automatisiert auf AMO signieren lassen, ohne dass dieses anschließend auf AMO für die Öffentlichkeit zum Download bereitgestellt wird.

Als erstes ist die Anmeldung auf AMO notwendig. Wer dort noch kein Benutzerkonto hat, kann sich hier eines anlegen. Nach dem Login führt der Web über „Werkzeuge“ im Header zum Menüeintrag „Ein neues Add-on hochladen.“

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-1.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-1.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Im nächsten Schritt muss die Entwickler-Vereinbarung akzeptiert werden.

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-2.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-2.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Dann kommt auch schon der entscheidende Schritt: wer sein Add-on nur signieren lassen will, ohne dass es auf der Mozilla-Webseite erscheint und den üblichen Review-Prozess durchläuft, muss an dieser Stelle den Haken bei „Ja, mein Add-on soll über diese Website verteilt werden“ entfernen. Nun wird das Add-on ausgewählt und hochgeladen.

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-3.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-3.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Wichtig, wenn eine bereits bestehende Erweiterung angepasst wird: Jede ID darf nur einmal im System vorkommen. In dem Fall sollte die ID des Add-ons im Installations-Manifest angepasst werden. Im Prinzip ist es vollkommen egal, was da steht, eine solche ID besteht üblicherweise aus einer Bezeichnung im Format einer E-Mail-Adresse – es muss sich dabei nicht tatsächlich um eine E-Mail-Adresse handeln!

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-4.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-4.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Wenn mit der ID alles in Ordnung ist, findet eine automatische Validierung des Add-ons statt, welche das Add-on bestehen muss.

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-5.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-5.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Im nächsten Schritt können der aus dem Add-on ausgelesene Name sowie die Beschreibung geändert werden.

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-6.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-6.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Und schon ist das Signierenlassen des Add-ons fertig und steht zum eigenen Download bereit – andere Nutzer haben keinen Zugriff auf die Datei. Per E-Mail erhält man eine Bestätigung.

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-7.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-7.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Über die Versionsverwaltung kann die Sichtbarkeit des Add-ons auch nachträglich geändert werden.

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-8.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-8.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Das Wichtigste ist aber der Test und die Bestätigung: nach der Installation sehen wir im Add-on Manager, dass das Add-on installiert werden konnte und signiert ist!

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-9.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/addon-signieren-9.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.

29 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. schrieb am :

    Wieso wird ein Add-on signiert,das schon länger nicht mehr funktioniert, und auch noch empfohlen? Es handelt sich um „Fastest Fox“.
    Mit freundlichen Grüßen
    Harald Bunz

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    wenn das Add-on auf AMO verfügbar ist, dann ist ja klar, dass es signiert worden ist, die neuste Version jedes Add-ons wurde signiert. Das war ein automatischer Vorgang. Es hat niemand tausende Add-ons von Hand überprüft, ob sie in der neusten Firefox-Version noch funktionieren, diese Ressourcen hätte Mozilla überhaupt nicht. 😉

  3. schrieb am :

    Gibt es auch eine API um das automatisiert in den Build- und Release-Prozess einzubinden?

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Nicht, dass ich davon wüsste.

  5. TheRave
    schrieb am :

    Würde es besser finden wenn man den Haken setzen müsste um es im Web zu verteilen. Mit dieser Haken rausnehmerei hat man es, wenn man nicht aufpasst doch gleich im Netz.

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Zum einen dürfte es eher der Regelfall sein, dass man sein Add-on auf AMO hosten möchte, nicht umgekehrt, zum anderen kann ein versehentliches Veröffentlichen definitiv nicht passieren, denn bevor ein Add-on veröffentlicht wird, kommen noch ein paar Schritte mehr, das könnte man gar nicht _nicht_ bemerken. 😉

  7. Freiheit
    schrieb am :

    Und warum gibt es keinen Schalter, der unsignierte Add-ons auf eigene Gefahr zulässt? Von mir aus auch nur in about:config und muss für jedes Add-on extra bestätigt werden.

  8. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Und warum gibt es keinen Schalter, der unsignierte Add-ons auf eigene Gefahr zulässt? Von mir aus auch nur in about:config und muss für jedes Add-on extra bestätigt werden.

    Weil damit die ganze Signierung vollkommen sinnlos wäre. Alles, was du per about:config oder sonst wie verändern kann, kann auch Software verändern und damit den kompletten Schutz außer Kraft setzen. Würde man das abschaltbar machen, könnte man es gleich komplett sein lassen.

  9. schrieb am :

    Ich habe jetzt mehrmals versucht, die Benachrichtigung abzuschalten. Leider ohne Erfolg.
    Vielleicht können Sie mich manuell abmelden.

  10. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Selbstverständlich. Ist erledigt.

  11. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @SammysHP:

    Gibt es auch eine API um das automatisiert in den Build- und Release-Prozess einzubinden?

    Ich hab mittlerweile gelesen, dass es eine API geben soll. Aber noch gibt es sie nicht.

  12. Albe
    schrieb am :

    Hallo –

    " Wichtig, wenn eine bereits bestehende Erweiterung angepasst wird: Jede ID darf nur einmal im System vorkommen. In dem Fall sollte die ID des Add-ons im Installations-Manifest angepasst werden. Im Prinzip ist es vollkommen egal, was da steht, eine solche ID besteht üblicherweise aus einer Bezeichnung im Format einer E-Mail-Adresse – es muss sich dabei nicht tatsächlich um eine E-Mail-Adresse handeln! " –

     

    wie mache ich das? Wie und wo ändere ich das Installations-Manifest?.

     

    Vielen Dank

  13. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Das ist die Datei install.rdf, da gibt es ein Feld <em:id>.

  14. Robert Entenmann
    schrieb am :

    Hallo Herr Hentzschel

    Ich möchte ein plugin für meine IP camera von foscam installieren. Keine Chance. seit Monaten!

    Da nicht verifiziert kann nicht installiert werden. FF51. habe dann in about config  xpinstall.signatures.required; von true auf false gesetzt. hilft aucht nicht.

    Das plugin "plugins.xpi" wird nicht installiert. Die Kamera funktioniert nicht.

    was kann ich tun? hat aber früher funktioniert.

    Es kommt immer die Meldung: Dieses add on konnte nicht installiert werden, da nicht verifiziert.

    Foscam kann auch nicht helfen.

    Gruß

    Robert Entenmann

  15. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Hallo,

    Ich möchte ein plugin für meine IP camera von foscam installieren. Keine Chance. seit Monaten!

    Wenn die Erweiterung von Foscam ist, ist Foscam der Ansprechpartner. Die müssen ihre Erweiterung signieren lassen. Das kostet diese Firma einen Zeitaufwand von wenigen Sekunden (oder maximal Minuten, wenn sie erst ein Account auf addons.mozilla.org registrieren müssen). Und wenn du für das Produkt bezahlt hast, kannst du das von denen auch erwarten, du bist deren Kunde.

    Allerdings:

    Foscam kann auch nicht helfen.

    Wenn der Hersteller nicht weiß, was er zu tun hat, kann es mit der Kompetenz dieses Herstellers nicht sehr weit her sein. Wenn du aber schon Kontakt mit dem Hersteller hast, kannst du den ja darauf hinweisen, dass Firefox-Erweiterungen via addons.mozilla.org signiert werden müssen. Das kostet nichts und ist schnell erledigt. Ist aber eine absolute Notwendigkeit, ansonsten funktioniert deren Erweiterung nicht.

    Da nicht verifiziert kann nicht installiert werden. FF51. habe dann in about config  xpinstall.signatures.required; von true auf false gesetzt. hilft aucht nicht.

    Das ist erwartungsgemäß, weil die Signaturpflicht nicht in Beta- und Release-Builds deaktiviert werden kann. Ansonsten wäre die ganze Signaturpflicht sinnlos.

    Alternativ kannst du die Erweiterung auch selbst signieren lassen. XPI-Datei entpacken, in der Datei install.rdf die ID des Add-ons ändern, wieder neu packen (ZIP mit XPI-Dateiendung) und dann auf addons.mozilla.org anmelden und hochladen. Als nicht gelistetes Add-on auswählen.

  16. Robert Entenmann
    schrieb am :

    Hallo Herr Hentzschel

    danke für die schnelle info.

    Ich bin mit Foscam in Kontakt. aber schon seit Monaten. Bisher erfolglos.

    Ich habe auch versucht das add on selbst verifizieren zu lassen.

    Wird aber mit zwei Fehlern abgelehnt. damit wieder gescheitert.

    Ich verstehe nur nicht warum ich der einzige sein soll der das plugin der Kamera nicht installieren kann. Die Kamera wird doch tausendfach verkauft.

    Daher meine Frage in Richtung Firefox

    Gruß und Danke

    Robert Entenmann

  17. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ich weiß ehrlich gesagt nicht, was es da monatelang zu kommunizieren gibt. Die müssen ihr funktionierendes Add-on einfach nehmen, auf der Mozilla-Webseite hochladen und erhalten dafür umgehend eine signierte Version des Add-ons zurück. Ist man bereits auf addons.mozilla.org registriert, dauert das nicht viel länger als fünf Sekunden.

    Mit was für Fehlern wird der Versuch, das Add-on selbst zu signieren, abgelehnt?

    Dass man überhaupt eine Browser-Erweiterung für eine Kamera benötigt, ist ja auch sehr ungewöhnlich. In jedem Fall steht jeder Firefox-Nutzer, der diese Kamera nutzt, vor dem gleichen Problem, denn an der Signierung führt kein Weg vorbei.

  18. Robert Entenmann
    schrieb am :

    Hallo Herr Hentzschel

    Die Meldung nach dem hochladen lautet:

    Fehler bei plugins.xpi

    100% abgeschlossen · 935.85 KB von 935.85 KB

    Ihr Add-on ist bei der Überprüfung mit 2 Fehlern durchgefallen.

    Doppelte Add-on-ID gefunden.

    Invalid minimum version number

     

    Ich habe versucht die ID zu ändern aber ich bekomme die install .rtf nicht auf.

    Da bin ich wohl an meine Grenzen gestossen.

    Ich werde Foscam weiterhin nerven.

    Kann ich parallel zu meiner FF51 Verion z.B. die Nightly version runterladen und installieren?. Da könnte ich das plugin dann in Betrieb nehmen.

    Gruß und herzlichen Dank für Ihre Unterstützung.

    Robert Entenmann

  19. Robert Entenmann
    schrieb am :

    hallo Herr Hentzschel

    ich konnte das .rtf öffnen.

    <Description>
    <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
    <em:minVersion>4.*</em:minVersion>
    <em:maxVersion>14.*</em:maxVersion>

    ID ändern in?

    zweiter Fehler min Version ändern in?

    Gruß Robert Entenmann

     

  20. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Kann ich parallel zu meiner FF51 Verion z.B. die Nightly version runterladen und installieren?. Da könnte ich das plugin dann in Betrieb nehmen.

    Ja, das geht. Es können nur nicht beide Versionen gleichzeitig mit demselben Firefox-Profil genutzt werden.

    <Description>
    <em:id>{ec8030f7-c20a-464f-9b0e-13a3a9e97384}</em:id>
    <em:minVersion>4.*</em:minVersion>
    <em:maxVersion>14.*</em:maxVersion>

    Diese ID überhaupt nicht, sondern die ID des Add-ons. Das ist die Anwendungs-ID von Firefox. Es muss noch ein anderes ID-Feld geben.

    zweiter Fehler min Version ändern in?

    Keine Ahnung, wieso die Minimum-Version geändert werden soll. Aber probiere mal "45.0a1", das hab ich in einer meiner Erweiterungen stehen und das funktioniert.

  21. Robert Entenmann
    schrieb am :

    Hallo Herr Hentzschel

    Danke für den tollen Support.

    Fortschritt: von 2 Fehler auf einen reduziert.

    Die ID ist jetzt akzeptiert.

    Rückmeldung von Mozilla:

    Fehler bei plugins(1).xpi

    100% abgeschlossen · 916.75 KB von 916.75 KB

    Ihr Add-on ist bei der Überprüfung mit 1 Fehler durchgefallen.

    Invalid minimum version number

    habe folgendes eingegeben_

    <em:minVersion>45.0a1*</em:minVersion>
    <em:maxVersion>14.*</em:maxVersion>

     

    haben Sie noch eine Idee?

    Gruß

    Robert Entenmann

     

  22. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Du solltest "45.0a1" verwenden, nicht "45.0a1*". 🙂

  23. Robert Entenmann
    schrieb am :

    hallo Herr Hentzschel Danke für den Hinweis und sorry für den Fehler.

    habs geändert.

    Jetzt kommt die Meldung:

    Fehler bei plugins(1).xpi

    100% abgeschlossen · 916.75 KB von 916.75 KB

    Ihr Add-on ist bei der Überprüfung mit 1 Fehler durchgefallen.

    Invalid min/max versions

     

    <em:minVersion>45.0a1</em:minVersion>
    <em:maxVersion>14.*</em:maxVersion>

    45 ist ja größer als 14

    noch eine Idee für die maxVersion?

    Wie kann ich mich für Ihre hilfe erkenntlich zeigen?

    Gruß

    Robert Entenmann

  24. Robert Entenmann
    schrieb am :

    Hallo Herr Hentzschel

    habe die maxVersion auf 46.0a1 geändert.

    Jetzt hats funktioniert. aber wie gehts weiter?

    es gibt keinen link den ich aktivieren kann um das plugin herunterzuladen.

    Überprüfung abgeschlossen plugins(1).xpi

    100% abgeschlossen · 916.74 KB von 916.74 KB

    Ihr Add-on wurde ohne Fehler und 2 Warnungen validiert.

    Ihre Einreichung wird automatisch signiert.

    Checkliste für Add-on-Einreichung

    Bitte überprüfen Sie die folgenden Punkte, bevor Sie Ihre Einreichung abschließen. Dies minimiert Verzögerungen oder Missverständnisse während des Überprüfungsprozesses:

    Fügen Sie detaillierte Versionshinweise hinzu (dies kann im nächsten Schritt geschehen).

    Wenn Ihr Add-on ein Benutzerkonto bei einer Website benötigt, um vollständig getestet zu werden, fügen Sie in den Hinweisen an den Überprüfer Benutzername und Passwort eines Testkontos hinzu (dies kann im nächsten Schritt geschehen).

    Der Validierungsprozess stellte folgende Probleme fest, die zur Ablehnung führen könnten:

    Von kompilierten Binärdateien sowie verkürzten oder verschleierten Skripten (außer bekannten Bibliotheken) müssen die Quelltexte getrennt zur Überprüfung eingereicht werden. Verwenden Sie unbedingt das Feld zum Hochladen von Quelltext, damit Ihre Einreichung nicht abgelehnt wird.

    Vollständigen Überprüfungsbericht lesen

    Gruß

    Robert Entenmann

  25. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Dazu kann ich nichts sagen, da ich nicht weiß, wie die Bildschirme für ungelistete Erweiterungen derzeit aussehen. Es gab einige Änderungen, seit ich diesen Artikel geschrieben habe. Und ich selbst biete Add-ons ausschließlich über addons.mozilla.org an, da ist der Prozess ein anderer.

    Wie kann ich mich für Ihre hilfe erkenntlich zeigen?

    Danke, aber das ist nicht nötig. Zum einen helfe ich gerne, zum anderen mach ich ja wirklich nicht viel mehr als ein paar kleine Tipps zu geben, soweit es mir möglich ist. 😉

  26. Robert Entenmann
    schrieb am :

    Hallo Herr Hentzschel

    Ich bin einen großen Schritt weiter.

    Das addon wurde verifiziert und ich habs heruntergeladen.

    aber es heißt jetzt: npipcam-2.0.1.6-fx-windows.xpi

    Jetzt habe ich versucht das plugin einzubinden. Entzipt.

    Geht auch, aber es erscheint nicht unter plugins sondern unter Erweiterungen.Habe dann versucht es umzubenennen in plugins.xpi. Das ging auch, aber wenn ich es einbinde erscheint es wieder unter Erweiterungen und funktioniert nicht. Es steht in der addonliste als npIpcam drin.

    Haben Sie noch einen Tipp wie ich das addon als plugin in die plugin Liste bekomme?

    Danke Gruß Robert Entenmann

     

  27. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Das ist erwartungsgemäß, dass die Erweiterung unter Erweiterungen erscheint, nicht unter Plugins, denn XPI-Dateien sind keine NPAPI-Plugins, werden also nicht bei eben diesen aufgelistet. Ich kenne die Erweiterung nicht. Vielleicht wird diese mit einem NPAPI-Plugin gebündelt. Dann müsste ein Eintrag unter Plugins zusätzlich erscheinen. Dann ist allerdings die Frage, welche Firefox-Version du nutzt. Firefox unterstützt außer Adobe Flash ab Firefox 52 keine NPAPI-Plugins mehr und Firefox 52 befindet sich bereits in der Betaphase, das heißt Firefox Beta, Firefox Developer Edition und Firefox Nightly können alle bereits nichts mehr mit NPAPI-Plugins anfangen.

  28. Robert Entenmann
    schrieb am :

    Hallo Herr Hentzschel ich nutze FF51.

    Aber ich denke ich gebe jetzt auf und hoffe noch auf Unterstützung von Foscam.

    Die wollen mir ein aktuelles Softwareupdate für die Kamera zukommen lassen.

    aber das Plugim ist trotzdem nicht verifiziert. Ich lasse mich überraschen.

    Nochmals herzlichen Dank für die tolle Unterstützung.

    Gruß

    Robert Entenmann

  29. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Dann noch viel Erfolg, dass alles klappt. 😉

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen