10 Reaktionen

Firefox 37+: Mozilla deaktiviert Domain-Whitelisting zur Add-on-Installation für Nicht-HTTPS-Webseiten

Geschätzte Lesedauer:

Wer Add-ons für Firefox installieren möchte, muss dies nicht über die offizielle Mozilla-Seite tun. Beim Versuch, Add-ons aus Nicht-Mozilla-Quellen zu installieren, gibt Firefox jedoch zunächst eine zusätzliche Warnung aus. Diese kann für einzelne Domains über die Einstellungen deaktiviert werden. Ab Firefox 37 funktioniert das Whitelisting nur noch für HTTPS-Webseiten.

Für die Installation von Add-ons für Firefox ist addons.mozilla.org (AMO) normalerweise die erste Wahl. Jedoch kann es immer wieder vorkommen, dass man Add-ons auch aus einer anderen Quelle installieren möchte. Dies ist kein Problem, jedoch muss der Nutzer die Installation zunächst explizit erlauben.

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/xpi-http-1.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/xpi-http-1.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Wer regelmäßig von einer bestimmten Nicht-Mozilla-Webseite Add-ons installiert, der wird diese Webseite möglicherweise auf die Ausnahmeliste in den Firefox-Einstellungen unter Sicherheit setzen, denn auf diese Weise kann die zusätzlich notwendige Bestätigung für einzelne Domains deaktiviert werden, wie es standardmäßig für AMO sowie den Firefox Marketplace der Fall ist.

[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/xpi-http-2.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/xpi-http-2.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]

Als Konsequenz eines Sicherheits-Bugfixes in Firefox 37 (geplanter Erscheinungstermin: 31. März) ist es standardmäßig nicht länger möglich,  die Meldung auf HTTP-Webseiten zu deaktivieren, ein entsprechender Ausnahmelisten-Eintrag wird ignoriert. Damit Firefox also ohne zusätzliche Warnung Add-ons von einer Webseite installieren kann, muss diese Webseite über HTTPS erreichbar sein. Die URL zur XPI-Datei selbst kann weiterhin eine HTTP-URL sein, entscheidend ist die Webseite, welche die Installation auslöst.

Firefox ESR 31.x bleibt von dieser Änderung unberührt, Nutzer der ESR-Version bekommen diese Änderung dann mit Firefox ESR 38.x. Um die Änderung rückgängig zu machen, kann über about:config der Schalter extensions.install.requireSecureOrigin auf false gesetzt werden.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler und ehemaliger Mozilla Repräsentant. Neben diesem Mozilla-Blog ist er Administrator des deutschsprachigen Firefox Hilfeforums Camp Firefox und betreibt außerdem die Webseiten firefox.agenedia.com, firefoxosdevices.org, mozilla.de sowie das Fußball-Portal Soccer-Zone.

9 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Christian T.
    schrieb am :

    und das mit den zertifizeren von Add-ons bleibt so wie es geplant ist

  2. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Korrekt, das wird wie geplant kommen. Allerdings noch nicht für Firefox 37.

  3. Christian T.
    schrieb am :

    ich habe gelesen das es anscheinend geflälschteL TLS Zertifikate von Microsoft gibt.

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Das hat damit aber überhaupt nichts zu tun. Für die HTTPS-Geschichte, um welche es in diesem Artikel geht, sind Zertifikate vollkommen unwichtig, es geht ausschließlich um die Verschlüsselung des Datenverkehrs, die Zertifizierung von Add-ons meint etwas ganz anderes, was nichts mit TLS-Zertifikaten zu tun hat. 😉

  5. Don
    schrieb am :

    Hallo und guten Tag,

    weiss nicht, ob ich hier richtig bin. Seit FF 37.0.2 macht der FF keine neuen Tabs auf, wenn ich welche anklicke. Beispiel: Im Mail Prg. bei web.de macht spingt kein neuer Tab an, sondern es wird direkt zur Seite geleitet und das Mailprg. ist nur über den Pfeil zurück erreichbar. Unter Einstellungen Tabs habe ich die ersten 4 Punkte angehakt, alles ohne Erfolg.

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Hallo,

    richtig kann man nicht wirklich sagen, da die Frage überhaupt nichts mit dem Artikel zu tun hat. 😉 Aber ich werde dich nicht im Regen stehen lassen. Die wichtigste Frage ist zunächst: verhalten sich andere Browser genauso oder anders? Denn wenn das in jedem Browser so ist, dann ist das kein Firefox-Problem, sondern liegt an der Webseite von web.de. Ich denke, das sollten wir als erstes herausfinden. Ich kann das selbst nicht prüfen, da ich web.de nicht nutze.

  7. Don
    schrieb am :

    Hallo Herr Hentzschel.
    erst einmal vielen Dank für die Antwort. Benutze nur den FF. Opera getestet – ohne Probleme! FF funktioniert nicht richtig… Schade – gibt es eine Lösung, da ich nur mit FF arbeite…..
    Gruß

  8. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Dann teste bitte Firefox im Abgesicherten Modus:
    https://support.mozilla.org/de/kb/firefox-probleme-beheben-abgesicherter-modus

    Wenn das Problem dann nicht auftritt, ist der Schuldige eines deiner installierten Add-ons.

  9. Don
    schrieb am :

    Hallo Herr Hentzschel,

    danke für die Antwort. Add-one war schuld.
    Gruß

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen