6 Reaktionen

Firefox: Änderung des Zeitplans bezüglich Signierung von Add-ons

Geschätzte Lesedauer:

Add-ons müssen in Zukunft von Mozilla signiert sein, damit sie in Firefox installiert werden können. Verpflichtend wird die Signatur nun eine Firefox-Version später als ursprünglich geplant.

Zum Schutz seiner Nutzer führt Mozilla eine Signaturpflicht für Add-ons ein. Für Add-on, welche auf Mozillas Add-on-Webseite AMO (addons.mozilla.org) gehostet werden, sollte sich dadurch nicht viel ändern, da die Signierung automatisch im Zuge des Reviews erfolgt. Wer sein Add-on auf einer anderen Webseite hostet oder ein fremdes Add-on zu privaten Zwecken selbst angepasst hat, kann dies auch weiterhin tun, muss dafür aber sein Add-on zur Signierung einreichen. Wie das funktioniert, kann hier nachgelesen werden. Normalerweise sollte auch dies kein Problem sein.

Der ursprüngliche Plan sah vor, nicht signierte Add-ons in Firefox 40 standardmäßig zu deaktivieren (mit der Option, die Signaturpflicht zu deaktivieren) und mit Firefox 41 die Signaturpflicht zu erzwingen. Dieser Zeitplan hat nun eine Korrektur erhalten. Firefox 40 soll zunächst nur warnen, die Deaktivierung nicht signierter Add-ons mit Firefox 41 erfolgen und erst mit Firefox 42 wird die Signierung von Add-ons dem neuen Plan nach verpflichtend sein. Firefox 42 erscheint voraussichtlich am 2. November.

Nichts ändert sich daran, dass die Signaturpflicht nur für finale sowie Betaversionen von Firefox gelten wird und in Firefox Nightly sowie Firefox Developer Edition deaktiviert werden kann. Darüber hinaus wird Mozilla spezielle Builds der finalen sowie Betaversionen ohne offizielles Firefox-Branding veröffentlichen, welche ebenfalls eine abschaltbare Signaturpflicht besitzen werden.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.

6 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Saber
    schrieb am :

    Ich lese zwar hier mit, aber bin mir immer noch bei folgendem unsicher:
    Ich habe folgendes Addon selber überarbeitet: https://addons.mozilla.org/de/firefox/addon/addons-in-urlbar/
    Das Addon verschiebt die Addons in die Adresszeile, aber da Firefox diese Zeile ja entfernt hat geht das Addon nicht mehr.
    Mit dem Addon „Classic Theme Restorer“ gibt es diese Addonleiste wieder, hat aber einen anderen „Container-Namen“. Ich habe also das Addon über AMO bezogen, es aber dann auf meinem PC verändert. Jetzt steht da zwar -signed, aber ist es denn auch wirklich signiert? Falls ja, dann kommt für mich eine weitere Frage auf:
    Mit so einer Vorgehensweise könnten doch auch Schadware zuerst ein sauberes Addon von AMO beziehen und dann per copy&paste austauschen?
    Im schlimmsten Falle würde ich es halt selber signieren lassen, welches dank deinem Blogbeitrag ja nicht schwer ist.

  2. Michael Wolf
    schrieb am :

    Hallo Sören, hier ist dein Pedant. 🙂

    Der Blick meines Holzauges fiel auf einen kleinen Schreibfehler. Im vorletzten Abschnitt steht die Deaktivierung nicht signieter Add-ons mit Firefox 41. Da fehlt ein r bei signieter, das sollte signierter heißen.

    Grüße
    Michael

  3. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @Saber:

    Jetzt steht da zwar -signed, aber ist es denn auch wirklich signiert? Falls ja, dann kommt für mich eine weitere Frage auf:
    Mit so einer Vorgehensweise könnten doch auch Schadware zuerst ein sauberes Addon von AMO beziehen und dann per copy&paste austauschen?

    Nur weil „signed“ in der Versionsnummer steht, ist das Add-on nicht signiert, das wäre wirklich zu einfach. 🙂 Sobald du eine Änderung vornimmst, musst du es neu signieren lassen, denn die Signatur für das originale Add-on ist dann nicht mehr gültig. Den Zusatz „signed“ gab es nur für die Massen-Signierung aller auf AMO gehosteten Add-ons, die Mozilla kürzlich durchgeführt hat. Normalerweise erkennt man ein signiertes Add-on nicht an der Versionsangabe. Ab Firefox 40 (in Kürze als Betaversion erhältlich) wird man das aber im Add-on Manager sehen, wenn ein Add-on nicht signiert ist.

  4. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    @Michael Wolf:

    Danke, ist korrigiert. 🙂

  5. schrieb am :

    Nutze nur drei Add-ons: TMP, LastPass & uBlock. Aber die beiden letzteren hole ich mir nicht aus AMO, weil sie direkt einfach aktueller sind. Ist das ein Handicap, oder sollte ich das eher entspannt sehen und warten bis die Anbieter (LastPass ist ja kein kleiner / habe Premium-Account) es selbst ändern?

  6. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Ich würde das erstmal entspannt sehen, bis du ggfs. eines Besseren in der Form belehrt wirst, dass das doch nicht so entspannend ist. 🙂 Ich denke, dass wenn die Entwickler dieser Add-ons diese offiziell auch in Zukunft auf alternativen Wegen anbieten, die Add-ons dann signiert sein werden, für dich als Nutzerin also kein Problem besteht. Auf der anderen Seite ist der ganze Prozess neu und diese Add-ons auch etwas komplexer, also werden wir mal abwarten müssen, ob das auch wirklich reibungslos abläuft, wenn es denn soweit ist. Ein bisschen Zeit ist ja noch, die vor allem Mozilla nutzen sollte, um die Abläufe zu optimieren. Die Verschiebung um eine Firefox-Version deute ich mal so, dass es noch Optimierungspotential gibt. 😉

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.
  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen