Alles Wissenswerte zu Firefox ESR 68 inklusive Unterschiede zu Firefox 68
Mozilla wird am Dienstag Firefox 68 veröffentlichen. Firefox 68 wird gleichzeitig die neue Basis für Firefox ESR sein, die Firefox-Version mit Langzeitunterstützung. Während Firefox 68 und Firefox ESR 68 grundsätzlich identisch sind, gibt es doch ein paar wichtige Unterschiede zwischen beiden Versionen. Auch sonst gibt es einiges Wissenswertes für System-Administratoren.
Mozilla wird am 9. Juli 2019 Firefox 68 und Firefox ESR 68 veröffentlichen. Nutzer von Firefox ESR 60 haben ab dann noch 15 Wochen Zeit, ehe sie mit Erscheinen von Firefox 70 und Firefox ESR 68.2 am 22. Oktober 2019 automatisch auf Firefox ESR 68 migriert werden. Wie schon Firefox ESR 60 unterscheidet sich auch Firefox ESR 68 in ein paar Aspekten von seinem Mainstream-Pendant.
Firefox ESR 68: Kein WebRender
WebRender stammt wie die mit Firefox 57 eingeführte CSS-Engine Stylo ebenfalls aus Mozillas Next-Generation-Engine Servo und ist in der Programmiersprache Rust geschrieben. Es handelt sich bei WebRender um einen Renderer für Webseiten-Inhalte, welcher unter stärkerer Einbeziehung der Grafikkarte als bisher im Grunde wie eine Spiele-Engine arbeitet, aber für das Rendering von Web-Content optimiert ist und dadurch große Performance-Vorteile liefern soll.
Mit Firefox 67 hat es WebRender erstmals in eine finale Version von Firefox geschafft, allerdings erst für einen kleinen Teil der Nutzer. Während Mozilla WebRender weiter verbessert und für immer mehr Nutzer aktiviert, wird WebRender in Firefox ESR 68 für alle Nutzer komplett deaktiviert bleiben.
Firefox ESR 68: System-Zertifikate
Standardmäßig nutzt Firefox seinen eigenen Zertifikatsspeicher und bietet damit eine erhöhte Sicherheit gegenüber anderen Browsern. Im Unternehmensumfeld jedoch ist es häufig gewünscht, dass Zertifikate aus dem Zertifikatsspeicher des Betriebssystems genutzt werden. Darum ist dies in Firefox ESR 68 standardmäßig aktiviert.
Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:
security.enterprise_roots.enabled
Firefox ESR 68: Deaktivierte MITM-Erkennung
Nicht nur Schadsoftware, auch sogenannte „Sicherheits“-Software unterbricht verschlüsselte Verbindungen (das heißt Verbindungen über https://) immer wieder, um die Inhalte zu lesen, bevor diese den Browser erreichen, und verkauft dies dann auch noch als Feature. Man spricht dabei von einem sogenannten Man-in-the-Middle („MITM“). Die Folge für Firefox-Nutzer ist aufgrund der häufig mangelhaften Implementierung in einigen Fällen, dass Firefox keine Verbindungen über https:// mehr herstellen kann. Firefox 68 kann Verbindungsprobleme aufgrund von MITM erkennen. Dazu setzt Firefox im Problemfall die Option security.enterprise_roots.enabled auf true und versucht die Verbindung erneut. Funktioniert dies, lässt Firefox die Option auf true, ansonsten wird die Option auf false zurückgesetzt.
Da Firefox ESR 68 den Import von System-Zertifikaten standardmäßig zulässt, ist die MITM-Erkennung in Firefox ESR 68 standardmäßig deaktiviert.
Zur Aktivierung muss der folgende Schalter über about:config auf true geschaltet werden:
security.certerrors.mitm.auto_enable_enterprise_roots
Firefox ESR 68: Keine Service Workers
Service Workers bezeichnen einen Webstandard, der praktische Anwendungsfälle für moderne Webapplikationen ermöglicht. Firefox unterstützt Service Workers bereits seit Version 44. Aber wie schon in Firefox ESR 45, Firefox ESR 52 und Firefox ESR 60 werden Service Workers auch in Firefox ESR 68 standardmäßig wieder deaktiviert sein.
Zur Aktivierung muss der folgende Schalter über about:config auf true geschaltet werden:
dom.serviceWorkers.enabled
Firefox ESR 68: Keine Push-Benachrichtigungen
Ebenfalls werden Push-Benachrichtigungen in Firefox ESR 68 standardmäßig deaktiviert sein, da diese Service Workers als technische Voraussetzung haben.
Zur Aktivierung muss zusätzlich zum vorherigen Schalter der folgende Schalter über about:config auf true geschaltet werden:
dom.push.enabled
Nur in Firefox ESR 68: Deaktivierbare Signaturpflicht für Add-ons
Zum Schutz seiner Nutzer hat Mozilla eine Signaturpflicht für Add-ons in Firefox eingeführt, welche seit Firefox 43 standardmäßig aktiviert ist. Diese kann nur in Nightly-Builds sowie in der Developer Edition von Firefox deaktiviert werden, nicht in Beta- oder finalen Versionen. Die ESR-Version von Firefox 68 erlaubt auch in der finalen Ausführung die Deaktivierung der Signaturpflicht.
Zur Deaktivierung muss der folgende Schalter über about:config auf false geschaltet werden:
xpinstall.signatures.required
Achtung: Es ist aus Sicherheitsgründen nicht empfohlen, die Signaturpflicht für Erweiterungen zu deaktivieren. Wer seine Erweiterungen ausschließlich über addons.mozilla.org bezieht, findet außerdem in der Regel sowieso ausschließlich signierte Erweiterungen vor.
Nur in Firefox ESR 68: Zusätzliche Enterprise Policy
Seit Firefox 60 liefert Mozilla seine Enterprise Policy Engine aus. Damit ist es für Systemadministratoren möglich, Firefox für die Verteilung im Unternehmen vorzukonfigurieren, wofür bis einschließlich Firefox ESR 52 gerne der sogenannte CCK2 Wizard benutzt worden ist, der allerdings mit Firefox 57 und höher nicht kompatibel ist.
Die SearchEngines-Policy zum Konfigurieren der Suchmaschinen funktioniert ausschließlich in Firefox ESR.
Folgende Unterschiede aus Firefox ESR 60 existieren nicht mehr
Folgende Unterschiede existierten noch zwischen Firefox 60 und Firefox ESR 60, werden aber nicht mehr zwischen Firefox 68 und Firefox ESR 68 existieren:
Nicht mehr ESR-exklusive Enterprise Policies
In Firefox ESR 60 waren diverse Enterprise Policies ausschließlich Firefox ESR vorbehalten und konnten nicht in der Mainstream-Version von Firefox genutzt werden. Diese Einschränkung wurde für alle Enterprise Policies außer der SearchEngine-Policy (siehe oben) entfernt. Dies betrifft die Enterprise Policies zum Deaktivieren der Firefox-Updates, zum Deaktivieren der Updates für System-Erweiterungen, zum Deaktivieren von Telemetrie, zum Konfigurieren der Startseite, zum Konfigurieren der Suchleiste, zur Verwaltung von Erweiterungen, zum Blockieren von Websites, zur Konfiguration integrierter Authentifizierung, zum Überschreiben der Seite, welche beim ersten Firefox-Start erscheint, sowie zum Überschreiben der Seite, welche nach einem Firefox-Update erscheint.
Sonstiges Wissenswertes für Unternehmens-Administratoren
Zahlreiche neue Enterprise Policies und Enterprise Policy Generator
In Firefox 68 sind zahlreiche neue Einstellungen dazugekommen, welche via Enterprise Policy Engine konfiguriert werden können. Firefox 68 stellt das mit Abstand größte Update diesbezüglich seit Einführung der Enterprise Policy Engine dar.
Die von mir entwickelte Erweiterung Enterprise Policy Generator richtet sich an Administratoren von Unternehmen und Organisationen, welche Firefox konfigurieren wollen. Die Erweiterung bietet eine einfach verständliche Oberfläche, über welche alle verfügbaren Policies ganz einfach zusammengeklickt werden können, ohne dass Kenntnisse irgendeiner Art notwendig wären – inklusive Möglichkeit, Konfigurationen zu speichern oder für andere Systeme zu exportieren und zu importieren.
Download Enterprise Policy Generator für Firefox
Im Laufe der nächsten Wochen wird ein großes Update auf Enterprise Policy Generator 5.0 veröffentlicht werden, welches Unterstützung für alle neuen Enterprise Policies bringen wird. Dieses Update wird allerdings erst nach Veröffentlichung von Firefox 68 bereitstehen, aber in jedem Fall vor Ende der ESR-Übergangsphase mit Veröffentlichung von Firefox 70 und Firefox ESR 68.2.
Dokumentation für System-Administratoren
Der Enterprise Policy Generator macht die Konfiguration via policies.json plattformübergreifend zum Kinderspiel. Wer die Enterprise Policies aber lieber via Registry (Windows) oder .plist-Datei (Apple macOS) konfiguriert, findet hier die entsprechende Dokumentation.
Außerdem gibt es hier spezielle Hilfe-Seiten für die Administration von Firefox im Unternehmen.
MSI-Installer für Windows
Um System-Administratoren im Unternehmen das Anpassen und Verteilen von Firefox einfacher zu machen, bietet Mozilla jetzt auch anpassbare MSI-Installer für Firefox ESR auf Windows 7 und höher an.
MSI-Installer erlauben die Anpassung über eine MST-Datei und können über die auf Windows üblichen Deployment-Tools wie Active Directory oder Microsoft System Center Configuration Manager verteilt werden. Mozilla hat eine Dokumentation zu den MSI-Installern veröffentlicht.
Download MSI-Installer von Firefox ESR 68 (Link funktioniert ab Dienstag)
pkg-Installer für Apple macOS
Ähnlich zu den MSI-Installern für Windows arbeitet Mozilla an pkg-Installern für Apple macOS. Diese sind für Firefox ESR 68.0 noch nicht bereit, werden aber im Laufe der nächsten Monate folgen.
Dedizierte Profile pro Installation abschalten
Lesezeichen, Chronik, Erweiterungen, Passwörter, Einstellungen – diese und noch weitere Dinge werden in einem sogenannten Profil gespeichert. Verschiedene Firefox-Installationen nutzen bisher standardmäßig immer das gleiche Profil.
Seit Firefox 67 und damit auch ab Firefox ESR 68 nutzt der Mozilla-Browser dedizierte Profile pro Installation. Das heißt, dass wenn ein Nutzer mehrere Firefox-Installationen hat, jede dieser Installationen ein eigenes Profil verwendet und damit standardmäßig nicht länger in allen Installationen automatisch die gleichen Lesezeichen, die gleiche Chronik etc. zur Verfügung stehen.
Gerade im Unternehmensumfeld kann dies unerwartet sein. Seit Firefox 68 kann dieses Feature über eine Umgebungsvariable abgeschaltet werden:
MOZ_LEGACY_PROFILES
Wie Umgebungsvariablen angelegt werden, ist der Dokumentation des jeweiligen Betriebssystems zu entnehmen.
Downgrade-Schutz abschalten
Ein anderes neues Feature von Firefox 67 und damit auch Firefox ESR 68 ist ein Downgrade-Schutz. Firefox verhindert, dass der Browser mit einem Profil gestartet wird, welches bereits mit einer neueren Firefox-Version genutzt worden ist. Auch dieses Feature kann seit Firefox 68 über eine Umgebungsvariable abgeschaltet werden:
MOZ_ALLOW_DOWNGRADE
Alternativ dazu kann Firefox mit dem folgenden Kommandozeilen-Argument gestartet werden:
--allow-downgrade
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.
Danke für die Infos. Auf welche Werte müssen die Umgebungsvariablen gesetzt werden, damit sie abgeschaltet sind?
Ich glaube von einem flüchtigen Blick auf den Code nicht, dass das eine große Rolle spielt, aber "1" funktioniert in jedem Fall.
Hi! Ist dir der Grund bekannt aus dem Service Workers deaktiviert sind?
In Firefox ESR 45 waren Service Workers aufgrund damals zu erwartender Spezifikations- und Implementierungsänderungen deaktiviert. In Firefox ESR 52 und Firefox ESR 60 waren Service Workers wegen andauernden Änderungen unter der Haube zur vollständigungen Unterstützung mehrerer Content-Prozesse deaktiviert, was es zu aufwändig gemacht hätte, Fixes für Firefox ESR zurück zu portieren. Und auch während der ESR 68-Lebenszeit werden noch immer viele Implementierungs-Änderungen erwartet.