Mozilla beginnt Verteilung signierter Add-ons für Firefox
Mozilla hat damit begonnen, die auf der Mozilla-Seite gehosteten Add-ons für Firefox zu signieren und per Update an die Nutzer zu verteilen.
Mozilla hat gestern mit der Verteilung signierter Add-ons begonnen. Vor wenigen Monaten hatte Mozilla bereits angekündigt, dass Add-ons in Zukunft signiert sein müssen, damit sie in Firefox installiert werden können. Damit will Mozilla seine Nutzer besser schützen, da die Verbreitung schädlicher Add-ons immer mehr zunimmt. Eine ganze Reihe von Add-ons hat nun Updates erhalten, deren Versionsangabe jeweils um „.1-signed“ ergänzt worden ist – dabei handelt es sich um die signierten Versionen der jeweiligen Add-ons.
[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/signierte-add-ons-updates.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/signierte-add-ons-updates.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]
Dass Add-ons in Zukunft signiert sein müssen, damit sie in Firefox installiert werden können, bedeutet nicht, dass die Add-ons nicht weiter auch auf anderen Plattformen als auf AMO (addons.mozilla.org) gehostet werden könnten. Ab dem 1. Juni sollen sich Add-ons auf AMO signieren lassen, ohne sie zwangsläufig auch auf AMO anbieten zu müssen. Das ist ein automatischer Vorgang, der nur wenige Sekunden dauert. Die signierten Add-ons können dann auch auf der eigenen Webseite angeboten werden. Auch für Nutzer, welche fremde Add-ons für den Eigenbedarf anpassen, sollte das kein zu großes Problem sein, da jeder Add-ons signieren lassen kann. Lediglich die ID des originalen Add-ons muss in dem Fall geändert werden, da jede Add-on ID nur einmal im System von Mozilla vorkommen kann. Für Add-ons, welche auf AMO gehostet werden, ändert sich überhaupt nichts. Diese werden im Zuge der gewöhnlichen Reviews automatisch signiert.
Ungefähr ab dem 15. Juni werden nicht signierte Add-ons in Firefox ab Version 40 (derzeit Nightly und Developer Edition) standardmäßig deaktiviert werden, die Add-ons können dann aber von Hand wieder aktiviert werden. Sobald Firefox 41 die Betaphase erreicht, was voraussichtlich am 11. August der Fall sein wird, wird dies nicht länger möglich sein; ab Version 41 ist die Signierung in finalen wie auch in Betaversionen von Firefox verpflichtend. In der Developer Edition sowie in der Nightly Version von Firefox kann die Signierung auch langfristig deakiviert werden, der relevante Schalter in about:config hört auf die Bezeichnung xpinstall.signatures.required. Außerdem wird Mozilla spezielle Firefox-Builds (sowohl final als auch Beta) bereitstellen, welche die Signierung ebenfalls nicht erfordern – diese allerdings ohne offizielles Firefox-Branding. Für die ESR-Version von Firefox ist noch keine Entscheidung bezüglich Signierung gefallen, in jedem Fall kann eine Signierung hierfür frühestens in Firefox ESR 45 eingeführt werden, welcher nach aktueller Planung am 8. März 2016 erscheinen wird.
Die neue Anforderung gilt nur für Add-ons für Firefox, nicht für Themes oder Wörterbücher. Auch andere Anwendungen wie Thunderbird und SeaMonkey sind nach derzeitigem Stand nicht betroffen, auch wenn es zumindest für Thunderbird derzeit diskutiert wird.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.
Hallo,
gerade habe ich im Heise-Forum den Artikel und die Kommentar dazu gelesen. Diese Funktion wird dort größtenteils negativ aufgenommen.
Meine Frage dazu: Wie sieht es mit AddOns aus, die selbst kompiliert oder selbst geschrieben wurden und nur innerhalb einer bestimmten Umgebung genutzt werden? Oder auch mit solchen, die heruntergeladen und von der lokalen Festplatte installiert wurden?
Roman
Hallo,
bei Heise Kommentare zu lesen dient bestenfalls der Unterhaltung. 😉 Das Problem ist, dass die meisten, die dort kommentieren, sich nicht informieren und dann irgendetwas vermuten und darauf basierend bewerten und schimpfen. Wenn man die Informationen hat, die in dem Artikel hier stehen, dann sieht man nämlich, dass das alles überhaupt nicht wild ist. Wie es auch im Artikel steht, kann jeder sein Add-on signieren lassen, das ist eine Sache von wenigen Sekunden. Signieren lassen ist nicht gleichbedeutend mit Bereitstellen auf AMO. All die von dir beschriebenen Szenarien sind also überhaupt kein Problem. Einfach zum Signieren einmal hochladen und dann die Datei installieren, die man zurückerhält. Es ist ein kleiner Mehraufwand, ja, aber alles andere als eine unüberwindbare Hürde. Wenn man erstmal ein Benutzerkonto auf AMO registriert hat, dann ist das wirklich nur eine Sache von wenigen Sekunden.
Danke für die Antwort.
Ja, bei vielen Kommentaren bei Heise frage ich mich auch, wie jemand mit so einem Gehirn überleben kann 😛
Aber ich versuche mal, dort eine Richtigstellung zu schreiben.
Edit:
Was ich mich jedoch dann noch frage ist: Wenn jeder einfach so ein AddOn signieren lassen und weiterhin anbieten kann, wozu dient dann das Signieren an sich?
Es wird ja anscheinend nicht wirklich geprüft, ob das irgendwie schädlich ist. Oder irre ich mich da?
Roman
Ich bedanke mich für dein Vorhaben, das dort richtigzustellen. 🙂
Zu deinem Nachtrag:
Es findet zunächst einmal eine automatische Überprüfung statt, welche ein paar Dinge erkennen kann. Das kann natürlich keine menschliche Überprüfung ersetzen, wie es Add-ons erhalten, die bei AMO gehostet werden. In jedem Fall gibt die Notwendigkeit, Add-ons zu signieren, Mozilla einen besseren Überblick darüber, welche Add-ons signieren, so dass Mozilla im Fall eines schädlichen Add-ons besser reagieren kann als in der Vergangenheit. Es gibt bereits Fälle, in denen Software die Mechanismen von Firefox aushebelt, die Signierung lässt sich nicht von Außen aushebeln.
ja, bei mir sind fast alle Add-ons Signiert bis auf 2 Add-ons die fehelen noch. Eins ist sogar ein wichtigss NoScript ist noch nicht signiert wird aber bestimmt auch noch gemacht, in den nächsten Tagen, das 2. ist Quals Browsercheck, das wird bestimmt auch noch kommen.
Was mir nicht so gefällt das jetzt das „signed“ nicht übersetzt wurde oder duch ein kleines Icon wie z.B. ein Zertifikat oder doch ein Häckchen ersetzt wurde.
Und hoffen wir mal das das signierten auch fälschungssicher ist. mann könnte ja ein schädliches Add-on entwickeln und das Zertifikat von einem nicht schädlichen Add-on bentützten und so dem Firefox vorgaugeln das das Zertifikat in Ordnung ist.
Das wird nicht funktionieren, die Signatur beinhaltet sowas wie eine Prüfsumme. Wenn die Signatur nicht zum Add-on passt, ist keine Installation möglich.
Hab heute schon einen Bug gesucht weil eines meiner selbst gefixten Addons meinte es muss sich jetzt zu einem wichtigen signierten updaten. Nur leider ist das auf AMO absolut veraltet. Dachte erst Mozilla hat irgendwas am Fx code geändert und fing an diverse Nightlies runterzuladen, weil normalerweise ist der erste Schritt die Range rauszufinden wo der Fehler auftritt um dann das pushlog zu durchsuchen. Da diverse Nightlies nichts brachten, dachte ich mir dann, ne das muss was anderes sein und schaute mir das Addon an was den Fehler warf. Datei mit Datumstempel von 2011. Danke.
Am besten änderst du die ID von dem Add-on und installierst es mit der neuen ID nochmal neu. Dann wird es auch nicht von Mozilla aktualisiert. Ab dem 1. Juni kannst du es auch signieren lassen, damit es auch in Firefox 41 und darüber hinaus läuft.