Firefox Extensions

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Ellison

Re: Firefox Extensions

Beitrag von Ellison » 21.08.2018 12:49:30

Jana66 hat geschrieben: ↑ zum Beitrag ↑
21.08.2018 12:32:37
Ellison hat geschrieben: ↑ zum Beitrag ↑
21.08.2018 12:31:55
oh, ich hab 10jähriges df.de heute
Herzlichen Glückwunsch! Ich mag guten Rotwein.
*weinaufmachgeräusch
Das Thema Browser scheint aktuell wesentlich komplexer zu sein, als es auf den ersten Moment wirkt. Im Grunde ist man wahrscheinlich auch eingelullt genug, dass man Unternehmen wie Mozilla relativ blind vertraut. Um dann auf den zweiten Blick doch festzustellen, dass dort nichts vernünftig getestet wird. Erinnert so ein bißchen an Apple. Hauptsache GUI ist schick, schei** auf den Rest, die Leute kaufen es ja trotzdem.

Korodny
Beiträge: 704
Registriert: 09.09.2014 18:33:22
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Firefox Extensions

Beitrag von Korodny » 21.08.2018 15:48:43

Jana66 hat geschrieben: ↑ zum Beitrag ↑
21.08.2018 11:56:08
Korodny hat geschrieben: ↑ zum Beitrag ↑
20.08.2018 21:59:42
Welches Projekt macht denn die von dir geforderte Qualitätskontrolle?
Ubuntu mit seiner Trennunng?
Es wäre mir neu, dass Ubuntu für die Software im "Main"-Repository ein Code-Review durchführt. Die Unterscheidung bezieht sich m.W. lediglich auf aktiven Support, d.h. beispielsweise das Einspielen von sicherheitsrelevanten Updates. Meine Ubuntu-Zeiten sind aber auch schon eine Weile her.
Jana66 hat geschrieben: ↑ zum Beitrag ↑
21.08.2018 11:56:08
Eine ähnliche Trennung (z. B. Qualitätssicherung ausgewählter Addons auf Mozilla-Website + "User-Repo" woanders)
Eine solche Trennung macht Mozilla ja auch - der Browser ist der von Mozilla höchstpersönlich "qualitätsgesicherte" Teil des Codes, den es auf mozilla.org gibt. Das "User-Repo" ist unter addons.mozilla.org zu finden.

BenutzerGa4gooPh

Re: Firefox Extensions

Beitrag von BenutzerGa4gooPh » 21.08.2018 16:11:46

Na, dann war doch alles perfekt. Wozu hat Mozilla überhaupt eingegriffen?
Korodny hat geschrieben: ↑ zum Beitrag ↑
21.08.2018 15:48:43
Das "User-Repo" ist unter addons.mozilla.org zu finden.
Welcher Domaininhaber? Wessen Plattform für das von wem präsentierte Angebot? (Mit-)Verantwortung?
Es wäre mir neu, dass Ubuntu für die Software im "Main"-Repository ein Code-Review durchführt.
Ich hatte von Qualitätssicherung - und nicht von komplettem Code-Review gesprochen. Wird Debian main auch nicht tun können - aber die und auch Ubuntus, Arche usw. werden schon mal schauen, ob Upstream zum System passt und halbwegs sicher das Versprochene erfüllt. Der Rest landet in User-Repos, ppas, AUR mit entsprechenden Warnungen seitens der Distributoren.
... der Browser ist der von Mozilla höchstpersönlich "qualitätsgesicherte" Teil des Codes, den es auf mozilla.org gibt.
Ich erinnere mal an die Empörung (auch im DF) über die leicht abwählbare Amazon Shopping Lens von Ubuntu. Das Umstellen (1 Haken für nur lokale Suche) hat mich 30 sec gekostet. Und nun vergleichen wir das mal mit den schon fast religiös formulierten Ansprüchen von Mozilla gegenüber den Defaults (nix mit Opt In und vieles in about:config) von Firefox. Siehe verlinkte Datenschutzerklärung oben.

Damit passen Main- und User-Repo perfekt zueinander. Weitermachen wie bisher bietet sich nach 23 Rausschmissen direkt an?

Einen konstruktiven, bewährten, von anderen bereits verwendeten Vorschlag hatte ich ja gemacht und begründet. Des Weiteren könnte Privacy das Alleinstellungsmerkmal von FF gegenüber Chrome sein. Denn besser/schneller funktioniert Firefox m. E. nicht. Und wenn es doch paar Prozentpunkte wären, wären diese so unnötig wie die S-Klasse, wenn man bereits E-Klasse fährt. Von mir aus auch andersrum, habe keinen Benz.
Zuletzt geändert von BenutzerGa4gooPh am 23.08.2018 14:58:58, insgesamt 1-mal geändert.

BenutzerGa4gooPh

Re: Firefox Extensions

Beitrag von BenutzerGa4gooPh » 23.08.2018 12:37:44

Zur sommerlich heißen Abwechslung - deshalb mit fachlichen Inhalten:

pfblockerNG von pfSense mit Vorrangeinstellung für Listen von adaway/adaware und Disconnect.me importiert:

Code: Alles auswählen

[ D_Me_Malw ]			 Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # TOP1M    Final                
  ----------------------------------------------------------------------
  607      607        0          0          0          607                  
  ----------------------------------------------------------------------

[ D_Me_Track ]			 Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # TOP1M    Final                
  ----------------------------------------------------------------------
  34       34         0          0          0          34                   
  ----------------------------------------------------------------------

[ D_Me_Malv ]			 Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # TOP1M    Final                
  ----------------------------------------------------------------------
  3343     3343       641        0          0          2702                 
  ----------------------------------------------------------------------

[ D_Me_ADs ]			 Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # TOP1M    Final                
  ----------------------------------------------------------------------
  2703     2703       2702       0          0          1                    
  ----------------------------------------------------------------------

[ Adaway ]			 Reload . completed ..
  ----------------------------------------------------------------------
  Orig.    Unique     # Dups     # White    # TOP1M    Final                
  ----------------------------------------------------------------------
  409      409        10         0          0          399                  
  ----------------------------------------------------------------------
Auffällig - trotz eventueller, nicht geloggter Importfehler und Deduplizierung gegenüber weiteren, viel umfangreicheren Listen (bitte selber in uBlockOrigin nachvollziehen):
Gegenüber anderen Listen ist das eine recht geringe Anzahl von Datensätzen.
In uBlock Origin v1.16.16 (Stretch, FF-ESR) habe ich Disconnect.me auf Anhieb nicht entdeckt. Dafür viele weitere, umfangreichere Listen mit weit mehr als 1000 und sogar 10.000 Datensätzen.

Firefox nutzt im sogenannten "Porno-Modus" (angeblich privacy) m. E. ausschließlich Disconnect.Me. Mehr nicht.
Der zugehörige Server s3.amazonaws.com wird von anderen Listen (easylist, irgendeine länderspezifische DNSBL-Liste) gesperrt, Whitelisting erforderlich.

Schlussfolgerungen, aufgeworfene Fragen:
Absichtliches Schlangenöl?
In FF-Addon-Präsentationen auf Mozillas Website (Diskussion mit @Korodny) sind m. E. mehrere "Adblocker" enthalten, die nur "kleine" DNSBL-Listen benutzen. Nach adaware und disconnect .me lässt sich in FF-Addons leicht suchen, in den davon benutzten Listen Datensätze und Anzahlen ermitteln und mit den in uBlockOrigin vorkonfigurierten DNSBL-Listen vergleichen.
Beweis für absichtlich nicht vollzogene Qualitätskontrolle? Für Adblocker wohl recht einfach, zumindest für deren Wirksamkeit! Prüfung der Blocklisten genügt ja wohl für eine schnelle Prüfung der Wirksamkeit, Funktion (primäres Ziel jedes Programmes)!
Wieso Adblocker nur im "Pornomodus" intergriert - bei einer derartigen (m. E. abartigen) Selbstbeweihräucherung (Firmen-"Ethik") von Mozilla? In jedem Modus, notfalls abschaltbar geht ja wohl auch. Okay, die Werbefuzzis (nachweisbar Google) bezahlen an Mozilla für gewisse Defaults. Dann aber bitte keine religös anmutende Selbstdarstellung / Lügeting, Spendenbettelei wegen angeblichen Besserseins.

Prophezeiung/Frage:
Microsoft Edge und Googles Chrome bauen derzeit Adblocker ein. Schlangenöl - weil mögliche Freikäufe der Werbefuzzis und penetranten Tracker. Führt einen Werbeblocker jedoch ad absurdum.
Was wird Mozilla FF wohl tun - bei der publizierten, fast schon religiösen Selbstdarstellung? Der bewährte uBlockOrigin wäre angebracht. Der wird es nicht sein. Warum nicht? :wink:
Ich tippe auf mit der Werbebranche abgesprochenes Schlangenöl (Freikäufe möglich) von Adblock Plus oder Disconnect.Me. Machen ja alle, warum nicht Mozilla auch?! Dagegen spricht leider die Selbstdarstellung deren Werbefuzzis. Die DDR ist u. a. auch an nicht erfüllten Versprechungen (Selbstanspruch, Eigendarstellung) gescheitert. Von anderen lernen schadet nicht, nicht mal Lernen von historischen Verlierern - wenn man nicht selbst dazugehören möchte. :wink:

Ich nutze nur Stretch mit FF ESR - andere mögen mit FF-nigthly Erfahrungen bezüglich Mozillas Absichten haben. Schreibt mal Erfahrungen. Mich würde interessieren, welcher AD-/Werbe-/Tracking-Blocker dort "standardmäßig" integriert ist oder wird.

Edit:
Zum Vergleich mal eine halbwegs zusammengefasste DNSBL-Liste: https://raw.githubusercontent.com/Steve ... ster/hosts
(mit Dank an @Huo)
FF 60 Android: https://www.kuketz-blog.de/firefox-60-d ... d-fassung/
(Mozilla macht im Lügeting keinen Unterschied zwischen den ausgelieferten Browsern.)

Persönliche Schlussfolgerung, wenn sich nichts verbessert:
Im Winter werde ich mich mit Debiansquid Debiansquidguard Man in The Middle / Deep packet Inspection befassen.
https://wiki.squid-cache.org/Features/SslBump
Damit könnte vielleicht jeder x-beliebige (gut funktionierende Chrome-) Browser "beruhigt" und benutzt werden. Auch mit HTTPS over DNS und Adblocker - da entschlüsselte Verbindungen, Inhalte sichtbar. Unsere "demokratisch" gewählten Staatstrojaner machen nichts anderes. :wink:

Antworten