Firefox 37+: Mozilla deaktiviert Domain-Whitelisting zur Add-on-Installation für Nicht-HTTPS-Webseiten
Wer Add-ons für Firefox installieren möchte, muss dies nicht über die offizielle Mozilla-Seite tun. Beim Versuch, Add-ons aus Nicht-Mozilla-Quellen zu installieren, gibt Firefox jedoch zunächst eine zusätzliche Warnung aus. Diese kann für einzelne Domains über die Einstellungen deaktiviert werden. Ab Firefox 37 funktioniert das Whitelisting nur noch für HTTPS-Webseiten.
Für die Installation von Add-ons für Firefox ist addons.mozilla.org (AMO) normalerweise die erste Wahl. Jedoch kann es immer wieder vorkommen, dass man Add-ons auch aus einer anderen Quelle installieren möchte. Dies ist kein Problem, jedoch muss der Nutzer die Installation zunächst explizit erlauben.
[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/xpi-http-1.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/xpi-http-1.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]
Wer regelmäßig von einer bestimmten Nicht-Mozilla-Webseite Add-ons installiert, der wird diese Webseite möglicherweise auf die Ausnahmeliste in den Firefox-Einstellungen unter Sicherheit setzen, denn auf diese Weise kann die zusätzlich notwendige Bestätigung für einzelne Domains deaktiviert werden, wie es standardmäßig für AMO sowie den Firefox Marketplace der Fall ist.
[lightbox style=“modern“ image_path=“https://www.soeren-hentzschel.at/wp-content/uploads/xpi-http-2.png“ popup=“https://www.soeren-hentzschel.at/wp-content/uploads/xpi-http-2.png“ link_to_page=““ target=““ description=““ size=“two_col_small“]
Als Konsequenz eines Sicherheits-Bugfixes in Firefox 37 (geplanter Erscheinungstermin: 31. März) ist es standardmäßig nicht länger möglich, die Meldung auf HTTP-Webseiten zu deaktivieren, ein entsprechender Ausnahmelisten-Eintrag wird ignoriert. Damit Firefox also ohne zusätzliche Warnung Add-ons von einer Webseite installieren kann, muss diese Webseite über HTTPS erreichbar sein. Die URL zur XPI-Datei selbst kann weiterhin eine HTTP-URL sein, entscheidend ist die Webseite, welche die Installation auslöst.
Firefox ESR 31.x bleibt von dieser Änderung unberührt, Nutzer der ESR-Version bekommen diese Änderung dann mit Firefox ESR 38.x. Um die Änderung rückgängig zu machen, kann über about:config der Schalter extensions.install.requireSecureOrigin auf false gesetzt werden.
und das mit den zertifizeren von Add-ons bleibt so wie es geplant ist
Korrekt, das wird wie geplant kommen. Allerdings noch nicht für Firefox 37.
ich habe gelesen das es anscheinend geflälschteL TLS Zertifikate von Microsoft gibt.
Das hat damit aber überhaupt nichts zu tun. Für die HTTPS-Geschichte, um welche es in diesem Artikel geht, sind Zertifikate vollkommen unwichtig, es geht ausschließlich um die Verschlüsselung des Datenverkehrs, die Zertifizierung von Add-ons meint etwas ganz anderes, was nichts mit TLS-Zertifikaten zu tun hat. 😉
Hallo und guten Tag,
weiss nicht, ob ich hier richtig bin. Seit FF 37.0.2 macht der FF keine neuen Tabs auf, wenn ich welche anklicke. Beispiel: Im Mail Prg. bei web.de macht spingt kein neuer Tab an, sondern es wird direkt zur Seite geleitet und das Mailprg. ist nur über den Pfeil zurück erreichbar. Unter Einstellungen Tabs habe ich die ersten 4 Punkte angehakt, alles ohne Erfolg.
Hallo,
richtig kann man nicht wirklich sagen, da die Frage überhaupt nichts mit dem Artikel zu tun hat. 😉 Aber ich werde dich nicht im Regen stehen lassen. Die wichtigste Frage ist zunächst: verhalten sich andere Browser genauso oder anders? Denn wenn das in jedem Browser so ist, dann ist das kein Firefox-Problem, sondern liegt an der Webseite von web.de. Ich denke, das sollten wir als erstes herausfinden. Ich kann das selbst nicht prüfen, da ich web.de nicht nutze.
Hallo Herr Hentzschel.
erst einmal vielen Dank für die Antwort. Benutze nur den FF. Opera getestet – ohne Probleme! FF funktioniert nicht richtig… Schade – gibt es eine Lösung, da ich nur mit FF arbeite…..
Gruß
Dann teste bitte Firefox im Abgesicherten Modus:
https://support.mozilla.org/de/kb/firefox-probleme-beheben-abgesicherter-modus
Wenn das Problem dann nicht auftritt, ist der Schuldige eines deiner installierten Add-ons.
Hallo Herr Hentzschel,
danke für die Antwort. Add-one war schuld.
Gruß