Mortar gestoppt: Kein PDFium und Pepper-Flash für Firefox
Im Herbst 2016 hatte Mozilla das Projekt Mortar angekündigt. In dessen Rahmen hatte Mozilla damit experimentiert, den von Google entwickelten PDF-Betrachter PDFium in Firefox zu integrieren sowie das in Chrome genutzte Pepper-Plugin des Adobe Flash Players in Firefox zu verwenden anstelle des bisherigen NPAPI-Plugins. Das Projekt wurde nun offiziell gestoppt.
Mozilla hatte im Oktober 2016 das Projekt Mortar angekündigt. Ziel dieser Initiative war es, den Fokus noch stärker als bisher darauf zu legen, das Web weiterzuentwickeln und die Komplexität sowie den Wartungsaufwand von Firefox zu reduzieren. Konkret sollte dabei die Zeit reduziert werden, die Mozilla in Technologien investieren muss, welche für einen Browser zwingend erforderlich sind, damit das Web vollständig genutzt werden kann, aber kein elementarer Bestandteil der eigentlichen Web-Plattform sind.
Speziell hatte sich Mozilla dabei mit zwei Thematiken befasst: Mozilla selbst entwickelter PDF-Betrachter pdf.js sollte durch PDFium von Google ersetzt werden und der Adobe Flash Player sollte über eine Untermenge von Googles Pepper-API bereitgestellt werden anstelle der bisherigen NPAPI-Schnittstelle.
Nachdem das Projekt vor einigen Monaten bereits depriorisiert worden ist, folgte nun das offizielle Aus. Mozilla ist zu dem Entschluss gekommen, dass die Implementierung und Wartung von PDFium und der Pepper-API den Aufwand nicht ausreichend rechtfertigt.
Was Pepper-Flash betrifft, kommt mit Sicherheit auch dazu, dass seit vergangenem Jahr bekannt ist, dass die Unterstützung für den Adobe Flash Player Anfang 2020 komplett eingestellt werden wird.
Mittlerweile funktioniert der PDF Viewer von Firefox ja auch recht gut. Ich sehe da nicht die große Notwendigkeit.
Den PDF.js-Ansatz finde ich auch sympathischer. Die Gefahr von Sicherheitslücken ist gering und die Portabilität ist auch gegeben. Hoffentlich wird das auch ordentlich weiterentwickelt.
Gerade unter Windows ist das ein nicht ganz unwichtiger Faktor. Adobe Reader findet man immer weniger und Microsoft versucht die Leute die Leute über den integrierten PDF-Viewer im Edge, der vorkonfiguriert als Standard-Viewer fungiert komplett auf den Browser zu ziehen. Habe jetzt schon öfter bei Laien gesehen, dass dann einfach mit dem Edge-Fenster weitergebrowst wird, wenn das Fenster ohnehin schon offen ist, obwohl man eigentlich z.B. Firefox als Standard installiert hatte.
Bzgl. Pepper-Flash wundert mich das jetzt nicht, das hätte sich nicht gelohnt so one große Implementierung für 2 Jahren durchzuführen.
Dass darauf verzichtet wurde, PDFium zu integrieren, finde ich aber dennoch schade, v. a. aus einem Grund: Die Druckfunktion von PDF.js ist wirklich schlecht, mit Formeln kann sie gar nicht umgehen und es entsteht irgendein Kauderwelsch, der kaum mehr lesbar ist. Das funktioniert bei Edge reibungslos.
@Julian: Warum ist die Gefahr von Sicherheitslücken mit dem Ansatz von PDF.js niedriger?
Is PDFium considered superior? If so maybe Mozilla would port it to wasm.
Chrome is removing support for Pepper, so they may decide to do this themselves anyway.
pdf.js ist eine integrierte Erweiterung, welche komplett mit Webtechnologie umgesetzt ist. Wenn Sicherheitslücken in pdf.js gefunden werden, dann sind das in der Regel Sicherheitlücken, die bereits in der Webplattform oder Erweiterungs-Architektur stecken. Das heißt, diese Lücken existieren auch unabhängig von pdf.js und müssen sowieso behoben werden, wenn sie bekannt werden. Das ist schonmal ein großer Sicherheits-Vorteil.
Ein weitere großer Sicherheits-Vorteil ist der, dass der Angriffs-Vektor über die NPAPI-Schnittstelle und Drittanbieter-Plugins komplett wegfällt, von außen können also keine zusätzlichen Sicherheitslücken eingebracht werden. Wenn Sicherheitslücken existieren, müssen diese wirklich in Firefox sein, sind dann aber auch vollständig unter Mozillas Kontrolle und können von Mozilla behoben werden.
Dass keine Sicherheitslücken über ein NPAPI-Plugin eingeführt werden, trifft natürlich auch auf PDFium zu, im direkten Vergleich von pdf.js und PDFium ist das also weniger ein Thema. Natürlich sind diese Sicherheitslücken dann nicht unter Mozillas, sondern unter Googles Kontrolle und Mozilla wäre heir von Google abhängig. Man kann über Google manches Schlechtes sagen, aber um Sicherheit kümmern sie sich zumindest, da würde ich mir also wenig Sorgen machen. Aber was ich im ersten Absatz schrieb, ist auch gegenüber PDFium ein nicht zu verachtender Vorteil.