Software::Browser
Firefox-Erweiterungen durch abgelaufenes Zertifikat deaktiviert
Einen schwerwiegenden Fehltritt hat sich Mozilla geleistet, das das Ablaufen ausgerechnet des Zertifikates, mit dem Firefox-Erweiterungen signiert sind, verschlafen hat. Bei zahlreichen Benutzern hat Firefox daraufhin die Erweiterungen deaktiviert. Für Tor-Benutzer kann dies den völligen Verlust der Sicherheit bedeuten.
Mozilla
Viele Firefox-Benutzer mussten ein böses Wochenende erleben, als Firefox beim Start oder sogar im laufenden Betrieb meldete, dass die installierten Erweiterungen keine gültige Signatur besäßen. In der Konsequenz deaktivierte Firefox alle (oder alle bis auf die lokal installierten) Erweiterungen der Benutzer. Damit war zugleich der Schutz vor JavaScript, Werbung und vieles mehr dahin, der durch Erweiterungen wie NoScript, UBlock und ähnliche gewährleistet wird. Besonders hart sind Tor-Benutzer betroffen, deren Sicherheit ganz entscheidend von den mitgelieferten Erweiterungen des Tor-Browsers abhängt.
Der Vorfall führte schnell zu zahlreichen Einträgen im Bugtracking-System von Mozilla und wurde von einem Benutzer passenderweise armagadd-on-2.0 bezeichnet. Die Ursache des Problems bestand darin, dass das Zertifikat, mit dem Mozilla zentral alle Firefox-Erweiterungen signiert, abgelaufen war. Es hätte bereits vor etlichen Wochen erneuert werden müssen, was Mozilla offensichtlich verschlafen hat.
Mozilla äußerte großes Bedauern über den Vorfall und informierte die Anwender in einem stetig aktualisierten Blog-Beitrag über die laufenden Maßnahmen zur Behebung des Problems. Eine als schnelle Abhilfe gedachte Maßnahme dürfte allerdings bei vielen Benutzern für noch mehr Stirnrunzeln gesorgt haben. Mozilla nutzte nämlich das Studien-System, um kurzfristig einen »Hotfix« in den Browsern zu installieren. Vielen Benutzern dürfte gar nicht bekannt gewesen sein, dass es in Firefox eine solche Hintertür gibt, und die wenigen, denen dies bewusst war, dürften diese Option bereits deaktiviert haben, was in den Einstellungen unter zu finden ist. Diese kurzfristige Lösung war allerdings nur für die Desktop-Ausgabe des Browsers, nicht für Android verfügbar, und blieb bei einigen Anwendern auch wirkungslos.
Echte Abhilfe schaffte erst die neue Version 66.0.4 von Firefox, die inzwischen veröffentlicht ist. Sie sollte die deaktivierten Erweiterungen wieder aktivieren. Die Benutzer werden gebeten, keine Erweiterungen zu deinstallieren, da sie damit Daten verlieren könnten, sondern das Update einzuspielen. Benutzern von Tor nützt dies nichts, da eine ältere Firefox-Version zum Einsatz kommt. Für diese Benutzer ist ein Workaround möglich, während sie auf eine neue Version von Tor warten.
Die Maßnahme von Mozilla, nur noch von Mozilla selbst signierte Erweiterungen zuzulassen, stand von Anfang an in der Kritik, die sich durch den Vorfall wieder verstärkt. Einige Kritiker sehen sie als unvereinbar mit den Prinzipien der Freiheit an, für die sich Mozilla einsetzt. Sogar von der lokalen Festplatte installierte Erweiterungen sollten auf ihre Signatur geprüft werden, was einige Distributionen wie Debian aber abgestellt haben. Darüber hinaus klagt so manch ein Benutzer, dass immer mehr Optionen in Firefox einfließen, die die Privatsphäre gefährden, ebenso wie immer mehr Telemetrie, und es immer aufwendiger werde, das alles zu blockieren. Trotz alledem sei aber Firefox unter allen Browsern noch die am wenigsten schlimme Option.
){kind=logo}
