Firefox Addon Bug geht in Runde 2

Oh ja, Ihr dachtet es wäre vorbei? Der Zertifikatbug bei Mozilla wäre behoben? Weit gefehlt! Muahahar

Gegen 23:10 Uhr MESZ: Rückspiel

kam der Gegenschlag. Mozilla hat seit einigen Stunden signalisiert, daß das Problem behoben wäre. Mozillas Automatismus sollte das Problem genauso leicht beheben, wie es verursacht wurde.

Leider flogen gerade (23:10 Uhr) alle Plugins wieder in den Legacy Modus und liessen sich nur durch das Aktivieren und erneute Deaktivieren des KeySignings wieder zum Laufen bringen!

Also erneuerte Anleitung:

In der about:config einfach die Signaturenprüfung wieder anschalten:
xpinstall.signatures.required = true

und wieder abschalten:
xpinstall.signatures.required = false

Der FireFox braucht nicht neugestartet zu werden, aber die einzelnen Tabs müssen ggf. neu geladen werden.

1.Update: 5.5.2019

FireFox für Android schaltet alle Addons in den Legacy-Modus um, auch hier hilft wieder der Workaround von oben. Spannend daran ist, daß FireFox das erst beim Zweiten Start heute morgen gemacht hat. Aus Entwicklersicht ist das etwas merkwürdig.

2.Update: 6.5.2019

Seit gestern kursiert die FireFox Version 66.0.4 durch die Medien, diese soll das Problem jetzt endgültig lösen.

3.Update: 6.5.2019 15:00 Uhr

Ganz frisch aus dem Build Ofen von Fedora, FireFox 66.0.4-1 FC28 … geht!

Download:

Fedora 28: https://koji.fedoraproject.org/koji/taskinfo?taskID=34672367
Fedora 29: https://koji.fedoraproject.org/koji/taskinfo?taskID=34672363
Fedora 30: https://koji.fedoraproject.org/koji/taskinfo?taskID=34672350

ask.fedora oder wie man sich selbst entlistet

Vorgestern war es soweit, in einer Ankündigung per EMail wurde bekannt, daß ask.fedoraproject.org ( Am.d.R. absichtlich kein Link gesetzt ) auf von AskBot auf Discourse umgestellt wurde. Entgegen der Emailankündigung, daß dies in den nächsten Tagen stattfinden würde, war es bereits kurz nach Eintreffen der Emails soweit: Das alte AskBot System war nicht mehr.

Wie kam das? Tja, wenn man einen Tag braucht, die Email zuzustellen, dann muß man sich nicht wundern:

Delivery-date: Tue, 30 Apr 2019 15:34:19 +0200
Date: Mon, 29 Apr 2019 09:53:40 +0100
...
Received: from mailman01.phx2.fedoraproject.org (localhost [IPv6:::1])
	by mailman01.phx2.fedoraproject.org (Postfix) with ESMTP id EC9BE570AAB9F;
	Tue, 30 Apr 2019 13:33:25 +0000 (UTC)
Received: by mailman01.phx2.fedoraproject.org (Postfix, from userid 991)
	id A239457094F0D; Mon, 29 Apr 2019 08:53:45 +0000 (UTC)

War wohl „Postfix down!!!“ oder so ähnlich 😀 Argwöhnische Menschen würden vielleicht eine „Nacht und Nebelaktion“ vermuten, weil „Kein Widerstand“, und auch weil plötzlich andere User Fragen beantworten…

Von AskBot zu Discourse

Da sich bei der bloßen Erwähnung von Discourse alle Nackenhaare sträuben, wollte ich als Fragenhelfer mal nachsehen. Es war so schlimm wie befürchtet. Im „erste Schritte“ Text nebst Ankündigung kann man lesen, daß nicht nur alle alten Beiträge vernichtet wurden, also die Antworten auf Fragen, die die Leute bei Google gefunden und auf just jene Seite gebracht haben, sondern das auch das Beantworten von Fragen nicht mehr der „Fokus der Plattform“ wäre, sondern das Gespräch im Mittelpunkt steht.

Mit anderen Worten, ein neues, schier endloses Laberforum soll dort entstehen. Ein Grund wieso der alte Content nicht umgezogen wurde ist, sie hätten die unbeantworteten Fragen und die ganzen Dubletten nicht umziehen wollen, kann man glauben, muß man nicht. Fest steht aber auch, das AskBot echte Defizite beim Handling und der Geschwindigkeit hatte! z.B. So ein unerklärliches Auto-Html-Reformat-Problem mit 3 Minuten Verzögerung. Naja.

Labern statt helfen

Wer wie ich da täglich drauf war, weiß wie oft da Fragen ala „Ich müßte mal wieso wieso ich bei F{..irgendwas  3-20 Jahre alt} blah nicht mehr will, oder Upgrade geht nicht, oder …“ kommen. Natürlich bezog sich das primär alles auf aktuelle Versionen, aber so wenige waren es dann doch nicht, daß man es sich leisten kann, die bereits gelösten Probleme nicht zu importieren. Am meisten kotzt mich an, daß da auch brillante Analysen von Problemen drin waren, so daß andere User Fehler auch mal selbst um 3 Uhr nachts ohne Hilfe suchen konnten. Alles weg und das ohne die Helfer, die sich da mühselig Karma aufgebaut haben, auch nur zu fragen!

Da jetzt primär Leute die Labern wollen, statt Probleme zu lösen, Posts schreiben, wars das dann für mich. Die Leute die bislang da (Discourse) gepostet haben, hat man im AskBot vorher übrigens nicht gesehen. Angeblich sind es ja die gleichen Logins, also müßte ich die ja sonst wiedererkennen.

Ich überlege gerade, ob man nicht ein deutsches Ask aufziehen sollte, ganz ohne Laberecke. Cool wäre ja mit direkter Anbindung an Bugzilla 😀 Wie oft ich das beim AskBot schreiben mußte: „Mach nen Bugreport auf“ ist auch rekordverdächtig gewesen ;D

Also RIP Old ASK.. , Phönix wird auch für Dich kommen.

Linux nicht der Rede wert, Heise?

Wir schreiben den 9.4. 2019 und Heise hat folgenden Aufmacher :

c’t Security 2019: Zu viel Sicherheit kann schaden

In dem Inhaltsverzeichnis der c’t Security Ausgabe 4.2019 fehlt eine OS Gruppe: Linux. Ist das jetzt gut oder  schlecht, daß die neue c’t  Security Linux als eigen Punkt ausspart ? Ich habe die Gelegenheit benutzt und bei der Heiseredakteurin Ilona Krause nachgefragt.

… jetzt müßte eigentlich Jepardy Musik kommen …

Die Zeit verfliegt …. über die Straße ins Baugebiet…

… „und am Fenster zieht Wolfsburg vorbei“ …

Tja, 9 Tage später und keine Antwort von Frau Krause.

Dann hier aus Transparenzgründen die Fragen, damit nicht einer glaubt, daß diese unzumutbar gewesen wären:

Gesendet am 9.4.2019:

Guten Tag Frau Krause,

Sie haben heute die neue c’t Security 2019 vorgestellt. Ich nehme an, Sie haben sich auch mit dem Inhalt beschäftigt.

Ich hätte da vorab einige Fragen an Sie, da die Ausgabe ja noch nicht erhältlich ist. Die Antworten sollen in meinem Blog veröffentlicht werden, daher bitte nur antworten, wenn Sie damit einverstanden sind. Frage und Antworten werden ungekürzt und unbearbeitet übernommen, außer Grammatik und Rechtschreibung 😉

1.  In der Abteilung Sicherheits-Checklisten wurden einige Betriebssysteme aufgeführt, eins aber ausgelassen: Linux. Wieso?

2. Kann man für Linux eine Antischadsoftwarelösung empfehlen, die wirklich funktioniert?

3. Sie führen in den Checklisten eine Software auf, die vom Amtsgericht Bad Hersfeld als gesetzeswidrig eingestuft wurde: WhatsApp.

Empfehlen Sie diese ganz zu löschen oder unterstützen Sie die Bürger und Bürgerinnen aktiv bei Gesetzesverstößen 😉 ?

( Anmerkung: Mir ist natürlich auch klar, daß es die User sind, die sich dessen nicht klar sind und deswegen gegen Gesetze verstoßen. Die Frage lautet also eigentlich: Müßte man das totschweigen, um nicht
aktiv bei der Verbreitung mitzuwirken? )

4. In der Vergangenheit haben die c’t Redakteure z.b. im Uplink 22.9 bereits über die USB-Stick Verschlüsselung diskutiert.

Kleine Zusammenfassung:
https://marius.bloggt-in-braunschweig.de/2018/07/02/wie-man-besser-usb-sticks-verschluesselt-mit-linux/

Hat sich die Meinung der Redaktion im Vergleich zum Uplink 22.9 geändert?
Seht Ihr LUKS jetzt als eine Alternative an ? (Bitte mit Begründung.)

5. und letzte Frage:  Wieso gibt es keinen Artikel mit dem Thema
„Sicherheit durch Umdenken – Eine Liste mit Dingen, die man einfach nicht macht“ ?

Mir schwebt da so das übliche vor:

„Attachments nur von Emails öffnen, die man selbst angefordert hat“
„Nicht auf jeden Link klicken, ohne die Maus vorher drüber gehalten zu haben“
„Nicht jede App einfach installieren, gerade wenn die nur 100 Downloads hat.“
„Betriebssysteme einsetzen die nicht selbst schon Spionagetätigkeiten durchführen.“
„Eine Smart-Alarmanlage bei Aldi kaufen“
„Den Kühlschrank nicht ans Internet hängen“

so in der Art. Die eine oder andere These wird sicherlich in einem Spartenbeitrag enthalten sein, z.B. NoScript in Seite 143 Webbrowser. Die Frage die sich mir stellt ist, wäre eine Not-Todo-Liste nicht die bessere Herangehensweise, weil diese das Konzept der „Sicherheit durch Hirneinschalten“ sehr viel besser abbilden würde und so zu einem langfristigen Umdenken der Leser führt, statt zu dem Gedanken „Technik macht das schon“, der ja nachweislich falsch ist ?

Ich freue mich jetzt schon auf Ihre Antwort.

 

Jetzt Ihr alle selbst urteilen, ob es so clever war, nicht darauf zu antworten, oder ob ich mich im Ton oder den Fragen vertan habe.

Kleine Anmerkung zu WhatApp:

Das Gericht hat die pauschale und ungehinderte Weitergabe der Kontaktdaten aus dem Telefonbuchs des Handies an WhatsApp als gesetzwidrig erkannt und daraus abgeleitet, daß der Einsatz von WhatsApp SO nicht erlaubt ist. Wenn man vor der Installation von WhatsApp die Kontakte gefragt hat und alle zugestimmt haben, wäre es erlaubt.

Nur dieser letzte Umstand rettet WhatsApp vor dem Status: „illegal“. Aber da kaum jemand seine Kontakte vorher fragt, wird das halt eigentlich in der Praxis „nicht legal benutzt“, daher müßte man das ja mal breiter aufklären und deswegen auch die Frage 😉