Pinephone: Firefox Addons wieder gangbar machen

Moin, Moin,

wer auf dem Pinephone alle Fedora Updates eingespielt hat, wird jetzt aktuell keine Addons mehr haben, weil die systemweiten Crypto-Policies dies unterbinden.

Pinephone: Firefox Addons wieder gangbar machen

Wie Ihr diesem früheren Beitrag hier entnehmen könnt:

NSS 3.59 bricht mit SHA-1: Firefox Addons betroffen

Hat die Einstufung von SHA-1 als unsicherer Hash-Algorithmus zur Folge, das die Zertifikate zum Signieren von Firefox Addons nicht mehr akzeptiert werden, aber viele Addons von Mozilla noch nicht mit sha256 signiert wurden. Das nss 3.59.0-3 Paket, das diese Beschränkung temporär wieder aufhebt, hat es leider nicht auf Rawhide geschafft, weswegen Firefoxaddons jetzt nicht mehr funktionieren.

Allerdings kann man da selbst Abhilfe schaffen. Einmal Root werden und folgendes eingeben:

update-crypto-policies –set DEFAULT:FEDORA32
reboot

Nun läuft das Pinephone auf einem etwas entspannteren Modus. Das darf natürlich nicht ewig so bleiben. Wir warten lediglich bis es ein Firefoxupdate gibt, daß die NO-SHA1 Policy für Firefox ignoriert, bis die ganzen Addons neu signiert wurden. In dem Augenblick können wir die DEFAULT Policy wiederherstellen ( update-crypto-policies –set DEFAULT ).

Doch noch einen weiterer Pinephone Beitrag vor Silvester geschafft 🙂

 

NSS 3.59 bricht mit SHA-1: Firefox Addons betroffen

Kleine Warnung, falls Ihr auf Eurem System nss zur kryptografischen Absicherung einsetzt, und das werden einige von Euch sein: Eure Firefox Addons werden nicht mehr funktionieren.

NSS 3.59 bricht mit SHA-1: Firefox Addons betroffen

Wer auf seinem System nss drauf hat, sollte sich auf einige gefasst machen. Wenigstens für Fedora wurde die Policy von nss mit der Version 3.59 so verschärft, daß keine Checksummen mehr mit SHA-1 erlaubt sind. Das wirkt sich dramatisch auf Plugins von Firefox aus, da dort noch viele Addons unter Verwendung von SHA-1 signiert sind.

Fedora hat die Verteilung von nss 3.59 daher vorläufig eingestellt.

Falls bei Euch bereits nss 3.59 in der verschärften Version installiert ist und Eurer Firefox über die Addons meckert, dann gibt es leider nur einen Weg: alle Addons löschen und frisch installieren.

Ein Rücksichern alter Firefoxprofile und downgraden von nss ist laut Berichten auf der Fedora Mailingliste leider nicht unmittelbar von Erfolg gekrönt. Möglicherweise wird Löschen und neuinstallieren der einzige Weg bleiben.

Firefox Addon Bug geht in Runde 2

Oh ja, Ihr dachtet es wäre vorbei? Der Zertifikatbug bei Mozilla wäre behoben? Weit gefehlt! Muahahar

Gegen 23:10 Uhr MESZ: Rückspiel

kam der Gegenschlag. Mozilla hat seit einigen Stunden signalisiert, daß das Problem behoben wäre. Mozillas Automatismus sollte das Problem genauso leicht beheben, wie es verursacht wurde.

Leider flogen gerade (23:10 Uhr) alle Plugins wieder in den Legacy Modus und liessen sich nur durch das Aktivieren und erneute Deaktivieren des KeySignings wieder zum Laufen bringen!

Also erneuerte Anleitung:

In der about:config einfach die Signaturenprüfung wieder anschalten:
xpinstall.signatures.required = true

und wieder abschalten:
xpinstall.signatures.required = false

Der FireFox braucht nicht neugestartet zu werden, aber die einzelnen Tabs müssen ggf. neu geladen werden.

1.Update: 5.5.2019

FireFox für Android schaltet alle Addons in den Legacy-Modus um, auch hier hilft wieder der Workaround von oben. Spannend daran ist, daß FireFox das erst beim Zweiten Start heute morgen gemacht hat. Aus Entwicklersicht ist das etwas merkwürdig.

2.Update: 6.5.2019

Seit gestern kursiert die FireFox Version 66.0.4 durch die Medien, diese soll das Problem jetzt endgültig lösen.

3.Update: 6.5.2019 15:00 Uhr

Ganz frisch aus dem Build Ofen von Fedora, FireFox 66.0.4-1 FC28 … geht!

Download:

Fedora 28: https://koji.fedoraproject.org/koji/taskinfo?taskID=34672367
Fedora 29: https://koji.fedoraproject.org/koji/taskinfo?taskID=34672363
Fedora 30: https://koji.fedoraproject.org/koji/taskinfo?taskID=34672350

aktueller FireFox mit Sicherheitsschwachstelle

Wie die Hacker News berichten, ist ein Angriff gegen aktuelle FireFox Browser möglich, bei dem Addons von den Angreifern  installiert werden können. Die Schwachstelle liegt im „Certificate Pinning“ Algorithmus, der entgegen der IETF Richtline anders als Empfohlen von Mozilla implementiert wurde. CP wird eingesetzt um sicherzustellen, daß man einem Seitenbesucher kein gefälschtes SSL Zertifikate unterjubeln kann, wenn dieser eine Webseite besucht. Mit anderen Worten, es merkt sich, wer welches Zert hatte.

Abhilfe schafft das Abschalten der automatischen Updates für Addons. Dazu in die Add-On-Verwaltung reingehen, das Werkzeugicon rechts oben ausklappen und auf „Manuelle“ Updates umstellen. Fertig.