Firefox Update 57 -> 96 – keine gute Idee

Admins reden sich den Mund fusselig, aber einige Benutzer interessieren sich einfach nicht für Updates der von Ihnen genutzen Software. Was das für Firefox bedeuten kann, beleuchten wir heute.

Firefoxupdate 57 -> 96 – keine gute Idee

Vor ein paar Wochen sollte ich einen defekten Laptop retten.. es war hoffungslos :

Totalschaden

Da haben wir, auch aufgrund des Alters, einfach einen neuen bestellt. Leider hatte der neue nur noch M2 Schnittstellen, aber keine internen SATA Anschlüsse mehr. Also mußte das OS auf eine SSD geclont werden, was an sich eine leichte Übung ist.

Das N15 Acer Extensa EX215-51-52AW

Das mit einem i5 10te Generation, 8GB Ram sowie 256 GB M2.SSD ausgestattete ist ein nettes Gerät, wenn man denn Linux darauf installieren könnte. Natürlich habe ich eine LiveDisk reingesteckt, konnte aber die versprochene SSD nicht finden, egal mit welcher Distro ich es probierte 🙁 Auch im Bios tauchte das Gerät nicht auf. Sachen gibt es.

Stunden später tauchte einem ACER-Forum ein Beitrag auf, daß jemand glaubt vergessen hatte, den Raidmodus des Controllers auf AHCI umzustellen, nur leider gab es da keine Möglichkeit zu im Bios des Geräts.. dachte ich.. eine Weile.. dann stolperte ich immer wieder über diesen Artikel und beiläufig erwähnte jemand eine geheime Tastenkombination, die diesen Wechsel überhaupt erst möglich machte.

Und tatsächlich, die Kombination gab es wirklich: CTRL-s

Danach war es ganz leicht, weil sich die SSD endlich meldete. Ein externer SATA-Adapter und ein DD später bootete das Laptop die bisherige Installation. Datenverluste: 0.00 .. so lob ich es mir. Dann der Schock, nicht ganz so unerwartet 😉 Das installierte OS hatte seit 5 Jahren keine Updates gesehen. Eine wandelnde Sicherheitslücke. Installiert war noch Fedora 25 und somit ein Firefox 57, was uns zum eigentlichen Thema des Artikels führt 🙂

5 Jahre keine Updates

Natürlich habe ich in großen Schritten von Fedora 25 auf Fedora 35 aktualisiert. Das Laptop ist echt schnell, also haben 5 Distributionsupgrades nur 2h gedauert ( man muß es ja auch mal runterladen ). Dabei wurde der Firefox von 57 auf 96 aktualisiert, allerdings nur der Firefox, nicht das Profil. Als der Kunde dann seinen neuen Laptop ausprobierte, waren alle Bookmarks, Logins und Passwörter weg. 5 Jahre ohne Updates gehen an keinem Programm spurlos vorbei. Merke: UPDATEN ! UPDATEN ! UPDATEN !

Nun waren die Logins und Passwörter noch in den Profildatenbanken enthalten, es kam aber nichts mehr raus, und kurioserweise ging auch nichts mehr rein.Die übliche Lösung, ein neues Profil anlegen und Key4.db, logins.json und places.db zu kopieren, half nichts, also mußte Mozilla ran. Zur großen Überraschung von den beteiligten Mozilla Devs gab es den Fehler auch bei Ihnen: Beweisvideo von Mozilla

Ein paar Wochen später stand fest: Man kann nicht von 57 auf irgendwas 73+ updaten, ohne daß es zum kompletten Verlust kommt. In Version 72.0.2 wurden die Datenbanken des Profiles intern umstrukturiert und sind damit zu früheren Versionen inkompatibel.

Der Workaround

Der Workaround sieht vor, einfach auf Version 72.0.2 zu downgraden, den dort befindlichen Updatevorgang durch Start von Firefox zu aktivieren und dann die Versionen wieder auf 96, oder jetzt schon 97, hochziehen.

Mit Fedora ist das eher schmerzlos von einem erfahrenen Benutzer zu machen, für Laien aber zu schwierig. Da der Kunde alle seine Passwörter schon von Hand eingegeben hatte, was auch nicht ganz ohne war, gab es für Mozilla und mich nichts mehr zu tun.

Gehen wir das mal theoretisch durch:

su root
dnf downgrade firefox –releasever=32
exit
firefox
su root
dnf update firefox -y

Das wäre es schon. Es könnte sein, daß auf dem Weg noch andere Pakete mit downgegraded werden müssen, was im Einzelfall bei der Zeitspanne von 2,5 Jahren echt spannend sein wird. Natürlich gibt es eine bessere Lösung:

Installiert Euch ein altes System in eine CHROOT-Umgebung 🙂

DNF ist in der Lage eine komplette Basisinstallation in ein beliebiges Verzeichnis vorzunehmen, einfach mit –installroot pfadname angeben. Wenn man da Firefox als Wunschpaket mit angibt, dann zieht das alle Pakete nach, die man dazu braucht, auch einen Desktopmanager usw. Achtet darauf, daß es der gleiche ist, wie der, der gerade läuft, weil Ihr dann natürlich kein System im System mehr startet müßt, was eh nicht geht.

In der Chroot-Umgebung wird dann einfach das alte Profil ins Home kopiert und der Firefox gestartet. Problem gelöst.

Noch bessere Methode

Nichts geht über eine Iteration von Ideen hinaus, oder? 🙂 Vergesst einfach die Chroot, ist viel zu viel Aufwand dafür. Macht Gnome-Boxen auf, startet eine alte, versionsmäßig passende, LIVE-Disk von Eurer Distro, aktualisiert den Firefox auf die 72.0.2 und dann schiebt z.b. per SCP das Profil in die Box und startet den Firefox. Idealerweise legt Ihr vorher noch passend einen Benutzer gleichen Namens an, damit die Pfade stimmen, aber das sollte auch ohne gehen. Danach das geänderte Profil in Eurer Home verschieben. Fertig.

An die Updatemuffel dieser Welt

Eure Strategie ist genauso, wenn nicht noch, riskanter als einfach die Updates mitzumachen!

Sollte nämlich mal ein Update unter Linux nicht laufen, kann man mit einem einfachen Downgrade zurück und schon geht es wieder, außer der Bug wäre in einer Version wie 72.0.2, die die Datenbank an das neue Format anpasst, dann ist das Profil erst einmal unbrauchbar geworden. Deswegen.. Backups! Backups! Backups!

Linux – Wie man den Kontrast einstellt

Das Display ist zu hell eingestellt und man möchte das Ändern.Nur können vor lachen.

Die Odyssee

Da durchsucht man natürlich zuerst einmal die Einstellungen und findet den Bildschirmeinsteller. Kuckt rein, keine Anpassungen möglich. Farbe vielleicht ? Hmm, da kann man Farbprofile laden, wenn man denn ein passendes hat.
Aber Kontrast einstellen, Helligkeit regeln Fehlanzeige.

Die Lösung in der Konsole

Wem sein Bildschirm zu hell ist, der kann es mit dem xorg-x11-server-utils Befehl xgamma direkt benutzen:
[desktopuser] # xgamma -gamma 0.7

1.0 wäre normal, > 1 kontrastreicher, < 1 kontrastärmer

Natürlich kann das Tool das auch für jede Farbe einzeln die Werte setzen, aber das ist ja nicht Ziel der Übung.

Wie bekommt man das jetzt rebootfest ?

Da gibt es eine kleine Datei namens „.xinitrc“, in die werden wir den Befehl eintragen. Bei jedem Start, wir das geladen und ausgeführt, so daß dieser Wert später auch wieder gilt.
#!/bin/bash
xgamma -gamma 0.7

Via Desktopeinsteller

Jetzt ist das natürlich für Nichtkonsoler nicht so der Weg, den man sich wünschen würde. Ich selbst hätte es auch gern als Anwendung in den Systemeinstellungen gefunden. Da kommt uns Cinnamon leider so gar nicht entgegen. Es gibt zwar ein Desklet, also eine Erweiterung für die Leiste, aber leider nicht für die Systemeinstellungen, obwohl es genau da hin gehört.

Einfach mal danach in den Applets suchen und es installieren. Ihr bekommt dann ein neues Icon in die Leiste, mit de rsich die Helligkeit und das Gamma einstellen lassen. Nicht toll, aber immerhin, es geht.

Warum Kameras abkleben nicht reicht

Im diesem TheHackerNews Artikel wird FBI Director Comey mit den Worten zitiert :

[Zitat aus obigem Artikel]

meint übersetzt : „Es ist nicht verrückt, daß der FBI Director sich um seine persönliche Sicherheit sorgt.“ „Wenn man in ein Regierungsbüro geht, hat man da überall diese kleinen Kameras sitzen, und die haben alle so einen kleinen Schieber (über der Linse war wohl gemeint), der sich daüber schliesst, so das nicht autorisierte Personen einen nicht ansehen können. “

Ähmm.. also.. Lieber Herr Comey, wenn die Hacker schon soweit gekommen sind, daß die Zugriff auf Ihre Kamera haben, dann würde ich mir andere Sorgen machen, als das mich jemand sehen könnte ! Das Mikro wäre dann auch in Schlagreichweite und der Inhalt der Festplatte sowieso. Ihre obige Aussage zeigt ein kindgleiches Verständnis von Sicherheit, daß ganz offensichtlich nicht über das Niveau von „Wenn ich es nicht sehen kann, sieht es mich auch nicht.“ hinaus geht.

Lieber Leser, wenn ein Angreifer es schafft Ihre Kamera zu benutzen, geht auch das Mikrophon und das ist noch viel schlimmer, denn das ist IMMER an. Der wahrscheinlichste Fall, so einen Zugriff zu bekommen, wird ein Hack der Webbrowser sein. WEBRTC ist ja der ganz große Hype grade und da ist das letzte Wort mit Schwachstellen noch lange nicht gesprochen.

Sollte es nicht der Browser sein und jemand kommt an die Kamera, gilt obiges Mikrophone Problem auch. Selbst wenn als Einfallstor eine dieser schlampig programmierten „Machen Sie Ihren PC in Abwesenheit zu einer Sicherheitskamera Ihres Zuhauses“ Anwendungen sein, die mit der billigen China WebCam mitkommt. Deren Sicherheitskonzept ist meistens gar nicht erst vorhanden.

Und wenn sowas gar nicht drauf ist und die Kamera geht an, dann klebt man die nicht ab, sondern zieht den Netzwerkstecker raus und läßt seinen PC vom IT-Forensiker analysieren!

Sicherheit fängt natürlich ganz unten an:

  1. Ich brauche ein sicheres Desktopsystem, das seine Nutzer nicht ausspioniert.
  2. Ich installiere auf keinen Fall eine Software für den Remote-Zugriff auf meine WebCam, deren Sourcecode keiner überprüfen kann.
  3. Ich gebe meinem Router nicht die Erlaubnis, von außen auf meinen PC zu gelangen
  4. Wer sein Mikrophone und die WebCam nicht braucht, könnte sie einfach abstöpseln.
  5. Wenn ich einen unrechtmäßigen Zugriff feststelle, verschliesse ich nicht die Augen und rede mir alles Glück der Welt ein, sondern ich schlage Alarm.