Mozilla stelt verplichte ondertekening add-ons in Firefox verder uit

Mozilla stelt het verplicht maken van een ondertekening van het bedrijf bij add-ons uit tot versie 46 van de Firefox-browser. De ontwikkelaar wil onder andere eerst een add-on-gerelateerde functionaliteit in Firefox 45 introduceren alvorens de maatregelen definitief door te voeren.

Mozilla Firefox 2013 logo Mozilla kondigt aan dat het de invoering van de ondertekeningsverplichting uitstelt om meerdere redenen. Ten eerste wil het bedrijf in Firefox 45 de mogelijkheid introduceren voor add-on-ontwikkelaars om tijdelijk niet-ondertekende add-ons die geen restart vereisen te kunnen installeren. Daarnaast zegt het bedrijf hiermee ook alle add-on-ontwikkelaars de tijd te kunnen geven om een ondertekening van Mozilla te bemachtigen voordat versie 46 uitgebracht wordt.

Oorspronkelijk wilde Mozilla de maatregel vorig jaar al doorgevoerd hebben. Bij de huidige releaseversie van Firefox, nummer 43, zijn ondertekeningen van het bedrijf al een vereiste bij de installatie van een add-on. De optie is nu echter nog uit te schakelen voor wie dat wil: in het about:config-menu moeten gebruikers dan de xpinstall.signatures.required-string op false zetten. Wanneer Mozilla spreekt over het definitief verplichten van ondertekeningen bij add-ons, doelt het bedrijf op het verwijderen van deze optie. Ook add-ons die niet gehost worden bij Mozilla zullen dan ondertekend moeten zijn.

Het ondertekenen is een manier waarop Mozilla probeert te verzekeren dat add-ons voor zijn browser vrij zijn van grote bugs en malware. Sinds een klein jaar geleden is het bedrijf bezig met de overgang naar ondertekende add-ons. Toen zei Mozilla nog geen 'walled garden' te willen maken van zijn add-on-markt en dus zouden add-ons van buitenaf geen ondertekening hoeven te hebben. Uit een faq op de Mozilla-wiki blijkt echter dat het bedrijf inmiddels van dat standpunt af is gestapt. Versie 46 van Firefox staat gepland voor een release op 19 april van dit jaar.

Reacties (46)

Haas_nl 24 januari 2016 16:06

Als poweruser bepaal ik zelf wel welke addon ik kan vertrouwen.
Dus laat mij gewoon optie hebben om dat uit te zetten.
Want je krijgt dadelijk dat facebook of google Mozilla aanklaagt omdat een addon inbreuk maakt op hun policy en dat die er daarom af moet.

Anoniem: 421001 @Haas_nl • 24 januari 2016 16:15

Voorlopig is het nog uit te zetten. Maar ik zou er geen problemen mee hebben als het default ingeschakeld is. Een extra vlag toggelen na de installatie is nu ook niet echt een groot probleem mocht ik het zelf nodig hebben. En voor de gebruikers die de kennis hebben van een vlakgom, staat het dus gewoon standaard aan.

David Mulder @Anoniem: 421001 • 24 januari 2016 16:23

Punt is alleen dat het straks niet meer uit te zetten is. En ik moet zeggen, ergens begrijp ik het ook nog wel, want de browser is tegenwoordig toch wel makkelijk de meest belangrijke laag die beveiligd moet worden. En laten het juist add-ons en extensies zijn die het makkelijkst te installeren zijn en die laag kunnen compromisen. Of dat nou is door een gebruiker die het handmatig een slechte add on (trojan) installeert (inclusief instructies hoe een dergelijke flag uit te zetten, want die soort mensen heb je ja, want ze willen zo graag *vul hier iets semi-fouts in* doen en de add on ontwikkelaar gebruikt dat als excuus om ze te overtuigen door wat hoepels te springen. Dat zag je genoeg bij Chrome toen ze extensie installatie van buiten de store onmogelijk maakte) of add ons die zich installeren door third party software.

Haalt aan de andere kant natuurlijk niet weg dat de gebruiker dus een bepaalde hoeveelheid controle verliest. Dus op zich weer een klassiek geval waar je een afweging moet maken. In het verleden met Chrome toentertijd heb ik me er fel tegen uitgesproken, want ik dacht dat het toch niet effectief zou zijn tegen malware, maar uiteindelijk heeft het nog best goed gewerkt... kan dus ook zeker begrijpen dat Mozilla nu vergelijkbare stappen zet.

Anoniem: 693462 @David Mulder • 24 januari 2016 17:39

Firefox is vrije software, dat betekent dus dat gebruikers zowel individueel als collectief controle over de software en dus hun computeractiviteiten hebben. Van dat laatste zijn afgeleide browsers zoals Palemoon, Iceweasel en Icecat het voorbeeld, waarbij gebruikers de software (broncode) bestuderen en aanpassen aan hun eigen wensen. Dus in dat opzicht hebben gebruikers volledige controle over hun webbrowser.

De ondertekening van add-ons kan die vrijheid/controle inperken, maar met een nobel doel: onveilige add-ons buiten de deur houden. En natuurlijk kunnen gebruikers (individueel of collectief) een eigen versie maken die ook niet-ondertekende add-ons accepteert. Of de nighly installeren. Dus wat mij betreft is het zeer redelijk middel om op deze manier alleen ondertekende add-ons te accepteren, om de eindgebruiker te beschermen. Het zou fijn zijn als er in about:config een optie komt die de verplichte ondertekening uitzet, maar Mozilla is daartoe niet verplicht. Ze geven gebruikers namelijk al de essentiële vrijheden.

Anoniem: 16328 @Anoniem: 693462 • 24 januari 2016 18:07

In of uitschakelen zou een geavanceerde optie moeten zijn die je enkel via de flags kan bedienen. Werken met andere versies of een add-on om het te omzeilen is onzinnig. Voor leken is het niet zo gek, maar de vraag is wel hoeveel leken gebruiken überhaupt Firefox als je ziet dat de meeste mensen de oplossing van Google of Microsoft gebruiken.

cornedor @Anoniem: 16328 • 24 januari 2016 21:48

Het probleem is dan dat installers van malafiede add-ons ook die flag kunnen omzetten.

mae-t.net @cornedor • 24 januari 2016 22:02

Als een installer makkelijk bij de flags kan, is dat mogelijk een ontwerpfout. Hoe dan ook, dan heb je wel grotere problemen die voor de malware minstens zo interessant zijn om te exploiteren.

Eitot @Anoniem: 693462 • 24 januari 2016 18:22

Dat vind ik wel een mooi punt. Als je vooraf gecompileerde software downloadt en installeert, zul je vrijwel altijd de situatie blijven hebben dat er dingen inzitten die je niet wilt. Je hebt dan nooit volledige controle. In dat opzicht is Firefox niet wezenlijk anders dan Chrome, maar je kunt natuurlijk wel met de broncode aan de slag en de controle voor jezelf opeisen. Vrije software hoeft niet voor iedere wens een aparte schakelaar te hebben en als projectbeheerder is Mozilla in staat om hun product aan hun wensen aan te passen.

merlijn85 @David Mulder • 25 januari 2016 13:52

Het grote probleem met het verplichten van signed addons, is dat ik sommige addons helemaal NIET wil signen.

Mijn werkgever heeft vele honderden browser addons die intern gebruikt worden. Dit zijn addons die niet buiten het bedrijf gebruikt dienen te worden, en die ook als Interlectual Property worden gezien.

Om deze addons te signen zouden wij de source code aan Mozilla moeten geven zodat die dat kunnen analyseren en er een certificaat bij kunnen plakken - voor de ruime meerderheid van onze addons is dat licentie technisch absoluut onmogelijk.

Effectief betekend het voor mijn werkgever dat wij op oudere FF versies zullen blijven draaien, een eigen firefox fork zullen maken of geheel over zullen stappen op Chrome.

Ik hoop dat Mozilla nog eens goed nadenkt of de veiligheid van gebruikers het wel waard is om een groot deel van de userbase af te stoten. Wij hebben de vrijheid nodig om dit soort centrale processen te passeren en onze code binnen het bedrijf te houden.

David Mulder @merlijn85 • 25 januari 2016 14:04

Het is sowieso geen groot deel van de user base, want Chrome heeft ditzelfde gedaan zonder probleem (Chrome heeft de mogelijkheid om apps/extensies beschikbaar te maken alleen aan gebruikers van een bepaald 'domein'/bedrijf/school, maar het klopt dat je dan wel je code aan Google moet aanleveren). Klinkt ook wel apart dat het licentie technisch onmogelijk is... als het door het bedrijf zelf is ontwikkeld zou het geen probleem moeten zijn om het bij Mozilla gesigned te krijgen...

. Alleen als je add ons van een derde partij zou afnemen zou het lastig worden, maar gezien je zegt dat de IP bij je eigen bedrijf ligt zou een handtekening van de juiste persoon genoeg moeten zijn. Of ben je serieus bang dat Mozilla de code van die add ons gaat lekken? Want in dat geval zie ik dat véél eerder gebeuren door een gebruiker van de add on of virus dan dat bij een relatief simpele stap het signen van de add on.

merlijn85 @David Mulder • 25 januari 2016 14:21

Dit gaat om addons voor intern gebruik, die in veel gevallen zijn bedoeld om te werken met onze interne systemen die niet publiekelijk toegankelijk zijn. Kort gezegd zit er (zeer waarschijnlijk) informatie in de addons die gebruikt kan worden om zaken te weten te komen over onze interne netwerk structuur of onze manier van werken.

Vanwege interne policy mag die code niet buiten het bedrijf komen, en medewerkers mogen dat niet lekken doordat zij een Non-Disclosure Agreement hebben getekend.

Als een medewerker stomme dingen doet, en daardoor een virus krijgt die code lekt, is dat nog steeds een breuk van de NDA - waar potentieel hoge straffen op staan.

Het gaat niet perse om het feit dat we Mozilla niet vertrouwen, maar om het feit dat sommige van onze code niet het corporate netwerk mag verlaten.

David Mulder @merlijn85 • 25 januari 2016 14:38

Dat is waarom ik zei dat je wel het juiste handtekeningetje moest krijgen

. Als een gebruiker een virus krijgt en daardoor data gelekt word kun je hoog of laag springen, maar een NDA gaat je niet helpen

. Enige wat je kunt is die medewerker ontslaan (zolang hij het niet express deed natuurlijk). Dus wat uiteindelijk echt uit maakt is of die code wel of niet gelekt raakt, en dan zou ik als manager me meer druk moeten maken om m'n eigen werkgevers dan een stuk code van een organisatie die meer van security af moet weten dan bijna welk ook en wie ik eigenlijk al met de veiligheid van m'n organisatie vertrouw (je hebt hun software op al je computers staan

). Maar goed, managers doen soms random vage dingen, dus je weet het nooit

. ... Al moet ik zeggen dat op een fork overstappen (die mogelijk niet geupdate wordt en waar dus een vierde partij al je code kan compromisen (niet alleen Mozilla die dat al kon doordat ze je browser maakte, maar ook nog de fork maintainer)) of al je code herschrijven voor een platform met dezelfde beperkingen (Chrome) wel heel exceptioneel onhandig zou zijn.

[Reactie gewijzigd door David Mulder op 26 juli 2024 18:40]

Croga

@David Mulder • 24 januari 2016 16:42

Haalt aan de andere kant natuurlijk niet weg dat de gebruiker dus een bepaalde hoeveelheid controle verliest.

Het is maar net hoe je er tegenaan kijkt.....
Vroeger waren er überhaupt geen addons. Vergeleken met toen krijg je dus juist meer controle.
Nu is er de keiharde verplichting van Mozilla om zijn gebruikers te beschermen. Die keuze betekend dus óf géén addons, óf gecontroleerde addons. Die laatste biedt de gebruiker meer controle dan die eerste.

Ofwel: De gebruiker verliest alleen controle in vergelijking met de huidige, onveilige, situatie. De gebruiker heeft echter nog altijd meer controle dan hij in het verleden had.

F_J_K Forummoderator @David Mulder • 25 januari 2016 10:22

Het volslagen onmogelijk maken van niet-goedgekeurde add-ons maakt voor mij helaas erg lastig: 1 benodigde maar niet meer ondersteunde add-on, of 1 zelfgemaakte add-on, willen gebruiken maakt het updaten onmogelijk.

Ik snap het ook niet. Firefox was (in mijn ogen) meer voor de power user dan Chrome. Die doelgroep verliest men als ze power-mogelijkheden meer afnemen. Ik zal zoals het er nu naar uit ziet in ieder geval niet updaten - en dus tzt als mijn Firefox-versie een beveiligingsrisico wordt het niet meer als primaire browser gebruiken... Helaas, ik gebruik het sinds het in 2002 (?) nog Phoenix heette.

Beveiligingsvoordelen zijn slechts beperkt, zolang er ueberhaupt kan worden gedownload. Zelfs al zouden add-ons volledig onmogelijk worden, 'traditionele' malware doet het ook prima zonder add-on te zijn. Die malware komt gewoon via de browser binnen en wordt door de mensen die about:config niet weten te vinden nog steeds geopend.

matthijsln @David Mulder • 25 januari 2016 12:08

Helemaal eens met jouw post. In Amerika kunnen organisaties bedrijven als Mozilla enorm onder druk zetten om iets te censureren (security letter, geheime rechtbanken). We hebben natuurlijk de source code, maar ik zie meer iets in een soort onafhankelijk peer-to-peer controlesysteem.

Tweakers passen dit natuurlijk al wel toe en kijken op Tweakers, GoT etc wat anderen goede extensies vinden of niet. Offline peer-to-peer kan ook: help je onwetende ouders en familie hierbij. Doe je nog eens wat terug

LEDfan @Anoniem: 421001 • 24 januari 2016 17:37

Het leuke aan zo'n flag in hoogstwaarschijnlijk `about:config` is dat malware dit ontzettend makkelijk kan aanpassen. Je sluit firefox, opent `user.js` in het profiel van firefox en voegt een regeltje toe. `user_pref("pdfjs.disabled", true);` dit zal bijvoorbeeld de PDF reader uitschakelen.

jvdmeer @LEDfan • 25 januari 2016 08:06

Misschien moet er dan een keer voor worden gezorgd dat die user.js digitaal ondertekend wordt door Firefox. Dan kan het bestand i.i.g. niet buiten Firefox gewijzigd worden.

xrf @jvdmeer • 25 januari 2016 11:53

Dat zou betekenen dat het helemaal niet kan worden gewijzigd zonder handtekening van Mozilla. Dus zal er geen mogelijkheid meer zijn om je instellingen aan te passen zonder Mozilla's explicite, digitaal ondertekende goedkeuring.

johnkeates @Haas_nl • 24 januari 2016 18:29

Je kan ook gewoon zelf de addons ondertekenen en je CA toevoegen aan de whitelist...

rctgamer3 @johnkeates • 24 januari 2016 21:03

Dit gaat niet werken. De AMO (addons.mozilla.org) certificaten zitten ingebakken in Firefox.

headphoneguy 24 januari 2016 16:14

ik hoop dat mijn Pipelight/Silverlight plugin dit overleeft. Firefox is de enige browser die het nog ondersteund. Come on UPC Horizon, html5 please..

broodplank @headphoneguy • 24 januari 2016 16:21

echt he horizon.tv nog steeds silverlight.. maar volgensmij is het alleen de authenticatie die via silverlight gaat, als je ook in de source van de pagina kijkt kom je "hrzPlayer.js" tegen en als je met rechtermuisknop klikt op de video krijg je ook geen silverlight menu. Maar goed, alleen de auth in silverlight is al te veel imo

Anoniem: 6977 @headphoneguy • 24 januari 2016 17:03

We hebben het hier over de extensions add-ons, niet de plugins.
"Themes, dictionaries, language packs, and plugins don't need to be signed."

headphoneguy @Anoniem: 6977 • 24 januari 2016 17:09

goed om te weten. Had beter even kunnen lezen!

Soldaatje @headphoneguy • 24 januari 2016 16:29

Telfort ITV ook.
En HBO go.

Anoniem: 633773 @headphoneguy • 24 januari 2016 16:51

IE 11 ondersteunt het ook nog. (zit nog gewoon in windows 10, gewoon even de zoekfunctie gebruiken.)

259tim @Anoniem: 633773 • 24 januari 2016 17:00

Grappige bij mij is dat als ik IE probeer te openen op mijn computer via de zoekfunctie dat hij een nieuw tabblad in chrome opent, ben er nog steeds niet achter waarom

Anoniem: 633773 @259tim • 24 januari 2016 17:05

"C:\Program Files\Internet Explorer\iexplore.exe" toevoegen aan startmenu

maevian @Anoniem: 633773 • 24 januari 2016 22:07

Aangezien hij pipelight gebruikt zal hij wel met Linux werken, dus denk niet dat ie11 een optie is 😜

Mitsuko

Mozilla Firefox
Mozilla
Mozilla Firefox

24 januari 2016 18:07

In principe is het nodig om de optie eruit te halen, anders kunnen (normale) programma's waarbij add-ons gebundeld worden de optie uitzetten (en wordt de gebruiker weer vatbaar voor malware).

De vraag is natuurlijk wel hoeveel ondertekende add-ons bijdragen aan de beveiliging, aangezien je code zo kunt schrijven dat het gewoon alle checks van Mozilla doorstaat en toch nog malafide is. De maatregel laat in ieder geval geen goed gevoel achter.

Wel komt er geloof ik een alternatieve "unbranded" versie voor tweakers waarin de optie blijft bestaan. Overigens blijft de optie als ik me niet vergis sowieso altijd bestaan in Dev Edition en Nightly (Alpha 2 en Alpha 1 van aankomende versies).

[Reactie gewijzigd door Mitsuko op 26 juli 2024 18:40]

The Zep Man

Browsers
Mozilla

@Mitsuko • 24 januari 2016 19:42

In principe is het nodig om de optie eruit te halen, anders kunnen (normale) programma's waarbij add-ons gebundeld worden de optie uitzetten (en wordt de gebruiker weer vatbaar voor malware).

Waarom accepteren we niet gewoon bij voorbaat dat wanneer malware anders dan via de browser wijzigingen aan het systeem aan kan brengen, dat vanaf dat moment effectief de strijd al verloren is?

Kom op, een stuk malware kan ook een alternatieve Firefox binary installeren.

Wel komt er geloof ik een alternatieve "unbranded" versie voor tweakers waarin de optie blijft bestaan. Overigens blijft de optie als ik me niet vergis sowieso altijd bestaan in Dev Edition en Nightly (Alpha 2 en Alpha 1 van aankomende versies).

Klopt. Van deze pagina:

What are my options if I want to install unsigned extensions in Firefox?

The Developer Edition and Nightly versions of Firefox will have a setting to disable signature enforcement. There will also be special unbranded versions of Release and Beta that will have this setting, so that add-on developers can work on their add-ons without having to sign every build. To disable signature checks, you will need to set the xpinstall.signatures.required preference to "false".
type about:config into the URL bar in Firefox
in the Search box type xpinstall.signatures.required
double-click the preference, or right-click and selected "Toggle", to set it to false.

Dit versterkt mijn verhaal: een stuk malware kan ook de developer edition van Firefox ophalen en daar de binaries uittrekken en de betreffende instelling aanpassen.

Naar mijn mening zou het al veel toegevoegde waarde hebben om add-ons via andere sites standaard (en stilletjes) te blokkeren, en 'xpinstall.signatures.required' te gebruiken om deze bescherming uit te schakelen. Daarvoor hoeft echt de gewone versie van Firefox niet op slot. Maar ja, Mozilla maakt de laatste tijd wel vaker keuzes die tegenstrijdig zijn met hun gedrag van de afgelopen 10-15 jaar.

[Reactie gewijzigd door The Zep Man op 26 juli 2024 18:40]

Mitsuko

Mozilla Firefox
Mozilla
Mozilla Firefox

@The Zep Man • 24 januari 2016 22:27

Waarom accepteren we niet gewoon bij voorbaat dat wanneer malware anders dan via de browser wijzigingen aan het systeem aan kan brengen, dat vanaf dat moment effectief de strijd al verloren is?

Het punt is iets subtieler, hoewel ik het persoonlijk ook niet heel overtuigend vind. Het idee is dat de optie een stuk legitieme software in staat stelt om, voor het gemak, de verplichte ondertekening uit te zetten. Vervolgens komt de gebruiker op een malafide website en krijgt daarvan een stuk malware in de vorm van een add-on - die dus alleen geïnstalleerd kon worden omdat die andere software (waar Mozilla geen controle over heeft) de duur open had gedaan.

Je kan je echter afvragen hoe waarschijnlijk dit scenario is. Mozilla zouden ook hun best kunnen doen om legitieme software die een niet-ondertekende add-on installeert een slechte naam te geven. Daarmee vang je waarschijnlijk de meest populaire gevallen in Engelstalige gebieden, maar populaire software in andere landen misschien niet.

FlemishDroid 24 januari 2016 18:15

Fedora Linux dacht er zelfs aan om Firefox te verwijderen als standaard browser in Fedora. Al zijn er nog andere mogelijkheden zoals bv Firefox vervangen door Iceweasel.

http://www.phoronix.com/s...x=Firefox-Fedora-Unsigned

RoestVrijStaal @FlemishDroid • 25 januari 2016 00:11

Ach, er zijn nog absurdere dingen binnen het Fedora project gebeurd

PDZ 24 januari 2016 21:40

Laat ik nou net in Firefox gebruik maken van een niet ondertekende add-on. Iemand enig idee hoe ik dit straks op kan lossen?

280562 @PDZ • 24 januari 2016 22:08

Kijk eens naar Palemoon.
https://www.palemoon.org/

De maker van Palemoon begon met het zelf compileren van de FireFox open-source source-code. Om een 64-bit browser te maken. Echter, omdat Mozilla wel vaker onzinnige dingen doen, is hij met Palemoon steeds verder van Firefox verwijderd. De render is nog steeds die van Firefox, alle security-fixes gaan er in, etc. Echter, een aantal onzinnigheden van de "moderne" Firefox zitten niet in Palemoon. En de maker belooft dat hij die onzin ook niet in Palemoon zal toelaten. Het resultaat: oude addons werken nog steeds. De API voor addons is nog steeds dezelfde van voor de nieuwe UX (User Experience) omschakeling.

Ik zie het zo: FireFox is voor iedereen die het verschil niet weet tussen een bit en een byte. Secretaresses, marketing mensen, je ouders, noem maar op. Palemoon is voor power-users.

Ik gebruik Palemoon zo'n 3 jaar nu. Alleen maar positieve ervaringen. Sinds een maand of twee moet ik op m'n werk FireFox gebruiken (enige alternatief is IE). Veel meer gelazer. Doe mij maar Palemoon. Er is ook een Palemoon-versie voor Android. Die is echter toch vrij anders dan de Windows/Unix browser, omdat FireFox voor Android een geheel andere sourcecode heeft. Toch verkies ik ook Palemoon op Android boven alle andere browsers.

PDZ @280562 • 27 januari 2016 18:16

Ik heb er eens naar gekeken en het lijkt me wel wat, nu zijn er wel language packs beschikbaar, maar helaas niet in mijn eigen taal. Firefox heeft wél een language pack in mijn taal. Kan ik de language packs van Firefox ook gebruiken voor Pale Moon?

280562 @PDZ • 27 januari 2016 19:30

Geen idee.
Als Palemoon zijn eigen language packs heeft, dan vermoed ik dat de standaard-packs van FireFox niet werken. Waarom anders een Palemoon-specefiek pack maken ?

Je kunt altijd gewoon probleren. Palemoon installeren, language pack proberen te installeren. Als het niet lukt, verwijder je gewoon de hele boel, en installeer je Palemoon opnieuw.

Er is ook een Palemoon forum. Misschien kun je het daar vragen.

remco8264 24 januari 2016 17:04

Versie 45 wordt ook de nieuwe ESR (extended support release). Daarmee is het dus nog verder uit te stellen tot begin 2017 (in ieder geval, volgens de blog is nog niet bekend of de switch in toekomstige ESR-versies zal blijven).

[Reactie gewijzigd door remco8264 op 26 juli 2024 18:40]

MadEgg 24 januari 2016 17:36

Heb het nog steeds weten uit te zingen met Firefox ondanks het steeds grotere bloatware-gehalte maar als een dergelijke instelling verwijderd wordt is het toch echt eind verhaal. Los van of ik het wel of niet zal gebruiken moet die keuze altijd mijn eigen blijven. Dat ik naar about:config moet uitwijken om dat te kunnen doen is prima, maar waarom zou je die optie weghalen voor de power users? Net als diverse andere instellingen overigens, zoals de tabs.onTop setting en andere zaken mbt de interface die steeds verder vernaggelt is.

Gelukkig is de boel open source dus blijft er ongetwijfeld een fork over die hier niet aan meedoet maar ondertussen wel compatible blijft met de addons van Firefox.

GerardVanAfoort

24 januari 2016 18:12

Die verplichte ondertekening van add-ons om malware en grote bugs te voorkomen vindt ik wel een wenselijke functie. Niet zozeer voor Tweakers maar wel voor de gemiddelde gebruiker. Kom maar op, kill malware

RoestVrijStaal 24 januari 2016 21:39

Als ik (als software ontwikkelaar zijnde) mezelf in de positie van een add-on-ontwikkelaar verplaats, zou ik het bijltje erbij neer gooien. En focussen op andere browsers of "conservatieve" forks van Firefox zoals Pale Moon of K-Meleon. Je moet van Mozilla als een circus-leeuw door een steeds nauwere brandende hoepel heen springen die ze zelf hebben aangestoken.

Met het deprecaten van de oude XPCOM/XUL-api ten gunste van WebExtensions kun je minder met je addons. Maar wil je nog dat het in toekomstige versies van FF draait, zul je nu wel aan het porten moeten beginnen. Ook leuk voor de early adopters die al hun add-on naar Jetpack hebben geport. Kunnen ze weer aan de gang.

Mozilla heeft in mijn optiek nog steeds niet door dat het gros van de ontwikkelaars van add-ons hobbyisten zijn en geen ontwikkelaars die 40 uur betaald met hun add-on bezig zijn. (Met uitzondering van AdBlockPlus, Ghostery, Disconnect).

De wispelturigheid van Mozilla en het signaal blijven afgeven dat het iets doet met input van "de community" (wie of wat dat ook mag wezen) irriteert. Ik gebruik 30+ addons en steeds meer moet ik opzoek naar een alternatief voor een addon omdat de developer ervan genoeg ervan heeft.

[Reactie gewijzigd door RoestVrijStaal op 26 juli 2024 18:40]

Tyrian 25 januari 2016 01:03

Dat is fijn. Dan krijgen gebruikers van huidige niet-ondertekende plugins nog de gelegenheid om bij Firefox 45 over te stappen op de ESR (Extended Support Release) branch met beveiligingsupdates tot 21 maart 2017.

https://www.mozilla.org/en-US/firefox/organizations/faq/

In mijn geval geldt dit in ieder geval voor de Garmin Communicator plugin om bijvoorbeeld geocaches van websites direct vanuit Firefox naar mijn GPS te kunnen zenden.

Op dit item kan niet meer gereageerd worden.

Mozilla stelt verplichte ondertekening add-ons in Firefox verder uit

Lees meer

Reacties (46)

Sorteer op:

Weergave: