Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla verwijdert alle telemetriedata die verzameld werd in kader fix add-ons

Mozilla gaat alle telemetriedata van Firefox daterend van zaterdag 4 mei tot en met zaterdag 11 mei verwijderen. De fix die op de korte termijn de problematiek van een week geleden rondom niet werkende add-ons verhielp, had telemetrie als voorwaarde, omdat dat niet anders kon.

Mozilla gebruikte het Studies-systeem om de zogenaamde System Add-On te verspreiden naar gebruikers die getroffen waren door de uitgevallen add-ons. Studies is echter bedoeld voor experimentele functies en daarbij komt kijken dat Firefox telemetrie-data naar Mozilla stuurt. Dat was in het geval van de fix niet nodig, maar ook niet te vermijden. Mozilla maakte donderdag bekend dat het alle telemetriedata verwijdert die in de desbetreffende tijdsperiode is verzameld, en vraagt gebruikers om te dubbelchecken of de Studies-instelling inmiddels op de stand staat waarop ze deze het liefst hebben.

In het kader van de zorg na het uitvallen van de add-ons een week geleden heeft Mozilla-cto Eric Rescorla uiteengezet wat er precies misging in dat weekend, wat er gedaan werd om het recht te zetten en hoe ze het in het vervolg willen voorkomen. In een notendop was het certificaat waarmee Mozilla add-ons ondertekent, na een malware-controle verlopen, waardoor ze allemaal uitvielen. De snelste manier om dit op te lossen, was een fix via Studies uitgeven. Daarna werd een zogenaamde dot release gemaakt, die via het gewone updatekanaal binnenkwam.

Door Mark Hendrikman

Nieuwsposter

11-05-2019 • 14:15

44 Linkedin Google+

Submitter: NiLSPACE

Reacties (44)

Wijzig sortering
Hoewel er volgens de CTO van Mozilla geen oplossing is voor oudere versies van Firefox waarvan de add-ons niet meer werken, zijn hiervoor wel officieel gesignede hotfixes gemaakt. Zie voor achtergrondinfo:

https://bugzilla.mozilla.org/show_bug.cgi?id=1549604
en
https://bugzilla.mozilla.org/show_bug.cgi?id=1550793

En voor de hotfixes:

Legacy hotfix for Firefox 52 through 60 (signed)

https://bugzilla.mozilla....gi?id=9064073&action=edit

Hotfix for Firefox 61 through 65 (signed)
https://bugzilla.mozilla....gi?id=9064073&action=edit
about:config xpi cert signing uitzetten
Ik vind het schadelijk dat Mozilla het vereist dat alle plugins door hun gesigneerd moeten worden. Mozilla plaatst Firefox als een privacyvriendelijke tegenhanger van hun concurrentie, maar het feit dat ik telemetrie moet aanzetten om plugins te kunnen installeren (signatuurcontrole kan simpelweg niet uitgezet worden op consumentenversies van Firefox) vind ik zelf ook slecht.
Mozilla heeft wel meer van dit soort dingen geflikt met die "studies", zoals het pushen van advertenties naar about:home.

Ik vind het steeds minder een zwart-wit vergelijking (waar Firefox goed is en Chrome slecht) en meer kiezen tussen twee kwaden, helaas
Ik vind het schadelijk dat Mozilla het vereist dat alle plugins door hun gesigneerd moeten worden.
Dat wordt niet vereist. Je kan Firefox Developer Edition, een nightly of de huidige ESR draaien. Open daarin about:config en verander 'xpinstall.signatures.required' naar 'false'. Vervolgens kan je elke addon gebruiken die je wilt.

De voordelen die dit systeem biedt ter bescherming van doorsnee gebruikers wegen op tegen de nadelen. Van dit nadeel heeft men nu geleerd, waardoor deze fout niet meer voor hoeft te komen.

[Reactie gewijzigd door The Zep Man op 11 mei 2019 18:16]

En jij vindt het wel een goed idee dat we terug gaan naar unsigned software? Ik hoop maar dat je ook vooral geen linux distributies gebruikt met apt/yum/pacman/zypper of welke package manager dan ook, want daar zitten ook allemaal van die boze signature checks in.

Ik denk dat je eerst even goed moet nadenken en nalezen wat de verschillende onderdelen in dit verhaal allemaal doen.
Ik zie zeker wel het nut er van in vanuit een veiligheidsperspectief, begrijp me niet verkeerd. maar in tegenstelling tot Firefox kan ik bij de standaarddistributie van apt/yum/pacman/watdanook zeggen dat ik (op eigen risico) die controle uit wil zetten, of andere repositories wil toevoegen die hun eigen sleutels hebben
maar in tegenstelling tot Firefox kan ik bij de standaarddistributie van apt/yum/pacman/watdanook zeggen dat ik (op eigen risico) die controle uit wil zetten, of andere repositories wil toevoegen die hun eigen sleutels hebben
Andere repositories toevoegen weet ik zo niet, maar het controleren op signature uitzetten kan in Firefox ook:
- Ga naar: about:config
- Accepteer, als je dat wil, het risico
- Zet de instelling 'xpinstall.signatures.required' op false
Dat werkt alleen op de dev/bèta versies van Firefox. Als je de stable versie gebruikt kun je de signature check niet uitzetten.

Dit is expres vanwege de enorme hoeveelheid malware die zich in het hoogtij van Firefox in de browser nestelde.
Dat werkt alleen op de dev/bèta versies van Firefox. Als je de stable versie gebruikt kun je de signature check niet uitzetten.
*Dev/nightly. Beta vereist ook signed add-ons


Nog een uitzondering hierop is Firefox voor Android, waar deze preference omzetten ook werkt. Al is Mozilla van plan dat in een toekomstige release onmogelijk te maken.

Naast de Nighly en Developer Edition heb je overigens ook de mogelijkheid om unbranded builds van Firefox te downloaden, zodat je ook de stabiele en bètaversie van Firefox met unsigned add-ons kunt gebruiken. Helaas hebben deze versies geen automatische updates.


Bron & downloadlinks voor de unbranded builds

[Reactie gewijzigd door xrf op 11 mei 2019 16:38]

Onjuist, die flag heeft geen gevolgen op de consumentenversies van firefox
De flag werkte bij mij prima, zowel op Ubuntu als op Windows als op Android. Ik heb gewoon de officiële releaseversies op alledrie voor zover ik weet.
Die flag doet het overal, behalve in de stable release track. Als jij dus vind dat je geen gewone consument bent, dan ga je toch gewoon een van de tracks gebruiken die wel voor jou werkt? Neem ESR bijvoorbeeld, goede ondersteuning en doet precies wat jij wil.
Nouja goed, over het algemeen zijn gebruikers niet geïnformeerd genoeg om die keuze te maken, en bij de meeste distros moet men best even graven, en apt blijft je om het hoofd zeuren dat het allemaal niet best is en dat is omdat zelfs die stroeve linux kerels inzien dat ook meneer de superuser een fout kan maken en eigenlijk gewoon ook al z'n software gewoon netjes moet signen, anders kon je sowieso nooit een repo in. maar goed je kunt tijdens development natuurlijk altijd je extensies/programma's of wat dan ook unsigned gebruiken, dus een echt probleem is er niet, ook niet voor webextensions.


Dus in dit geval voor een browser helemaal logisch dat men het niet toelaat gezien de doelgroep.

[Reactie gewijzigd door EraYaN op 11 mei 2019 14:50]

De doelgroep waar jij op lijkt te mikken zit zowiezo al weinig in de settings te prutsen dus vind ik dat argument nogal irrelevant.
Bij (sommige iig) package managers kan je gewoon keys importen, kan zoiets niet met Firefox? Dan kan je alsnog signed extensies forceren maar wel gewoon de key importen van de website van de developer (ja wat als die nu gehacked is, etc etc).

Anyway, software gaan limiteren omdat er domme of onwetende mensen rondlopen en er gebruik van maken lijkt mij niet zo'n slim plan.
Software limiteren omdat er wat stomme koppen rondlopen zijn doen we eigenlijk al heel lang. XP bijvoorbeeld was ook aan best veel kanten dichtgetimmerd van wat er wel en niet kon. Er was ook al een firewall en hele matige virus detectie. kernel mode was ook al enigzins afgeschermd, en toen in Vista ging dat nog iets verder omdat mensen toch nog te stom waren, en zo verder met 7 etc.
Firewall en virus detectie is omdat er derde partijen misbruik van je systeem willen maken.
Het dicht timmeren van Windows lijkt eerder omdat MS wil dat je het enkel op hun manier gebruikt, niet omdat er domme mensen zijn. Zie maar het startmenu dat ze uit 8 gepatched hebben omdat mensen dat gingen gebruiken ipv hun fancy maar storend en minder nuttig startscherm.
Opties wegnemen of opzettelijk niet geven lijkt mij nog altijd niet zo'n slim plan, en voor mij gewoon onwenselijk. Dat we dit al langer meemaken heeft mij net tot die mening gebracht.
Wel, om voort te gaan op wat Nha probeerde te verhalen,

Als bedrijf met grote verwachtingen zoals Microsoft; moet je een OS maken dat goed verkoopt. Voor goede verkoopcijfers heb je een zo breed mogelijk doelpubliek nodig. De grootste doelgroep voor windows zal nooit de powerusers zijn, maar jan-met-de-pet die gewoon aan de slag wil op zijn computer.

Dus langs jouw perspectief bekeken; als men zich zo ver mogelijk wenst te distancieren met "stomme koppen", dan zijn de allerlaatste windows producten alvast niet de eerste keuze lijkt mij
Ooh nee je begrijpt me verkeerd. Ik heb zelf alles helemaal dichtgetimmerd, ook m'n uitgaande poorten op een whitelist en alles van dat soort mooie dingen. Ook de ransomware protection whitelist op Windows, zeker soms een beetje onhandig maar wel redelijk veilig.

Ik ben ook sterk voorstander van hoe hard MS updates pushed. We zijn nou allemaal gewoon best wel stom eigenlijk, ook de professionals en developers. En daarom is het allemaal nodig, om mensen tegen zichzelf te beschermen. Maar ik irriteer mezelf wel heel erg aan mensen die meteen beginnen te haten zodra er een van de veiligheidsonderdelen de mist in gaan, dat het dan maar zonder zou moeten.

(Jaja palm OS, ik weet zeer oud en matig maar toch voor geprogrammeerd op gegeven moment)
Maar het feit dat ik telemetrie moet aanzetten om plugins te kunnen installeren (signatuurcontrole kan simpelweg niet uitgezet worden op consumentenversies van Firefox) vind ik zelf ook slecht.
Dit is helemaal niet waar, zoals je in dit artikel kunt lezen was dit een tijdelijke hack om een certificaat probleem op te lossen. De hack is niet meer nodig en de data is ondertussen verwijderd.
Ik doelde op het feit dat studies aan moeten zijn om die fix te ontvangen, en dat studies gelijk een hele hoop telemetrie mee stuurt. En ja, ze hebben het verwijderd, maar ik denk niet dat het ze bad press zou opleveren als ze het hadden bewaard lijkt me.

Daarbuiten vind ik het een slechte zaak dat plugins voor Firefox uberhaupt gesigneerd moeten worden, en dat Mozilla daardoor dit krijgt als hun PKI omvalt
Of je had een dag geduld en kreeg je de fix middels een 'gewone' update.
Een dag zonder adblocker? U schertst!! Uw oplossing was namelijk ook mijn plan. Maar ik dacht dat ik gek werd op sommige sites en ben eerst tijdelijk terug naar chrome en later toen ik over de study-fix las heb ik dat aangezet en gelijk weer uitgezet na de update. Zonder adblocker is het internet echt een hel.

[Reactie gewijzigd door MrMonkE op 12 mei 2019 09:51]

Misschien ligt dat voor een groot deel ook aan de sites die je bezoekt.
Je kunt toch niet controleren of 't verwijderd is.
Mozilla blijft Firefox maken van gebruikers, met nieuwe features voor de gebruiker.
Google heeft een veel commerciëler doel met Chrome, en zie je veel meer nieuwe features waar een commercieel doel achter ligt.

Natuurlijk hoef je niet eens te zijn met alle keuzes van de partijen, maar 2 kwaden vindt ik wel heel hard.
Je zult ook niet snel wat vinden wat alles zo is zoals jij wil.
Als je het niet zelf kan maken/aanpassen zul je iets moeten vinden wat het dichtst in de buurt komt van jouw ideaal.

(edit: typo)

[Reactie gewijzigd door w3news op 11 mei 2019 21:40]

Ja ik ben voor eigen verantwoordelijkheid. Maar ik ga niet gelijk anderen de schuld geven als ik iets doms doe. Helaas is dat niet hoe de gemiddelde mens werkt.
Alle plugins worden op malware gecontroleerd en dan getekend als ze clean zijn. Daar vind ik niets mis mee en valt onder het beschermen van de gebruikers. Dat daarmee enkele powerusers ontevreden zijn is spijtig maar ben er zeker van dat de meeste van die users het niet eens wisten dat dat gebeurd.

Ik hoop alleen maar dat het ondertekenen geen weken duurt.
Weet je wel wat Telemetry inhoud en dat Privacy data er onderdeel van uit kan maken maar niet hoeft. Telemetry data kan ook gewoon zijn: Browser met versie x kan plugin a en b met versie y niet laden maar wel plugin c met versie z.

Dit is relevante Telemetry data. En doet niks kwaads met privacy gevoelige data. Misschien zit er nog informatie bij van OS versie en patches maar dat hoeft totaal geen bezwaar te zijn.

Daarnaast is signen van plugins door Mozilla een zegen. Je voorkomt hiermee voor een groot deel dat je troep die besmet is met backdoors binnen haalt.
Je kan het signen in about:config gewoon uitzetten, xpi certs optie. Dat was mijn fix ipv met studies(staat standard uit in debian firefox-esr).
Correcte behandeling, dit is de reden waarom ik liever met mozilla "in zee ga" dan met andere grote bedrijven. Uiteraard kunnen we nooit met zekerheid zeggen dat ze doen wat men zegt maar dat ga je altijd hebben.
De oplossing was besloten omdat er toch al veel gebruikers zouden hebben ingestemd met delen van telemetriedata. Wat helaas (ook) niet is gedaan is vooraf duidelijk zijn wat ze met die data van de geforceerde deelnemers gingen doen en ook is niet besloten om via de browser de gebruikers goed en tijdig te informeren. Mozilla laat hier meer steken vallen dan past bij een organisatie die privacy echt belangrijk zou vinden. Ze hebben minder dan het minimale gedaan om hun blunders te verhelpen, de gebruikers te bedienen en de gevoeligheid rond het verzamelen van data te erkennen. Dat ze de data van een kleine periode nu achteraf toch maar wissen mag wat betreft het wissen correct zijn, maar ik zou liever zien dat ze de gebruikers actief via de browser herinneren dat de telemetrie aan staat en de optie geven om het uit te zetten en de data te wissen.
Mooie en goede verklaring van de CTO.
Voorbeeld veel anderen als er een keer iets fout gaat.
Toen een week geleden de "studies-fix" werd aangekondigd werd dit ook expliciet vermeld.
Of ze echt woord houden zullen we nooit echt weten... ;)
Als je ze niet geloofd kan je altijd naar Google Chrome gaan want die verzamelen gee... oh wacht
Precies. Je kunt mekkeren over dit voorval wat je wilt, ze trekken lering uit hun fouten en het alternatief is nog meer een gevaar voor de privacy.
Flauwe reactie. Dat er nauwelijks alternatieven zijn wil immers niet zeggen dat je als gebruiker van Firefox ze maar zomaar hoeft te volgen in een belofte en geen kritiek zou mogen hebben.

Het is toch niet vreemd om Mozilla niet zomaar te geloven? Eerst hebben ze hun update proces voor een cruciaal beveiligingscertificaat niet op orde, dan blijkt dat ze het updateproces niet op orde hebben in die situatie dat voor iedereen de addons niet meer werken en dan kiezen ze voor een oplossing om iedereen die telemetriedata eerst heeft uitgezet te verlangen die aan te zetten zonder duidelijk te zijn wat ze met de telemetriedata gaan doen. Iemand die dan kritisch is over hoe ze met privacy omgaan flauw wegzetten is nogal kinderachtig en geeft weinig blijk van hoe Mozilla hier omgaat met privacy als het ze zo uitkomt.
Je kon ook gewoon xpi signing uitzetten... dan was de telemetrie mode niet nodig.
Gezien de reputatie van Mozilla: ja. Uiteraard heeft dit alles met vertrouwen te maken, als je dat niet hebt maak dan geen gebruik van software van derden. Dit geldt voor alles namelijk.
Meer vertrouwen in Mozilla dan mensen die moeten SCHREEUWEN om hun "punt" te maken. Onderbouwing met bewijs en gedragsnormen is toch het minste wat eem goede bijdrage kan leveren. En een Youtuber of Twitteraar en Facebook zijn geen feiten voor je daar mee komt. Want die doen alleen maar uitspraken voor de views en het geld wat daarmee verdiend wordt.

Regel 1 in het moderne leven: Koop nooit een product wat op sociale media wordt gepusht!


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Huawei

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True