Mozilla verwijdert alle telemetriedata die verzameld werd in kader fix add-ons

Mozilla gaat alle telemetriedata van Firefox daterend van zaterdag 4 mei tot en met zaterdag 11 mei verwijderen. De fix die op de korte termijn de problematiek van een week geleden rondom niet werkende add-ons verhielp, had telemetrie als voorwaarde, omdat dat niet anders kon.

Mozilla gebruikte het Studies-systeem om de zogenaamde System Add-On te verspreiden naar gebruikers die getroffen waren door de uitgevallen add-ons. Studies is echter bedoeld voor experimentele functies en daarbij komt kijken dat Firefox telemetrie-data naar Mozilla stuurt. Dat was in het geval van de fix niet nodig, maar ook niet te vermijden. Mozilla maakte donderdag bekend dat het alle telemetriedata verwijdert die in de desbetreffende tijdsperiode is verzameld, en vraagt gebruikers om te dubbelchecken of de Studies-instelling inmiddels op de stand staat waarop ze deze het liefst hebben.

In het kader van de zorg na het uitvallen van de add-ons een week geleden heeft Mozilla-cto Eric Rescorla uiteengezet wat er precies misging in dat weekend, wat er gedaan werd om het recht te zetten en hoe ze het in het vervolg willen voorkomen. In een notendop was het certificaat waarmee Mozilla add-ons ondertekent, na een malware-controle verlopen, waardoor ze allemaal uitvielen. De snelste manier om dit op te lossen, was een fix via Studies uitgeven. Daarna werd een zogenaamde dot release gemaakt, die via het gewone updatekanaal binnenkwam.

Door Mark Hendrikman

Redacteur

Feedback • 11-05-2019 14:15
44 • submitter: NiLSPACE

11-05-2019 • 14:15

44

Submitter: NiLSPACE

Lees meer

Mozilla geeft Firefox-gebruikers inzicht in gedeelde telemetrie
Mozilla geeft Firefox-gebruikers inzicht in gedeelde telemetrie Nieuws van 3 februari 2020
Mozilla onderzoekt omzeilen trackerbeveiliging met telemetrie Firefox-gebruikers
Mozilla onderzoekt omzeilen trackerbeveiliging met telemetrie Firefox-gebruikers Nieuws van 7 juni 2019
Mozilla komt met fix voor problemen uitgeschakelde add-ons Firefox - update 2
Mozilla komt met fix voor problemen uitgeschakelde add-ons Firefox - update 2 Nieuws van 4 mei 2019
Browsers Privacy Mozilla Firefox

Reacties (44)

-Moderatie-faq
44
40
28
2
0
3
Wijzig sortering
nesva072 11 mei 2019 15:29
Hoewel er volgens de CTO van Mozilla geen oplossing is voor oudere versies van Firefox waarvan de add-ons niet meer werken, zijn hiervoor wel officieel gesignede hotfixes gemaakt. Zie voor achtergrondinfo:

https://bugzilla.mozilla.org/show_bug.cgi?id=1549604
en
https://bugzilla.mozilla.org/show_bug.cgi?id=1550793

En voor de hotfixes:

Legacy hotfix for Firefox 52 through 60 (signed)

https://bugzilla.mozilla....gi?id=9064073&action=edit

Hotfix for Firefox 61 through 65 (signed)
https://bugzilla.mozilla....gi?id=9064073&action=edit
Verwijderd @nesva07213 mei 2019 10:46
about:config xpi cert signing uitzetten
SampleUser 11 mei 2019 14:31
Ik vind het schadelijk dat Mozilla het vereist dat alle plugins door hun gesigneerd moeten worden. Mozilla plaatst Firefox als een privacyvriendelijke tegenhanger van hun concurrentie, maar het feit dat ik telemetrie moet aanzetten om plugins te kunnen installeren (signatuurcontrole kan simpelweg niet uitgezet worden op consumentenversies van Firefox) vind ik zelf ook slecht.
Mozilla heeft wel meer van dit soort dingen geflikt met die "studies", zoals het pushen van advertenties naar about:home.

Ik vind het steeds minder een zwart-wit vergelijking (waar Firefox goed is en Chrome slecht) en meer kiezen tussen twee kwaden, helaas
The Zep Man
@SampleUser11 mei 2019 18:07
Ik vind het schadelijk dat Mozilla het vereist dat alle plugins door hun gesigneerd moeten worden.
Dat wordt niet vereist. Je kan Firefox Developer Edition, een nightly of de huidige ESR draaien. Open daarin about:config en verander 'xpinstall.signatures.required' naar 'false'. Vervolgens kan je elke addon gebruiken die je wilt.

De voordelen die dit systeem biedt ter bescherming van doorsnee gebruikers wegen op tegen de nadelen. Van dit nadeel heeft men nu geleerd, waardoor deze fout niet meer voor hoeft te komen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 06:27]

EraYaN @SampleUser11 mei 2019 14:41
En jij vindt het wel een goed idee dat we terug gaan naar unsigned software? Ik hoop maar dat je ook vooral geen linux distributies gebruikt met apt/yum/pacman/zypper of welke package manager dan ook, want daar zitten ook allemaal van die boze signature checks in.

Ik denk dat je eerst even goed moet nadenken en nalezen wat de verschillende onderdelen in dit verhaal allemaal doen.
SampleUser @EraYaN11 mei 2019 14:46
Ik zie zeker wel het nut er van in vanuit een veiligheidsperspectief, begrijp me niet verkeerd. maar in tegenstelling tot Firefox kan ik bij de standaarddistributie van apt/yum/pacman/watdanook zeggen dat ik (op eigen risico) die controle uit wil zetten, of andere repositories wil toevoegen die hun eigen sleutels hebben
vosManz @SampleUser11 mei 2019 15:15
maar in tegenstelling tot Firefox kan ik bij de standaarddistributie van apt/yum/pacman/watdanook zeggen dat ik (op eigen risico) die controle uit wil zetten, of andere repositories wil toevoegen die hun eigen sleutels hebben
Andere repositories toevoegen weet ik zo niet, maar het controleren op signature uitzetten kan in Firefox ook:
- Ga naar: about:config
- Accepteer, als je dat wil, het risico
- Zet de instelling 'xpinstall.signatures.required' op false
GertMenkel @vosManz11 mei 2019 16:00
Dat werkt alleen op de dev/bèta versies van Firefox. Als je de stable versie gebruikt kun je de signature check niet uitzetten.

Dit is expres vanwege de enorme hoeveelheid malware die zich in het hoogtij van Firefox in de browser nestelde.
xrf @GertMenkel11 mei 2019 16:37
Dat werkt alleen op de dev/bèta versies van Firefox. Als je de stable versie gebruikt kun je de signature check niet uitzetten.
*Dev/nightly. Beta vereist ook signed add-ons


Nog een uitzondering hierop is Firefox voor Android, waar deze preference omzetten ook werkt. Al is Mozilla van plan dat in een toekomstige release onmogelijk te maken.

Naast de Nighly en Developer Edition heb je overigens ook de mogelijkheid om unbranded builds van Firefox te downloaden, zodat je ook de stabiele en bètaversie van Firefox met unsigned add-ons kunt gebruiken. Helaas hebben deze versies geen automatische updates.


Bron & downloadlinks voor de unbranded builds

[Reactie gewijzigd door xrf op 23 juli 2024 06:27]

SampleUser @vosManz11 mei 2019 16:04
Onjuist, die flag heeft geen gevolgen op de consumentenversies van firefox
ChillinR @SampleUser11 mei 2019 16:47
De flag werkte bij mij prima, zowel op Ubuntu als op Windows als op Android. Ik heb gewoon de officiële releaseversies op alledrie voor zover ik weet.
johnkeates @SampleUser12 mei 2019 00:28
Die flag doet het overal, behalve in de stable release track. Als jij dus vind dat je geen gewone consument bent, dan ga je toch gewoon een van de tracks gebruiken die wel voor jou werkt? Neem ESR bijvoorbeeld, goede ondersteuning en doet precies wat jij wil.
EraYaN @SampleUser11 mei 2019 14:50
Nouja goed, over het algemeen zijn gebruikers niet geïnformeerd genoeg om die keuze te maken, en bij de meeste distros moet men best even graven, en apt blijft je om het hoofd zeuren dat het allemaal niet best is en dat is omdat zelfs die stroeve linux kerels inzien dat ook meneer de superuser een fout kan maken en eigenlijk gewoon ook al z'n software gewoon netjes moet signen, anders kon je sowieso nooit een repo in. maar goed je kunt tijdens development natuurlijk altijd je extensies/programma's of wat dan ook unsigned gebruiken, dus een echt probleem is er niet, ook niet voor webextensions.


Dus in dit geval voor een browser helemaal logisch dat men het niet toelaat gezien de doelgroep.

[Reactie gewijzigd door EraYaN op 23 juli 2024 06:27]

Nha @EraYaN11 mei 2019 15:14
De doelgroep waar jij op lijkt te mikken zit zowiezo al weinig in de settings te prutsen dus vind ik dat argument nogal irrelevant.
Bij (sommige iig) package managers kan je gewoon keys importen, kan zoiets niet met Firefox? Dan kan je alsnog signed extensies forceren maar wel gewoon de key importen van de website van de developer (ja wat als die nu gehacked is, etc etc).

Anyway, software gaan limiteren omdat er domme of onwetende mensen rondlopen en er gebruik van maken lijkt mij niet zo'n slim plan.
EraYaN @Nha11 mei 2019 15:17
Software limiteren omdat er wat stomme koppen rondlopen zijn doen we eigenlijk al heel lang. XP bijvoorbeeld was ook aan best veel kanten dichtgetimmerd van wat er wel en niet kon. Er was ook al een firewall en hele matige virus detectie. kernel mode was ook al enigzins afgeschermd, en toen in Vista ging dat nog iets verder omdat mensen toch nog te stom waren, en zo verder met 7 etc.
Nha @EraYaN11 mei 2019 15:31
Firewall en virus detectie is omdat er derde partijen misbruik van je systeem willen maken.
Het dicht timmeren van Windows lijkt eerder omdat MS wil dat je het enkel op hun manier gebruikt, niet omdat er domme mensen zijn. Zie maar het startmenu dat ze uit 8 gepatched hebben omdat mensen dat gingen gebruiken ipv hun fancy maar storend en minder nuttig startscherm.
Opties wegnemen of opzettelijk niet geven lijkt mij nog altijd niet zo'n slim plan, en voor mij gewoon onwenselijk. Dat we dit al langer meemaken heeft mij net tot die mening gebracht.
egnappahz @EraYaN11 mei 2019 20:22
Wel, om voort te gaan op wat Nha probeerde te verhalen,

Als bedrijf met grote verwachtingen zoals Microsoft; moet je een OS maken dat goed verkoopt. Voor goede verkoopcijfers heb je een zo breed mogelijk doelpubliek nodig. De grootste doelgroep voor windows zal nooit de powerusers zijn, maar jan-met-de-pet die gewoon aan de slag wil op zijn computer.

Dus langs jouw perspectief bekeken; als men zich zo ver mogelijk wenst te distancieren met "stomme koppen", dan zijn de allerlaatste windows producten alvast niet de eerste keuze lijkt mij
EraYaN @Verwijderd12 mei 2019 15:57
Ooh nee je begrijpt me verkeerd. Ik heb zelf alles helemaal dichtgetimmerd, ook m'n uitgaande poorten op een whitelist en alles van dat soort mooie dingen. Ook de ransomware protection whitelist op Windows, zeker soms een beetje onhandig maar wel redelijk veilig.

Ik ben ook sterk voorstander van hoe hard MS updates pushed. We zijn nou allemaal gewoon best wel stom eigenlijk, ook de professionals en developers. En daarom is het allemaal nodig, om mensen tegen zichzelf te beschermen. Maar ik irriteer mezelf wel heel erg aan mensen die meteen beginnen te haten zodra er een van de veiligheidsonderdelen de mist in gaan, dat het dan maar zonder zou moeten.

(Jaja palm OS, ik weet zeer oud en matig maar toch voor geprogrammeerd op gegeven moment)
Goderic @SampleUser11 mei 2019 14:37
Maar het feit dat ik telemetrie moet aanzetten om plugins te kunnen installeren (signatuurcontrole kan simpelweg niet uitgezet worden op consumentenversies van Firefox) vind ik zelf ook slecht.
Dit is helemaal niet waar, zoals je in dit artikel kunt lezen was dit een tijdelijke hack om een certificaat probleem op te lossen. De hack is niet meer nodig en de data is ondertussen verwijderd.
SampleUser @Goderic11 mei 2019 14:42
Ik doelde op het feit dat studies aan moeten zijn om die fix te ontvangen, en dat studies gelijk een hele hoop telemetrie mee stuurt. En ja, ze hebben het verwijderd, maar ik denk niet dat het ze bad press zou opleveren als ze het hadden bewaard lijkt me.

Daarbuiten vind ik het een slechte zaak dat plugins voor Firefox uberhaupt gesigneerd moeten worden, en dat Mozilla daardoor dit krijgt als hun PKI omvalt
Frappuccino @SampleUser11 mei 2019 14:50
Of je had een dag geduld en kreeg je de fix middels een 'gewone' update.
MrMonkE @Frappuccino12 mei 2019 09:51
Een dag zonder adblocker? U schertst!! Uw oplossing was namelijk ook mijn plan. Maar ik dacht dat ik gek werd op sommige sites en ben eerst tijdelijk terug naar chrome en later toen ik over de study-fix las heb ik dat aangezet en gelijk weer uitgezet na de update. Zonder adblocker is het internet echt een hel.

[Reactie gewijzigd door MrMonkE op 23 juli 2024 06:27]

Frappuccino @MrMonkE12 mei 2019 13:28
Misschien ligt dat voor een groot deel ook aan de sites die je bezoekt.
jpsch @SampleUser11 mei 2019 14:45
Je kunt toch niet controleren of 't verwijderd is.
w3news @SampleUser11 mei 2019 15:12
Mozilla blijft Firefox maken van gebruikers, met nieuwe features voor de gebruiker.
Google heeft een veel commerciëler doel met Chrome, en zie je veel meer nieuwe features waar een commercieel doel achter ligt.

Natuurlijk hoef je niet eens te zijn met alle keuzes van de partijen, maar 2 kwaden vindt ik wel heel hard.
Je zult ook niet snel wat vinden wat alles zo is zoals jij wil.
Als je het niet zelf kan maken/aanpassen zul je iets moeten vinden wat het dichtst in de buurt komt van jouw ideaal.

(edit: typo)

[Reactie gewijzigd door w3news op 23 juli 2024 06:27]

YangWenli @SampleUser11 mei 2019 15:53
Ja ik ben voor eigen verantwoordelijkheid. Maar ik ga niet gelijk anderen de schuld geven als ik iets doms doe. Helaas is dat niet hoe de gemiddelde mens werkt.
Blokker_1999
@SampleUser11 mei 2019 17:55
Alle plugins worden op malware gecontroleerd en dan getekend als ze clean zijn. Daar vind ik niets mis mee en valt onder het beschermen van de gebruikers. Dat daarmee enkele powerusers ontevreden zijn is spijtig maar ben er zeker van dat de meeste van die users het niet eens wisten dat dat gebeurd.

Ik hoop alleen maar dat het ondertekenen geen weken duurt.
Wim-Bart @SampleUser11 mei 2019 20:51
Weet je wel wat Telemetry inhoud en dat Privacy data er onderdeel van uit kan maken maar niet hoeft. Telemetry data kan ook gewoon zijn: Browser met versie x kan plugin a en b met versie y niet laden maar wel plugin c met versie z.

Dit is relevante Telemetry data. En doet niks kwaads met privacy gevoelige data. Misschien zit er nog informatie bij van OS versie en patches maar dat hoeft totaal geen bezwaar te zijn.

Daarnaast is signen van plugins door Mozilla een zegen. Je voorkomt hiermee voor een groot deel dat je troep die besmet is met backdoors binnen haalt.
Verwijderd @SampleUser13 mei 2019 10:43
Je kan het signen in about:config gewoon uitzetten, xpi certs optie. Dat was mijn fix ipv met studies(staat standard uit in debian firefox-esr).
UnlimitedSky 11 mei 2019 15:14
Correcte behandeling, dit is de reden waarom ik liever met mozilla "in zee ga" dan met andere grote bedrijven. Uiteraard kunnen we nooit met zekerheid zeggen dat ze doen wat men zegt maar dat ga je altijd hebben.
kodak
@UnlimitedSky11 mei 2019 16:36
De oplossing was besloten omdat er toch al veel gebruikers zouden hebben ingestemd met delen van telemetriedata. Wat helaas (ook) niet is gedaan is vooraf duidelijk zijn wat ze met die data van de geforceerde deelnemers gingen doen en ook is niet besloten om via de browser de gebruikers goed en tijdig te informeren. Mozilla laat hier meer steken vallen dan past bij een organisatie die privacy echt belangrijk zou vinden. Ze hebben minder dan het minimale gedaan om hun blunders te verhelpen, de gebruikers te bedienen en de gevoeligheid rond het verzamelen van data te erkennen. Dat ze de data van een kleine periode nu achteraf toch maar wissen mag wat betreft het wissen correct zijn, maar ik zou liever zien dat ze de gebruikers actief via de browser herinneren dat de telemetrie aan staat en de optie geven om het uit te zetten en de data te wissen.
pe0mot 11 mei 2019 14:28
Mooie en goede verklaring van de CTO.
Voorbeeld veel anderen als er een keer iets fout gaat.
ToolBee @pe0mot12 mei 2019 00:17
Toen een week geleden de "studies-fix" werd aangekondigd werd dit ook expliciet vermeld.
Of ze echt woord houden zullen we nooit echt weten... ;)
privacybeleid 11 mei 2019 16:46
We geloven jullie!
Blokker_1999
@KLAY11 mei 2019 17:52
Als je ze niet geloofd kan je altijd naar Google Chrome gaan want die verzamelen gee... oh wacht
Jerie @Blokker_199911 mei 2019 21:01
Precies. Je kunt mekkeren over dit voorval wat je wilt, ze trekken lering uit hun fouten en het alternatief is nog meer een gevaar voor de privacy.
kodak
@Blokker_199911 mei 2019 23:31
Flauwe reactie. Dat er nauwelijks alternatieven zijn wil immers niet zeggen dat je als gebruiker van Firefox ze maar zomaar hoeft te volgen in een belofte en geen kritiek zou mogen hebben.

Het is toch niet vreemd om Mozilla niet zomaar te geloven? Eerst hebben ze hun update proces voor een cruciaal beveiligingscertificaat niet op orde, dan blijkt dat ze het updateproces niet op orde hebben in die situatie dat voor iedereen de addons niet meer werken en dan kiezen ze voor een oplossing om iedereen die telemetriedata eerst heeft uitgezet te verlangen die aan te zetten zonder duidelijk te zijn wat ze met de telemetriedata gaan doen. Iemand die dan kritisch is over hoe ze met privacy omgaan flauw wegzetten is nogal kinderachtig en geeft weinig blijk van hoe Mozilla hier omgaat met privacy als het ze zo uitkomt.
Verwijderd @kodak13 mei 2019 10:44
Je kon ook gewoon xpi signing uitzetten... dan was de telemetrie mode niet nodig.
Blinkin @KLAY11 mei 2019 14:54
Gezien de reputatie van Mozilla: ja. Uiteraard heeft dit alles met vertrouwen te maken, als je dat niet hebt maak dan geen gebruik van software van derden. Dit geldt voor alles namelijk.
Wim-Bart @KLAY11 mei 2019 20:56
Meer vertrouwen in Mozilla dan mensen die moeten SCHREEUWEN om hun "punt" te maken. Onderbouwing met bewijs en gedragsnormen is toch het minste wat eem goede bijdrage kan leveren. En een Youtuber of Twitteraar en Facebook zijn geen feiten voor je daar mee komt. Want die doen alleen maar uitspraken voor de views en het geld wat daarmee verdiend wordt.

Regel 1 in het moderne leven: Koop nooit een product wat op sociale media wordt gepusht!

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq