Frage zu Firefox 3, Erweiterungen Update und unsignierte SSL Zertifikate

[phpBuddy]

Hallo,

hab zu diesem Thema leider keine eindeutige Aussage finden können. Seit FF3 werden automatische Updates von 3rd Party Tools (Erweiterungen/Extension, Themes, Plugins) nur noch über sichere SSL-Verbindungen durchgeführt. Jetzt stellt sich mir die Frage was passiert, wenn FF3 bei einem Update auf eine Verbindung trifft, die über ein nicht signiertes SSL Zertifikat, weil selbst erzeugt, trifft. Fragt FF über den normalen "möglicherweise unsicheres Zertifikate" Dialog nach, damit der User das Cert selbst importieren kann/muß? Lehnt der FF Updates von Erweiterungen über solche Leitungen generell ab?
Hat jemand damit schon mal selbst Erfahrungen gemacht oder hat eine Quelle wo man Info zu diesem Thema findet?

Danke,
Andreas

[fuchzga]

Hi Andreas,
zu dem Thema hab ich auch sehr, sehr wenig gefunden.

Darum hab ich einfach mal die Probe auf's Exempel gemacht.

Dazu habe ich Firefox 3 aufgerufen und parallel dazu eine DOS-Box.
Darin habe ich mit "netstat -a" geprüft, welche TCP-Verbindungen aktuell aufgebaut sind.
Danach hab ich im FF3 unter Extras-Add-ons ein den Button "Updaten" aktiviert. Mit "netstat -a" hat man auch gesehen, dass nun verschiedene HTTPS-Connections zusätzlich aufgebaut wurden. Einige waren mozilla.com zuzuordnen, einige aber auch 3rd-Party.

Und tatsächlich wurde auch ein Update für eine bei mir installierte Extension gefunden. Also fix das Update geladen und wieder mit "netstat -a" gecheckt... und das Update wurde über eine reine HTTP-Sitzung geladen! Also nix SSL...?!

Und genau DAS sollte ja wohl seit Firefox 3 nicht mehr der Fall sein.

Ich habe in den Developer-Pages aber den entsprechenden Hinweis gefunden:

Zitat:

updateURL - A link to a custom Update Manifest file that specifies available updates to the addon. [...] If enabled, the addon manager periodically checks with this Manifest file to determine if newer versions are available.

Note: It is strongly recommended that the updateURL be an HTTPS (secure) link. Non-secure update URLs can be hijacked by a malicious update.rdf file, enabling malware to infiltrate the user's computer.
Alternatively, you could host your extension on AMO and leave out the updateURL completely. This provides secure updates automatically.

New in Firefox 3: For security reasons, Gecko 1.9 applications require that if you specify an updateURL, it must be an https URL, or you must include an updateKey.

Link: https://developer.mozilla.org/en/Ins...ests#updateURL

updateKey ist also das Zauberwort. Dazu hab ich dann auch gleich ein hübschen Blog-Eintrag gefunden:
http://neokortex.mein-sharpei.de/?p=17

Hört sich für mich plausibel an.

gruss, Karsten

[phpBuddy]

Hallo Karsten,

danke für deine Mühe und den Link. Das mit dem updateKey hört sich gut an und ist vermutlich genau das was ich suche. Werd' mir später mal den Blog-Eintrag durchlesen ob das weiter hilft.

Gruß Andreas