Mozilla-User: Vorsicht vor XPIs

Zur Frage der exe Dateien:

In den einschlägigen Foren geht m.E. die Diskussion in die Richtung, die Ausführung von exe-Dateien zukünftig im XPI-Installer zu blockieren,

vgl. z.B. hier:

http://forums.mozillazine.org/viewtopic.php?p=448910#448910

 

@ kalweit

Er dreht sich das eben, wie er es gerade braucht, ist doch bekannt.

 

Jetzt enttäuscht du mich aber - weil compilierter Quellcode nicht mehr plattformunabhängig ist und damit dem Grundgedanken des Mozilla-Projektes widerspricht.

...und da beißt sich die Katze in den Schwanz. Du kannst auf der einen Seite nicht verlangen, dass sich jeder über Sicherheitsmechanismen informiert und versteht (deine Kommentare zum Thema Firewall usw.) und auf der andren Seite sagen: "Alles was von xyz kommt, kannst du bedenkenlos installieren."

Gruss, Matthias

 

Weil es geht. Warum sollte es nicht?
Meinst du ernsthaft, ein Normaluser guckt sich vor dem Installieren einer Sache, die quengelt, dass er sie brauche, um Inhalt X oder Funktionalität Y zu bekommen, vorher in das Installationspaket, um herauszufinden, ob da ein JAR-File oder eine EXE drinsteckt?
Ach komm...

 

Das muss ich nicht - warum sollte ein Addon compilierten Quellcode enthalten?

http://www.mozilla.org/projects/xul/

Gruss, Matthias

 

Wie viele von den über 100 AddOns hast du überprüft. Die Existenz einer EXE sagt erstmal gar nichts aus.

 

Siehst du, damit hast du es. Mir ist keine Browsererweiterung bekannt, die eine .exe enthält.

Gruss, Matthias

 

Falsch. Welcher Normaluser sieht sich eine EXE mit Hexeditor an?

Das hab ich ja auch nicht behauptet. Von wo würdest du dir ein XPI holen, wenn du es denn wolltest?

1. Welche unabhängige Seite sollte das sein?
2. Besagt ein Zertifikat, dass Programmierfehler ausgeschlossen sind?

 

Nunja, ob das nun ein Merkmal für "gefahrlosen" Code ist, möchte ich bezweifeln. Es muss ja nicht Absicht sein, dass eine Schadfunktion den Weg in ein XPI schafft - einfache Programmierfehler reichen da. Am Ende ist der einzige Weg eine Art Zertifikat von einer unabhängigen Stelle (wie auch immer das aussieht).

Gruss, Matthias

PS: Das der Tipp mit dem Ansehen eines XPI's nicht für Jerdermann geeignet ist, ist schon klar, nur zumindest besteht bei einem XPI die Möglichkeit dazu, was bei anderen Installationsmethoden nicht unbedingt der Fall ist.

 

Was hat das mit "Sichergehen" zu tun? Um nach dem Betrachten des Inhalts entscheiden zu können, ob das Teil gut oder böse ist, fehlen dem Normaluser die Kenntnisse.
Signiert sind die Teile eh nicht (auch nicht die "Guten" von mozdev.org). Wer sollte das auch tun?
Eigentlich reicht ja die Erkenntnis, das XPIs gefälligst nur von originalen Seiten der Mozilla-Projekte zu beziehen sind.
Aber ich werd mir jetzt mal so ein Teil angucken. Man ist ja neugierig

Update:
Hab mir mal so'n Teil besorgt...von einer flingstone-Seite.
Das XPI enthält eine install.js und eine EXE. Erstere startet Installation letzterer.
Mit einem Hexeditor bewaffnet, zeigen sich in der EXE dann Anhaltspunkte, die auch nur dem Eingeweihten was sagen

OpenMutexA..i.WideCharToMultiByte.?.DisableThreadLibraryCalls
...
bridge.DLL.Dll
...
Starting loader..Bridge1.Cbrd
...
c:\.IEDownloader....|...Download updates list
Sending responce to server to URL:..&valid_updates=.h**p://www2.flingstone.com/valid_upates.php?

Naja...und so weiter und so fort...

 

Wer ganz sicher gehen will, kann sich ein fragwürdiges XPI auch einfach herunterladen und mit einem Packer öffnen (XPI's sind nichts weiter als ZIP-Dateien).

Gruss, Matthias

 

Jo, müßte man eigentlich auch noch nach dem 2. Weizenbier merken, was los ist...

 

Hier noch ein Screenshot.
So sieht die Meldung des Mozilla auf einer präparierten Seite aus, wenn versucht wird, ein XPI zu installieren:

 

Ebenfalls danke!

Einerseits mußte das ja mal kommen, aber andererseits ist das Konzept mal wieder "den entscheidenden Klick" voraus.

Außerdem spricht nichts dagegen, default-mäßig die Software-Installation deaktiviert zu lassen. Wenn man sie mal braucht, ist die Aktivierung mit wenigen Klicks erledigt.

 

@Steele

Schließe mich an, Danke!

 

Danke

 

@Steele

Danke für den Tip.

Gruss

WakeMich

 

THX

 

Falsch. Auch der bestinformierteste User schafft es nicht, den IE bei erwünscht komfortabler Einstellung sicher zu bedienen, da sich ein Teil der Installationsautomatismen seiner Kontrolle generell entziehen. Von den etwa 30 ungefixten Bugs hab ich da noch gar nicht gesprochen.

MaxMaster:
Was nimmst du auch einen Browser, der in seinen Konfigurationsmöglichkeiten beschnitten ist?

Versuchs mal mit folgender Methode:
In die Adresszeile eingeben about:config (keine Leerzeichen)
Im Filter eingeben XPI
Dann sollte unter anderem erscheinen:
xpinstall.enabled, Standard, Boolean, true
Doppelklick drauf und true durch false ersetzen.

 

Und was ist mit meinem Feuervögelchen? Da gibt es die Einstellung nicht.