Alle Macht dem Zertifikat
Die überaus nervösen Reaktionen auf den Zertifikats-GAU bei Firefox (binnen eines Tages 1000 Beiträge im Heise-Forum, 420 bei Hacker News) zeigen, wie anfällig ein Sicherheitskonzept ist, das auf Add-Ons beruht – und wie viel Kontrolle Mozilla über seine Produkte tatsächlich ausübt. Und wie abhängig die Freie Software von ihrem einzigen verbliebenen Browser-Projekt ist.
Die bei Heise empfohlene Lösung in about:config funktionierte nicht: Am Ende des Tages stellte sich heraus, dass man die Zertifikatsprüfung im normalen Firefox nicht händisch abschalten konnte, nur in der Nightly-Version (manchen Berichten zufolge auch in der ESR-Version) soll es funktioniert haben; und dass nicht der User, sondern der Hersteller das letzte Wort hat. Angeblich um zu verhindern, dass Erweiterungen von Installern ungefragt und unkontrollierbar in den Firefox-Profilordner geschrieben werden.
Wütend und enttäuscht reagierten vor allem Linux-Anwender, die sich am ganz langen Hebel wähnten. In de.comm.software.mozilla.browser war einiges zu lesen. Zumal die Erweiterungen nicht erst nach einem Neustart ausfielen, sondern im laufenden Betrieb ohne Vorwarnung direkt abgeschaltet wurden. Ein Fenster ging auf, und weg waren sie. Und der Hotfix wurde dann nicht als Update, sondern per „Studien“ verteilt, was nur funktionierte, nachdem man diese wieder eingeschaltet und die Übertragung von Telemetrie-Daten aktiviert hatte. Dieses Pflaster gabs aber nur für den regulären Firefox, nicht für ESR und auch nicht für die mobile Version.
Manch einer wird nach mehr als zehn Jahren mal wieder für Stunden ein Internet ohne Werbeblocker erlebt haben. Und mit den mühsam selbst gestopften Sicherheitslücken. Der Zwischenruf eines Users in der Mozilla-Browser-Newsgroup
Das ist mein Rechner und auf dem entscheide ausschließlich ich, was da läuft und sonst niemand!
wird noch länger nachhallen.