Vorfall wurde analysiert
13.05.2019, 10:17 Uhr
Mozilla zieht Konsequenzen aus Firefox-Add-on-Bug
Mozilla liefert neue Informationen zum Add-on-Ausfall Anfang Mai. Ausserdem entschuldigen sich die Entwickler erneut für die Unannehmlichkeiten und versprechen, an einer präventiven Lösung zu arbeiten.
Mozilla veröffentlicht neue Informationen zu seinem Add-On-Bug. Anfang Mai funktionierten Erweiterungen in Firefox plötzlich nicht mehr oder liessen sich nicht installieren, da ein Zertifikat ausgelaufen war.
Die Entwickler entschuldigen sich auf ihrem Blog erneut bei ihren Nutzern für die Unannehmlichkeiten. Mittlerweile habe man die Funktionalität der Add-ons für fast alle Firefox-Anwender wieder herstellen können, so Mozilla.
Zur kurzfristigen Behebung des Problems hatten die Open-Source-Spezialisten eine Änderung in den Firefox-Studien vorgeschlagen. Mittlerweile wurde aber ein Update für den Browser verteilt, das den Bug auch ohne weiteres Zutun der Anwender behebt. Anwender, die zur Fehlerbehebung die «Studien-Funktion» aktiviert hatten, können diese nun wieder deaktivieren. Ausserdem verspricht Mozilla alle darüber erhobenen Daten für den betreffenden Zeitpunkt zu löschen.
Der Fix bestand darin, ein Ersatzzertifikat zu erstellen und zu verteilen. Was verhältnismässig einfach klingt, war laut Mozilla CTO Eric Rescorla bei Weitem komplizierter. Das genaue Vorgehen beschreibt er ausführlich in einem Blogpost.
Post-Mortem-Verfahren
Grundsätzlich werde daran gearbeitet, derartige Vorfälle in Zukunft zu verhindern, so Rescorla. Ausserdem soll ein Post-Mortem-Verfahren durchgeführt werden. Die daraus resultierende Liste an Änderungen will das Unternehmen den Anwendern im Anschluss zur Verfügung stellen. Ferner soll ein Mechanismus entwickelt werden, mit dem Aktualisierungen dieser Art schneller an die Anwender verteilt werden können. Nutzer sollen künftig ausserdem eine Einstellungsmöglichkeit erhalten, Hotfixes und dergleichen zu erhalten, ohne die Studien aktivieren zu müssen.
Auch, wenn der Bug vielleicht ärgerlich war und einige wenige Nutzer dadurch Daten verloren haben: Ein Sicherheitsrisiko bestand offenbar zu keiner Zeit. Ganz im Gegenteil. Aufgrund von fälschlicherweise gut funktionierender Sicherheitsmechanismen kam es überhaupt erst zu diesem Bug.