G33KY³ - Return of the Nerd

Softwarequalität von Mozilla

with tags "Freie" Software Maueralt Open Source PC Quählkot Rant Softwareschrott Technik -

Willst du wirklich Qualitätssoftware, gibt es eigentlich nur 2 Möglichkeiten:

  • kaufe bei großen Firmen mit Weltruhm (Produkte mit großer Verbreitung, über viele Jahre etabliert, werden auch die nächsten Jahrzehnte noch existieren)
  • nimm OpenSource, dann kannst du dir kaputtes selbst reparieren und die Software an Änderungen anpassen, sollte der Ursprung wegbrechen

Bei Mozilla Firefox/Thunderbird sind beide Punkte erfüllt, es kann also überhaupt nichts mehr schief gehen!

(Kenner bemerken dass ich diesen Absatz nicht ganz komplett Ernst meinte)

Beweisstück 1: Ein winziges Problem beim Donnervogel und Feuerfuchs

behinderter vogel

Ursache ist dass ich grundsätzlich Software nicht vertraue meine Passwörter verschlüsselt zu speichern. Wenn diese Software das dann ohne von mir einzugebenden Schlüssel tun soll (das kann über System-Anmeldung und dazu gehörenden Schlüsselbund oder beim Programmstart erfolgen), dann gibt es keine Möglichkeit die Daten so abzuspeichern dass nicht jederzeit jeder meine Passwörter lesen kann.

Daher aktiviere ich in Thunderbird/Firefox besagte Master-Passwörter, mit welchem die Daten dann gesichert werden sollten (wird wahrscheinlich trotzdem albernst unsicher sein).

Wenn Thunderbird startet, wird also für die erste Aktion die ein Passwort benötigt eine Aufforderung das Master-Passwort einzugeben geöffnet. Wenn andere Funktionen das gleiche Problem haben, gibt es mehr von diesen Dialogen. Alle Dialoge werden übereinander gestapelt, sehen gleich aus und wollen sich die Eingabe schnappen.

Plugins verursachen solche Abfragen, zusätzliche Accounts verursachen solche Abfragen, ALLES VERURSACHT SOLCHE ABFRAGEN!

Die 7 Eingabeboxen im Bild ergeben sich bei mir durch 2 Mail-Accounts, Lightning-Kalender-Anbindung und einen eingebundenen GMail-Kalender. Das ist kein Fake, Übertreibung oder absichtlich produzierter Katastrophenfall. (allerdings liegen die Dialoge normalerweise Deckungsgleich)

Dazu gibt es seit kurzem, also seit 2002, ein Ticket mit "partial workaround" und sogar Patches. (auch ein unspezifischeres Ticket von 2001 existiert)

Später haben Leute noch dutzendweise (wörtlich) andere Tickets geöffnet, die alle mit Hinweis auf duplizierung/abhängigkeit/wontfix und teilweise mit Link zum ältesten (oder auch mal zum zweit- oder drittältesten) geschlossen wurden.

partial Workaround


Es gibt einen nicht-verlinkten Hinweis auf Kommentar 103 der einen "partial workaround" enthalten soll.
A new feature "Sign into the browser" is coming soon and I am pretty sure that it will change lots of things regarding how the master password mechanism works, and that work will probably lead to a new UX for master password which will likely fix this bug. But, such work on "Sign into the browser" will not start for several weeks or more; I don't even know what changes to Master Password and related stuff will be neded for it yet.

Workaround #1:
I recommend that everybody that has FIPS mode enabled disable it. There is really not a significant security benefit to the FIPS mode; it is more for government regulatory compliance. Also, Firefox does not automatically become FIPS compliant when you enable the FIPS mode; there is a series of additional, undocumented (even I do not know all of them) steps that must be completed.

Workaround #2:
Disable the master password and rely on operating-system-level account management/passwords/encryption. I understand that this won't work for everybody, and for the people it does work for (AFAICT, most people) it requires learning how to effectively use the operating-system-level features, but IMO it is by far the best solution, even after we fix this bug.


Zusammenfassung:
  1. "Lösung kommt bald"
  2. "deaktiviere FIPS-Mode!"
  3. "verwende kein Master-Passwort!"

zu 1.: "comming soon" und "such work [..] will not start for several weeks or more" verweist dabei auf die nähere Zukunft aus Sicht von April 2012. Naiv wie ich bin, hätte ich ja beinahe vermutet dass solche Termine von heute aus gesehen in der Vergangenheit liegen würden, aber das ist offensichtlich ein Fehler.

"FIPS-Mode" ist dabei ein Bullshit-Flag das soweit mir bekannt ist eigentlich nichts wirklich tut und per Default deaktiviert ist. Ich sehe nicht wie das einen Einfluss auf das Problem haben soll (ok, es könnte für noch mehr Eingabefenster sorgen)

WAT?

Es existieren also heftige Bugs, die:

  • sowohl Firefox, Thunderbird als auch alles andere Mozilla-Dings betreffen
  • seit mehr als einem Dutzend Jahren nicht angefasst wurden
  • vor Jahren mit im Ticket verlinkten Patches versehen wurden, diese haben es aber niemals ins Release geschafft
  • die Verwendung der Software wird bei jedem Start absurd unbenutzbar (bei mir 7 Eingabeboxen) und potentiell gefährlich durch DAUs die wild Passwörter eingeben/verunsichert werden
  • einzig funktionierender Workaround lautet "fick doch die Sicherheit!"

Dann noch ein Spaßquote aus einem der letzten Kommentare:

Please refrain from posting "Please refrain from posting unsolicited 'still broken' comments" comments.
Doing so just adds noise to the bug and doesn't actually help in reaching a solution.

If you want to "educate" the offending reporter, send him private email.

Geschrieben von Dr. Azrael Tod
Later article
Wahlvieh - die Bürgermeister-Edition
Older article
Natürlich nur natürlich