Schlagwort-Archive: firefox

Firefox 46 auf Kubuntu 14.04

kubuntu-gtk-options

Der Firefox-Dialog [Ziel speichern unter ,,,] ließ sich seit dem Update auf Firefox 46 unter Kubuntu 14.04 LTS nicht mehr richtig bedienen. Die Einträge in der linken Fensterhälfte unter Orte, Geräte und Lesezeichen reagierten nicht mehr auf Klicks und die Speichern bzw. Abbrechen Buttons reagierten zumindest komisch, mussten oft mehrfach angeklickt werden. Lediglich der Krümelpfad im Dialogfenster konnte noch zur Navigation in den Ordnern verwendet werden. Das könnte mit einem Bug im Zusammenhang stehen, der Firefox unter Ubuntu 12.04 im Moment komplett unbrauchbar macht.

Was hier geholfen hat, war, das Verzeichnis ~/.config/gtk-3.0/ zu löschen. In den KDE-Systemeinstellungen ist das GTK-3-Design danach auf Default zurückgestellt.

Firefox passt sich hiernach nicht mehr so hübsch in den Desktop ein. Die Fensterrahmen haben nun einen anderen graublauen Ton, als Firefox selbst.

Firefox 37 und Thunderbird 31.6.0 zicken wegen OCSP Fehlern

Heute Morgen waren einige meiner Seiten nicht mehr mit Firefox über HTTPS zu erreichen und auch Thunderbird meinte, dass er das Zertifikat nicht schlucken wolle – allerdings drückte er sich anders aus: Der Mailserver unterstütze die gewählte Authentifizierungsmethode nicht.

Als ich auf dem Mailserver direkt nachsah, meldete Dovecot beim Verbindungsaufbau mit Thunderbird:

dovecot: imap-login: Disconnected (no auth attempts in 2 secs): user=<>, rip=123.123.123.123, lip=12.12.12.12, TLS: SSL_read() failed: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate: SSL alert number 42, session=<TNfVw/XCDwBP+hWC>

In beiden Fällen handelte es sich um Zertifikate von StartSSL die von den Vorgängerversionen von Thunderbird und Firefox noch klaglos geschluckt wurden. Die Zertifikate sind gültig und andere Browser (Chrome, Rekonq) wie auch andere MUAs (KMail) haben das Problem auch nicht bzw. provozieren beim Dovecot keine derartigen Fehlermeldungen.

Für’s Erste habe ich nun in beiden Mozilla-Programmen die Überprüfung der Zertifikate über OCSP abgeschaltet, bis ich mehr über diesen Fehler herausgefunden habe … oder bis Mozillaprodukte die Zertifikate wieder fressen.

In Thunderbird geht das unter /Bearbeiten /Einstellungen /Erweitert /Zertifikate /Validierung und in Firefox findet man diese Funktion unter /Bearbeiten /Einstellungen /Erweitert /Zertifikate. In beiden Fällen jeweils den Haken bei der OCSP-Option rausnehmen. Schön ist das nicht.

Etherpad Canvas

Verbinde ich mich mit meinem Firefox auf das schulische Etherpad-Lite erhalte ich zuerst eine schnell vorüberziehende Fehlermeldung, dann erscheint der Inhalt des Pads und will ich dann einen Eintrag vornehmen, meldet mir dieses:

Pad-Server nicht erreichbar.
Es konnte keine Verbindung zum Pad-Server hergestellt werden.
Dies könnte an Ihrem Browser oder Ihrer Internet-Verbindung liegen.

Mit Chromium oder Rekonq funktioniert es jedoch.

Bei mir lag das an einem Firefox Addon zum Blockieren von Canvas Skripts:

https://addons.mozilla.org/de/firefox/addon/canvasblocker/?src=api

Trage ich in diesem Addon die schulische Etherpad-Installation in die Whitelist ein, dann läuft das Ganze auch wieder in Firefox.

Zu sicher

Beachte: Update des Beitrags!

Nach den Anpassungen der Apache Configuration in Folge des Poodle Bugs erhielt ich zu Beginn der Woche eine Rückmeldung einer Vista Nutzerin aus dem Kollegium, dass sie nicht mehr auf unsere Seiten zugreifen könne. Ich nahm das zuerst nicht weiter ernst, tippte auf lokale Probleme. Dann stellte ich unter Cubian X fest, dass Chromium nur noch einen 113er Fehler anzeigte, der für

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

steht und Iceweasel merkte an

ssl_error_no_cypher_overlap

Diverse Browser unter Android 4.0.3 (Lightning, Tint Browser, Zirco) wollten ebenfalls nicht mehr meine eigenen HTTPS verschlüsselten Seiten aufrufen. Während unter Android der Firefox noch einsetzbar war, so ging auf meinem Spielkistchen mit Cubian X gar nichts mehr. Die Software auf diesem System lässt sich nicht einfach aktualisieren – meine Apache-Konfiguration war für das Ding schlicht „zu sicher“.

Ich kam dann irgendwann auf Idee, die unterstützten Cipher Suiten miteinander zu vergleichen. Das geht direkt bei Qualys SSL Labs – oder für den Browser auch hier: https://cc.dcsec.uni-hannover.de/check . Die Schuppen fielen dann endlich von den Augen.

Sichere Konfiguration

Eintrag:

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!SSLv3:!EXPORT

Ergebnis unter Debian:

kvfgnet_debianssl

Unterstützte Browsersuiten:

Handshake Simulation
Android 2.3.7   No SNI 2 Protocol or cipher suite mismatch Fail3
Android 4.0.4 Protocol or cipher suite mismatch Fail3
Android 4.1.1 Protocol or cipher suite mismatch Fail3
Android 4.2.2 Protocol or cipher suite mismatch Fail3
Android 4.3 Protocol or cipher suite mismatch Fail3
Android 4.4.2 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   FS 256
BingBot Dec 2013   No SNI 2 Protocol or cipher suite mismatch Fail3
BingPreview Jun 2014 Protocol or cipher suite mismatch Fail3
Chrome 37 / OS X  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   FS 128
Firefox 24.2.0 ESR / Win 7 Protocol or cipher suite mismatch Fail3
Firefox 32 / OS X  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   FS 128
Googlebot Jun 2014 Protocol or cipher suite mismatch Fail3
IE 6 / XP   No FS 1   No SNI 2 Protocol or cipher suite mismatch Fail3
IE 7 / Vista Protocol or cipher suite mismatch Fail3
IE 8 / XP   No FS 1   No SNI 2 Protocol or cipher suite mismatch Fail3
IE 8-10 / Win 7  R Protocol or cipher suite mismatch Fail3
IE 11 / Win 7  R TLS 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)   No FS 128
IE 11 / Win 8.1  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
IE Mobile 10 / Win Phone 8.0 Protocol or cipher suite mismatch Fail3
IE Mobile 11 / Win Phone 8.1 TLS 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)   No FS 128
Java 6u45   No SNI 2 Protocol or cipher suite mismatch Fail3
Java 7u25 Protocol or cipher suite mismatch Fail3
Java 8b132 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   FS 128
OpenSSL 0.9.8y Protocol or cipher suite mismatch Fail3
OpenSSL 1.0.1h TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   FS 256
Safari 5.1.9 / OS X 10.6.8 Protocol or cipher suite mismatch Fail3
Safari 6 / iOS 6.0.1  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
Safari 7 / iOS 7.1  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
Safari 8 / iOS 8.0 Beta  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
Safari 6.0.4 / OS X 10.8.4  R Protocol or cipher suite mismatch Fail3
Safari 7 / OS X 10.9  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
Yahoo Slurp Jun 2014   No SNI 2 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   FS 256
YandexBot Sep 2014 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   FS 256
(1) Clients that do not support Forward Secrecy (FS) are excluded when determining support for it.
(2) No support for virtual SSL hosting (SNI). Connects to the default site if the server uses SNI.
(3) Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.
(R) Denotes a reference browser or client, with which we expect better effective security.
(All) We use defaults, but some platforms do not use their best protocols and features (e.g., Java 6 & 7, older IE).

Überarbeitete Konfiguration

Eintrag:

SSLProtocol all -SSLv2 -SSLv3

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5

Ergebnis unter Debian:

debianssl

Unterstützte Browsersuiten:

Handshake Simulation
Android 2.3.7   No SNI 2 TLS 1.0 TLS_RSA_WITH_RC4_128_SHA (0x5)   No FS   RC4 128
Android 4.0.4 TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   FS 256
Android 4.1.1 TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   FS 256
Android 4.2.2 TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   FS 256
Android 4.3 TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   FS 256
Android 4.4.2 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   FS 256
BingBot Dec 2013   No SNI 2 TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)   No FS 128
BingPreview Jun 2014 TLS 1.0 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)   FS 256
Chrome 37 / OS X  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   FS 128
Firefox 24.2.0 ESR / Win 7 TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   FS 256
Firefox 32 / OS X  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f)   FS 128
Googlebot Jun 2014 TLS 1.0 TLS_ECDHE_RSA_WITH_RC4_128_SHA (0xc011)   FS   RC4 128
IE 6 / XP   No FS 1   No SNI 2 Protocol or cipher suite mismatch Fail3
IE 7 / Vista TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)   No FS 128
IE 8 / XP   No FS 1   No SNI 2 TLS 1.0 TLS_RSA_WITH_RC4_128_SHA (0x5)   No FS   RC4 128
IE 8-10 / Win 7  R TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)   No FS 128
IE 11 / Win 7  R TLS 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)   No FS 128
IE 11 / Win 8.1  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
IE Mobile 10 / Win Phone 8.0 TLS 1.0 TLS_RSA_WITH_AES_128_CBC_SHA (0x2f)   No FS 128
IE Mobile 11 / Win Phone 8.1 TLS 1.2 TLS_RSA_WITH_AES_128_CBC_SHA256 (0x3c)   No FS 128
Java 6u45   No SNI 2 TLS 1.0 TLS_RSA_WITH_RC4_128_SHA (0x5)   No FS   RC4 128
Java 7u25 TLS 1.0 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   FS 128
Java 8b132 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027)   FS 128
OpenSSL 0.9.8y TLS 1.0 TLS_DHE_RSA_WITH_AES_256_CBC_SHA (0x39)   FS 256
OpenSSL 1.0.1h TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   FS 256
Safari 5.1.9 / OS X 10.6.8 TLS 1.0 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)   FS 128
Safari 6 / iOS 6.0.1  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
Safari 7 / iOS 7.1  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
Safari 8 / iOS 8.0 Beta  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
Safari 6.0.4 / OS X 10.8.4  R TLS 1.0 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (0xc014)   FS 256
Safari 7 / OS X 10.9  R TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)   FS 256
Yahoo Slurp Jun 2014   No SNI 2 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   FS 256
YandexBot Sep 2014 TLS 1.2 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)   FS 256
(1) Clients that do not support Forward Secrecy (FS) are excluded when determining support for it.
(2) No support for virtual SSL hosting (SNI). Connects to the default site if the server uses SNI.
(3) Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.
(R) Denotes a reference browser or client, with which we expect better effective security.
(All) We use defaults, but some platforms do not use their best protocols and features (e.g., Java 6 & 7, older IE).

Australis

Der neueste Designkram von Mozilla wäre mir eigentlich egal, wenn ich meine Statusbar noch hätte. Die wurde aber entsorgt, so dass ich keinen Nagios Checker mehr sah und NoScript sowie ABE nach oben rutschten. Außerdem gab es CookieKiller nur noch per Kontextmenü und die Anzeige von Links, über die ich meine Maus hielt, tauchte mal rechts und mal links im Browserfenster auf, was aus einem kurzen Kontrollblick ein Suchspiel machte.

Jetzt habe ich zwei weitere Addons – und Firefox sieht wieder aus wie er soll:

https://addons.mozilla.org/de/firefox/addon/classicthemerestorer/

https://addons.mozilla.org/de/firefox/addon/status-4-evar

Firefox search provider wechseln / einstellen

Sofern man Suchbegriffe in die Adresszeile des Firefox direkt eingibt, nutzt Mint DuckDuckGo als Standardsuchmaschine, Ubuntu und Fedora nutzen Google und ich will weder das eine noch das andere. Ich will startpage.com. Das lässt sich einstellen:

  1. „about:config“ in die Adresszeile von Firefox eingeben
  2. Warnmeldung, abnicken
  3. „keyword.URL“ im Filter oben auf der Seite eintippen
  4. doppelt auf „keyword.URL“ klicken
  5. https://startpage.com/do/search?language=deutsch&cat=web&query=
  6. ‚OK‘ anklicken und Tab schließen

Über die Seiten von Startpage findet man noch weitergehende Einstellmöglichkeiten … und überhaupt: So frei konfigurierbar wie dieser Suchmaschinenanbieter ist nach meiner Kenntnis kein anderer.

Eine Suche nach „firefox change default search provider“ listet Einstellmöglichkeiten für andere Suchseitenbetreiber.

Sabayon

Mein oller Asus muss gerade ein Sabayon X verdauen. Hier einige Notizen zum Thema:

Der grafische Installer will beeindrucken, führte auf meinem Laptop aber nur zu einem blankscreen. Nach Drücken von F5 kann man dem Kernel die vielen grafischen Startoptionen (vga, modeset blabla) wegnehmen, dann startet Sabayon zwar weniger schön – aber dafür reibungslos.

Man findet im System dann nicht einmal einen vi – dafür viel anderen Chichi. Ein

equo install vim

zieht einen brauchbaren Editor an Bord.

Die BCM4318 wird zwar erkannt – es fehlen jedoch die Firmware und die Einrichtung. Die folgenden Schritte setzen WLAN in Gang:

equo install b43-firmware b43-fwcutter broadcom-sta linux-firmware

Jetzt wird die blacklist.conf bearbeitet:

vi /etc/modprobe.d/blacklist.conf

und zwar so:

# make broadcom-sta happy
blacklist ssb
blacklist bcma
blacklist brcmsmac
#blacklist b43

Damit b43 beim Hochfahren geladen werden kann, muss er hier aufgenommen werden:

vi /etc/conf.d/modules

mit der folgenden Zeile:

modules=“b43″

Nach einem Reboot funktioniert dann WLAN.

Die blöden Broadcom-Chips scheinen sich stellenweise heftig zu unterscheiden. Auf den Weg oben bin ich gekommen, indem ich mit lsmod mal nachsah, was eigentlich geladen war. Mit rmmod ssb und einem anschließendem modprobe b43 brachte ich WLAN sofort hoch. Die Zeilen oben verstetigen lediglich diesen Fund – zusammengetragen aus X verschiedenen Forenbeiträgen.

Sabayon bringt wenig Software von Mozilla mit. Die kommt wie folgt an Bord:

equo install firefox thunderbird

Insgesamt für einen Ubuntu/Debian-Anwender ein etwas gewöhnungsbedürftiges Konzept – Gentoo eben. Dafür sind viele Dinge da, die man unter DEB und Freunden vermisst. Darunter eine echte /etc/inittab. Ich spiel mal weiter … und werf die restliche Dokumentation ins KvFG Wiki:

https://www.kvfg.net/wiki/doku.php?id=linux:installation:sabayon

Tracker

Der Firefox 5 bringt auf der Registerkarte Datenschutz in den Einstellungen eine Möglichkeit mit, Webseiten mitzuteilen, dass man nicht verfolgt werden möchte:

Schade ist, dass sich kaum eine Webseite daran hält. Dies findet man mit Hilfe des Firefox Plugins Collusion heraus, das man in einem Tab öffnet und dann im Hintergrund liegen lässt.

Hier sammelt sich dann schnell die Information, über welche Seiten man von wem beobachtet wird.

FF4 unter Lucid

Weil einige meiner AddOns noch nicht für Firefox 4 zur Verfügung standen, habe ich mit dem Umstieg lange gewartet. Dazu kam, dass ich keine daily builds nutzen wollte, sondern eine stabile Version. Heute bin ich umgestiegen …

sudo add-apt-repository ppa:mozillateam/firefox-stable

sudo apt-get update ; sudo apt-get dist-upgrade

… und überlege mir nun, ob ich das in der Schule auch tun soll.

Einziger Nachteil aus meiner Sicht:

Bei der Nutzung von Sage als RSS Feed Reader hängt nun der erste Tab direkt über dem Sage Bereich. Ich muss mit der Maus zum Schließen dieses Tabs demnach längere Wege gehen oder verklicke mich gelegentlich – dann ist Sage zu und nicht der Tab.