"Vollständiger Zugriff auf Thunderbird und Ihren Computer" durch Add-on riskieren?

    • Thunderbird-Version: 115.8.0
    • Betriebssystem + Version: Win10 Pro, 22H2, 19045.4046
    • (Betroffene) Thunderbird-Erweiterung + Version: FiltaQuilla 4.0b2

    Hallo,
    wie geht Ihr mit der Gefahr durch ein Add-on um, das auf älterer Technologie basiert und vollen Zugriff auf Thunderbirds interne Schnittstellen (APIs) hat und damit doch eine erhebliche (potentielle) Gefahr darstellt, oder? :/

    "Erweiterungen, die diese Berechtigung anfordern, können:

    • Jeden Aspekt der Thunderbird-Benutzeroberfläche ändern.
    • Alle Ihre Daten lesen und ändern (Nachrichten, Kontakte, Kalender, Webinhalte und Passwörter).
    • Dateien auf Ihrem Computer lesen, ändern und ausführen.

    Auf addons.thunderbird.net (ATN) erhältliche Add-ons wurden vorher sorgfältig von einem Menschen überprüft. Wenn Sie Erweiterungen von anderen Stellen installieren, müssen Sie sicher sein, dass Sie der Quelle vertrauen können."

    Ich suche nach einer Möglichkeit, Dateianhänge (weitgehend) automatisch unter Windows in verschiedenen (Unter-)Ordnern zu speichern und bin auf FiltaQuilla gestoßen, das mir wohl helfen könnte und auch unter addons.thunderbird.net (ATN) zu finden ist.

    Ich arbeite mit dem PC beruflich, habe schützenswerte Daten und daher Skrupel, das Add-On zu installieren und zu testen. =O

    Ist das übertrieben oder sollte ich auf Filter Quilla lieber verzichten? :?:
    Kann jemand eine Alternative empfehlen?

    tom

    Einmal editiert, zuletzt von timoola (8. März 2024 um 14:48)

    Zitat von timoola

    Ist das übertrieben oder sollte ich auf Filter Quilla lieber verzichten?

    Hallo,
    die Punkte der Berechtigungen werden nahezu bei jedem Add-on aufgeführt.
    Immerhin muss ein Add-on auf bestimmte Bereiche zugreifen können, um entspr. Gewünschtes zu bewirken.
    Wenn man ein Omelette backen will, muss man ein Ei zerschlagen. ;)

    Theoretisch kann sich in Add-ons natürlich Schadcode verbergen. Aber sie werden vor Veröffentlichung auf ATN einem Review unterzogen und die bekannteren werden von tausenden Leuten benutzt. Da wäre Schadcode hochstwahrscheinlich aufgefallen. Und zur Not kann sich jeder den Code des Add-ons selber ansehen.

    Zitat von ggbsde

    Theoretisch kann sich in Add-ons natürlich Schadcode verbergen. Aber sie werden vor Veröffentlichung auf ATN einem Review unterzogen und die bekannteren werden von tausenden Leuten benutzt. Da wäre Schadcode hochstwahrscheinlich aufgefallen. Und zur Not kann sich jeder den Code des Add-ons selber ansehen.

    Hallo,

    ich habe eben nach ein Addon gesucht, eins gefunden (Grammatik- und Rechtschreibprüfung - LanguageTool) und mal unter Berechtigungen nachgesehen. Dort stand ebenfalls "Vollständiger Zugriff auf Thunderbird und Ihren Computer".

    Ich bin zwar Softwareentwickler und musste mich zwangsläufig die letzten 2 Jahre mit Security beschäftigen - aber es ist nicht mein Fachgebiet und ich sehe mich nicht als prof. Penetration-Tester oder Hacker in irgendeine Form. Trotzdem bekommt man einiges mit.

    Und war es nicht der Google Playstore, wo Schadsoftware verteilt wurde wie irre? Und ja, auch dort wurde die Software geprüft. Wie konnte es also passieren?


    Die Software wurde releast und im Playstore beantragt als das, wofür sie eben "offensichtlich" gemacht wurde. Dann kommt Google daher, validiert die Software und Angaben ehe sie für den Playstore freigegeben wird.

    Ist sie jetzt im Playstore, erfolgten keine Kontrollen seitens Google mehr. Wozu auch, die Software wurde ja kontrolliert/validiert!

    ...und was ist mit Updates?

    Jetzt kann fröhlich die Software im Store verändert werden. Nicht unbedingt sofort - man wartet ein paar Monate, damit sie genug Nutzer hat - logisch. Aber meines Wissens nach ist es so geschehen, im 5-stelligen Bereich an Apps. Heute geht das nicht mehr im Playstore.

    Aber, da die Addons bei Thunderbird zum großen Teil ebenfalls von Drittanbietern stammen und die sicherlich ebenfalls geprüft werden, stellt sich mir die Frage; ob sie in einem bestimmten zeitlich Turnus oder nach Updates erneut geprüft werden?

    Falls nicht, könnte ich mir die ein oder andere böse Überraschung vorstellen.

    Zitat von refman

    ...und was ist mit Updates?

    Jedes update muss durchs review. Wir bewegen aber immer mehr Add-on Entwickler auf die Maximal-Berechtigung zu verzichten, auch wenn das manchmal mit einem Feature-Verlust einhergeht.