2
Firefox: Mozilla aktiviert Javascript im integrierten PDF Viewer
Hallo liebe Community,
bis Firefox 87 hat Mozilla die Ausführung von Javascript im integrierten PDF Viewer deaktiviert. Ab Firefox 88 ist die Ausführung von Javascript automatisch aktiviert.
(Keine Ahnung was die Entwickler dazu getrieben hat.)
Javascript lässt sich zwar auch für sinnvolle Dinge nutzen, aber leider kann damit auch viel Blödsinn getrieben werden. Einige von Euch können sich sicherlich noch an die Hackerangriffe durch infizierte PDFs erinnern. Der Angriffsvektor war damals aktiviertes Javascript im PDF-Programm.
Zum Glück kann man die durch das Update vorgenommene Änderung auch wieder rückgänig machen.
Die Ausführung von Javascript lässt sich in den erweiterten Einstellungen wie folgt deaktivieren:
Gruß
its
bis Firefox 87 hat Mozilla die Ausführung von Javascript im integrierten PDF Viewer deaktiviert. Ab Firefox 88 ist die Ausführung von Javascript automatisch aktiviert.
(Keine Ahnung was die Entwickler dazu getrieben hat.)
Javascript lässt sich zwar auch für sinnvolle Dinge nutzen, aber leider kann damit auch viel Blödsinn getrieben werden. Einige von Euch können sich sicherlich noch an die Hackerangriffe durch infizierte PDFs erinnern. Der Angriffsvektor war damals aktiviertes Javascript im PDF-Programm.
Zum Glück kann man die durch das Update vorgenommene Änderung auch wieder rückgänig machen.
Die Ausführung von Javascript lässt sich in den erweiterten Einstellungen wie folgt deaktivieren:
- Startet den Firefox, gebt in der Adresszeile about:config ein und bestätigt die Warnung.
- Sucht nach pdfjs.enableScripting und stellt den Wert durch einem Doppelklick von true auf false.
Gruß
its
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666369
Url: https://administrator.de/contentid/666369
Printed on: April 18, 2024 at 20:04 o'clock
2 Comments
Latest comment
Hallo,
das geht aber leider nur in lokalen Konfigurationen - wird der FF über GPO konfiguriert kannst Du entweder den PDF-Support abschalten oder eben diese Sache mit dem Java in PDF hinnehmen.
Beides ist für gemanagte Umgebungen eher suboptimal. Eine gleichzeitige Vewendung von GPO und json geht wohl auch nicht. Oder kennt jemand guten einen Weg?
Davon abgesehen ist es aber so, das PDF dann in einer Sandbox im Browsertab angezeigt wird. Also das ist schon ziemlich sicher meine ich.
Dazu kommt die Überlegung das kaum eine 'moderne' Website ohne Javascript auskommt. 'Modern' in Gänsefüsschen weil das vorhandensein von Java kaum eine gute Website ausmachen wird ;)
Aber jede Website darf JS und soll angzeigt werden, nur das böse PDF nicht? Das wichtigste Einfallstor für Schadsoftware ist immer noch E-Mail.
Für micht ist die Preisfrage: Warum kann ich den entsprechenden Parameter nicht per GPO übergeben?
Unser Sicherheitsbeauftragter war jedenfalls am Spucken ;)
T.
Zum Glück kann man die durch das Update vorgenommene Änderung auch wieder rückgänig machen.
Die Ausführung von Javascript lässt sich in den erweiterten Einstellungen wie folgt deaktivieren:
Die Ausführung von Javascript lässt sich in den erweiterten Einstellungen wie folgt deaktivieren:
- Startet den Firefox, gebt in der Adresszeile about:config ein und bestätigt die Warnung.
- Sucht nach pdfjs.enableScripting und stellt den Wert durch einem Doppelklick von true auf false.
das geht aber leider nur in lokalen Konfigurationen - wird der FF über GPO konfiguriert kannst Du entweder den PDF-Support abschalten oder eben diese Sache mit dem Java in PDF hinnehmen.
Beides ist für gemanagte Umgebungen eher suboptimal. Eine gleichzeitige Vewendung von GPO und json geht wohl auch nicht. Oder kennt jemand guten einen Weg?
Davon abgesehen ist es aber so, das PDF dann in einer Sandbox im Browsertab angezeigt wird. Also das ist schon ziemlich sicher meine ich.
Dazu kommt die Überlegung das kaum eine 'moderne' Website ohne Javascript auskommt. 'Modern' in Gänsefüsschen weil das vorhandensein von Java kaum eine gute Website ausmachen wird ;)
Aber jede Website darf JS und soll angzeigt werden, nur das böse PDF nicht? Das wichtigste Einfallstor für Schadsoftware ist immer noch E-Mail.
Für micht ist die Preisfrage: Warum kann ich den entsprechenden Parameter nicht per GPO übergeben?
Unser Sicherheitsbeauftragter war jedenfalls am Spucken ;)
T.
Zitat von @Thomas1969:
Beides ist für gemanagte Umgebungen eher suboptimal. Eine gleichzeitige Vewendung von GPO und json geht wohl auch nicht. Oder kennt jemand guten einen Weg?
Autoconfig geht immer, auch in Kombination mit GPOs Beides ist für gemanagte Umgebungen eher suboptimal. Eine gleichzeitige Vewendung von GPO und json geht wohl auch nicht. Oder kennt jemand guten einen Weg?
https://support.mozilla.org/en-US/kb/customizing-firefox-using-autoconfi ...
Für micht ist die Preisfrage: Warum kann ich den entsprechenden Parameter nicht per GPO übergeben?
Weil er noch nicht in den Templates hinzugefügt wurde.Was mit GPO geht legen ja die Templates fest.
Gruß w.
