Topic: Che cosa è Marionette?

[Iceberg]

Facile è spiegato qui:

https://developer.mozilla.org/en-US/docs/Mozilla/QA/Marionette

Purtroppo non ci ho capito granché.   

Dice, sembra dire, che per usare questo Marionette, bisogna prima scaricare alcuni componenti.
Allora non è presente per impostazione predefinita.
Se non è presente, perché è presente un file marionette.log nella cartella del profilo? Log di cosa?
Log che contiene l'inquietante frase "MarionetteComponent loaded". Cosa è stato loaded?
Vuol dire che un componente di Marionette si trova dentro Firefox ed è sempre in preallarme? Anche se mai servirà?

Qualche anima molto pia è in grado di fare luce?

[flod]

Marionette è utilizzato per effettuare test sull'interfaccia (simuli il comportamento di un utente, facendo clic sui link, spostando il mouse, ecc.)

Il file in questione non dovrebbe essere più creato automaticamente
https://bugzilla.mozilla.org/show_bug.cgi?id=918408

[Iceberg]

Grazie.
Insomma qualcosa che è meglio non avere.

Non verrà più creato da Firefox 28.

Però se ho ben capito si tratta di una soluzione "occhio non vede cuore non duole", una soluzione per evitare che certa gente si ponga domande e apra discussioni. 

Marionette è stato abilitato con questo bug:
https://bugzilla.mozilla.org/show_bug.cgi?id=779984

Successivamente è stato aperto un altro bug per introdurre una preferenza per disabilitarlo:
https://bugzilla.mozilla.org/show_bug.cgi?id=779919
bug tuttora aperto (la preferenza non c'è).
In compenso leggo nei commenti:
Yes, Marionette will be a security risk if enabled by default on release builds.

Veniamo al dunque.
Nel primo messaggio del secondo bug è spiegato il metodo più semplice per disabilitare Marionette.
Semplice. 
Qualche anima moltissimo pia mi potrebbe spiegare questo metodo semplice per disabilitare Marionette?

[Iceberg]

Risolto.
Alla faccia di semplice.
Bisogna rifarsi Firefox su misura. 

Grazie all'anonima anima pia.

Se ho capito qualcosa.
Da Firefox 28 il file marionette.log verrà creato solo quando marionette è effettivamente in uso. Non quando è solo caricato il componente.
Avere una opzione semplice (semplice sul serio) per abilitarlo/disabilitarlo è una possibilità ancora aperta, nei fatti però è praticamente scartata.

Fine.

[Geko]

Non ci capisco niente:questo marionette.log ricordo di averlo visto nelle nightlies per la prima volta tempo fa,ed in effetti avviandole da terminal si vedeva

Codice: [Seleziona]

Marionette INFO MarionetteComponent loaded
Marionette INFO marionette not enabledperò il bug parla di B2G

Before gecko for B2G is frozen, we need to determine whether to disable Marionette in B2G builds.  Currently, it is enabled by default.

quindi perchè è anche nelle versioni desktop di Firefox?

Ed a quale messaggio nel bug ti riferisci per disabilitare Marionette? Io non l'ho trovato.

Certo che se hanno messo di default un componente che permette interazioni da remoto con il browser,l'hanno fatta davvero grossa secondo me

It can remotely drive either the UI or the internal JavaScript of a program built on the Gecko platform 

Sarà un caso,ma in un altro profilo con il simulatore B2G installato,vedevo dei picchi di CPU anche con il simulatore non in esecuzione,ora mi domando se c'entrasse qualcosa.

[cunctator]

Risolto.
Alla faccia di semplice.
Bisogna rifarsi Firefox su misura. 
Grazie all'anonima anima pia.
Se ho capito qualcosa.
Da Firefox 28 il file marionette.log verrà creato solo quando marionette è effettivamente in uso. Non quando è solo caricato il componente.
Avere una opzione semplice (semplice sul serio) per abilitarlo/disabilitarlo è una possibilità ancora aperta, nei fatti però è praticamente scartata.
Fine.

scusa ma io non ho capito: come faccio a togliere il file dalla cartella del/dei profilo/i? basta cancellarlo? e che cosa è stato appunto caricato come dice nel testo del file marionette.log?

[Iceberg]

Mi riferivo a questa frase.

Codice: [Seleziona]

We could disable Marionette in a number of ways; flipping the pref marionette.defaultPrefs.enabled at http://mxr.mozilla.org/mozilla-central/source/b2g/app/b2g.js#430 is probably the easiest, and seems safe given that users have no way of altering their own prefs.Che non riguarda gli utenti.
Non c'è una preferenza raggiungibile e non c'è una preferenza irraggiungibile.
In questi casi credo si parli di hardcoded.
Rimuovere Marionette non è cosa normalmente fattibile. Firefox deve nascerci senza. Va rimosso alla fonte.

Quest'altra frase, sembra proprio il mio "occhio non vede cuore non duole".

Codice: [Seleziona]

At any rate it may not be a big deal to have it linger around, but could perhaps raise questions again down the road when someone else discovers the file.Rimuoviamo il file di log quando Marionette è caricato ma non attivato in modo che certa gente non si ponga domande.

Poca, molto poca, considerazione verso gli utenti:

Codice: [Seleziona]

I'm not wild about adding more configure options in general, only because we already have too many, and if we add them then people use them (and get confused by the results). If this is just something you want to flip for release builds, then I don't think it needs a configure option.
Abilitato in B2G e in Firefox:

Codice: [Seleziona]

So maybe we should just have ENABLE_MARIONETTE=1 both package and enable Marionette, in both B2G and Firefox.

Codice: [Seleziona]

That sounds reasonable to me.
Invece a me tutto ciò non sembra per nulla ragionevole.

[Iceberg]

@cunctator, noi utenti non possiamo disabilitare il caricamento del modulo marionette.
Modulo che viene caricato, come tanti altri, ma non attivato.

[cunctator]

OK grazie!
in effetti il file marionette.log con il messaggio che hai detto ce l'ho già in 24.2esr - non ho ancora aggiornato a 24.3esr - insomma ce lo teniamo e basta, mi par di capire alla faccia della 'riservatezza' che firefox garantirebbe

(OT: ma siamo sempre sotto lo sguardo protettivo di tanti grandi fratelli)

offOT: forse mi puoi rispondere anche su http://forum.mozillaitalia.org/index.php?topic=60444.0 ?

[Geko]

Dato che apparentemente questo accrocco usa la porta 2828

When Marionette is enabled, it opens a port (2828) and listens for connections on localhost only.

per buona misura io la bloccherei nel firewall.

[Iceberg]

Ribadito che il modulo Marionette è caricato ma non attivato.
Sorge una domanda.

E' possibile attivare Marionette senza il consenso dell'utente?
No.
Leggendo la guida ci sono un sacco di cose da fare per attivare Marionette: Using Marionette

Se ci sono un sacco di cose da fare, apparentemente non semplici, perché caricare sempre e comunque questo modulo? Possibile che chi segue quella difficile guida non sappia poi caricare un semplice modulo?
Perché è possibile attivarlo da remoto? E sarebbe scomodo attivare da remoto un modulo che non è stato caricato?

Rifaccio la domanda.
E' possibile attivare Marionette senza il consenso dell'utente?
Forse.

[Iceberg]

Quando ho scritto fine era solo l'inizio.
Probabilmente è possibile abilitare Marionette da remoto senza molto consenso da parte dell'utente.

Ennesimo bug poco promettente, cui sono associati numerosi altri bug, tutti un pochino inquietanti:
https://bugzilla.mozilla.org/show_bug.cgi?id=870445

Perché tutto ciò?
Perché impiastrare in questo modo tutte le versioni?

[Nellus]

Scusami se mi intrometto. Se ho capito bene Marionette invia informazioni solo sull'utilizzo di firefox..non dovrebbe riguardare informazioni personali altrimenti ci ritroveremo di fronte ad un caso palese di violazione della privacy...o mi sbaglio?

[michro]

Chi tira i fili delle Marionette? Chi controlla il "marionettista"?

[Godai71]

Chi tira i fili delle Marionette? Chi controlla il "marionettista"?

Il puparo?