
<div dir="ltr">I spent a while looking at lists of add-ons on Mozilla Add-ons. I found some interesting things, but no externally hosted add-ons.<br><div><div class="gmail_extra"><br></div><div class="gmail_extra">But I did find two pieces of documentation that indicate that external hosting is still possible, which quoted below.<br>

<br><a href="https://addons.mozilla.org/en-US/developer_faq#contributing">https://addons.mozilla.org/en-US/developer_faq#contributing</a>:<br></div><div class="gmail_extra"><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">

<h3>Can I host my own add-on?</h3>Yes. Many developers choose to host their own add-ons. Choosing to host your add-on on <a href="https://addons.mozilla.org">Mozilla's add-on site</a>, though, allows for much greater exposure to your add-on due to the large volume of visitors to the site. <a href="http://mozdev.org/">mozdev.org</a>

 offers free project hosting for Mozilla applications and extensions 

providing developers with tools to help manage source code, version 

control, bug tracking and documentation.</blockquote><div><div dir="ltr"><div><br><a href="https://addons.mozilla.org/en-US/developers/docs/policies/contact">https://addons.mozilla.org/en-US/developers/docs/policies/contact</a>:<br>

<blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><h4 id="section-security">Add-on Security Vulnerabilities</h4>If you have discovered a security vulnerability in an add-on, even if it is not hosted here, …<br>

</blockquote><br>--<br>Brian Drake<br><br>All content created by me: <a href="http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html" target="_blank">Copyright</a> © 2014 Brian Drake. All rights reserved.<br></div></div>

</div>

<br><div class="gmail_quote">On Thu, Jan 16, 2014 at 1359 (UTC), Yan Zhu <span dir="ltr"><<a href="mailto:yan@eff.org" target="_blank">yan@eff.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div class="im">-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA512<br>

<br>

<br>

<br>

</div><div class="im">On 01/16/2014 12:24 AM, Drake, Brian wrote:<br>

> It used to be that you could have an add-on listing on Mozilla<br>

> Add-ons but distribute the add-on itself through another site. But<br>

> I can’t find any mention of that now. Did they get rid of that?<br>

<br>

</div>I haven't heard of it, but that is basically exactly what we need. Let<br>

me know if you find out.<br>

<div class="im"><br>

><br>

> There’s an add-on on Mozilla Add-ons called HTTP Nowhere [1]. It<br>

> sounds good, is licensed under GPL 3.0 and, according to the author<br>

> of the add-on, has been tested with HTTPS Everywhere and Tor<br>

> Browser Bundle. With a quick look at the source code, the thing<br>

> that stands out is that it stores its rules using JSON. I wonder if<br>

> someone should try merging HTTPS Everywhere and HTTP Nowhere.<br>

<br>

</div>The person who wrote it sent an email to this list months ago asking<br>

if it was in scope for HTTPS Everywhere. I wrote back and asked if he<br>

was interested in merging the addons; no reply yet so it's low on my<br>

to-do list.<br>

<br>

- -Yan<br>

<div class="im"><br>

><br>

> It has a not-very-nice review [2] that also mentions HTTPS<br>

> Everywhere.<br>

><br>

> [1] <a href="https://addons.mozilla.org/en-US/firefox/addon/http-nowhere/" target="_blank">https://addons.mozilla.org/en-US/firefox/addon/http-nowhere/</a><br>

> [2]<br>

> <a href="https://addons.mozilla.org/en-US/firefox/addon/http-nowhere/reviews/524316/" target="_blank">https://addons.mozilla.org/en-US/firefox/addon/http-nowhere/reviews/524316/</a><br>

><br>

>  -- Brian Drake<br>

><br>

> All content created by me: Copyright<br>

</div><div class="im">> <<a href="http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html" target="_blank">http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html</a>> ©<br>

> 2014 Brian Drake. All rights reserved.<br>

><br>

</div><div class="im">> On Tue, Jan 14, 2014 at 0430 (UTC), Yan Zhu <<a href="mailto:yan@eff.org">yan@eff.org</a><br>

</div><div><div class="h5">> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a>>> wrote:<br>

><br>

><br>

><br>

> On 01/13/2014 07:14 AM, Drake, Brian wrote:<br>

>> Yay!<br>

><br>

>> At the risk of being annoying, with all my recent messages about<br>

>> the FAQ, this one might need updating soon:<br>

><br>

>> “Q. Why isn't HTTPS Everywhere available for download from<br>

>> <a href="http://addons.mozilla.org" target="_blank">addons.mozilla.org</a> <<a href="http://addons.mozilla.org" target="_blank">http://addons.mozilla.org</a>><br>

> <<a href="http://addons.mozilla.org" target="_blank">http://addons.mozilla.org</a>> like most other<br>

>> Firefox add-ons?”<br>

><br>

> BTW, I really appreciate all these updates to the FAQ. We need to<br>

> get our docs in shape! :)<br>

><br>

> Will update when I'm back from travel. In the meantime, feel free<br>

> to keep pointing them out.<br>

><br>

><br>

>> It would also be interesting to know what the reason is for this<br>

>> change. I think I’ve seen discussion about this issue, but<br>

>> nothing that indicated that this change would actually be made.<br>

><br>

><br>

> There's a ticket for it:<br>

> <a href="https://trac.torproject.org/projects/tor/ticket/9769" target="_blank">https://trac.torproject.org/projects/tor/ticket/9769</a>.<br>

><br>

> Note that none of the security issues raised in that thread were<br>

> actually resolved. On the contrary, Mozilla has told me that<br>

> there's no way for us to sign our own extension and have it<br>

> verified by users if they download it from the addons store. This<br>

> is sad, because it's less protection than the Chrome web store<br>

> offers (we sign the extension and updates with a key on an<br>

> airgapped machine, and Chrome refuses to accept updates that are<br>

> not signed with this key; the hash of the public key is actually in<br>

> the URL of the extension in the Chrome Web Store).<br>

><br>

> It worries me that HTTPS Everywhere in AMO is therefore only as<br>

> secure as the login credentials to our AMO account + review process<br>

> by Mozilla folks. :/<br>

><br>

> On the other hand, pde and I decided it would be okay to put it in<br>

> the Mozilla addons store in addition to hosting it from <a href="http://eff.org" target="_blank">eff.org</a><br>

</div></div>> <<a href="http://eff.org" target="_blank">http://eff.org</a>> (where most users will continue to download it,<br>

<div class="im">> probably) if we included a note on both pages about why <a href="http://eff.org" target="_blank">eff.org</a><br>

</div>> <<a href="http://eff.org" target="_blank">http://eff.org</a>> is the more secure and privacy-respecting<br>

<div class="im">> distribution channel of the two for HTTPS Everywhere.<br>

><br>

</div><div class="im">> -Yan<br>

><br>

><br>

><br>

><br>

><br>

>> -- Brian Drake<br>

><br>

>> All content created by me: Copyright<br>

>> <<a href="http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html" target="_blank">http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html</a>> ©<br>

>> 2014 Brian Drake. All rights reserved.<br>

><br>

>> On Mon, Jan 13, 2014 at 1438 (UTC), Yan Zhu <<a href="mailto:yan@eff.org">yan@eff.org</a><br>

> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a>><br>

</div><div><div class="h5">>> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a>>>> wrote:<br>

><br>

><br>

><br>

>> On 01/13/2014 06:00 AM, Drake, Brian wrote:<br>

>>> I don’t really know anything about Chrome and Opera add-ons,<br>

>>> but I am surprised to see something about a “Mozilla addon<br>

>>> store” being updated. This add-on is not on<br>

>>> <a href="https://addons.mozilla.org/" target="_blank">https://addons.mozilla.org/</a> and I don’t know what else it could<br>

>>> be referring to.<br>

><br>

><br>

>> It's not on the Mozilla store yet, but I was planning to put it<br>

>> there as of this release. This is blocking on Mozilla fixing a<br>

>> bug where HTTPS Everywhere won't upload to the store because<br>

>> Mozilla thinks that it's there already for some reason (ugh).<br>

><br>

>> -Yan<br>

><br>

>>> -- Brian Drake<br>

><br>

>>> All content created by me: Copyright<br>

>>> <<a href="http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html" target="_blank">http://www.wipo.int/treaties/en/ip/berne/trtdocs_wo001.html</a>><br>

>>> © 2014 Brian Drake. All rights reserved.<br>

><br>

>>> On Sat, Jan 4, 2014 at 0149 [WST (UTC+8)], Yan Zhu<br>

>>> <<a href="mailto:yan@eff.org">yan@eff.org</a><br>

> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a>><br>

>> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a>>><br>

>>> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a>> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a><br>

> <mailto:<a href="mailto:yan@eff.org">yan@eff.org</a>>>>> wrote:<br>

><br>

>>> HTTPS Everywhere 3.4.5 has been released:<br>

><br>

>>> <a href="https://www.eff.org/files/https-everywhere-3.4.5.xpi" target="_blank">https://www.eff.org/files/https-everywhere-3.4.5.xpi</a><br>

><br>

>>> - From the Changelog:<br>

><br>

>>> 3.4.5 * Updated license * Updated README.md * Updated<br>

>>> contributors list * Fix a performance bug when re-enabling<br>

>>> HTTPS-Everywhere from its menu * Observatory cert whitelist<br>

>>> update * Updated rules: Atlassian, Brightcove, MIT, Pidgin,<br>

>>> Microsoft, Whonix, Skanetrafiken, Stack-Exchange,<br>

>>> Stack-Exchange-mixedcontent<br>

><br>

><br>

><br>

>>> HTTPS Everywhere for Chrome 2014.1.3 has been released:<br>

><br>

>>> <a href="https://www.eff.org/files/https-everywhere-chrome-2014.1.3.crx" target="_blank">https://www.eff.org/files/https-everywhere-chrome-2014.1.3.crx</a><br>

><br>

>>> - From the Changelog:<br>

><br>

>>> chrome-2014.1.3 * Various ruleset fixes * Various performance<br>

>>> improvements, thanks to Nick Semenkovich and Jacob<br>

>>> Hoffman-Andrews! * Add LRU caching for rules * Refactor out<br>

>>> unused code * Reload page when rule is disabled * Upgrade<br>

>>> URI.js * Add fi translation<br>

><br>

><br>

>>> (The Chrome, Opera, and Mozilla addon stores have not yet been<br>

>>> updated with these releases but will be soon!)<br>

><br>

>>> -Yan<br>

><br>

><br>

><br>

><br>

><br>

><br>

><br>

<br>

- --<br>

Yan Zhu                           <a href="mailto:yan@eff.org">yan@eff.org</a><br>

Technologist                      Tel  <a href="tel:%2B1%20415%20436%209333%20x134" value="+14154369333">+1 415 436 9333 x134</a><br>

Electronic Frontier Foundation    Fax  <a href="tel:%2B1%20415%20436%209993" value="+14154369993">+1 415 436 9993</a><br>

-----BEGIN PGP SIGNATURE-----<br>

<br>

</div></div>iQEcBAEBCgAGBQJS1+XVAAoJENC7YDZD/dnsQf0H/R1fAfeMSzIWiHsJSBleaLvj<br>

nHq3jDu8HkNDegR5N87PJNwpmxePDBf1pP3wMR9CC75DueJLteJoUbHZAQIuyTNT<br>

iHmzg7FnXIwxG8zWzDqs9s7zfhPq/Emhc+sH/cGDnxhqoQGiUZdFFVMnoGWdYwNz<br>

QSxlVoYXoyZySf5faR/365Fmlxjak98EF9pNlZKGAi73KM/QHOsk26Wm4gxOX+WF<br>

+BnwQFi4AlrteG/KV5eLvctXoVar+GJXrLhLVdj0jvEfHzxFuCN9yrpjHMCDzyEl<br>

tSqHqa2+upmtaT/BVH/Q7th9mb9Pj8I31BQM8HjPMXmv9wvQtdR45jK/OqF2vdA=<br>

=lPu/<br>

-----END PGP SIGNATURE-----<br>

</blockquote></div></div></div></div>