Mozilla Company o nastanku mase sa dodacima za Firefox. Za sve korisnike pretraživača, dodaci su blokirani zbog isteka certifikata koji se koristi za generiranje digitalnih potpisa. Osim toga, napominje se da je nemoguće instalirati nove dodatke iz službenog kataloga (addons.mozilla.org).
Izlaz iz ove situacije za sada , Mozilla programeri razmatraju moguće popravke i do sada su se ograničili samo na opštu potvrdu situacije. Spominje se samo da su dodaci postali neaktivni nakon 0 sati (UTC) 4. maja. Certifikat je trebao biti obnovljen prije nedelju dana, ali se to iz nekog razloga nije dogodilo i ta činjenica je prošla nezapaženo. Sada, nekoliko minuta nakon pokretanja pretraživača, prikazuje se upozorenje da su dodaci onemogućeni zbog problema sa digitalnim potpisom, a dodaci nestaju sa liste. Digitalni potpis se provjerava jednom dnevno ili nakon pokretanja pretraživača, tako da u dugotrajnim instancama Firefoxa, dodaci možda neće biti odmah onemogućeni.
Kao zaobilazno rješenje za vraćanje pristupa dodacima za Linux korisnike, možete onemogućiti verifikaciju digitalnog potpisa postavljanjem varijable "xpinstall.signatures.required" na "false" u about:config. Ova metoda za stabilna i beta izdanja radi samo na Linuxu i Androidu; za Windows i macOS takva manipulacija je moguća samo u noćnim verzijama i u izdanju za programere. Kao opciju, također možete promijeniti vrijednost sistemskog sata na vrijeme prije isteka certifikata, tada će se vratiti mogućnost instaliranja dodataka iz AMO kataloga, ali se već instalirana zastavica onemogućavanja neće ukloniti.
Podsjetimo da je bila obavezna provjera Firefox dodataka korištenjem digitalnih potpisa u aprilu 2016. Prema Mozilli, provjera digitalnog potpisa omogućava vam da blokirate širenje zlonamjernih dodataka koji špijuniraju korisnike. Neki programeri dodataka s tim stavom smatraju da mehanizam obavezne provjere korištenjem digitalnog potpisa samo stvara poteškoće programerima i dovodi do povećanja vremena potrebnog da se ispravna izdanja dovedu do korisnika, a da ni na koji način ne utječu na sigurnost. Ima mnogo trivijalnih i očiglednih da zaobiđe automatsku provjeru dodataka koji dozvoljavaju da se zlonamjerni kod ubaci neprimijećen, na primjer, generiranjem operacije u hodu spajanjem nekoliko nizova, a zatim izvršavanjem rezultirajućeg niza pozivanjem eval. Mozillin položaj Razlog je taj što je većina autora zlonamjernih dodataka lijena i neće pribjeći takvim tehnikama da sakriju zlonamjerne aktivnosti.
Dodatak: Mozilla Developers o početku testiranja popravka, koji će, ukoliko bude uspješno testiran, uskoro biti saopšten korisnicima (odluka o primjeni predloženog popravka još nije donesena). Generisanje digitalnog potpisa za nove dodatke je onemogućeno dok se popravka ne primeni.
izvor: opennet.ru