Companyia Mozilla sobre l'aparició de la massa amb complements per a Firefox. Per a tots els usuaris del navegador, els complements es van bloquejar a causa de la caducitat del certificat utilitzat per generar signatures digitals. A més, es fa notar que és impossible instal·lar nous complements del catàleg oficial (addons.mozilla.org).
La sortida a aquesta situació de moment , els desenvolupadors de Mozilla estan considerant possibles solucions i fins ara s'han limitat només a la confirmació general de la situació. Només s'esmenta que els complements van quedar inactius després de 0 hores (UTC) del 4 de maig. El certificat s'havia de renovar fa una setmana, però per algun motiu això no va passar i aquest fet va passar desapercebut. Ara, uns minuts després d'iniciar el navegador, es mostra un avís sobre els complements que s'han desactivat a causa de problemes amb la signatura digital i els complements desapareixen de la llista. La signatura digital es verifica una vegada al dia o després d'iniciar el navegador, de manera que en casos de llarga durada de Firefox, és possible que els complements no es desactivin immediatament.
Com a solució alternativa per restaurar l'accés als complements per als usuaris de Linux, podeu desactivar la verificació de signatura digital establint la variable "xpinstall.signatures.required" a "false" a about:config. Aquest mètode per a versions estables i beta només funciona a Linux i Android; per a Windows i macOS, aquesta manipulació només és possible a les versions nocturnes i a l'edició per a desenvolupadors. Com a opció, també podeu canviar el valor del rellotge del sistema a l'hora abans que caduqui el certificat, aleshores tornarà la possibilitat d'instal·lar complements del catàleg AMO, però la marca de desactivació ja instal·lada no s'eliminarà.
Us recordem que la verificació obligatòria dels complements de Firefox mitjançant signatures digitals era l'abril de 2016. Segons Mozilla, la verificació de signatura digital us permet bloquejar la propagació de complements maliciosos que espien els usuaris. Alguns desenvolupadors de complements amb aquesta posició, creuen que el mecanisme de verificació obligatòria mitjançant una signatura digital només crea dificultats per als desenvolupadors i comporta un augment del temps que es necessita per portar llançaments correctius als usuaris, sense afectar de cap manera la seguretat. N'hi ha molts trivials i evidents per evitar la comprovació automàtica de complements que permeten inserir codi maliciós sense adonar-se, per exemple, generant una operació sobre la marxa concatenant diverses cadenes i executant la cadena resultant cridant a eval. La posició de Mozilla La raó és que la majoria dels autors de complements maliciosos són mandrosos i no recorren a aquestes tècniques per ocultar l'activitat maliciosa.
Addendum: Desenvolupadors de Mozilla sobre l'inici de la prova de la correcció, que, si es prova amb èxit, aviat es comunicarà als usuaris (encara no s'ha pres la decisió d'aplicar la solució proposada). La generació de signatura digital per a nous complements està desactivada fins que s'apliqui la correcció.
Font: opennet.ru