Cumpagnia Mozilla circa l'emergenza di massa cù add-ons per Firefox. Per tutti l'utilizatori di u navigatore, i add-ons sò stati bluccati per via di a scadenza di u certificatu utilizatu per generà signature digitale. Inoltre, hè nutatu chì hè impussibile di installà novi add-ons da u catalogu ufficiale (addons.mozilla.org).
A manera di fora di sta situazione per avà , I sviluppatori di Mozilla cunsidereghjanu possibili correzioni è si sò limitati finu à a solu cunferma generale di a situazione. Hè citatu solu chì i add-ons diventanu inattivi dopu à 0 ore (UTC) u 4 di maghju. U certificatu duverebbe esse rinnuvatu una settimana fà, ma per una certa ragione questu ùn hè micca accadutu è stu fattu passava inosservatu. Avà, uni pochi di minuti dopu avè principiatu u navigatore, un avvirtimentu hè visualizatu annantu à i add-ons chì sò disattivati per via di prublemi cù a firma digitale, è i add-ons spariscenu da a lista. A firma digitale hè verificata una volta à ghjornu o dopu chì u navigatore hè lanciatu, cusì in casi longu di Firefox, add-ons ùn ponu micca esse disattivati immediatamente.
Cum'è una soluzione per restaurà l'accessu à l'add-ons per l'utilizatori di Linux, pudete disattivà a verificazione di a firma digitale mettendu a variàbile "xpinstall.signatures.required" à "false" in about:config. Stu metudu per e versioni stabile è beta funziona solu in Linux è Android per Windows è macOS, una tale manipulazione hè pussibule solu in e custruzzioni di notte è in l'Edizione Developer. Comu opzione, pudete ancu cambià u valore di u clock di u sistema à u tempu prima chì u certificatu scade, allora a capacità di installà add-ons da u catalogu AMO tornerà, ma a bandiera di disattivazione digià stallata ùn serà micca eliminata.
Ricurdemu chì a verificazione obbligatoria di i add-ons di Firefox cù e firme digitali era in aprile 2016. Sicondu Mozilla, a verificazione di a firma digitale permette di bluccà a diffusione di add-ons maliziusi chì spianu l'utilizatori. Certi sviluppatori add-on cù sta pusizioni, crede chì u miccanisimu di verificazione ubligatoriu cù una firma digitale crea solu difficultà per i sviluppatori è porta à un aumentu di u tempu chì ci vole à portà e versioni currettivi à l'utilizatori, senza affettà a sicurità in ogni modu. Ci sò parechji triviali è evidenti per scaccià a verificazione automatizata per add-ons chì permettenu u codice maliziusu per esse inseritu senza avvistà, per esempiu, generendu una operazione nantu à a mosca cuncatenendu parechje stringhe è poi eseguisce a stringa resultanti chjamendu eval. A pusizione di Mozilla U mutivu hè chì a maiò parte di l'autori di add-ons maliziusi sò pigri è ùn anu micca ricursu à tali tecniche per ammuccià l'attività maliciosa.
Addendum: Sviluppatori Mozilla circa l'iniziu di a prova di a correzione, chì, s'ellu hè stata pruvata cun successu, serà prestu cumunicata à l'utilizatori (a decisione di applicà a correzione pruposta ùn hè ancu stata fatta). A generazione di firma digitale per novi add-ons hè disattivata finu à chì a correzione hè applicata.
Source: opennet.ru