Společnost Mozilla o vzniku hmoty s doplňky pro Firefox. Pro všechny uživatele prohlížeče byly doplňky zablokovány z důvodu vypršení platnosti certifikátu používaného ke generování digitálních podpisů. Kromě toho je třeba poznamenat, že není možné instalovat nové doplňky z oficiálního katalogu (addons.mozilla.org).
Cesta z této situace prozatím , vývojáři Mozilly zvažují možné opravy a zatím se omezili pouze na obecné potvrzení situace. Je pouze zmíněno, že doplňky se staly neaktivními po 0 hodinách (UTC) 4. května. Certifikát měl být obnoven před týdnem, ale z nějakého důvodu se tak nestalo a tato skutečnost zůstala bez povšimnutí. Nyní, pár minut po spuštění prohlížeče, se zobrazí varování o deaktivaci doplňků kvůli problémům s digitálním podpisem a doplňky zmizí ze seznamu. Digitální podpis je kontrolován jednou denně nebo po spuštění prohlížeče, takže v dlouhodobě běžících instancích Firefoxu nemusí být doplňky deaktivovány okamžitě.
Jako řešení pro obnovení přístupu k doplňkům pro uživatele Linuxu můžete zakázat ověřování digitálního podpisu nastavením proměnné "xpinstall.signatures.required" na "false" v about:config. Tato metoda pro stabilní a beta verze funguje pouze na Linuxu a Androidu; pro Windows a macOS je taková manipulace možná pouze v nočních sestaveních a ve Developer Edition. Volitelně můžete také změnit hodnotu systémových hodin na čas před vypršením platnosti certifikátu, poté se vrátí možnost instalovat doplňky z katalogu AMO, ale již nainstalovaný příznak zakázání nebude odstraněn.
Připomeňme, že povinné ověřování doplňků Firefoxu pomocí digitálních podpisů bylo v dubnu 2016. Podle Mozilly vám ověřování digitálního podpisu umožňuje blokovat šíření škodlivých doplňků, které špehují uživatele. Někteří vývojáři doplňků s touto pozicí se domnívají, že mechanismus povinného ověřování pomocí digitálního podpisu pouze vytváří potíže pro vývojáře a vede ke zvýšení času potřebného k uvedení opravných verzí uživatelům, aniž by jakkoli ovlivnil bezpečnost. Existuje mnoho triviálních a zřejmých obejít automatickou kontrolu doplňků, které umožňují nepozorované vložení škodlivého kódu, například vygenerováním operace za běhu zřetězením několika řetězců a následným provedením výsledného řetězce voláním eval. Pozice Mozilly Důvodem je, že většina autorů škodlivých doplňků je líná a neuchýlí se k takovým technikám, aby skryli zákeřnou činnost.
Dodatek: Mozilla Developers o zahájení testování opravy, která bude v případě úspěšného testování brzy sdělena uživatelům (rozhodnutí o použití navrhované opravy ještě nepadlo). Generování digitálního podpisu pro nové doplňky je zakázáno, dokud nebude použita oprava.
Zdroj: opennet.ru