Mozilla Company om massens fremkomst med tilføjelser til Firefox. For alle browserbrugere blev tilføjelser blokeret på grund af udløbet af det certifikat, der blev brugt til at generere digitale signaturer. Derudover bemærkes det, at det er umuligt at installere nye tilføjelser fra det officielle katalog (addons.mozilla.org).
Vejen ud af denne situation for nu , Mozilla-udviklere overvejer mulige rettelser og har indtil videre begrænset sig til kun en generel bekræftelse af situationen. Det nævnes kun, at tilføjelserne blev inaktive efter 0 timer (UTC) den 4. maj. Certifikatet skulle fornyes for en uge siden, men af en eller anden grund skete det ikke, og dette faktum gik ubemærket hen. Nu, få minutter efter start af browseren, vises en advarsel om, at tilføjelser er deaktiveret på grund af problemer med den digitale signatur, og tilføjelser forsvinder fra listen. Den digitale signatur kontrolleres én gang om dagen, eller efter at browseren er startet, så i langvarige tilfælde af Firefox kan tilføjelser muligvis ikke deaktiveres med det samme.
Som en løsning for at genoprette adgangen til tilføjelser for Linux-brugere, kan du deaktivere verifikation af digital signatur ved at indstille variablen "xpinstall.signatures.required" til "false" i about:config. Denne metode til stabile og beta-udgivelser virker kun på Linux og Android; for Windows og macOS er sådan manipulation kun mulig i natlige builds og i Developer Edition. Som en mulighed kan du også ændre værdien af systemuret til tiden før certifikatet udløber, så vil muligheden for at installere tilføjelser fra AMO-kataloget vende tilbage, men det allerede installerede deaktiveringsflag vil ikke blive fjernet.
Lad os minde dig om, at obligatorisk verifikation af Firefox-tilføjelser ved hjælp af digitale signaturer var i april 2016. Ifølge Mozilla giver verifikation af digital signatur dig mulighed for at blokere spredningen af ondsindede tilføjelser, der spionerer på brugere. Nogle tilføjelsesudviklere med denne holdning mener de, at mekanismen med obligatorisk verifikation ved hjælp af en digital signatur kun skaber vanskeligheder for udviklere og fører til en stigning i den tid, det tager at bringe korrigerende udgivelser til brugerne, uden at det påvirker sikkerheden på nogen måde. Der er mange trivielle og indlysende at omgå det automatiserede tjek for tilføjelser, der tillader, at ondsindet kode kan indsættes ubemærket, for eksempel ved at generere en operation i farten ved at sammenkæde flere strenge og derefter udføre den resulterende streng ved at kalde eval. Mozillas holdning Årsagen er, at de fleste forfattere af ondsindede tilføjelser er dovne og vil ikke ty til sådanne teknikker for at skjule ondsindet aktivitet.
Tillæg: Mozilla-udviklere om starten på at teste rettelsen, som, hvis den testes med succes, snart vil blive kommunikeret til brugerne (beslutningen om at anvende den foreslåede rettelse er endnu ikke truffet). Generering af digital signatur til nye tilføjelser er deaktiveret, indtil rettelsen er anvendt.
Kilde: opennet.ru