Mozilla-Unternehmen über die Entstehung der Masse mit Add-ons für Firefox. Für alle Browserbenutzer wurden Add-ons aufgrund des Ablaufs des Zertifikats, das zur Erstellung digitaler Signaturen verwendet wurde, blockiert. Darüber hinaus wird darauf hingewiesen, dass es nicht möglich ist, neue Add-Ons aus dem offiziellen Katalog zu installieren (addons.mozilla.org).
Der Ausweg aus dieser Situation für den Moment , Mozilla-Entwickler erwägen mögliche Korrekturen und haben sich bisher auf eine allgemeine Bestätigung der Situation beschränkt. Es wird lediglich erwähnt, dass die Add-ons am 0. Mai nach 4 Uhr (UTC) inaktiv wurden. Das Zertifikat sollte vor einer Woche erneuert werden, aber aus irgendeinem Grund geschah dies nicht und diese Tatsache blieb unbemerkt. Nun wird wenige Minuten nach dem Start des Browsers eine Warnung angezeigt, dass Add-ons aufgrund von Problemen mit der digitalen Signatur deaktiviert werden und Add-ons aus der Liste verschwinden. Die digitale Signatur wird einmal täglich oder nach dem Start des Browsers überprüft, sodass Add-ons in Firefox-Instanzen mit langer Laufzeit möglicherweise nicht sofort deaktiviert werden.
Als Workaround zur Wiederherstellung des Zugriffs auf Add-ons für Linux-Benutzer können Sie die Überprüfung digitaler Signaturen deaktivieren, indem Sie die Variable „xpinstall.signatures.required“ in about:config auf „false“ setzen. Diese Methode für Stable- und Beta-Releases funktioniert nur unter Linux und Android; für Windows und macOS ist eine solche Manipulation nur in Nightly Builds und in der Developer Edition möglich. Optional können Sie den Wert der Systemuhr auch auf die Zeit vor Ablauf des Zertifikats ändern. Dann ist die Möglichkeit zur Installation von Add-Ons aus dem AMO-Katalog wiederhergestellt, das bereits installierte Deaktivierungsflag wird jedoch nicht entfernt.
Wir möchten Sie daran erinnern, dass die Überprüfung von Firefox-Add-ons mithilfe digitaler Signaturen obligatorisch war im April 2016. Laut Mozilla können Sie mit der Überprüfung digitaler Signaturen die Verbreitung bösartiger Add-ons blockieren, die Benutzer ausspionieren. Einige Add-on-Entwickler Mit dieser Position glauben sie, dass der Mechanismus der obligatorischen Überprüfung mithilfe einer digitalen Signatur den Entwicklern nur Schwierigkeiten bereitet und zu einer Verlängerung der Zeit führt, die benötigt wird, um Korrekturversionen für Benutzer bereitzustellen, ohne die Sicherheit in irgendeiner Weise zu beeinträchtigen. Es gibt viele triviale und offensichtliche um die automatisierte Prüfung auf Add-ons zu umgehen, die das unbemerkte Einschleusen von Schadcode ermöglichen, indem beispielsweise im Handumdrehen eine Operation durch Verkettung mehrerer Zeichenfolgen generiert und die resultierende Zeichenfolge dann durch den Aufruf von eval ausgeführt wird. Mozillas Position Der Grund dafür ist, dass die meisten Autoren bösartiger Add-ons faul sind und nicht auf solche Techniken zurückgreifen, um bösartige Aktivitäten zu verbergen.
Nachtrag: Mozilla-Entwickler über den Beginn des Testens des Fixes, der bei erfolgreichem Test bald den Benutzern mitgeteilt wird (die Entscheidung über die Anwendung des vorgeschlagenen Fixes ist noch nicht gefallen). Die Generierung digitaler Signaturen für neue Add-ons ist deaktiviert, bis der Fix angewendet wird.
Source: opennet.ru